OpenVPN-ის დაჩქარება Openwrt როუტერზე. ალტერნატიული ვერსია შედუღების რკინისა და ტექნიკის ექსტრემიზმის გარეშე

მოგესალმებით ყველას, ახლახან წავიკითხე ძველი სტატია იმის შესახებ, თუ როგორ შეგიძლიათ დააჩქაროთ OpenVPN როუტერზე დაშიფვრის ცალკეულ აპარატზე გადატანით, რომელიც შედუღებულია თავად როუტერის შიგნით. მე მაქვს ავტორის მსგავსი შემთხვევა - TP-Link WDR3500 128 მეგაბაიტი ოპერატიული და ცუდი პროცესორი, რომელიც სრულიად ვერ უმკლავდება გვირაბის დაშიფვრას. თუმცა, მე აბსოლუტურად არ მინდოდა როუტერში შეღწევა შედუღების რკინით. ქვემოთ მოცემულია ჩემი გამოცდილება ავარიის შემთხვევაში OpenVPN-ის ცალკე აპარატზე გადატანის შესახებ როუტერზე სარეზერვო საშუალებით.

დავალება

არის TP-Link WDR3500 როუტერი და Orange Pi Zero H2. ჩვენ გვინდა, რომ Orange Pi-მ ჩვეულებისამებრ დაშიფროს გვირაბები და თუ რამე მოხდება, VPN დამუშავება დაბრუნდება როუტერში. როუტერზე ყველა firewall პარამეტრი უნდა მუშაობდეს ისე, როგორც ადრე. და საერთოდ, დამატებითი ტექნიკის დამატება გამჭვირვალე და ყველასთვის შეუმჩნეველი უნდა იყოს. OpenVPN მუშაობს TCP-ზე, TAP ადაპტერი ხიდის რეჟიმშია (სერვერ-ხიდი).

გადაწყვეტილება

USB-ით დაკავშირების ნაცვლად, გადავწყვიტე გამომეყენებინა როუტერის ერთი პორტი და დავაკავშირო ყველა ქვექსელი, რომელსაც აქვს VPN ხიდი Orange Pi-სთან. გამოდის, რომ აპარატურა ფიზიკურად დაკიდება იმავე ქსელებში, როგორც VPN სერვერი როუტერზე. ამის შემდეგ, ჩვენ ვაინსტალირებთ ზუსტად იმავე სერვერებს Orange Pi-ზე და როუტერზე ვაყენებთ რაიმე სახის პროქსი, რათა ის ყველა შემომავალ კავშირს აგზავნის გარე სერვერზე, ხოლო თუ Orange Pi მკვდარია ან მიუწვდომელია, მაშინ შიდა სარეზერვო სერვერი. მე ავიღე HAProxy.

ასე გამოდის:

1. კლიენტი ჩამოდის
2. თუ გარე სერვერი მიუწვდომელია, როგორც ადრე, კავშირი გადადის შიდა სერვერზე
3. თუ შესაძლებელია, კლიენტი მიიღება Orange Pi-ის მიერ
4. VPN Orange Pi-ზე შიფრავს პაკეტებს და აბრუნებს მათ როუტერში
5. როუტერი მათ სადღაც მარშრუტებს

განხორციელების მაგალითი

ასე რომ, ვთქვათ, ჩვენ გვაქვს ორი ქსელი როუტერზე - მთავარი (1) და სტუმარი (2), თითოეული მათგანისთვის არის OpenVPN სერვერი გარე დასაკავშირებლად.

ქსელის კონფიგურაცია

ჩვენ გვჭირდება ორივე ქსელის მარშრუტირება ერთი პორტით, ამიტომ ვქმნით 2 VLAN-ს.

როუტერზე, Network/Switch განყოფილებაში შექმენით VLAN-ები (მაგალითად 1 და 2) და ჩართეთ ისინი სასურველ პორტზე ტეგის რეჟიმში, დაამატეთ ახლად შექმნილი eth0.1 და eth0.2 შესაბამის ქსელებს (მაგ. დაამატეთ ისინი brigde-ში).

Orange Pi-ზე ჩვენ ვქმნით ორ VLAN ინტერფეისს (მე მაქვს Archlinux ARM + netctl):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

და ჩვენ მაშინვე ვქმნით ორ ხიდს მათთვის:

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

ჩართეთ ავტომატური დაწყება ოთხივე პროფილისთვის (netctl ჩართულია). ახლა გადატვირთვის შემდეგ, Orange Pi დაკიდება ორ საჭირო ქსელზე. ჩვენ ვაკონფიგურირებთ ინტერფეისის მისამართებს Orange Pi-ზე Static Leases-ში როუტერზე.

ip addr შოუ

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

VPN დაყენება

შემდეგი, ჩვენ ვაკოპირებთ OpenVPN-ის პარამეტრებს და გასაღებებს როუტერიდან. ჩვეულებრივ, პარამეტრების ნახვა შეგიძლიათ /tmp/etc/openvpn*.conf

ნაგულისხმევად, openvpn გაშვებული TAP რეჟიმში და სერვერ-ხიდი ინარჩუნებს მის ინტერფეისს არააქტიურად. იმისათვის, რომ ყველაფერი იმუშაოს, თქვენ უნდა დაამატოთ სკრიპტი, რომელიც მუშაობს კავშირის გააქტიურებისას.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

შედეგად, როგორც კი კავშირი მოხდება, vpn-main ინტერფეისი დაემატება br-main-ს. სტუმრების ქსელისთვის - ანალოგიურად, სერვერ-ხიდის ინტერფეისის სახელსა და მისამართამდე.

მარშრუტიზაციის მოთხოვნები გარედან და პროქსი

ამ ეტაპზე, Orange Pi-ს უკვე შეუძლია მიიღოს კავშირები და დააკავშიროს კლიენტები საჭირო ქსელებთან. რჩება მხოლოდ როუტერზე შემომავალი კავშირების პროქსის კონფიგურაცია.

ჩვენ გადავიტანთ როუტერის VPN სერვერებს სხვა პორტებში, ვაინსტალირებთ HAProxy-ს როუტერზე და ვაკონფიგურირებთ:

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

ისიამოვნეთ

თუ ყველაფერი გეგმის მიხედვით წარიმართა, კლიენტები გადავლენ Orange Pi-ზე და როუტერის პროცესორი აღარ გაცხელდება და VPN სიჩქარე მნიშვნელოვნად გაიზრდება. ამავდროულად, ქსელის ყველა წესი, რომელიც რეგისტრირებულია როუტერზე, დარჩება შესაბამისი. Orange Pi-ზე ავარიის შემთხვევაში ის ჩამოვარდება და HAProxy კლიენტებს ადგილობრივ სერვერებზე გადასცემს.

გმადლობთ ყურადღებისთვის, მისასალმებელია წინადადებები და შესწორებები.

წყარო: www.habr.com