🥇យើងបង្កើនល្បឿន OpenVPN នៅលើរ៉ោតទ័រ Openwrt ។ កំណែជំនួសដោយមិនមានជាតិដែក soldering និង hardware ជ្រុលនិយម

សួស្តីអ្នកទាំងអស់គ្នា ខ្ញុំបានអានថ្មីៗនេះ អត្ថបទចាស់ អំពីរបៀបដែលអ្នកអាចបង្កើនល្បឿន OpenVPN នៅលើរ៉ោតទ័រដោយផ្ទេរការអ៊ិនគ្រីបទៅផ្នែករឹងដាច់ដោយឡែក ដែលត្រូវបានលក់នៅក្នុងរ៉ោតទ័រខ្លួនឯង។ ខ្ញុំមានករណីស្រដៀងគ្នាទៅនឹងអ្នកនិពន្ធ - TP-Link WDR3500 ដែលមាន RAM 128 មេហ្គាបៃ និងដំណើរការមិនល្អដែលមិនអាចដោះស្រាយបានទាំងស្រុងជាមួយនឹងការអ៊ិនគ្រីបផ្លូវរូងក្រោមដី។ ទោះយ៉ាងណាក៏ដោយ ខ្ញុំពិតជាមិនចង់ចូលទៅក្នុងរ៉ោតទ័រជាមួយដែក soldering ទេ។ ខាងក្រោមនេះជាបទពិសោធន៍របស់ខ្ញុំក្នុងការផ្លាស់ប្តូរ OpenVPN ទៅផ្នែកដាច់ដោយឡែកនៃផ្នែករឹងជាមួយនឹងការបម្រុងទុកនៅលើរ៉ោតទ័រក្នុងករណីមានឧបទ្ទវហេតុ។

គោលបំណង

មានរ៉ោតទ័រ TP-Link WDR3500 និង Orange Pi Zero H2 ។ យើងចង់ឱ្យ Orange Pi អ៊ិនគ្រីបផ្លូវរូងក្រោមដីដូចធម្មតា ហើយប្រសិនបើមានអ្វីកើតឡើងចំពោះវា ដំណើរការ VPN នឹងត្រឡប់ទៅរ៉ោតទ័រវិញ។ ការកំណត់ជញ្ជាំងភ្លើងទាំងអស់នៅលើរ៉ោតទ័រគួរតែដំណើរការដូចពីមុន។ ហើយជាទូទៅ ការបន្ថែមផ្នែករឹងបន្ថែមគួរតែមានតម្លាភាព និងមិនអាចកត់សម្គាល់បានចំពោះមនុស្សគ្រប់គ្នា។ OpenVPN ដំណើរការលើ TCP អាដាប់ទ័រ TAP ស្ថិតនៅក្នុងរបៀបស្ពាន (server-bridge)។

ការសម្រេចចិត្ត

ជំនួសឱ្យការភ្ជាប់តាមរយៈ USB ខ្ញុំបានសម្រេចចិត្តប្រើច្រកមួយនៃរ៉ោតទ័រ ហើយភ្ជាប់បណ្តាញរងទាំងអស់ដែលមានស្ពាន VPN ទៅ Orange Pi ។ វាបង្ហាញថាផ្នែករឹងនឹងព្យួរនៅក្នុងបណ្តាញដូចគ្នាទៅនឹងម៉ាស៊ីនមេ VPN នៅលើរ៉ោតទ័រ។ បន្ទាប់ពីនោះ យើងដំឡើងម៉ាស៊ីនមេដូចគ្នានៅលើ Orange Pi ហើយនៅលើរ៉ោតទ័រ យើងរៀបចំប្រូកស៊ីមួយចំនួន ដូច្នេះវាបញ្ជូនការភ្ជាប់ចូលទាំងអស់ទៅកាន់ម៉ាស៊ីនមេខាងក្រៅ ហើយប្រសិនបើ Orange Pi ស្លាប់ ឬមិនអាចប្រើបាន សូមចូលទៅកាន់ ម៉ាស៊ីនមេជំនួសខាងក្នុង។ ខ្ញុំបានយក HAProxy ។

វាប្រែចេញដូចនេះ៖

អតិថិជនម្នាក់មកដល់
ប្រសិនបើម៉ាស៊ីនមេខាងក្រៅមិនអាចប្រើបានដូចពីមុន ការតភ្ជាប់ទៅម៉ាស៊ីនមេខាងក្នុង
ប្រសិនបើមាន អតិថិជនត្រូវបានទទួលយកដោយ Orange Pi
VPN នៅលើ Orange Pi ឌិគ្រីបកញ្ចប់ព័ត៌មាន និងស្ដោះទឹកមាត់វាចូលទៅក្នុងរ៉ោតទ័រវិញ។
រ៉ោតទ័របញ្ជូនពួកគេទៅកន្លែងណាមួយ។

ឧទាហរណ៍នៃការអនុវត្ត

ដូច្នេះ ចូរនិយាយថាយើងមានបណ្តាញពីរនៅលើរ៉ោតទ័រ - មេ (1) និងភ្ញៀវ (2) សម្រាប់ពួកវានីមួយៗមានម៉ាស៊ីនមេ OpenVPN សម្រាប់ភ្ជាប់ខាងក្រៅ។

ការកំណត់រចនាសម្ព័ន្ធបណ្តាញ

យើងត្រូវបញ្ជូនបណ្តាញទាំងពីរតាមរយៈច្រកមួយ ដូច្នេះយើងបង្កើត 2 VLANs ។

នៅលើ Router ក្នុងផ្នែក Network/Switch យើងបង្កើត VLANs (ឧទាហរណ៍ 1 និង 2) ហើយបើកពួកវាក្នុងរបៀបដាក់ស្លាកនៅលើច្រកដែលចង់បាន បន្ថែម eth0.1 និង eth0.2 ដែលទើបបង្កើតថ្មីទៅបណ្តាញដែលត្រូវគ្នា (សម្រាប់ ឧទាហរណ៍បន្ថែមពួកវាទៅ brigde) ។

នៅលើ Orange Pi យើងបង្កើតចំណុចប្រទាក់ VLAN ពីរ (ខ្ញុំមាន Archlinux ARM + netctl):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

ហើយភ្លាមៗយើងបង្កើតស្ពានពីរសម្រាប់ពួកគេ៖

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

បើកដំណើរការស្វ័យប្រវត្តិសម្រាប់ទម្រង់ទាំង 4 (បើកដំណើរការ netctl)។ ឥឡូវនេះបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ Orange Pi នឹងព្យួរនៅលើបណ្តាញទាំងពីរដែលត្រូវការ។ យើងកំណត់រចនាសម្ព័ន្ធអាសយដ្ឋានចំណុចប្រទាក់នៅលើ Orange Pi នៅក្នុងការជួលឋិតិវន្តនៅលើរ៉ោតទ័រ។

កម្មវិធីបង្ហាញ ip addr ។

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

ការដំឡើង VPN

បន្ទាប់មក យើងចម្លងការកំណត់សម្រាប់ OpenVPN និងកូនសោពីរ៉ោតទ័រ។ ការកំណត់អាចត្រូវបានរកឃើញជាធម្មតានៅក្នុង /tmp/etc/openvpn*.conf

តាមលំនាំដើម openvpn ដំណើរការក្នុងរបៀប TAP ហើយ server-bridge រក្សាចំណុចប្រទាក់របស់វាអសកម្ម។ ដើម្បីឱ្យអ្វីៗដំណើរការបាន អ្នកត្រូវបន្ថែមស្គ្រីបដែលដំណើរការនៅពេលការតភ្ជាប់ត្រូវបានធ្វើឱ្យសកម្ម។

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

ជាលទ្ធផល ដរាបណាការតភ្ជាប់កើតឡើង ចំណុចប្រទាក់ vpn-main នឹងត្រូវបានបន្ថែមទៅ br-main ។ សម្រាប់ក្រឡាចត្រង្គភ្ញៀវ - ស្រដៀងគ្នាដែររហូតដល់ឈ្មោះចំណុចប្រទាក់និងអាសយដ្ឋាននៅក្នុង server-bridge ។

បញ្ជូនសំណើពីខាងក្រៅ និងប្រូកស៊ី

នៅជំហាននេះ Orange Pi អាចទទួលយកការតភ្ជាប់ និងភ្ជាប់អតិថិជនទៅបណ្តាញដែលត្រូវការ។ អ្វីដែលនៅសល់គឺដើម្បីកំណត់រចនាសម្ព័ន្ធប្រូកស៊ីនៃការតភ្ជាប់ចូលនៅលើរ៉ោតទ័រ។

យើងផ្ទេរម៉ាស៊ីនមេ VPN រ៉ោតទ័រទៅច្រកផ្សេងទៀត ដំឡើង HAProxy នៅលើរ៉ោតទ័រ និងកំណត់រចនាសម្ព័ន្ធ៖

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

រីករាយ

ប្រសិនបើអ្វីៗដំណើរការទៅតាមផែនការ អតិថិជននឹងប្តូរទៅ Orange Pi ហើយដំណើរការរបស់រ៉ោតទ័រនឹងមិនឡើងកំដៅទៀតទេ ហើយល្បឿន VPN នឹងកើនឡើងយ៉ាងខ្លាំង។ ក្នុងពេលជាមួយគ្នានេះ ច្បាប់បណ្តាញទាំងអស់ដែលត្រូវបានចុះឈ្មោះនៅលើរ៉ោតទ័រនឹងនៅតែពាក់ព័ន្ធ។ ក្នុងករណីមានឧបទ្ទវហេតុនៅលើ Orange Pi វានឹងរលំ ហើយ HAProxy នឹងផ្ទេរអតិថិជនទៅម៉ាស៊ីនមេក្នុងស្រុក។

សូមអរគុណចំពោះការយកចិត្តទុកដាក់ ការផ្តល់យោបល់ និងការកែតម្រូវត្រូវបានស្វាគមន៍។

ប្រភព: www.habr.com

ការបង្កើនល្បឿន OpenVPN នៅលើរ៉ោតទ័រ Openwrt ។ កំណែជំនួសដោយគ្មានជាតិដែក និងភាពជ្រុលនិយមផ្នែករឹង