ການປ່ຽນຈາກ OpenVPN ເປັນ WireGuard ເພື່ອລວມເຄືອຂ່າຍເຂົ້າເປັນເຄືອຂ່າຍ L2

ຂ້າພະເຈົ້າຢາກແບ່ງປັນປະສົບການຂອງຂ້າພະເຈົ້າໃນການລວມເຄືອຂ່າຍຢູ່ໃນສາມຫ້ອງແຖວທີ່ຢູ່ຫ່າງໄກສອກຫຼີກ, ແຕ່ລະຄົນໃຊ້ routers OpenWRT ເປັນປະຕູ, ເຂົ້າໄປໃນເຄືອຂ່າຍທົ່ວໄປດຽວ. ເມື່ອເລືອກວິທີການປະສົມປະສານເຄືອຂ່າຍລະຫວ່າງ L3 ກັບເສັ້ນທາງຍ່ອຍແລະ L2 ກັບຂົວ, ເມື່ອທຸກເຄືອຂ່າຍເຄືອຂ່າຍຈະຢູ່ໃນເຄືອຂ່າຍຍ່ອຍດຽວກັນ, ການຕັ້ງຄ່າແມ່ນໃຫ້ຄວາມສົນໃຈກັບວິທີການທີສອງ, ເຊິ່ງມີຄວາມຫຍຸ້ງຍາກໃນການຕັ້ງຄ່າ, ແຕ່ໃຫ້ໂອກາດຫຼາຍກວ່າເກົ່າ, ນັບຕັ້ງແຕ່. ການນໍາໃຊ້ເຕັກໂນໂລຢີທີ່ໂປ່ງໃສໄດ້ຖືກວາງແຜນໄວ້ໃນເຄືອຂ່າຍທີ່ຖືກສ້າງຂຶ້ນ Wake-on-Lan ແລະ DLNA.

ສ່ວນທີ 1: ຄວາມເປັນມາ

OpenVPN ໃນເບື້ອງຕົ້ນໄດ້ຖືກເລືອກເປັນໂປໂຕຄອນສໍາລັບການປະຕິບັດວຽກງານນີ້, ນັບຕັ້ງແຕ່, ທໍາອິດ, ມັນສາມາດສ້າງອຸປະກອນທໍ່ທີ່ສາມາດເພີ່ມໃສ່ຂົວໄດ້ໂດຍບໍ່ມີບັນຫາ, ແລະອັນທີສອງ, OpenVPN ສະຫນັບສະຫນູນການດໍາເນີນງານຜ່ານໂປໂຕຄອນ TCP, ເຊິ່ງເປັນສິ່ງສໍາຄັນ, ເພາະວ່າບໍ່ມີ. ຂອງອາພາດເມັນມີທີ່ຢູ່ IP ທີ່ອຸທິດຕົນ, ແລະຂ້ອຍບໍ່ສາມາດໃຊ້ STUN, ເພາະວ່າຜູ້ໃຫ້ບໍລິການຂອງຂ້ອຍມີເຫດຜົນບາງຢ່າງຂັດຂວາງການເຊື່ອມຕໍ່ UDP ເຂົ້າມາຈາກເຄືອຂ່າຍຂອງພວກເຂົາ, ໃນຂະນະທີ່ໂປໂຕຄອນ TCP ໄດ້ອະນຸຍາດໃຫ້ຂ້ອຍສົ່ງຕໍ່ພອດເຊີຟເວີ VPN ເພື່ອເຊົ່າ VPS ໂດຍໃຊ້ SSH. ແມ່ນແລ້ວ, ວິທີການນີ້ເຮັດໃຫ້ການໂຫຼດຂະຫນາດໃຫຍ່, ເນື່ອງຈາກວ່າຂໍ້ມູນຖືກເຂົ້າລະຫັດສອງຄັ້ງ, ແຕ່ຂ້ອຍບໍ່ຢາກແນະນໍາ VPS ເຂົ້າໄປໃນເຄືອຂ່າຍສ່ວນຕົວຂອງຂ້ອຍ, ເພາະວ່າມັນຍັງມີຄວາມສ່ຽງທີ່ພາກສ່ວນທີສາມສາມາດຄວບຄຸມມັນໄດ້, ດັ່ງນັ້ນ, ມີອຸປະກອນດັ່ງກ່າວ. ໃນ ເຄືອ ຂ່າຍ ເຮືອນ ຂອງ ຂ້າ ພະ ເຈົ້າ ແມ່ນ undesirable ທີ່ ສຸດ ແລະ ມັນ ໄດ້ ຕັດ ສິນ ໃຈ ຈ່າຍ ຄ່າ ຄວາມ ປອດ ໄພ ທີ່ ມີ overhead ຂະ ຫນາດ ໃຫຍ່.

ເພື່ອສົ່ງຕໍ່ພອດໃນເຣົາເຕີທີ່ມັນຖືກວາງແຜນທີ່ຈະໃຊ້ເຄື່ອງແມ່ຂ່າຍ, ໂປຣແກຣມ sshtunnel ຖືກໃຊ້. ຂ້າ​ພະ​ເຈົ້າ​ຈະ​ບໍ່​ອະ​ທິ​ບາຍ​ຄວາມ​ສັບ​ສົນ​ຂອງ​ການ​ຕັ້ງ​ຄ່າ​ຂອງ​ຕົນ - ມັນ​ເຮັດ​ໄດ້​ງ່າຍ​ດາຍ​, ຂ້າ​ພະ​ເຈົ້າ​ພຽງ​ແຕ່​ຈະ​ສັງ​ເກດ​ວ່າ​ວຽກ​ງານ​ຂອງ​ຕົນ​ແມ່ນ​ການ​ສົ່ງ​ຕໍ່ TCP port 1194 ຈາກ router ກັບ VPS ໄດ້​. ຕໍ່ໄປ, ເຄື່ອງແມ່ຂ່າຍ OpenVPN ໄດ້ຖືກຕັ້ງຄ່າໃນອຸປະກອນ tap0, ເຊິ່ງເຊື່ອມຕໍ່ກັບຂົວ br-lan. ມີການກວດສອບການເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍທີ່ສ້າງຂຶ້ນໃຫມ່ຈາກຄອມພິວເຕີໂນດບຸກ, ມັນເຫັນໄດ້ຊັດເຈນວ່າຄວາມຄິດຂອງການສົ່ງຕໍ່ພອດແມ່ນສົມເຫດສົມຜົນແລະຄອມພິວເຕີຂອງຂ້ອຍໄດ້ກາຍເປັນສະມາຊິກຂອງເຄືອຂ່າຍຂອງ router, ເຖິງແມ່ນວ່າມັນບໍ່ມີຢູ່ໃນມັນ.

ມີພຽງແຕ່ສິ່ງເລັກໆນ້ອຍໆທີ່ຕ້ອງເຮັດ: ມັນຈໍາເປັນຕ້ອງແຈກຢາຍທີ່ຢູ່ IP ໃນອາພາດເມັນທີ່ແຕກຕ່າງກັນເພື່ອໃຫ້ພວກເຂົາບໍ່ຂັດແຍ້ງແລະກໍາຫນົດຄ່າ routers ເປັນລູກຄ້າ OpenVPN.
ທີ່ຢູ່ IP ຂອງເຣົາເຕີຕໍ່ໄປນີ້ ແລະຊ່ວງເຊີບເວີ DHCP ຖືກເລືອກ:

• 192.168.10.1 ມີຂອບເຂດ 192.168.10.2 - 192.168.10.80 ສໍາລັບເຄື່ອງແມ່ຂ່າຍ
• 192.168.10.100 ມີຂອບເຂດ 192.168.10.101 - 192.168.10.149 ສໍາລັບ router ໃນອາພາດເມັນເບີ 2
• 192.168.10.150 ມີຂອບເຂດ 192.168.10.151 - 192.168.10.199 ສໍາລັບ router ໃນອາພາດເມັນເບີ 3

ມັນຍັງມີຄວາມຈໍາເປັນທີ່ຈະກໍານົດທີ່ຢູ່ເຫຼົ່ານີ້ໃຫ້ກັບ routers ລູກຂ່າຍຂອງເຄື່ອງແມ່ຂ່າຍ OpenVPN ໂດຍການເພີ່ມເສັ້ນເຂົ້າໃນການຕັ້ງຄ່າຂອງມັນ:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

ແລະເພີ່ມແຖວຕໍ່ໄປນີ້ໃສ່ໄຟລ໌ /etc/openvpn/ipp.txt:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

ບ່ອນທີ່ flat1_id ແລະ flat2_id ແມ່ນຊື່ອຸປະກອນທີ່ລະບຸໄວ້ໃນເວລາສ້າງໃບຢັ້ງຢືນສໍາລັບການເຊື່ອມຕໍ່ກັບ OpenVPN

ຕໍ່ໄປ, ລູກຄ້າ OpenVPN ໄດ້ຖືກຕັ້ງຄ່າໃນ routers, tap0 ອຸປະກອນທັງສອງໄດ້ຖືກເພີ່ມໃສ່ຂົວ br-lan. ໃນຂັ້ນຕອນນີ້, ທຸກສິ່ງທຸກຢ່າງເບິ່ງຄືວ່າດີຍ້ອນວ່າທັງສາມເຄືອຂ່າຍສາມາດເບິ່ງເຫັນກັນແລະກັນແລະເຮັດວຽກເປັນອັນດຽວກັນ. ຢ່າງໃດກໍຕາມ, ລາຍລະອຽດທີ່ບໍ່ຫນ້າພໍໃຈຫຼາຍໄດ້ອອກມາ: ບາງຄັ້ງອຸປະກອນສາມາດໄດ້ຮັບທີ່ຢູ່ IP ບໍ່ໄດ້ມາຈາກ router ຂອງເຂົາເຈົ້າ, ມີຜົນສະທ້ອນທັງຫມົດ. ສໍາລັບເຫດຜົນບາງຢ່າງ, router ໃນຫນຶ່ງຂອງອາພາດເມັນບໍ່ມີເວລາທີ່ຈະຕອບສະຫນອງກັບ DHCPDISCOVER ໃນເວລາແລະອຸປະກອນໄດ້ຮັບທີ່ຢູ່ທີ່ບໍ່ມີຈຸດປະສົງ. ຂ້ອຍຮູ້ວ່າຂ້ອຍຕ້ອງການກັ່ນຕອງການຮ້ອງຂໍດັ່ງກ່າວໃນ tap0 ໃນແຕ່ລະ routers, ແຕ່ຍ້ອນວ່າມັນໄດ້ຫັນອອກ, iptables ບໍ່ສາມາດເຮັດວຽກກັບອຸປະກອນໄດ້ຖ້າມັນເປັນສ່ວນຫນຶ່ງຂອງຂົວແລະ ebtables ຕ້ອງໄດ້ຮັບການຊ່ວຍເຫຼືອຂອງຂ້ອຍ. ຄວາມເສຍໃຈຂອງຂ້ອຍ, ມັນບໍ່ໄດ້ຢູ່ໃນເຟີມແວຂອງຂ້ອຍແລະຂ້ອຍຕ້ອງສ້າງຮູບພາບໃຫມ່ສໍາລັບແຕ່ລະອຸປະກອນ. ໂດຍການເຮັດສິ່ງນີ້ແລະເພີ່ມສາຍເຫຼົ່ານີ້ໃສ່ /etc/rc.local ຂອງແຕ່ລະ router, ບັນຫາໄດ້ຖືກແກ້ໄຂ:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

ການຕັ້ງຄ່ານີ້ໃຊ້ເວລາສາມປີ.

ສ່ວນທີ 2: ແນະນຳ WireGuard

ບໍ່ດົນມານີ້, ຄົນໃນອິນເຕີເນັດໄດ້ເລີ່ມເວົ້າກ່ຽວກັບ WireGuard ຫຼາຍຂຶ້ນ, ຊົມເຊີຍຄວາມງ່າຍດາຍຂອງການຕັ້ງຄ່າຂອງມັນ, ຄວາມໄວການສົ່ງຕໍ່ສູງ, ping ຕ່ໍາທີ່ມີຄວາມປອດໄພທີ່ສົມທຽບ. ການຄົ້ນຫາຂໍ້ມູນເພີ່ມເຕີມກ່ຽວກັບມັນໄດ້ເຮັດໃຫ້ມັນຊັດເຈນວ່າທັງການເຮັດວຽກເປັນສະມາຊິກສະພານຫຼືການເຮັດວຽກໃນໄລຍະ TCP protocol ໄດ້ຮັບການສະຫນັບສະຫນູນຈາກມັນ, ເຊິ່ງເຮັດໃຫ້ຂ້ອຍຄິດວ່າບໍ່ມີທາງເລືອກອື່ນສໍາລັບ OpenVPN ສໍາລັບຂ້ອຍ. ສະນັ້ນຂ້າພະເຈົ້າຢຸດການຮູ້ຈັກ WireGuard.

ສອງສາມມື້ກ່ອນຫນ້ານີ້, ຂ່າວທີ່ແຜ່ລາມໄປທົ່ວຊັບພະຍາກອນທາງຫນຶ່ງຫຼືອື່ນທີ່ກ່ຽວຂ້ອງກັບ IT ທີ່ WireGuard ສຸດທ້າຍຈະຖືກລວມຢູ່ໃນ Linux kernel, ເລີ່ມຕົ້ນດ້ວຍຮຸ່ນ 5.6. ບົດຄວາມຂ່າວ, ເຊັ່ນດຽວກັບສະເຫມີ, ສັນລະເສີນ WireGuard. ຂ້າພະເຈົ້າອີກເທື່ອຫນຶ່ງໄດ້ເຂົ້າໄປໃນການຊອກຫາວິທີທີ່ຈະທົດແທນ OpenVPN ເກົ່າທີ່ດີ. ເວລານີ້ຂ້ອຍແລ່ນເຂົ້າໄປໃນ ຫົວ​ຂໍ້​ນີ້. ມັນເວົ້າກ່ຽວກັບການສ້າງອຸໂມງອີເທີເນັດຜ່ານ L3 ໂດຍໃຊ້ GRE. ບົດ​ຄວາມ​ນີ້​ໄດ້​ໃຫ້​ຂ້າ​ພະ​ເຈົ້າ​ມີ​ຄວາມ​ຫວັງ. ມັນຍັງບໍ່ຈະແຈ້ງວ່າຈະເຮັດແນວໃດກັບໂປໂຕຄອນ UDP. ການຄົ້ນຫາໄດ້ນໍາຂ້ອຍໄປຫາບົດຄວາມກ່ຽວກັບການນໍາໃຊ້ socat ສົມທົບກັບອຸໂມງ SSH ເພື່ອສົ່ງຕໍ່ພອດ UDP, ຢ່າງໃດກໍຕາມ, ພວກເຂົາເຈົ້າສັງເກດເຫັນວ່າວິທີການນີ້ເຮັດວຽກພຽງແຕ່ໃນໂຫມດເຊື່ອມຕໍ່ດຽວ, ນັ້ນແມ່ນ, ການເຮັດວຽກຂອງລູກຄ້າ VPN ຫຼາຍໆຄົນຈະເປັນໄປບໍ່ໄດ້. ຂ້າພະເຈົ້າໄດ້ມາກັບຄວາມຄິດຂອງການຕິດຕັ້ງເຄື່ອງແມ່ຂ່າຍ VPN ໃນ VPS ແລະການຕັ້ງຄ່າ GRE ສໍາລັບລູກຄ້າ, ແຕ່ຍ້ອນວ່າມັນໄດ້ຫັນອອກ, GRE ບໍ່ສະຫນັບສະຫນູນການເຂົ້າລະຫັດ, ເຊິ່ງຈະນໍາໄປສູ່ຄວາມຈິງທີ່ວ່າຖ້າຫາກວ່າພາກສ່ວນທີສາມໄດ້ຮັບການເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍ. , ການຈະລາຈອນທັງຫມົດລະຫວ່າງເຄືອຂ່າຍຂອງຂ້ອຍຈະຢູ່ໃນມືຂອງພວກເຂົາ, ເຊິ່ງບໍ່ເຫມາະສົມກັບຂ້ອຍເລີຍ.

ອີກເທື່ອ ໜຶ່ງ, ການຕັດສິນໃຈໄດ້ຖືກເຮັດໃນເງື່ອນໄຂຂອງການເຂົ້າລະຫັດຊ້ໍາຊ້ອນ, ໂດຍໃຊ້ VPN ຜ່ານ VPN ໂດຍໃຊ້ໂຄງການຕໍ່ໄປນີ້:

ລະດັບ XNUMX VPN:
VPS ມັນ​ເປັນ ເຊີບເວີ ກັບທີ່ຢູ່ພາຍໃນ 192.168.30.1
MS ມັນ​ເປັນ ລູກ​ຄ້າ VPS ທີ່ມີທີ່ຢູ່ພາຍໃນ 192.168.30.2
MK2 ມັນ​ເປັນ ລູກ​ຄ້າ VPS ທີ່ມີທີ່ຢູ່ພາຍໃນ 192.168.30.3
MK3 ມັນ​ເປັນ ລູກ​ຄ້າ VPS ທີ່ມີທີ່ຢູ່ພາຍໃນ 192.168.30.4

VPN ລະດັບທີສອງ:
MS ມັນ​ເປັນ ເຊີບເວີ ກັບທີ່ຢູ່ພາຍນອກ 192.168.30.2 ແລະພາຍໃນ 192.168.31.1
MK2 ມັນ​ເປັນ ລູກ​ຄ້າ MS ກັບທີ່ຢູ່ 192.168.30.2 ແລະມີ IP ພາຍໃນ 192.168.31.2
MK3 ມັນ​ເປັນ ລູກ​ຄ້າ MS ກັບທີ່ຢູ່ 192.168.30.2 ແລະມີ IP ພາຍໃນ 192.168.31.3

* MS - router-ເຊີບເວີໃນອາພາດເມັນ 1, MK2 - router ໃນ​ອາ​ພາດ​ເມັນ 2​, MK3 - router ໃນອາພາດເມັນ 3
* ການຕັ້ງຄ່າອຸປະກອນຖືກຕີພິມໃນ spoiler ໃນຕອນທ້າຍຂອງບົດຄວາມ.

ແລະດັ່ງນັ້ນ, pings ກໍາລັງແລ່ນລະຫວ່າງ nodes ເຄືອຂ່າຍ 192.168.31.0/24, ມັນເຖິງເວລາທີ່ຈະກ້າວໄປສູ່ການຕັ້ງຄ່າອຸໂມງ GRE. ກ່ອນນີ້, ເພື່ອບໍ່ໃຫ້ສູນເສຍການເຂົ້າເຖິງ routers, ມັນເປັນມູນຄ່າທີ່ຈະຕັ້ງອຸໂມງ SSH ເພື່ອສົ່ງຕໍ່ພອດ 22 ໄປຫາ VPS, ດັ່ງນັ້ນ, ສໍາລັບຕົວຢ່າງ, router ຈາກອາພາດເມັນ 10022 ຈະສາມາດເຂົ້າເຖິງໄດ້ໃນພອດ 2 ຂອງ VPS, ແລະ. router ຈາກອາພາດເມັນ 11122 ຈະສາມາດເຂົ້າເຖິງໄດ້ໃນພອດ 3 router ຈາກອາພາດເມັນ XNUMX. ມັນດີທີ່ສຸດທີ່ຈະຕັ້ງຄ່າການສົ່ງຕໍ່ໂດຍໃຊ້ sshtunnel ດຽວກັນ, ເພາະວ່າມັນຈະຟື້ນຟູອຸໂມງຖ້າມັນລົ້ມເຫລວ.

ອຸໂມງຖືກຕັ້ງຄ່າ, ທ່ານສາມາດເຊື່ອມຕໍ່ກັບ SSH ຜ່ານພອດສົ່ງຕໍ່ໄດ້:

ssh root@МОЙ_VPS -p 10022

ຕໍ່ໄປທ່ານຄວນປິດການໃຊ້ງານ OpenVPN:

/etc/init.d/openvpn stop

ຕອນນີ້ໃຫ້ພວກເຮົາຕັ້ງອຸໂມງ GRE ໃນ router ຈາກອາພາດເມັນ 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

ແລະເພີ່ມການໂຕ້ຕອບທີ່ສ້າງຂຶ້ນໃສ່ຂົວ:

brctl addif br-lan grelan0

ໃຫ້ເຮັດຂັ້ນຕອນທີ່ຄ້າຍຄືກັນໃນ router server:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

ແລະເພີ່ມການໂຕ້ຕອບທີ່ສ້າງຂື້ນໃສ່ຂົວ:

brctl addif br-lan grelan0

ເລີ່ມຕົ້ນຈາກເວລານີ້, pings ເລີ່ມຕົ້ນສົບຜົນສໍາເລັດໄປສູ່ເຄືອຂ່າຍໃຫມ່ແລະຂ້ອຍ, ດ້ວຍຄວາມພໍໃຈ, ໄປດື່ມກາເຟ. ຫຼັງຈາກນັ້ນ, ເພື່ອປະເມີນວິທີການເຄືອຂ່າຍເຮັດວຽກຢູ່ໃນສາຍອື່ນໆ, ຂ້ອຍພະຍາຍາມ SSH ເຂົ້າໄປໃນຄອມພິວເຕີຫນຶ່ງໃນອາພາດເມັນ 2, ແຕ່ລູກຄ້າ ssh ຄ້າງໂດຍບໍ່ມີການເຕືອນລະຫັດຜ່ານ. ຂ້ອຍພະຍາຍາມເຊື່ອມຕໍ່ກັບຄອມພິວເຕີເຄື່ອງນີ້ຜ່ານ telnet ໃນພອດ 22 ແລະຂ້ອຍເຫັນເສັ້ນທີ່ຂ້ອຍສາມາດເຂົ້າໃຈວ່າການເຊື່ອມຕໍ່ໄດ້ຖືກສ້າງຕັ້ງຂຶ້ນ, ເຄື່ອງແມ່ຂ່າຍ SSH ກໍາລັງຕອບສະຫນອງ, ແຕ່ສໍາລັບບາງເຫດຜົນມັນບໍ່ກະຕຸ້ນໃຫ້ຂ້ອຍເຂົ້າສູ່ລະບົບ. ໃນ.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

ຂ້ອຍພະຍາຍາມເຊື່ອມຕໍ່ກັບມັນຜ່ານ VNC ແລະເບິ່ງຫນ້າຈໍສີດໍາ. ຂ້ອຍຫມັ້ນໃຈຕົນເອງວ່າບັນຫາແມ່ນຢູ່ກັບຄອມພິວເຕີຫ່າງໄກສອກຫຼີກ, ເພາະວ່າຂ້ອຍສາມາດເຊື່ອມຕໍ່ກັບ router ໄດ້ຢ່າງງ່າຍດາຍຈາກອາພາດເມັນນີ້ໂດຍໃຊ້ທີ່ຢູ່ພາຍໃນ. ຢ່າງໃດກໍຕາມ, ຂ້າພະເຈົ້າຕັດສິນໃຈທີ່ຈະເຊື່ອມຕໍ່ກັບ SSH ຂອງຄອມພິວເຕີນີ້ໂດຍຜ່ານ router ແລະປະຫລາດໃຈທີ່ພົບວ່າການເຊື່ອມຕໍ່ປະສົບຜົນສໍາເລັດ, ແລະຄອມພິວເຕີທາງໄກເຮັດວຽກຂ້ອນຂ້າງປົກກະຕິ, ແຕ່ມັນຍັງບໍ່ສາມາດເຊື່ອມຕໍ່ກັບຄອມພິວເຕີຂອງຂ້ອຍໄດ້.

ຂ້ອຍເອົາອຸປະກອນ grelan0 ອອກຈາກຂົວແລະດໍາເນີນການ OpenVPN ໃນ router ໃນອາພາດເມັນ 2 ແລະໃຫ້ແນ່ໃຈວ່າເຄືອຂ່າຍເຮັດວຽກຕາມທີ່ຄາດໄວ້ອີກເທື່ອຫນຶ່ງແລະການເຊື່ອມຕໍ່ບໍ່ໄດ້ຫຼຸດລົງ. ໂດຍການຄົ້ນຫາຂ້ອຍພົບເວທີສົນທະນາທີ່ຜູ້ຄົນຈົ່ມກ່ຽວກັບບັນຫາດຽວກັນ, ບ່ອນທີ່ພວກເຂົາຖືກແນະນໍາໃຫ້ຍົກສູງບົດບາດ MTU. ບໍ່ໄດ້ເວົ້າໄວກວ່າເຮັດ. ຢ່າງໃດກໍຕາມ, ຈົນກ່ວາ MTU ໄດ້ຖືກກໍານົດສູງພຽງພໍ - 7000 ສໍາລັບອຸປະກອນ gretap, ການເຊື່ອມຕໍ່ TCP ຫຼຸດລົງຫຼືອັດຕາການໂອນຕ່ໍາໄດ້ຖືກສັງເກດເຫັນ. ເນື່ອງຈາກ MTU ສູງສໍາລັບ gretap, MTUs ສໍາລັບ Layer 8000 ແລະ Layer 7500 ການເຊື່ອມຕໍ່ WireGuard ຖືກຕັ້ງເປັນ XNUMX ແລະ XNUMX ຕາມລໍາດັບ.

ຂ້າພະເຈົ້າໄດ້ປະຕິບັດການຕິດຕັ້ງທີ່ຄ້າຍຄືກັນໃນ router ຈາກອາພາດເມັນ 3, ຄວາມແຕກຕ່າງພຽງແຕ່ວ່າການໂຕ້ຕອບ gretap ທີສອງທີ່ມີຊື່ grelan1 ໄດ້ຖືກເພີ່ມໃສ່ router server, ເຊິ່ງໄດ້ຖືກເພີ່ມເຂົ້າໃນຂົວ br-lan.

ທຸກສິ່ງທຸກຢ່າງແມ່ນເຮັດວຽກ. ຕອນນີ້ທ່ານສາມາດເອົາການປະກອບ Gretap ເຂົ້າໃນການເລີ່ມຕົ້ນ. ສໍາລັບການນີ້:

ຂ້ອຍວາງສາຍເຫຼົ່ານີ້ໄວ້ໃນ /etc/rc.local ໃນ router ໃນອາພາດເມັນ 2:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ເພີ່ມອັນນີ້ໃສ່ /etc/rc.local ໃນ router ໃນອາພາດເມັນ 3:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ແລະຢູ່ໃນເຊີບເວີ router:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

ຫຼັງຈາກ rebooting routers ລູກຄ້າ, ຂ້າພະເຈົ້າໄດ້ຄົ້ນພົບວ່າສໍາລັບບາງເຫດຜົນພວກເຂົາເຈົ້າບໍ່ໄດ້ເຊື່ອມຕໍ່ກັບເຄື່ອງແມ່ຂ່າຍ. ໂດຍໄດ້ເຊື່ອມຕໍ່ກັບ SSH ຂອງພວກເຂົາ (ໂຊກດີ, ຂ້າພະເຈົ້າໄດ້ຕັ້ງຄ່າ sshtunnel ກ່ອນຫນ້ານີ້), ມັນໄດ້ຄົ້ນພົບວ່າ WireGuard ສໍາລັບເຫດຜົນບາງຢ່າງແມ່ນການສ້າງເສັ້ນທາງສໍາລັບຈຸດສິ້ນສຸດ, ແຕ່ມັນບໍ່ຖືກຕ້ອງ. ດັ່ງນັ້ນ, ສໍາລັບ 192.168.30.2, ຕາຕະລາງເສັ້ນທາງຊີ້ໃຫ້ເຫັນເສັ້ນທາງໂດຍຜ່ານການໂຕ້ຕອບ pppoe-wan, ນັ້ນແມ່ນ, ຜ່ານອິນເຕີເນັດ, ເຖິງແມ່ນວ່າເສັ້ນທາງໄປຫາມັນຄວນຈະຖືກນໍາໄປໂດຍຜ່ານການໂຕ້ຕອບ wg0. ຫຼັງຈາກລຶບເສັ້ນທາງນີ້, ການເຊື່ອມຕໍ່ໄດ້ຖືກຟື້ນຟູຄືນມາ. ຂ້ອຍບໍ່ສາມາດຊອກຫາຄໍາແນະນໍາໄດ້ທຸກບ່ອນກ່ຽວກັບວິທີບັງຄັບ WireGuard ບໍ່ໃຫ້ສ້າງເສັ້ນທາງເຫຼົ່ານີ້. ຍິ່ງໄປກວ່ານັ້ນ, ຂ້າພະເຈົ້າບໍ່ເຂົ້າໃຈວ່ານີ້ແມ່ນຄຸນສົມບັດຂອງ OpenWRT ຫຼື WireGuard ເອງ. ໂດຍບໍ່ມີການຈັດການກັບບັນຫານີ້ເປັນເວລາດົນ, ຂ້ອຍພຽງແຕ່ເພີ່ມສາຍໄປຫາ routers ທັງສອງໃນ script ກໍານົດເວລາທີ່ຈະລຶບເສັ້ນທາງນີ້:

route del 192.168.30.2

Summing up

ຂ້ອຍຍັງບໍ່ທັນໄດ້ບັນລຸການປະຖິ້ມ OpenVPN ຢ່າງສົມບູນ, ເພາະວ່າບາງຄັ້ງຂ້ອຍຈໍາເປັນຕ້ອງເຊື່ອມຕໍ່ກັບເຄືອຂ່າຍໃຫມ່ຈາກຄອມພິວເຕີ້ຫຼືໂທລະສັບ, ແລະການຕັ້ງຄ່າອຸປະກອນ Gretap ຢູ່ເທິງພວກມັນແມ່ນເປັນໄປບໍ່ໄດ້, ແຕ່ເຖິງວ່າຈະມີນີ້, ຂ້ອຍໄດ້ຮັບປະໂຫຍດໃນຄວາມໄວ. ການໂອນຂໍ້ມູນລະຫວ່າງຫ້ອງແຖວແລະ, ສໍາລັບການຍົກຕົວຢ່າງ, ການນໍາໃຊ້ VNC ແມ່ນບໍ່ສະດວກອີກຕໍ່ໄປ. Ping ຫຼຸດລົງເລັກນ້ອຍ, ແຕ່ມີຄວາມຫມັ້ນຄົງຫຼາຍ:

ເມື່ອໃຊ້ OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

ເມື່ອໃຊ້ WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

ມັນໄດ້ຮັບຜົນກະທົບຫຼາຍຈາກ ping ສູງຕໍ່ VPS, ເຊິ່ງປະມານ 61.5 ms

ຢ່າງໃດກໍຕາມ, ຄວາມໄວໄດ້ເພີ່ມຂຶ້ນຢ່າງຫຼວງຫຼາຍ. ດັ່ງນັ້ນ, ໃນອາພາດເມັນທີ່ມີ router ເຊີຟເວີຂ້ອຍມີຄວາມໄວໃນການເຊື່ອມຕໍ່ອິນເຕີເນັດ 30 Mbit / ວິນາທີ, ແລະໃນຫ້ອງແຖວອື່ນໆແມ່ນ 5 Mbit / ວິນາທີ. ໃນຂະນະດຽວກັນ, ໃນຂະນະທີ່ໃຊ້ OpenVPN, ຂ້ອຍບໍ່ສາມາດບັນລຸຄວາມໄວໃນການໂອນຂໍ້ມູນລະຫວ່າງເຄືອຂ່າຍຫຼາຍກ່ວາ 3,8 Mbit / ວິນາທີຕາມການອ່ານ iperf, ໃນຂະນະທີ່ WireGuard "ເພີ່ມ" ມັນກັບ 5 Mbit / ວິນາທີ.

ການຕັ້ງຄ່າ WireGuard ໃນ VPS[Interface] Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_1_МС>
AllowedIPs = 192.168.30.2/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2>
AllowedIPs = 192.168.30.3/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3>
AllowedIPs = 192.168.30.4/32

ການຕັ້ງຄ່າ WireGuard ໃນ MS (ເພີ່ມໃສ່ /etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

ການຕັ້ງຄ່າ WireGuard ໃນ MK2 (ເພີ່ມໃສ່ /etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

ການຕັ້ງຄ່າ WireGuard ໃນ MK3 (ເພີ່ມໃສ່ /etc/config/network)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

ໃນການຕັ້ງຄ່າທີ່ອະທິບາຍໄວ້ສໍາລັບ VPN ລະດັບທີສອງ, ຂ້ອຍຊີ້ລູກຄ້າ WireGuard ໄປທີ່ພອດ 51821. ໃນທາງທິດສະດີ, ນີ້ບໍ່ແມ່ນຄວາມຈໍາເປັນ, ເພາະວ່າລູກຄ້າຈະສ້າງການເຊື່ອມຕໍ່ຈາກພອດທີ່ບໍ່ມີສິດທິພິເສດໃດໆ, ແຕ່ຂ້ອຍເຮັດໃຫ້ມັນເປັນໄປໄດ້ເພື່ອຫ້າມ. ການເຊື່ອມຕໍ່ຂາເຂົ້າທັງຫມົດໃນການໂຕ້ຕອບ wg0 ຂອງ routers ທັງຫມົດຍົກເວັ້ນການເຊື່ອມຕໍ່ UDP ຂາເຂົ້າກັບພອດ 51821.

ຂ້າພະເຈົ້າຫວັງວ່າບົດຄວາມຈະເປັນປະໂຫຍດສໍາລັບຜູ້ໃດຜູ້ຫນຶ່ງ.

PS ນອກຈາກນີ້, ຂ້ອຍຕ້ອງການແບ່ງປັນສະຄຣິບຂອງຂ້ອຍທີ່ສົ່ງການແຈ້ງເຕືອນ PUSH ໄປຫາໂທລະສັບຂອງຂ້ອຍໃນແອັບພລິເຄຊັນ WirePusher ເມື່ອອຸປະກອນໃໝ່ປາກົດຢູ່ໃນເຄືອຂ່າຍຂອງຂ້ອຍ. ນີ້ແມ່ນການເຊື່ອມຕໍ່ກັບ script: github.com/r0ck3r/device_discover.

UPDATE: ການຕັ້ງຄ່າຂອງເຄື່ອງແມ່ຂ່າຍ OpenVPN ແລະລູກຄ້າ

ເຊີບເວີ OpenVPN

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

ລູກຄ້າ OpenVPN

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

ຂ້ອຍໃຊ້ easy-rsa ເພື່ອສ້າງໃບຢັ້ງຢືນ

ແຫຼ່ງຂໍ້ມູນ: www.habr.com