🥇전환 OpenVPN 에 WireGuard 여러 네트워크를 하나의 L2 네트워크로 결합하기 위해

OpenWRT를 게이트웨이로 사용하는 라우터를 각각 사용하는 지리적으로 떨어진 3개의 아파트에서 네트워크를 하나의 공통 네트워크로 결합한 경험을 공유하고 싶습니다. 서브넷 라우팅이 있는 L2와 브리징이 있는 LXNUMX 사이의 네트워크를 결합하는 방법을 선택할 때 모든 네트워크 노드가 동일한 서브넷에 있을 때 구성하기가 더 어렵지만 투명하기 때문에 더 많은 기회를 제공하는 두 번째 방법이 선호되었습니다. 생성된 네트워크 Wake-on-Lan 및 DLNA에서 기술 사용이 계획되었습니다.

파트 1: 배경

이 작업을 구현하기 위해 선택된 프로토콜은 처음에 다음과 같았습니다. OpenVPN첫째, 아무 문제 없이 브리지에 추가할 수 있는 탭 장치를 만들 수 있고, 둘째, OpenVPN TCP를 지원한다는 점도 중요했는데, 아파트마다 전용 IP 주소가 없었기 때문입니다. ISP에서 무슨 이유인지 모르겠지만 UDP 연결을 차단해서 STUN을 사용할 수 없었습니다. TCP 덕분에 SSH를 사용하여 VPN 서버 포트를 임대한 VPS로 포워딩할 수 있었습니다. 이 방식은 데이터가 이중으로 암호화되기 때문에 상당한 오버헤드가 발생하지만, 제3자가 VPS에 접근할 위험이 있어 개인 네트워크에 통합하고 싶지 않았습니다. 따라서 홈 네트워크에 VPS를 두는 것은 매우 위험했기에 보안을 위해 상당한 비용을 지불하기로 결정했습니다.

서버를 배포할 라우터에서 포트 포워딩을 위해 sshtunnel 프로그램을 사용했습니다. 설정 방법은 매우 간단하므로 자세한 설명은 생략하겠습니다. sshtunnel의 목적은 라우터에서 VPS로 TCP 포트 1194를 포워딩하는 것이었습니다. 다음으로 서버를 설정했습니다. OpenVPN br-lan 브리지에 연결된 tap0 장치에서, 제 노트북으로 새로 생성된 서버에 접속 테스트를 해보니 포트 포워딩이 제대로 작동하여 제 노트북이 물리적으로 라우터 네트워크에 연결되어 있음을 확인할 수 있었습니다.

이제 남은 일은 각 아파트에 IP 주소를 배분하여 충돌을 방지하고 라우터를 설정하는 것뿐이었습니다. OpenVPN-고객들.
다음 라우터 IP 주소 및 DHCP 서버 범위가 선택되었습니다.

192.168.10.1 범위 포함 192.168.10.2 - 192.168.10.80 서버용
192.168.10.100 범위 포함 192.168.10.101 - 192.168.10.149 2호 아파트 라우터용
192.168.10.150 범위 포함 192.168.10.151 - 192.168.10.199 3호 아파트 라우터용

또한 이러한 주소를 클라이언트 라우터에 할당해야 했습니다. OpenVPN-서버의 구성 파일에 다음 줄을 추가하여 변경하십시오.

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

/etc/openvpn/ipp.txt 파일에 다음 줄을 추가합니다.

flat1_id 192.168.10.100
flat2_id 192.168.10.150

여기서 flat1_id와 flat2_id는 연결용 인증서를 생성할 때 지정한 장치 이름입니다. OpenVPN

다음으로 라우터를 구성했습니다. OpenVPN클라이언트와 두 라우터의 tap0 장치들을 br-lan 브리지에 추가했습니다. 이 시점까지는 모든 것이 정상적으로 작동하는 것처럼 보였습니다. 세 네트워크 모두 서로를 인식하고 하나의 장치처럼 작동했기 때문입니다. 그러나 다소 불편한 문제가 발생했습니다. 때때로 장치들이 잘못된 라우터에서 IP 주소를 할당받는 현상이 나타났고, 이로 인해 여러 가지 문제가 발생했습니다. 어떤 이유에서인지 한 아파트의 라우터가 DHCPDISCOVER 요청에 제때 응답하지 못해서 장치가 잘못된 주소를 받는 것이었습니다. 각 라우터의 tap0에서 이러한 요청을 필터링해야 한다는 것을 깨달았지만, iptables는 브리지에 속한 장치에는 적용되지 않기 때문에 ebtables를 사용해야 했습니다. 하지만 제 펌웨어에는 ebtables가 포함되어 있지 않아 각 장치의 이미지를 다시 빌드해야 했습니다. 이렇게 한 후 각 라우터의 /etc/rc.local 파일에 다음 줄을 추가하자 문제가 해결되었습니다.

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

이 구성은 XNUMX년 동안 지속되었습니다.

파트 2: 서로 알아가기 WireGuard

최근 인터넷에서 다음과 같은 이야기가 점점 더 많이 나오고 있습니다. WireGuard설정이 쉽고, 전송 속도가 빠르며, 핑이 낮고, 보안 수준이 우수하다는 점에 감탄했습니다. 하지만 추가 정보를 찾아보니 브리지 멤버 기능이나 TCP 프로토콜을 지원하지 않는다는 것을 알게 되었고, 다른 대안이 없다고 생각했습니다. OpenVPN 제게는 아직 그 느낌이 없어요. 그래서 알아가는 걸 미뤄왔죠. WireGuard.

며칠 전 IT 관련 매체들을 통해 다음과 같은 소식이 퍼졌습니다. WireGuard 마침내 커널에 포함될 것입니다. Linux버전 5.6부터 시작해서 뉴스 기사들은 언제나처럼 호평을 받았습니다. WireGuard나는 다시 한번 예전의 좋은 것을 대체할 방법을 찾는 데 몰두했다. OpenVPN이번에는 우연히 마주쳤습니다. 이 문서. GRE를 사용하여 L3를 통한 이더넷 터널 생성에 대해 이야기했습니다. 이 기사는 나에게 희망을 주었다. UDP 프로토콜로 무엇을 해야 할지 불분명했습니다. 검색 결과 UDP 포트를 전달하기 위해 SSH 터널과 함께 socat을 사용하는 방법에 대한 기사가 나왔지만 이 접근 방식은 단일 연결 모드에서만 작동하므로 여러 VPN 클라이언트가 불가능하다는 의미입니다. VPS에 VPN 서버를 설정하고 클라이언트에 GRE를 설정하는 아이디어를 생각해 냈지만 알고 보니 GRE는 암호화를 지원하지 않기 때문에 제XNUMX자가 서버에 액세스할 경우 , 내 네트워크 간의 모든 트래픽은 나에게 전혀 적합하지 않은 손에 있습니다.

다시 한 번, 다음 체계에 따라 VPN over VPN을 사용하여 중복 암호화를 선호하는 결정이 내려졌습니다.

레이어 XNUMX VPN:
VPS 이 섬기는 사람 내부 주소 192.168.30.1 포함
MS 이 고객 내부 주소가 192.168.30.2인 VPS
MK2 이 고객 내부 주소가 192.168.30.3인 VPS
MK3 이 고객 내부 주소가 192.168.30.4인 VPS

레이어 XNUMX VPN:
MS 이 섬기는 사람 외부 주소 192.168.30.2 및 내부 주소 192.168.31.1
MK2 이 고객 MS 주소는 192.168.30.2이고 내부 IP는 192.168.31.2입니다.
MK3 이 고객 MS 주소는 192.168.30.2이고 내부 IP는 192.168.31.3입니다.

* MS - 아파트 1의 라우터 서버, MK2 - 아파트 2의 라우터, MK3 - 아파트 3의 라우터
* 장치 구성은 기사 끝의 스포일러에 게시됩니다.

따라서 네트워크 192.168.31.0/24의 노드 간 ping이 발생하면 GRE 터널 설정으로 넘어갈 시간입니다. 그 전에 라우터에 대한 액세스 권한을 잃지 않으려면 포트 22를 VPS로 전달하도록 SSH 터널을 설정하는 것이 좋습니다. 예를 들어 아파트 10022의 라우터는 VPS의 포트 2에서 사용할 수 있습니다. 아파트 11122의 라우터는 VPS의 포트 3에서 사용할 수 있습니다 아파트 XNUMX의 라우터 라우터가 떨어질 경우 터널을 복원하므로 동일한 sshtunnel로 포워딩을 구성하는 것이 가장 좋습니다.

터널이 구성되면 전달된 포트를 통해 SSH에 연결할 수 있습니다.

ssh root@МОЙ_VPS -p 10022

다음으로 비활성화해야 합니다. OpenVPN:

/etc/init.d/openvpn stop

이제 아파트 2의 라우터에 GRE 터널을 설정해 보겠습니다.

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

그리고 생성된 인터페이스를 브리지에 추가합니다.

brctl addif br-lan grelan0

서버 라우터에서 유사한 절차를 수행해 보겠습니다.

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

또한 생성된 인터페이스를 브리지에 추가합니다.

brctl addif br-lan grelan0

이 순간부터 핑이 성공적으로 새 네트워크로 이동하기 시작하고 나는 만족스럽게 커피를 마시러갑니다. 그런 다음 회선의 다른 쪽 끝에서 네트워크가 어떻게 작동하는지 확인하기 위해 아파트 2에 있는 컴퓨터 중 하나에 SSH를 시도했지만 ssh 클라이언트는 암호를 묻지 않고 정지됩니다. 포트 22에서 텔넷을 통해 이 컴퓨터에 연결을 시도하고 연결이 설정되고 있음을 이해할 수 있는 라인이 표시되고 SSH 서버가 응답하지만 어떤 이유로 입력할 수 없습니다.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

VNC를 통해 연결하려고 하는데 검은색 화면이 표시됩니다. 내부 주소를 사용하여 이 아파트에서 라우터에 쉽게 연결할 수 있기 때문에 문제가 원격 컴퓨터에 있다고 스스로 확신합니다. 그러나 라우터를 통해 이 컴퓨터에 SSH로 연결하기로 결정하고 연결이 성공하고 원격 컴퓨터가 제대로 작동하지만 내 컴퓨터에 연결하지 못하는 것을 보고 놀랐습니다.

저는 grelan0 장치를 브리지에서 꺼내서 실행합니다. OpenVPN 2호 아파트의 공유기에서 네트워크가 다시 정상적으로 작동하고 연결이 끊기지 않는 것을 확인했습니다. 검색해 보니 비슷한 문제를 겪는 사람들이 많았고, MTU 값을 높이라는 조언을 받았더군요. 그래서 바로 MTU 값을 높여봤습니다. 하지만 gretap 장치의 경우 MTU를 7000으로 설정하기 전까지는 TCP 연결이 끊기거나 전송 속도가 느려지는 현상이 발생했습니다. gretap의 MTU가 너무 높으면 연결에 필요한 MTU 값도 낮아지기 때문입니다. WireGuard 첫 번째 및 두 번째 레벨은 각각 8000과 7500으로 설정되었습니다.

나는 아파트 3의 라우터에서 비슷한 설정을 수행했으며 유일한 차이점은 grelan1이라는 두 번째 gretap 인터페이스가 서버 라우터에 추가되었고 br-lan 브리지에도 추가되었다는 것입니다.

모든 것이 작동합니다. 이제 gretap 어셈블리를 자동 로드에 넣을 수 있습니다. 이를 위해:

아파트 2에 있는 라우터의 /etc/rc.local에 다음 줄을 배치했습니다.

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

이것을 아파트 3의 라우터에 있는 /etc/rc.local에 추가했습니다.

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

그리고 서버 라우터에서:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

클라이언트 라우터를 재부팅한 후, 무슨 이유인지 서버에 연결되지 않는다는 것을 발견했습니다. 다행히 이전에 sshtunnel을 설정해 둔 덕분에 클라이언트 라우터의 SSH에 접속할 수 있었고, 다음과 같은 사실을 알게 되었습니다. WireGuard 어떤 이유에서인지 엔드포인트에 대한 경로가 생성되지만, 잘못된 경로가 생성됩니다. 예를 들어, 192.168.30.2의 경우 라우팅 테이블에는 pppoe-wan 인터페이스, 즉 인터넷을 통한 경로가 지정되어 있지만, 실제로는 wg0 인터페이스를 통해 연결되어야 합니다. 이 경로를 삭제한 후 연결이 복구되었습니다. 이 문제를 해결하기 위해 경로를 강제로 설정하는 방법을 어디에서 찾을 수 있을까요? WireGuard 저는 이러한 경로를 생성하는 것을 피할 수 없었습니다. 게다가, 이것이 OpenWRT의 기능인지 아니면 다른 원인인지조차 이해하지 못했습니다. WireGuard문제 해결에 많은 시간을 들이지 않고, 두 라우터의 타이머 루프 스크립트에 해당 경로를 삭제하는 줄을 간단히 추가했습니다.

route del 192.168.30.2

최대 합계

완전 거절 OpenVPN 아직 이 목표를 달성하지는 못했습니다. 노트북이나 휴대폰으로 새로운 네트워크에 연결해야 할 때가 있는데, 그런 기기들에 Gretap 장치를 설정하는 것이 일반적으로 불가능하기 때문입니다. 하지만 그럼에도 불구하고 아파트 간 데이터 전송 속도가 향상되었고, VNC 사용도 훨씬 수월해졌습니다. 핑도 약간 낮아졌지만 훨씬 안정적입니다.

를 사용할 때 OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

를 사용할 때 WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

주로 약 61.5ms인 VPS에 대한 높은 핑의 영향을 받습니다.

하지만 속도는 상당히 향상되었습니다. 라우터 서버가 있는 아파트에서는 인터넷 연결 속도가 30Mbps이고, 다른 아파트에서는 5Mbps입니다. 게다가 사용 중에도 마찬가지입니다. OpenVPN iperf 측정 결과에 따르면 네트워크 간 데이터 전송 속도가 3,8Mbps를 넘지 못했습니다. WireGuard 속도를 5Mbit/sec까지 "높였다".

구성 WireGuard VPS에서[Interface] Address = 192.168.30.1/24 ListenPort = 51820 PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[동료]
공개키 = <VPN_1_MS_PUBLIC_KEY>
허용 된 IP = 192.168.30.2/32

[동료]
공개키 = <VPN_2_MK2_PUBLIC_KEY>
허용 된 IP = 192.168.30.3/32

[동료]
공개키 = <VPN_2_MK3_PUBLIC_KEY>
허용 된 IP = 192.168.30.4/32

구성 WireGuard MS에서 (/etc/config/network에 추가됨)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

구성 WireGuard MK2에서 (/etc/config/network에 추가됨)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

구성 WireGuard MK3에서 (/etc/config/network에 추가됨)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

설명된 2단계 VPN 구성에서 저는 클라이언트에게 다음과 같이 안내합니다. WireGuard 포트 51821. 클라이언트는 사용 가능한 일반 포트라면 어디든 연결을 설정하므로 굳이 필요하지는 않지만, 모든 라우터의 wg0 인터페이스에서 들어오는 모든 연결을 차단하되, 포트 51821로 들어오는 UDP 연결만 허용하기 위해 이렇게 설정했습니다.

이 기사가 누군가에게 유용하기를 바랍니다.

PS 또한 내 네트워크에 새 장치가 나타날 때 WirePusher 애플리케이션에서 내 전화로 PUSH 알림을 보내는 내 스크립트를 공유하고 싶습니다. 다음은 스크립트에 대한 링크입니다. github.com/r0ck3r/device_discover.

UPDATE : 구성 OpenVPN-서버 및 클라이언트

OpenVPN-섬기는 사람

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN-고객

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

easy-rsa를 사용하여 인증서를 생성했습니다.

출처 : habr.com

통행 OpenVPN 에 WireGuard 네트워크들을 하나의 L2 네트워크로 결합하기

파트 1: 배경

파트 2: 서로 알아가기 WireGuard

최대 합계