Perekhod s OpenVPN ສຸດ WireGuard ເພື່ອລວມເຄືອຂ່າຍເຂົ້າກັນເປັນເຄືອຂ່າຍ L2 ດຽວ

ຂ້າພະເຈົ້າຢາກແບ່ງປັນປະສົບການຂອງຂ້າພະເຈົ້າໃນການລວມເຄືອຂ່າຍຢູ່ໃນສາມຫ້ອງແຖວທີ່ຢູ່ຫ່າງໄກສອກຫຼີກ, ແຕ່ລະຄົນໃຊ້ routers OpenWRT ເປັນປະຕູ, ເຂົ້າໄປໃນເຄືອຂ່າຍທົ່ວໄປດຽວ. ເມື່ອເລືອກວິທີການປະສົມປະສານເຄືອຂ່າຍລະຫວ່າງ L3 ກັບເສັ້ນທາງຍ່ອຍແລະ L2 ກັບຂົວ, ເມື່ອທຸກເຄືອຂ່າຍເຄືອຂ່າຍຈະຢູ່ໃນເຄືອຂ່າຍຍ່ອຍດຽວກັນ, ການຕັ້ງຄ່າແມ່ນໃຫ້ຄວາມສົນໃຈກັບວິທີການທີສອງ, ເຊິ່ງມີຄວາມຫຍຸ້ງຍາກໃນການຕັ້ງຄ່າ, ແຕ່ໃຫ້ໂອກາດຫຼາຍກວ່າເກົ່າ, ນັບຕັ້ງແຕ່. ການນໍາໃຊ້ເຕັກໂນໂລຢີທີ່ໂປ່ງໃສໄດ້ຖືກວາງແຜນໄວ້ໃນເຄືອຂ່າຍທີ່ຖືກສ້າງຂຶ້ນ Wake-on-Lan ແລະ DLNA.

ສ່ວນທີ 1: ຄວາມເປັນມາ

ໂປໂຕຄອນທີ່ເລືອກເພື່ອປະຕິບັດໜ້າວຽກນີ້ແມ່ນໃນເບື້ອງຕົ້ນ OpenVPN, ເພາະວ່າ, ກ່ອນອື່ນໝົດ, ມັນສາມາດສ້າງອຸປະກອນກ໊ອກນ້ຳທີ່ສາມາດເພີ່ມເຂົ້າໃນຂົວໄດ້ໂດຍບໍ່ມີບັນຫາຫຍັງ, ແລະ ອັນທີສອງ, OpenVPN ມັນຮອງຮັບ TCP, ເຊິ່ງກໍ່ມີຄວາມສຳຄັນເຊັ່ນກັນ, ຍ້ອນວ່າບໍ່ມີຫ້ອງແຖວໃດມີທີ່ຢູ່ IP ທີ່ອຸທິດຕົນ. ຂ້ອຍບໍ່ສາມາດໃຊ້ STUN ໄດ້ເພາະວ່າ ISP ຂອງຂ້ອຍ, ດ້ວຍເຫດຜົນບາງຢ່າງ, ບລັອກການເຊື່ອມຕໍ່ UDP ທີ່ເຂົ້າມາຈາກເຄືອຂ່າຍຂອງມັນ. TCP ອະນຸຍາດໃຫ້ຂ້ອຍສົ່ງຕໍ່ພອດເຊີບເວີ VPN ໄປຫາ VPS ທີ່ເຊົ່າໂດຍໃຊ້ SSH. ໃນຂະນະທີ່ວິທີການນີ້ສ້າງຄ່າໃຊ້ຈ່າຍທີ່ສຳຄັນ, ຍ້ອນວ່າຂໍ້ມູນຖືກເຂົ້າລະຫັດສອງເທົ່າ, ຂ້ອຍບໍ່ຕ້ອງການລວມ VPS ເຂົ້າກັບເຄືອຂ່າຍສ່ວນຕົວຂອງຂ້ອຍ, ຍ້ອນວ່າມີຄວາມສ່ຽງທີ່ພາກສ່ວນທີສາມຈະຄວບຄຸມມັນໄດ້. ດັ່ງນັ້ນ, ການມີອຸປະກອນດັ່ງກ່າວຢູ່ໃນເຄືອຂ່າຍເຮືອນຂອງຂ້ອຍຈຶ່ງບໍ່ເປັນທີ່ຕ້ອງການຫຼາຍ, ສະນັ້ນຂ້ອຍຈຶ່ງຕັດສິນໃຈຈ່າຍຄ່າໃຊ້ຈ່າຍທີ່ສຳຄັນເພື່ອຄວາມປອດໄພ.

ເພື່ອສົ່ງຕໍ່ພອດໃນເຣົາເຕີ້ທີ່ວາງແຜນທີ່ຈະນຳໃຊ້ເຊີບເວີ, ຂ້ອຍໄດ້ໃຊ້ໂປຣແກຣມ sshtunnel. ຂ້ອຍຈະບໍ່ເຂົ້າໄປໃນລາຍລະອຽດຂອງການຕັ້ງຄ່າຂອງມັນ - ມັນຂ້ອນຂ້າງງ່າຍ. ຂ້ອຍພຽງແຕ່ຈະສັງເກດວ່າຈຸດປະສົງຂອງມັນແມ່ນເພື່ອສົ່ງຕໍ່ພອດ TCP 1194 ຈາກເຣົາເຕີ້ໄປຫາ VPS. ຕໍ່ໄປ, ຂ້ອຍໄດ້ຕັ້ງຄ່າເຊີບເວີ. OpenVPN ຢູ່ໃນອຸປະກອນ tap0, ເຊິ່ງເຊື່ອມຕໍ່ກັບຂົວ br-lan. ຫຼັງຈາກທົດສອບການເຊື່ອມຕໍ່ກັບເຊີບເວີທີ່ສ້າງຂຶ້ນໃໝ່ຈາກແລັບທັອບຂອງຂ້ອຍ, ມັນເຫັນໄດ້ຊັດເຈນວ່າແນວຄວາມຄິດການສົ່ງຕໍ່ພອດໄດ້ເຮັດວຽກ, ແລະແລັບທັອບຂອງຂ້ອຍໄດ້ກາຍເປັນສະມາຊິກຂອງເຄືອຂ່າຍຂອງເຣົາເຕີ, ເຖິງແມ່ນວ່າມັນບໍ່ແມ່ນສ່ວນໜຶ່ງທາງກາຍະພາບຂອງມັນ.

ສິ່ງດຽວທີ່ຍັງເຫຼືອທີ່ຕ້ອງເຮັດຄືການແຈກຢາຍທີ່ຢູ່ IP ໃນອາພາດເມັນຕ່າງໆ ເພື່ອບໍ່ໃຫ້ພວກມັນຂັດແຍ້ງກັນ ແລະ ຕັ້ງຄ່າເຣົາເຕີ້ເປັນ OpenVPN-ລູກຄ້າ.
ທີ່ຢູ່ IP ຂອງເຣົາເຕີຕໍ່ໄປນີ້ ແລະຊ່ວງເຊີບເວີ DHCP ຖືກເລືອກ:

• 192.168.10.1 ມີຂອບເຂດ 192.168.10.2 - 192.168.10.80 ສໍາລັບເຄື່ອງແມ່ຂ່າຍ
• 192.168.10.100 ມີຂອບເຂດ 192.168.10.101 - 192.168.10.149 ສໍາລັບ router ໃນອາພາດເມັນເບີ 2
• 192.168.10.150 ມີຂອບເຂດ 192.168.10.151 - 192.168.10.199 ສໍາລັບ router ໃນອາພາດເມັນເບີ 3

ມັນຍັງມີຄວາມຈໍາເປັນທີ່ຈະຕ້ອງມອບໝາຍທີ່ຢູ່ເຫຼົ່ານີ້ໃຫ້ກັບເຣົາເຕີຂອງລູກຄ້າ. OpenVPN-server, ໂດຍການເພີ່ມບັນທັດຕໍ່ໄປນີ້ໃສ່ການຕັ້ງຄ່າຂອງມັນ:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

ແລະເພີ່ມແຖວຕໍ່ໄປນີ້ໃສ່ໄຟລ໌ /etc/openvpn/ipp.txt:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

ບ່ອນທີ່ flat1_id ແລະ flat2_id ແມ່ນຊື່ອຸປະກອນທີ່ລະບຸໄວ້ເມື່ອສ້າງໃບຢັ້ງຢືນສຳລັບການເຊື່ອມຕໍ່ກັບ OpenVPN

ຕໍ່ໄປ, ເຣົາເຕີໄດ້ຖືກຕັ້ງຄ່າແລ້ວ OpenVPN- ລູກຄ້າ, ອຸປະກອນ tap0 ໃນທັງສອງໄດ້ຖືກເພີ່ມເຂົ້າໃນຂົວ br-lan. ໃນຈຸດນີ້, ທຸກຢ່າງເບິ່ງຄືວ່າດີ, ຍ້ອນວ່າທັງສາມເຄືອຂ່າຍສາມາດເຫັນກັນ ແລະ ເຮັດວຽກເປັນໜ່ວຍດຽວ. ຢ່າງໃດກໍຕາມ, ລາຍລະອຽດທີ່ບໍ່ໜ້າພໍໃຈໄດ້ເກີດຂຶ້ນ: ບາງຄັ້ງອຸປະກອນຈະໄດ້ຮັບທີ່ຢູ່ IP ຈາກເຣົາເຕີທີ່ບໍ່ຖືກຕ້ອງ, ພ້ອມກັບຜົນສະທ້ອນທັງໝົດທີ່ຕາມມາ. ດ້ວຍເຫດຜົນບາງຢ່າງ, ເຣົາເຕີໃນອາພາດເມັນໜຶ່ງບໍ່ສາມາດຕອບສະໜອງຕໍ່ DHCPDISCOVER ໄດ້ທັນເວລາ, ແລະ ອຸປະກອນໄດ້ຮັບທີ່ຢູ່ທີ່ບໍ່ຖືກຕ້ອງ. ຂ້ອຍຮູ້ວ່າຂ້ອຍຈຳເປັນຕ້ອງກັ່ນຕອງຄຳຮ້ອງຂໍດັ່ງກ່າວໃນ tap0 ໃນແຕ່ລະເຣົາເຕີ, ແຕ່ມັນກາຍເປັນວ່າ iptables ບໍ່ສາມາດເຮັດວຽກກັບອຸປະກອນໄດ້ຖ້າມັນເປັນສ່ວນໜຶ່ງຂອງຂົວ, ສະນັ້ນຂ້ອຍຈຳເປັນຕ້ອງໃຊ້ ebtables. ແຕ່ໂຊກບໍ່ດີ, ເຟີມແວຂອງຂ້ອຍບໍ່ໄດ້ລວມມັນ, ສະນັ້ນຂ້ອຍຕ້ອງສ້າງຮູບພາບຄືນໃໝ່ສຳລັບແຕ່ລະອຸປະກອນ. ຫຼັງຈາກເຮັດສິ່ງນີ້ ແລະ ເພີ່ມສາຍຕໍ່ໄປນີ້ໃສ່ /etc/rc.local ໃນແຕ່ລະເຣົາເຕີ, ບັນຫາໄດ້ຮັບການແກ້ໄຂແລ້ວ:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

ການຕັ້ງຄ່ານີ້ໃຊ້ເວລາສາມປີ.

ພາກທີ 2: ຮູ້ຈັກກັນ WireGuard

ບໍ່ດົນມານີ້, ມີການເວົ້າເຖິງຫຼາຍຂື້ນໃນອິນເຕີເນັດກ່ຽວກັບ WireGuardຊົມເຊີຍຄວາມສະດວກໃນການຕັ້ງຄ່າ, ຄວາມໄວໃນການໂອນສູງ, ping ຕ່ຳ, ແລະຄວາມປອດໄພທີ່ຄ້າຍຄືກັນ. ການຄົ້ນຫາຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບມັນໄດ້ເປີດເຜີຍວ່າມັນບໍ່ຮອງຮັບທັງສະມາຊິກຂົວ ຫຼື ໂປໂຕຄອນ TCP, ເຊິ່ງເຮັດໃຫ້ຂ້ອຍເຊື່ອວ່າບໍ່ມີທາງເລືອກອື່ນ. OpenVPN ສຳລັບຂ້ອຍມັນຍັງບໍ່ທັນຢູ່ທີ່ນັ້ນ. ສະນັ້ນຂ້ອຍຈຶ່ງເລື່ອນການຮູ້ຈັກກັບ WireGuard.

ສອງສາມມື້ກ່ອນ, ຂ່າວໄດ້ແຜ່ລາມໄປທົ່ວແຫຼ່ງຂໍ້ມູນທີ່ກ່ຽວຂ້ອງກັບໄອທີໃນທາງໃດທາງໜຶ່ງວ່າ WireGuard ໃນທີ່ສຸດກໍ່ຈະຖືກລວມເຂົ້າໃນ kernel Linux, ເລີ່ມຕົ້ນດ້ວຍເວີຊັນ 5.6. ບົດຂ່າວຕ່າງໆ, ເຊັ່ນເຄີຍ, ໄດ້ຮັບການຍ້ອງຍໍ WireGuardຂ້ອຍໄດ້ເລີ່ມຊອກຫາວິທີທີ່ຈະທົດແທນສິ່ງເກົ່າທີ່ດີອີກຄັ້ງ OpenVPNເທື່ອນີ້ຂ້ອຍໄດ້ພົບກັບ ຫົວ​ຂໍ້​ນີ້. ມັນເວົ້າກ່ຽວກັບການສ້າງອຸໂມງອີເທີເນັດຜ່ານ L3 ໂດຍໃຊ້ GRE. ບົດ​ຄວາມ​ນີ້​ໄດ້​ໃຫ້​ຂ້າ​ພະ​ເຈົ້າ​ມີ​ຄວາມ​ຫວັງ. ມັນຍັງບໍ່ຈະແຈ້ງວ່າຈະເຮັດແນວໃດກັບໂປໂຕຄອນ UDP. ການຄົ້ນຫາໄດ້ນໍາຂ້ອຍໄປຫາບົດຄວາມກ່ຽວກັບການນໍາໃຊ້ socat ສົມທົບກັບອຸໂມງ SSH ເພື່ອສົ່ງຕໍ່ພອດ UDP, ຢ່າງໃດກໍຕາມ, ພວກເຂົາເຈົ້າສັງເກດເຫັນວ່າວິທີການນີ້ເຮັດວຽກພຽງແຕ່ໃນໂຫມດເຊື່ອມຕໍ່ດຽວ, ນັ້ນແມ່ນ, ການເຮັດວຽກຂອງລູກຄ້າ VPN ຫຼາຍໆຄົນຈະເປັນໄປບໍ່ໄດ້. ຂ້າພະເຈົ້າໄດ້ມາກັບຄວາມຄິດຂອງການຕິດຕັ້ງເຄື່ອງແມ່ຂ່າຍ VPN ໃນ VPS ແລະການຕັ້ງຄ່າ GRE ສໍາລັບລູກຄ້າ, ແຕ່ຍ້ອນວ່າມັນໄດ້ຫັນອອກ, GRE ບໍ່ສະຫນັບສະຫນູນການເຂົ້າລະຫັດ, ເຊິ່ງຈະນໍາໄປສູ່ຄວາມຈິງທີ່ວ່າຖ້າຫາກວ່າພາກສ່ວນທີສາມໄດ້ຮັບການເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍ. , ການຈະລາຈອນທັງຫມົດລະຫວ່າງເຄືອຂ່າຍຂອງຂ້ອຍຈະຢູ່ໃນມືຂອງພວກເຂົາ, ເຊິ່ງບໍ່ເຫມາະສົມກັບຂ້ອຍເລີຍ.

ອີກເທື່ອ ໜຶ່ງ, ການຕັດສິນໃຈໄດ້ຖືກເຮັດໃນເງື່ອນໄຂຂອງການເຂົ້າລະຫັດຊ້ໍາຊ້ອນ, ໂດຍໃຊ້ VPN ຜ່ານ VPN ໂດຍໃຊ້ໂຄງການຕໍ່ໄປນີ້:

ລະດັບ XNUMX VPN:
VPS ມັນ​ເປັນ ເຊີບເວີ ກັບທີ່ຢູ່ພາຍໃນ 192.168.30.1
MS ມັນ​ເປັນ ລູກ​ຄ້າ VPS ທີ່ມີທີ່ຢູ່ພາຍໃນ 192.168.30.2
MK2 ມັນ​ເປັນ ລູກ​ຄ້າ VPS ທີ່ມີທີ່ຢູ່ພາຍໃນ 192.168.30.3
MK3 ມັນ​ເປັນ ລູກ​ຄ້າ VPS ທີ່ມີທີ່ຢູ່ພາຍໃນ 192.168.30.4

VPN ລະດັບທີສອງ:
MS ມັນ​ເປັນ ເຊີບເວີ ກັບທີ່ຢູ່ພາຍນອກ 192.168.30.2 ແລະພາຍໃນ 192.168.31.1
MK2 ມັນ​ເປັນ ລູກ​ຄ້າ MS ກັບທີ່ຢູ່ 192.168.30.2 ແລະມີ IP ພາຍໃນ 192.168.31.2
MK3 ມັນ​ເປັນ ລູກ​ຄ້າ MS ກັບທີ່ຢູ່ 192.168.30.2 ແລະມີ IP ພາຍໃນ 192.168.31.3

* MS - router-ເຊີບເວີໃນອາພາດເມັນ 1, MK2 - router ໃນ​ອາ​ພາດ​ເມັນ 2​, MK3 - router ໃນອາພາດເມັນ 3
* ການຕັ້ງຄ່າອຸປະກອນຖືກຕີພິມໃນ spoiler ໃນຕອນທ້າຍຂອງບົດຄວາມ.

ແລະດັ່ງນັ້ນ, pings ກໍາລັງແລ່ນລະຫວ່າງ nodes ເຄືອຂ່າຍ 192.168.31.0/24, ມັນເຖິງເວລາທີ່ຈະກ້າວໄປສູ່ການຕັ້ງຄ່າອຸໂມງ GRE. ກ່ອນນີ້, ເພື່ອບໍ່ໃຫ້ສູນເສຍການເຂົ້າເຖິງ routers, ມັນເປັນມູນຄ່າທີ່ຈະຕັ້ງອຸໂມງ SSH ເພື່ອສົ່ງຕໍ່ພອດ 22 ໄປຫາ VPS, ດັ່ງນັ້ນ, ສໍາລັບຕົວຢ່າງ, router ຈາກອາພາດເມັນ 10022 ຈະສາມາດເຂົ້າເຖິງໄດ້ໃນພອດ 2 ຂອງ VPS, ແລະ. router ຈາກອາພາດເມັນ 11122 ຈະສາມາດເຂົ້າເຖິງໄດ້ໃນພອດ 3 router ຈາກອາພາດເມັນ XNUMX. ມັນດີທີ່ສຸດທີ່ຈະຕັ້ງຄ່າການສົ່ງຕໍ່ໂດຍໃຊ້ sshtunnel ດຽວກັນ, ເພາະວ່າມັນຈະຟື້ນຟູອຸໂມງຖ້າມັນລົ້ມເຫລວ.

ອຸໂມງຖືກຕັ້ງຄ່າ, ທ່ານສາມາດເຊື່ອມຕໍ່ກັບ SSH ຜ່ານພອດສົ່ງຕໍ່ໄດ້:

ssh root@МОЙ_VPS -p 10022

ຕໍ່ໄປທ່ານຄວນປິດການໃຊ້ງານ OpenVPN:

/etc/init.d/openvpn stop

ຕອນນີ້ໃຫ້ພວກເຮົາຕັ້ງອຸໂມງ GRE ໃນ router ຈາກອາພາດເມັນ 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

ແລະເພີ່ມການໂຕ້ຕອບທີ່ສ້າງຂຶ້ນໃສ່ຂົວ:

brctl addif br-lan grelan0

ໃຫ້ເຮັດຂັ້ນຕອນທີ່ຄ້າຍຄືກັນໃນ router server:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

ແລະເພີ່ມການໂຕ້ຕອບທີ່ສ້າງຂື້ນໃສ່ຂົວ:

brctl addif br-lan grelan0

ເລີ່ມຕົ້ນຈາກເວລານີ້, pings ເລີ່ມຕົ້ນສົບຜົນສໍາເລັດໄປສູ່ເຄືອຂ່າຍໃຫມ່ແລະຂ້ອຍ, ດ້ວຍຄວາມພໍໃຈ, ໄປດື່ມກາເຟ. ຫຼັງຈາກນັ້ນ, ເພື່ອປະເມີນວິທີການເຄືອຂ່າຍເຮັດວຽກຢູ່ໃນສາຍອື່ນໆ, ຂ້ອຍພະຍາຍາມ SSH ເຂົ້າໄປໃນຄອມພິວເຕີຫນຶ່ງໃນອາພາດເມັນ 2, ແຕ່ລູກຄ້າ ssh ຄ້າງໂດຍບໍ່ມີການເຕືອນລະຫັດຜ່ານ. ຂ້ອຍພະຍາຍາມເຊື່ອມຕໍ່ກັບຄອມພິວເຕີເຄື່ອງນີ້ຜ່ານ telnet ໃນພອດ 22 ແລະຂ້ອຍເຫັນເສັ້ນທີ່ຂ້ອຍສາມາດເຂົ້າໃຈວ່າການເຊື່ອມຕໍ່ໄດ້ຖືກສ້າງຕັ້ງຂຶ້ນ, ເຄື່ອງແມ່ຂ່າຍ SSH ກໍາລັງຕອບສະຫນອງ, ແຕ່ສໍາລັບບາງເຫດຜົນມັນບໍ່ກະຕຸ້ນໃຫ້ຂ້ອຍເຂົ້າສູ່ລະບົບ. ໃນ.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

ຂ້ອຍພະຍາຍາມເຊື່ອມຕໍ່ກັບມັນຜ່ານ VNC ແລະເບິ່ງຫນ້າຈໍສີດໍາ. ຂ້ອຍຫມັ້ນໃຈຕົນເອງວ່າບັນຫາແມ່ນຢູ່ກັບຄອມພິວເຕີຫ່າງໄກສອກຫຼີກ, ເພາະວ່າຂ້ອຍສາມາດເຊື່ອມຕໍ່ກັບ router ໄດ້ຢ່າງງ່າຍດາຍຈາກອາພາດເມັນນີ້ໂດຍໃຊ້ທີ່ຢູ່ພາຍໃນ. ຢ່າງໃດກໍຕາມ, ຂ້າພະເຈົ້າຕັດສິນໃຈທີ່ຈະເຊື່ອມຕໍ່ກັບ SSH ຂອງຄອມພິວເຕີນີ້ໂດຍຜ່ານ router ແລະປະຫລາດໃຈທີ່ພົບວ່າການເຊື່ອມຕໍ່ປະສົບຜົນສໍາເລັດ, ແລະຄອມພິວເຕີທາງໄກເຮັດວຽກຂ້ອນຂ້າງປົກກະຕິ, ແຕ່ມັນຍັງບໍ່ສາມາດເຊື່ອມຕໍ່ກັບຄອມພິວເຕີຂອງຂ້ອຍໄດ້.

ຂ້ອຍເອົາອຸປະກອນ grelan0 ອອກຈາກຂົວແລະແລ່ນມັນ OpenVPN ໃນເຣົາເຕີໃນອາພາດເມັນ 2, ຂ້ອຍຢືນຢັນວ່າເຄືອຂ່າຍເຮັດວຽກຢ່າງຖືກຕ້ອງອີກຄັ້ງ ແລະ ການເຊື່ອມຕໍ່ບໍ່ໄດ້ຫຼຸດລົງ. ຄົ້ນຫາ, ຂ້ອຍໄດ້ພົບກັບເວທີສົນທະນາທີ່ຜູ້ຄົນຈົ່ມກ່ຽວກັບບັນຫາດຽວກັນ, ແລະ ບ່ອນທີ່ພວກເຂົາໄດ້ຮັບຄໍາແນະນໍາໃຫ້ເພີ່ມ MTU. ບໍ່ດົນກໍ່ເຮັດ. ຢ່າງໃດກໍຕາມ, ຈົນກວ່າ MTU ຈະຖືກຕັ້ງສູງພຽງພໍ - 7000 ສໍາລັບອຸປະກອນ gretap - ຂ້ອຍປະສົບກັບການເຊື່ອມຕໍ່ TCP ຫຼຸດລົງ ຫຼື ຄວາມໄວໃນການໂອນຂໍ້ມູນຕໍ່າ. ເນື່ອງຈາກ MTU ສູງສໍາລັບ gretap, MTU ສໍາລັບການເຊື່ອມຕໍ່ WireGuard ລະດັບທຳອິດ ແລະ ທີສອງຖືກຕັ້ງໄວ້ທີ່ 8000 ແລະ 7500 ຕາມລຳດັບ.

ຂ້າພະເຈົ້າໄດ້ປະຕິບັດການຕິດຕັ້ງທີ່ຄ້າຍຄືກັນໃນ router ຈາກອາພາດເມັນ 3, ຄວາມແຕກຕ່າງພຽງແຕ່ວ່າການໂຕ້ຕອບ gretap ທີສອງທີ່ມີຊື່ grelan1 ໄດ້ຖືກເພີ່ມໃສ່ router server, ເຊິ່ງໄດ້ຖືກເພີ່ມເຂົ້າໃນຂົວ br-lan.

ທຸກສິ່ງທຸກຢ່າງແມ່ນເຮັດວຽກ. ຕອນນີ້ທ່ານສາມາດເອົາການປະກອບ Gretap ເຂົ້າໃນການເລີ່ມຕົ້ນ. ສໍາລັບການນີ້:

ຂ້ອຍວາງສາຍເຫຼົ່ານີ້ໄວ້ໃນ /etc/rc.local ໃນ router ໃນອາພາດເມັນ 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ເພີ່ມອັນນີ້ໃສ່ /etc/rc.local ໃນ router ໃນອາພາດເມັນ 3:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ແລະຢູ່ໃນເຊີບເວີ router:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

ຫຼັງຈາກຣີບູດເຣົາເຕີລູກຄ້າແລ້ວ, ຂ້ອຍໄດ້ຄົ້ນພົບວ່າດ້ວຍເຫດຜົນບາງຢ່າງພວກມັນບໍ່ໄດ້ເຊື່ອມຕໍ່ກັບເຊີບເວີ. ຫຼັງຈາກເຊື່ອມຕໍ່ກັບ SSH ຂອງພວກເຂົາ (ໂຊກດີ, ຂ້ອຍໄດ້ຕັ້ງຄ່າ sshtunnel ສຳລັບສິ່ງນີ້ກ່ອນໜ້ານີ້), ຂ້ອຍໄດ້ຄົ້ນພົບວ່າ WireGuard ດ້ວຍເຫດຜົນບາງຢ່າງ, ມັນສ້າງເສັ້ນທາງສຳລັບຈຸດສິ້ນສຸດ, ແຕ່ມັນບໍ່ຖືກຕ້ອງ. ຕົວຢ່າງ, ສຳລັບ 192.168.30.2, ຕາຕະລາງເສັ້ນທາງໄດ້ລະບຸເສັ້ນທາງຜ່ານອິນເຕີເຟດ pppoe-wan, ເຊັ່ນ: ຜ່ານອິນເຕີເນັດ, ເຖິງແມ່ນວ່າເສັ້ນທາງໄປຫາມັນຄວນຈະຖືກນຳທາງຜ່ານອິນເຕີເຟດ wg0. ຫຼັງຈາກລຶບເສັ້ນທາງນີ້, ການເຊື່ອມຕໍ່ໄດ້ຖືກຟື້ນຟູຄືນມາ. ຂ້ອຍສາມາດຊອກຫາຄຳແນະນຳໄດ້ຢູ່ບ່ອນໃດກໍໄດ້ກ່ຽວກັບວິທີການບັງຄັບ WireGuard ຂ້ອຍບໍ່ສາມາດຫຼີກລ່ຽງການສ້າງເສັ້ນທາງເຫຼົ່ານີ້ໄດ້. ຍິ່ງໄປກວ່ານັ້ນ, ຂ້ອຍຍັງບໍ່ເຂົ້າໃຈວ່ານີ້ແມ່ນຄຸນສົມບັດຂອງ OpenWRT ຫຼື WireGuardໂດຍບໍ່ຕ້ອງໃຊ້ເວລາຫຼາຍໃນການແກ້ໄຂບັນຫາ, ຂ້ອຍພຽງແຕ່ເພີ່ມແຖວໃສ່ສະຄຣິບ timer-loop ໃນທັງສອງເຣົາເຕີທີ່ລຶບເສັ້ນທາງນີ້:

route del 192.168.30.2

Summing up

ການປະຕິເສດຢ່າງສິ້ນເຊີງ OpenVPN ຂ້ອຍຍັງບໍ່ທັນໄດ້ເຮັດສິ່ງນີ້ເທື່ອ, ເພາະວ່າບາງຄັ້ງຂ້ອຍຕ້ອງເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍໃໝ່ຈາກແລັບທັອບ ຫຼື ໂທລະສັບ, ແລະການຕັ້ງຄ່າອຸປະກອນ gretap ໃນພວກມັນໂດຍທົ່ວໄປແມ່ນເປັນໄປບໍ່ໄດ້. ຢ່າງໃດກໍຕາມ, ເຖິງວ່າຈະມີສິ່ງນີ້, ຂ້ອຍໄດ້ຮັບປະໂຫຍດໃນຄວາມໄວໃນການໂອນຂໍ້ມູນລະຫວ່າງອາພາດເມັນ, ແລະການໃຊ້ VNC, ຕົວຢ່າງ, ດຽວນີ້ບໍ່ມີຄວາມຫຍຸ້ງຍາກ. Ping ໄດ້ຫຼຸດລົງເລັກນ້ອຍແຕ່ມີຄວາມໝັ້ນຄົງຫຼາຍຂຶ້ນ:

ການ ນຳ ໃຊ້ OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

ການ ນຳ ໃຊ້ WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

ມັນໄດ້ຮັບຜົນກະທົບຫຼາຍຈາກ ping ສູງຕໍ່ VPS, ເຊິ່ງປະມານ 61.5 ms

ເຖິງຢ່າງໃດກໍ່ຕາມ, ຄວາມໄວໄດ້ເພີ່ມຂຶ້ນຢ່າງຫຼວງຫຼາຍ. ສະນັ້ນ, ໃນອາພາດເມັນທີ່ມີເຣົາເຕີ-ເຊີບເວີ, ຂ້ອຍມີຄວາມໄວໃນການເຊື່ອມຕໍ່ອິນເຕີເນັດ 30 Mbps, ແລະໃນອາພາດເມັນອື່ນໆແມ່ນ 5 Mbps. ຍິ່ງໄປກວ່ານັ້ນ, ໃນລະຫວ່າງການນຳໃຊ້ OpenVPN ຂ້ອຍບໍ່ສາມາດບັນລຸຄວາມໄວໃນການໂອນຂໍ້ມູນລະຫວ່າງເຄືອຂ່າຍທີ່ສູງກວ່າ 3,8 Mbps ຕາມການອ່ານຂອງ iperf, ໃນຂະນະທີ່ WireGuard "ສູບ" ມັນຂຶ້ນເຖິງ 5 Mbit/ວິນາທີ ດຽວກັນ.

ການຕັ້ງຄ່າ WireGuard ໃນ VPS[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[ມິດສະຫາຍ]
ກະແຈສາທາລະນະ = <VPN_1_MS_PUBLIC_KEY>
AllowedIPs = 192.168.30.2/32

[ມິດສະຫາຍ]
ກະແຈສາທາລະນະ = <VPN_2_MK2_PUBLIC_KEY>
AllowedIPs = 192.168.30.3/32

[ມິດສະຫາຍ]
ກະແຈສາທາລະນະ = <VPN_2_MK3_PUBLIC_KEY>
AllowedIPs = 192.168.30.4/32

ການຕັ້ງຄ່າ WireGuard ໃນ MS (ເພີ່ມເຂົ້າໃນ /etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

ການຕັ້ງຄ່າ WireGuard ໃນ MK2 (ເພີ່ມເຂົ້າໃນ /etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

ການຕັ້ງຄ່າ WireGuard ໃນ MK3 (ເພີ່ມເຂົ້າໃນ /etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

ໃນການຕັ້ງຄ່າທີ່ໄດ້ອະທິບາຍໄວ້ສຳລັບ VPN ລະດັບທີສອງ, ຂ້ອຍຊີ້ບອກໃຫ້ລູກຄ້າຮູ້ WireGuard ພອດ 51821. ອັນນີ້ບໍ່ຄວນຈຳເປັນ, ເພາະວ່າລູກຄ້າຈະສ້າງການເຊື່ອມຕໍ່ຈາກພອດທີ່ບໍ່ເສຍຄ່າ ແລະ ບໍ່ມີສິດທິພິເສດ, ແຕ່ຂ້ອຍໄດ້ເຮັດແບບນີ້ເພື່ອໃຫ້ຂ້ອຍສາມາດປະຕິເສດການເຊື່ອມຕໍ່ທີ່ເຂົ້າມາທັງໝົດໃນອິນເຕີເຟດ wg0 ຂອງເຣົາເຕີທັງໝົດ, ຍົກເວັ້ນການເຊື່ອມຕໍ່ UDP ທີ່ເຂົ້າມາຫາພອດ 51821.

ຂ້າພະເຈົ້າຫວັງວ່າບົດຄວາມຈະເປັນປະໂຫຍດສໍາລັບຜູ້ໃດຜູ້ຫນຶ່ງ.

PS ນອກຈາກນີ້, ຂ້ອຍຕ້ອງການແບ່ງປັນສະຄຣິບຂອງຂ້ອຍທີ່ສົ່ງການແຈ້ງເຕືອນ PUSH ໄປຫາໂທລະສັບຂອງຂ້ອຍໃນແອັບພລິເຄຊັນ WirePusher ເມື່ອອຸປະກອນໃໝ່ປາກົດຢູ່ໃນເຄືອຂ່າຍຂອງຂ້ອຍ. ນີ້ແມ່ນການເຊື່ອມຕໍ່ກັບ script: github.com/r0ck3r/device_discover.

UPDATE: ການຕັ້ງຄ່າ OpenVPN- ເຊີບເວີ ແລະ ລູກຄ້າ

OpenVPN- ເຊີບເວີ

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN-ລູກຄ້າ

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

ຂ້ອຍໃຊ້ easy-rsa ເພື່ອສ້າງໃບຢັ້ງຢືນ

ແຫຼ່ງຂໍ້ມູນ: www.habr.com