9.99 ドル* で OpenVPN を高速化するか、Orange Pi One をルーターに統合します

私たちの中には、何らかの理由で VPN なしでインターネットを使用しない人もいます。専用の IP が必要で、プロバイダーからアドレスを購入するよりも 6 つの IP を持つ VPS を購入する方が簡単で安価です。すべての Web サイトにアクセスしたい人もいます。 、ロシア連邦の領土で許可されているものだけでなく、他のものはIPvXNUMXを必要としますが、プロバイダーがそれを提供していません...
ほとんどの場合、VPN 接続は、特定の瞬間に使用されているデバイス自体で確立されます。これは、コンピュータと電話が XNUMX 台しかなく、それらを同時に使用することがほとんどない場合には意味があります。 ホーム ネットワークに多数のデバイスがある場合、または VPN を構成できないデバイスがある場合は、各デバイスを個別に設定することを考えずに、ホーム ルーターに直接トンネルを作成する方が便利です。 。

OpenVPN をルーターにインストールしたことがあるなら、おそらくその動作の速さに不愉快なほど驚いたことがあるでしょう。 安価なルータの SoC であっても、ルーティングと NAT 機能がこのタスク専用に設計された別個のチップに転送されるため、約ギガビットのトラフィックを問題なく通過します。また、そのようなルータのメイン プロセッサは非常に弱いため、 実際には負荷はかかりません。 この妥協により、ルーターの高速化を実現し、完成したデバイスの価格を大幅に下げることができます。強力なプロセッサーを搭載したルーターの価格は数倍高く、インターネットを配信するためのボックスとしてだけでなく、NAS、トレントとしても位置付けられています。ダウンローダーおよび家庭用マルチメディア システム。

私のルータである TP-Link TL-WDR4300 は新しいとは言えません。このモデルは 2012 年半ばに登場し、560 MHz MIPS32 74Kc アーキテクチャ プロセッサを搭載していますが、その能力は 20 ～ 23 Mb/s の暗号化トラフィックにのみ十分です。標準による OpenVPN 経由 最近の家庭用インターネットの速度は非常に遅いです。
暗号化されたトンネルの速度を上げるにはどうすればよいでしょうか? 私のルーターは非常に機能的で、3x3 MIMO をサポートしており、通常はうまく機能するので、変更したくありません。
現在では、10 メガバイトのインターネット ページを作成し、node.js でデスクトップ アプリケーションを作成して 100 メガバイトのファイルに圧縮し、最適化ではなくコンピューティング能力を向上させることが慣例になっているため、私たちはひどいことを行うことになります。VPN 接続を次の場所に転送します。生産性の高いシングルボード「コンピューター」Orange Pi One を、既存のネットワークと USB ポートを占有せずにルーターのケースに取り付けます。価格はわずか 9.99 ドル*です。
* + 配達、+ 税金、+ ビール、+ MicroSD。

OpenVPN

ルーターのプロセッサは完全に弱いとは言えません。AES-128-CBC-SHA1 アルゴリズムを使用して 50 Mb/s の速度でデータを暗号化およびハッシュすることができます。これは、OpenVPN の動作方法や最新の CHACHA20 ストリームよりも著しく高速ですPOLY1305 ハッシュを使用した暗号は 130 メガビット/秒にも達します。 VPN トンネルの速度が非常に遅いのはなぜですか? ユーザー空間とカーネル空間の間のコンテキストの切り替えがすべてです。OpenVPN はトラフィックを暗号化し、ユーザー コンテキストで外部と通信し、ルーティング自体はカーネル コンテキストで発生します。 オペレーティング システムは、パケットを受信または送信するたびに常に切り替えを行う必要があり、この操作は時間がかかります。 この問題は TUN/TAP ドライバーを介して実行されるすべての VPN アプリケーションに固有の問題であり、低速の問題が OpenVPN の最適化が不十分なことが原因であるとは言えません (もちろん、手直しが必要な箇所はありますが)。 私のラップトップでは、暗号化を無効にすると、単一のユーザースペース VPN クライアントでさえギガビットさえ提供できません。ましてや、プロセッサーが弱いシステムはなおさらです。

オレンジパイワン

Xunlong のシングルボード Orange Pi One は、現時点でパフォーマンスと価格の比率の点で最高の製品です。 9.99 ドル* で、7 MHz で (安定して) 動作する堅牢なクアッドコア ARM Cortex-A1008 プロセッサーを入手でき、Raspberry Pi Zero や Next Thing CHIP の近隣の価格帯を明らかに上回っています。 ここで利点は終わります。 Xunlong 社は、ボードのソフトウェアにはまったく注意を払っておらず、One が販売開始された時点では、既製のイメージはおろか、ボード構成ファイルさえも提供していませんでした。 SoC メーカーである Allwinner も、自社製品のサポートには特に敏感ではありません。 彼らは Android 4.4.4 OS の最小限のパフォーマンスのみに関心があるため、Android パッチを適用した 3.4 カーネルを使用する必要があります。 幸いなことに、ディストリビューションを組み立て、カーネルを編集し、メインライン カーネルのボードをサポートするコードを書く愛好家がいます。 彼らは実際にメーカーのために仕事をしているので、このくだらない仕事を受け入れられるようにしています。 私の目的のために、私は Armbian ディストリビューションを選択しました; これは頻繁かつ便利に更新され (新しいカーネルは、Allwinner の場合のように特別なパーティションにファイルをコピーするのではなく、パッケージ マネージャーを通じて直接インストールされます)、ほとんどの機能をサポートします。他のものとは異なり、周辺機器。

ルーター

ルーターの弱いプロセッサーに暗号化をロードせず、VPN 接続を高速化するために、何らかの方法でルーターに接続することで、より強力な Orange Pi プロセッサーの肩にこのタスクを移すことができます。 イーサネットまたは USB 経由の接続が思い浮かびます。これらの標準は両方のデバイスでサポートされていますが、既存のポートを使用することは望ましくありませんでした。 幸いなことに、解決策はあります。

ルーターで使用されている GL850G USB ハブ チップは、4 つの USB ポートをサポートしており、そのうち 4 つは有線ではありません。 なぜメーカーがはんだ付けを外さなかったのかは不明ですが、おそらくユーザーが高電流消費のデバイス (ハードドライブなど) を XNUMX つ同時に接続するのを防ぐためだと思われます。 ルータの標準電源は、そのような負荷向けに設計されていません。 いずれにせよ、これは私たちにとって有利です。

別の USB ポートを取得するには、8 本のワイヤをピン 9(D-) と 11(D+) または 12(D-) と XNUMX(D+) にはんだ付けするだけです。

ただし、イーサネットの場合のように、単に XNUMX つの USB デバイスを接続し、すべてが自動的に動作することを期待するだけでは十分ではありません。 まず、そのうちの XNUMX つを USB ホストではなく USB クライアント モードで動作させる必要があります。次に、デバイスが相互に検出する方法を決定する必要があります。 いわゆる USB ガジェット (Linux カーネル サブシステムにちなんで名付けられた) 用のドライバーが多数あり、ネットワーク アダプター、オーディオ カード、キーボードとマウス、フラッシュ ドライブ、カメラ、シリアル経由のコンソールなど、さまざまなタイプの USB デバイスをエミュレートできます。ポート。 私たちのデバイスはネットワークで動作するため、イーサネット アダプターをエミュレートするのが最適です。

Ethernet-over-USB 規格には次の XNUMX つがあります。

• リモートNDIS（RNDIS）。 Microsoft の古い標準で、主に Windows XP で使用されていました。
• イーサネット制御モデル (ECM)。 USB パケット内にイーサネット フレームをカプセル化する単純な規格。 USB 接続の有線モデムに最適です。処理せずにフレームを転送できるので便利ですが、USB バスの単純さと制限により、速度はあまり速くありません。
• イーサネット エミュレーション モデル (EEM)。 USB の制限を考慮し、複数のフレームを XNUMX つに最適に集約することでスループットを向上させる、よりスマートなプロトコル。
• ネットワーク制御モデル (NCM)。 最新のプロトコル。 EEM の利点があり、バス エクスペリエンスがさらに最適化されます。

これらのプロトコルのいずれかをボード上で動作させるには、いつものように、いくつかの困難に遭遇する必要があります。 Allwinner はカーネルの Android 部分のみに関心があるため、Android ガジェットだけが正常に動作します。これは、adb との通信を実装し、MTP プロトコル経由でデバイスをエクスポートし、Android デバイスでフラッシュ ドライブをエミュレートするコードです。 Android ガジェット自体も RNDIS プロトコルをサポートしていますが、Allwinner カーネルでは壊れています。 他の USB ガジェットを使用してカーネルをコンパイルしようとすると、何をしてもデバイスはシステム上に表示されません。
この問題を友好的な方法で解決するには、開発者によって変更された Android ガジェット android.c のコード内で USB コントローラーが初期化されている場所を見つける必要がありますが、少なくともイーサネット エミュレーションを行う回避策もあります。 USBの仕事：

--- sun8i/drivers/usb/sunxi_usb/udc/sunxi_udc.c 2016-04-16 15:01:40.427088792 +0300
+++ sun8i/drivers/usb/sunxi_usb/udc/sunxi_udc.c 2016-04-16 15:01:45.339088792 +0300
@@ -57,7 +57,7 @@
 static sunxi_udc_io_t g_sunxi_udc_io;
 static u32 usb_connect = 0;
 static u32 is_controller_alive = 0;
-static u8 is_udc_enable = 0;   /* is udc enable by gadget? */
+static u8 is_udc_enable = 1;   /* is udc enable by gadget? */
 
 #ifdef CONFIG_USB_SUNXI_USB0_OTG
 static struct platform_device *g_udc_pdev = NULL;

このパッチにより USB クライアント モードが強制され、Linux から通常の USB ガジェットを使用できるようになります。
次に、このパッチと必要なガジェットを使用してカーネルを再構築する必要があります。 EEM を選択した理由は次のとおりです。 テスト結果によると、NCM よりも生産性が高いことが判明しました。
Armbian チームが提供するのは、 非常にシンプルで便利な組み立てシステム ディストリビューションでサポートされているすべてのボードに適用されます。 ダウンロードしてパッチを入れるだけです userpatches/kernel/sun8i-default/otg.patch、少し編集します compile.sh 必要なガジェットを選択します。

カーネルは deb パッケージにコンパイルされ、ボードにインストールするのは難しくありません。 dpkg.
残っているのは、USB 経由でボードを接続し、DHCP 経由でアドレスを受信するように新しいネットワーク アダプターを設定することだけです。 これを行うには、次のようなものを追加する必要があります /etc/network/interfaces:

auto usb0
        iface usb0 inet dhcp
        hwaddress ether c2:46:98:49:3e:9d
        pre-up /bin/sh -c 'echo 2 > /sys/bus/platform/devices/sunxi_usb_udc/otg_role'

MAC アドレスを手動で設定することをお勧めします。 デバイスを再起動するたびにランダムになるため、不便で面倒です。
MicroUSB ケーブルを OTG コネクタに接続し、ルーターから電源を接続します (電源コネクタだけでなく、コームのピン 2 と 3 にも供給できます)。

あとはルーターを設定するだけです。 EEM ドライバーを含むパッケージをインストールし、新しい USB ネットワーク デバイスをローカル ファイアウォール ゾーンのブリッジに追加するだけで十分です。

opkg install kmod-usb-net-cdc-eem

すべてのトラフィックを VPN トンネルにルーティングするには、ルーター側でボードの IP アドレスに SNAT ルールを追加するか、dnsmasq を介してボードのアドレスをゲートウェイ アドレスとして配布する必要があります。 後者は、次の行を追加することで実行されます。 /etc/dnsmasq.conf:

dhcp-option = tag:lan, option:router, 192.168.1.100

どこ 192.168.1.100 — ボードの IP アドレス。 ボード自体のネットワーク設定にルーターアドレスを入力することを忘れないでください。

メラミンスポンジを使用して、ボードの接点をルーターの接点から分離しました。 次のようなことがわかりました。

まとめ

USB 経由のネットワークは驚くほど速く動作します: 100 ～ 120 Mb/s ですが、私はそれよりも少ないと予想していました。 OpenVPN は約 70 Mb/s の暗号化トラフィックを通過します。これもそれほど多くはありませんが、私のニーズには十分です。 ルーターの蓋がしっかり閉まらず、少し隙間ができてしまいます。 美学者は、ボードからイーサネット コネクタと USB ホスト コネクタを取り外すことができます。これにより、蓋が完全に閉じても、スペースがまだ残るようになります。
そのようなポルノに従事せずに購入した方が良いです トゥリス オムニア.

出所： habr.com