の通過 OpenVPN на WireGuard ネットワークを1つのL2ネットワークに統合する

地理的に離れた 3 つのアパートのネットワーク (それぞれが OpenWRT ルーターをゲートウェイとして使用している) を 2 つの共通ネットワークに結合した私の経験を共有したいと思います。 サブネット ルーティングを使用する LXNUMX​​ とブリッジを使用する LXNUMX の間でネットワークを組み合わせる方法を選択するとき、すべてのネットワーク ノードが同じサブネット内にある場合、XNUMX 番目の方法が優先されます。これは構成がより困難ですが、より大きな機会を提供します。構築中のネットワークでは、Wake-on-Lan と DLNA によるテクノロジーの透過的な使用が計画されました。

パート 1: 背景

このタスクを実行するために選択されたプロトコルは、当初は OpenVPNなぜなら、第一に、問題なくブリッジに追加できるタップデバイスを作成できること、そして第二に、 OpenVPN TCPをサポートしている点も重要でした。というのも、どのアパートにも専用IPアドレスが割り当てられていなかったからです。私のISPは何らかの理由で自社ネットワークからのUDP接続をブロックしているため、STUNは使えませんでした。TCPのおかげで、SSHを使ってVPNサーバーのポートをレンタルしたVPSに転送することができました。この方法はデータが二重暗号化されるため、かなりのオーバーヘッドが発生しますが、第三者に制御されるリスクがあったため、VPSをプライベートネットワークに統合したくありませんでした。そのため、自宅ネットワークにこのようなデバイスを置くことは非常に望ましくなかったので、セキュリティのためにかなりのオーバーヘッドを支払うことにしました。

サーバーをデプロイする予定のルーターでポートを転送するために、sshtunnel プログラムを使用しました。設定の詳細については説明しませんが、非常に簡単です。ルーターから VPS へ TCP ポート 1194 を転送することが目的だったことだけを述べておきます。次に、サーバーを設定しました。 OpenVPN br-lanブリッジに接続されたtap0デバイス上で、私のノートパソコンから新しく作成したサーバーへの接続をテストしたところ、ポートフォワーディングの試みがうまくいき、物理的にはルーターのネットワークに接続されていなくても、私のノートパソコンがルーターのネットワークの一員になっていることが明らかになりました。

残された唯一の作業は、IPアドレスが競合しないように異なるアパートにIPアドレスを分配し、ルーターを次のように設定することだった。 OpenVPN-クライアント。
次のルーター IP アドレスと DHCP サーバー範囲が選択されました。

• 192.168.10.1 範囲付き 192.168.10.2 - 192.168.10.80 サーバー用
• 192.168.10.100 範囲付き 192.168.10.101 - 192.168.10.149 アパートNo.2のルーター用
• 192.168.10.150 範囲付き 192.168.10.151 - 192.168.10.199 アパートNo.3のルーター用

これらのアドレスをクライアントルーターに割り当てる必要もあった。 OpenVPN-server の場合、設定ファイルに次の行を追加します。

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

次の行を /etc/openvpn/ipp.txt ファイルに追加します。

flat1_id 192.168.10.100
flat2_id 192.168.10.150

flat1_id と flat2_id は、接続用の証明書を作成する際に指定するデバイス名です。 OpenVPN

次に、ルーターの設定を行った。 OpenVPN- クライアント、両方の tap0 デバイスが br-lan ブリッジに追加されました。この時点では、3 つのネットワークすべてがお互いを認識し、単一のユニットとして機能することができたため、すべて問題ないように見えました。しかし、かなり厄介な詳細が明らかになりました。デバイスが間違ったルーターから IP アドレスを取得し、それに伴うすべての結果が発生することがありました。何らかの理由で、アパートの 1 つのルーターが DHCPDISCOVER に時間内に応答せず、デバイスが間違ったアドレスを取得しました。各ルーターの tap0 でこのような要求をフィルタリングする必要があることに気づきましたが、実際には、デバイスがブリッジの一部である場合、iptables は機能しないため、ebtables を使用する必要がありました。残念ながら、ファームウェアには ebtables が含まれていなかったため、各デバイスのイメージを再構築する必要がありました。これを行うと、各ルーターの /etc/rc.local に次の行が追加され、問題は解決しました。

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

この構成は XNUMX 年間続きました。

パート2：お互いを知る WireGuard

最近、インターネット上で話題になっているのは WireGuard設定の容易さ、高速な転送速度、低ping、そして同等のセキュリティに感銘を受けました。しかし、さらに詳しい情報を調べてみると、ブリッジメンバー機能もTCPプロトコルもサポートしていないことが分かり、他に選択肢はないと考えるようになりました。 OpenVPN 私にとってはまだそこまで達していない。だから、知り合うことを先延ばしにした。 WireGuard.

数日前、IT関連の情報源を通じて、次のようなニュースが広まった。 WireGuard 最終的にカーネルに組み込まれる Linuxバージョン5.6以降、ニュース記事はこれまで通り好評を博した。 WireGuard私は再び、古き良きものに代わる方法を探し始めた。 OpenVPN今回は この記事。 GRE を使用して L3 上にイーサネット トンネルを作成する方法について説明しました。 この記事は私に希望を与えてくれました。 UDP プロトコルをどうするかは不明のままでした。 検索の結果、socat を SSH トンネルと組み合わせて使用​​して UDP ポートを転送する方法に関する記事が見つかりました。ただし、このアプローチは単一接続モードでのみ機能する、つまり、複数の VPN クライアントで機能することは不可能であると記載されていました。 VPS に VPN サーバーをインストールし、クライアント用に GRE を設定するというアイデアを思いつきましたが、結局のところ、GRE は暗号化をサポートしていないため、第三者がサーバーにアクセスすると、私のネットワーク間のすべてのトラフィックは彼らの手に渡りますが、これは私にはまったく適していませんでした。

ここでも、次のスキームを使用して VPN over VPN を使用することにより、冗長暗号化を支持する決定が下されました。

レベル XNUMX VPN:
VPS です サーバ 内部アドレス 192.168.30.1
MS です クライアント 内部アドレス 192.168.30.2 の VPS
MK2 です クライアント 内部アドレス 192.168.30.3 の VPS
MK3 です クライアント 内部アドレス 192.168.30.4 の VPS

第 XNUMX レベルの VPN:
MS です サーバ 外部アドレス 192.168.30.2 と内部アドレス 192.168.31.1
MK2 です クライアント MS アドレスは 192.168.30.2 で、内部 IP は 192.168.31.2 です。
MK3 です クライアント MS アドレスは 192.168.30.2 で、内部 IP は 192.168.31.3 です。

* MS — アパート 1 のルーターサーバー、 MK2 - アパート2のルーター、 MK3 - アパートのルーター 3
※端末構成は記事末尾のネタバレにて掲載しております。

ネットワーク ノード 192.168.31.0/24 間で ping が実行されているため、GRE トンネルの設定に進みます。 その前に、ルーターへのアクセスを失わないようにするために、ポート 22 を VPS に転送するように SSH トンネルを設定する価値があります。これにより、たとえば、アパート 10022 のルーターが VPS のポート 2 でアクセスできるようになり、アパート 11122 のルーターは、ポート 3 でアクセスできます。アパート XNUMX のルーターは、同じ sshtunnel を使用して転送を設定するのが最善です。これは、障害が発生した場合にトンネルを復元するためです。

トンネルが構成され、転送されたポートを介して SSH に接続できます。

ssh root@МОЙ_VPS -p 10022

次に無効にする必要があります OpenVPN:

/etc/init.d/openvpn stop

次に、アパート 2 のルーターに GRE トンネルを設定しましょう。

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

そして、作成したインターフェイスをブリッジに追加します。

brctl addif br-lan grelan0

サーバールーターでも同様の手順を実行してみましょう。

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

また、作成したインターフェイスをブリッジに追加します。

brctl addif br-lan grelan0

この瞬間から、ping が新しいネットワークに正常に送信され始め、満足してコーヒーを飲みに行きます。 次に、回線の相手側でネットワークがどのように動作しているかを評価するために、アパート 2 のコンピュータの 22 台に SSH 接続しようとしましたが、SSH クライアントはパスワードの入力を求めるプロンプトを表示せずにフリーズしました。 ポート XNUMX の Telnet 経由でこのコンピュータに接続しようとすると、接続が確立されていること、SSH サーバーが応答していることを理解できる行が表示されますが、何らかの理由でログを求めるプロンプトが表示されません。で。

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

VNC 経由で接続しようとしましたが、黒い画面が表示されます。 このアパートからは内部アドレスを使用して簡単にルーターに接続できるため、問題はリモート コンピューターにあると自分自身に納得させます。 しかし、ルーターを介してこのコンピューターの SSH に接続することにしたところ、接続は成功し、リモート コンピューターは正常に動作しているのに、私のコンピューターにも接続できないことに気づきました。

grelan0 デバイスをブリッジから取り外して実行します OpenVPN アパート2のルーターで、ネットワークが正常に動作し、接続が切断されていないことを確認しました。検索したところ、同じ問題について不満を述べているフォーラムが見つかり、MTUを上げるようにアドバイスされていました。言われた通りにやってみました。しかし、MTUを十分に高く設定するまで（gretapデバイスの場合は7000）、TCP接続が切断されるか、転送速度が低下しました。gretapのMTUが高いため、接続のMTUも WireGuard 第1レベルと第2レベルは、それぞれ8000と7500に設定された。

アパート 3 のルーターでも同様の設定を実行しましたが、唯一の違いは、grelan1 という名前の XNUMX 番目の gretap インターフェイスがサーバー ルーターに追加され、br-lan ブリッジにも追加されたことです。

すべてが機能しています。 これで、gretap アセンブリをスタートアップに入れることができます。 このために：

アパート 2 のルーターの /etc/rc.local に次の行を配置しました。

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

これをアパート 3 のルーターの /etc/rc.local に追加しました。

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

そしてサーバールーターでは次のようになります。

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

クライアントルーターを再起動した後、何らかの理由でサーバーに接続できていないことがわかりました。SSHに接続した後（幸いにも、このために事前にsshtunnelを設定しておきました）、 WireGuard 何らかの理由で、エンドポイントへのルートが作成されますが、それは間違っています。たとえば、192.168.30.2 の場合、ルーティング テーブルは pppoe-wan インターフェイス経由、つまりインターネット経由のルートを指定していましたが、本来は wg0 インターフェイス経由のルートであるべきでした。このルートを削除した後、接続は復元されました。強制的にルートを変更する方法についての説明はどこかにありますか？ WireGuard これらのルートを作成することは避けられませんでした。さらに、これが OpenWRT の機能なのか、それとも WireGuard問題解決に時間をかけずに、両方のルーターのタイマーループスクリプトに、このルートを削除する行を単純に追加しました。

route del 192.168.30.2

要約

完全な拒否 OpenVPN まだ完全には実現できていません。というのも、時々ノートパソコンやスマートフォンから新しいネットワークに接続する必要があるのですが、それらのデバイスにgretapデバイスを設定するのは一般的に不可能だからです。しかし、それでもアパート間のデータ転送速度は向上し、例えばVNCの使用も今では手間がかからなくなりました。ping値はわずかに低下しましたが、より安定しています。

使用している場合 OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

使用している場合 WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

VPS への高い ping (約 61.5 ミリ秒) の影響がより大きくなります。

しかし、速度は大幅に向上しました。ルーターサーバーのあるアパートではインターネット接続速度が30Mbpsですが、他のアパートでは5Mbpsです。さらに、使用中 OpenVPN iperfの測定結果によると、ネットワーク間で3,8Mbpsを超えるデータ転送速度を達成することはできませんでしたが、 WireGuard 同じ5 Mbit/秒まで「引き上げた」。

設定 WireGuard VPS上で[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[ピア]
公開鍵 = <VPN_1_MS_PUBLIC_KEY>
許可されたIP = 192.168.30.2/32

[ピア]
公開鍵 = <VPN_2_MK2_PUBLIC_KEY>
許可されたIP = 192.168.30.3/32

[ピア]
公開鍵 = <VPN_2_MK3_PUBLIC_KEY>
許可されたIP = 192.168.30.4/32

設定 WireGuard MS上で（/etc/config/networkに追加）

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

設定 WireGuard MK2の場合（/etc/config/networkに追加）

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

設定 WireGuard MK3の場合（/etc/config/networkに追加）

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

第二層VPNの記述された構成では、クライアントに対して、 WireGuard ポート51821。クライアントは任意の空いている非特権ポートから接続を確立するため、これは本来必要ないはずですが、ポート51821へのUDP接続を除く、すべてのルーターのwg0インターフェースへのすべての着信接続を拒否できるように、このように設定しました。

この記事が誰かの役に立てば幸いです。

PS また、ネットワーク上に新しいデバイスが表示されたときに、WirePusher アプリケーションで携帯電話に PUSH 通知を送信するスクリプトを共有したいと考えています。 スクリプトへのリンクは次のとおりです。 github.com/r0ck3r/device_discover.

UPDATE： 設定 OpenVPN-サーバーとクライアント

OpenVPN-サーバ

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN-クライアント

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

easy-rsaを使用して証明書を生成しました

出所： habr.com