Openwrt 라우터에서 OpenVPN 속도 향상. 납땜 인두 및 하드웨어 극단주의가 없는 대체 버전

안녕하세요 여러분, 최근에 읽었습니다 오래된 기사 라우터 자체 내부에 납땜된 별도의 하드웨어로 암호화를 전송하여 라우터에서 OpenVPN의 속도를 높이는 방법에 대해 설명합니다. 저자와 비슷한 사례가 있습니다. 3500MB RAM과 터널 암호화에 전혀 대처하지 못하는 열악한 프로세서가있는 TP-Link WDR128입니다. 그러나 나는 납땜 인두로 라우터에 올라가고 싶지 않았습니다. 컷 아래에서 사고가 발생할 경우 라우터에 백업이 있는 별도의 하드웨어로 OpenVPN을 이동한 경험이 있습니다.

태스크

TP-Link WDR3500 라우터와 Orange Pi Zero H2가 있습니다. 우리는 Orange Pi가 일반 모드에서 터널을 암호화하기를 원하며, 문제가 발생하면 VPN 처리가 라우터로 다시 돌아갑니다. 라우터의 모든 방화벽 설정은 이전과 동일하게 작동해야 합니다. 그리고 일반적으로 추가 철 조각을 추가하는 것은 모든 사람에게 투명하고 눈에 띄지 않아야합니다. OpenVPN은 브리지 모드(서버-브리지)에서 TCP, TAP 어댑터를 통해 작동합니다.

결정

USB를 통해 연결하는 대신 라우터의 한 포트를 사용하고 VPN 브리지가 있는 모든 서브넷을 Orange Pi에 연결하기로 결정했습니다. 철 조각이 라우터의 VPN 서버와 동일한 네트워크에 물리적으로 매달려 있는 것으로 나타났습니다. 그런 다음 Orange Pi에서 정확히 동일한 서버를 올리고 라우터에서 일종의 프록시를 설정하여 들어오는 모든 연결을 외부 서버로 보내고 Orange Pi가 죽거나 사용할 수 없는 경우 내부 폴백 서버. HAProxy를 사용했습니다.

다음과 같이 밝혀졌습니다.

1. 고객 도착
2. 외부 서버를 사용할 수 없는 경우 - 이전과 같이 내부 서버로 연결됩니다.
3. 가능한 경우 클라이언트는 Orange Pi에서 수락합니다.
4. Orange Pi의 VPN은 패킷을 해독하고 라우터로 다시 보냅니다.
5. 라우터는 그들을 어딘가로 라우팅합니다.

구현 예

따라서 라우터에 두 개의 네트워크가 있다고 가정해 보겠습니다. main(1) 및 guest(2), 각각 외부에서 연결하기 위한 OpenVPN 서버가 있습니다.

네트워크 구성

하나의 포트를 통해 두 네트워크를 통과해야 하므로 2개의 VLAN을 생성합니다.

라우터의 네트워크/스위치 섹션에서 VLAN(예: 1 및 2)을 만들고 원하는 포트에서 태그 모드로 켜고 새로 만든 eth0.1 및 eth0.2를 적절한 네트워크에 추가합니다(예: 예를 들어 brigde에 추가).

Orange Pi에서 두 개의 VLAN 인터페이스를 생성합니다(저는 Archlinux ARM + netctl이 있습니다).

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-게스트

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

그리고 즉시 두 개의 브리지를 만듭니다.

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-게스트

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

4개 프로필 모두에 대해 자동 시작을 활성화합니다(netctl enable). 이제 재부팅 후 Orange Pi는 두 개의 필수 네트워크에서 중단됩니다. Orange Pi의 인터페이스 주소는 라우터의 정적 임대에서 구성됩니다.

IP 주소 표시

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

VPN 설정

그런 다음 OpenVPN 설정과 라우터의 키를 복사합니다. 설정은 일반적으로 다음에서 가져올 수 있습니다. /tmp/etc/openvpn*.conf

기본적으로 TAP 모드와 server-bridge에서 실행되는 openvpn은 인터페이스를 비활성 상태로 유지합니다. 작동하게 하려면 연결이 활성화될 때 실행되는 스크립트를 추가해야 합니다.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

결과적으로 연결이 발생하는 즉시 vpn-main 인터페이스가 br-main에 추가됩니다. 게스트 그리드의 경우 서버 브리지의 인터페이스 이름 및 주소까지 유사합니다.

외부 요청 라우팅 및 프록시

이 단계에서 Orange Pi는 이미 연결을 수락하고 클라이언트를 원하는 네트워크로 허용할 수 있습니다. 라우터에서 들어오는 연결의 프록싱을 구성해야 합니다.

라우터 VPN 서버를 다른 포트로 전송하고 라우터에 HAProxy를 설치하고 다음을 구성합니다.

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

즐기다

모든 것이 계획대로 진행되면 클라이언트는 Orange Pi로 이동하고 라우터 프로세서는 더 이상 가열되지 않으며 VPN 속도는 크게 증가합니다. 동시에 라우터에 등록된 모든 네트워크 규칙은 관련성을 유지합니다. Orange Pi에서 사고가 발생하면 떨어지고 HAProxy는 클라이언트를 로컬 서버에 래핑합니다.

관심을 가져 주셔서 감사합니다. 제안 및 수정을 환영합니다.

출처 : habr.com