Banana Pi R64 maršrutētājs – Debian, Wireguard, RKN

Banana Pi 64 ir viena borta dators, kas līdzīgs Raspberry Pi, taču ar vairākiem Ethernet portiem, kas ļauj to pārvērst par maršrutētāju, kura pamatā ir vispārēja Linux izplatīšana.

Jā, Openwrt jau ir, bet tam ir savas problēmas, tā GUI un CLI; Ir Mikrotik, bet tam atkal ir savs GUI/CLI, un Wireguard nestrādā no kastes... Vispār gribu rūteri ar elastīgiem iestatījumiem, paliekot standarta Linux ietvaros, ar kuru jūs strādājat ar katru dienu.

Rakstā ar nosaukumiem BPI, R64, vienplate, es domāju to pašu - pašu Banana Pi R64 vienplati.

Attēla izvēle. Lejupielādēt, izmantojot eMMC

Pati pirmā prasme, kas jāapgūst, strādājot SBC kopumā, un jo īpaši ar R64, tas nozīmē iemācīties tajā ielādēt operētājsistēmu un spēju ar to mijiedarboties, jo R64 nav pieslēgvietas monitoram (piemēram, HDMI). Kad viss nokrita - pārstāja darboties Wifi, Ethernet, Bluetooth, USB utt.. Ir UART, caur kuru interfeisu vienmēr var redzēt, kas nogāja greizi, kā arī palaist pāris komandas no konsoles, ja nepieciešams.

Algoritms savienojuma izveidei ar R64, izmantojot USB-UART:

• mēs skrienam uz radio detaļu veikalu pēc USB-UART kabeli (PL2303, Serial-to-USB)
• pievienojiet vienu USB galu datoram, bet otru, UART, R64, ar trim vadiem no četriem, kā parādīts attēlā zemāk
• palaist datora konsolē sudo minicom

Pēc tam vairumā gadījumu parādīsies vienas plates konsole = veiksme.
Jūs varat redzēt sīkāku informāciju šeit.

Pēc tam vienkāršākais veids ir ielādēt operētājsistēmu no SD kartes: lejupielādējiet līdz saite attēlu un aizpildiet to:

unzip -p 2019-08-23-ubuntu-16.04-lite-preview-bpi-r64-sd-emmc.img.zip | pv | sudo dd of=/dev/mmcblk0 bs=10M status=noxfer

Mēs ievietojam karti R64 SD slotā, ieslēdzam to un novērojam pievienotās konsoles ielādi vispirms uboot, pēc tam standarta Linux ielādi.

Alternatīva sāknēšanas iespēja ir izmantot 64Gb karti, kas jau ir iebūvēta R8, ko sauc par eMMC. Saskaņā ar wiki norādījumiem mēs kopējam attēlu ierīcē
/dev/mmcblk0 uz BPI, restartējiet, izņemiet SD karti, atkal ieslēdziet BPI... un tas nedarbojas. Kā iet uz priekšu un atpakaļ Boot select netraucē.

Fakts ir tāds, ka vismaz BPI ir jāiestata īpašs karodziņš, lai varētu palaist no iekšējā zibatmiņas diska:

root@bpi-r64:~# ./mmc extcsd read /dev/mmcblk1 | grep 'PARTITION_CONFIG'
Boot configuration bytes [PARTITION_CONFIG: 0x00]
root@bpi-r64:~# ./mmc bootpart enable 1 1 /dev/mmcblk1
root@bpi-r64:~# ./mmc extcsd read /dev/mmcblk1 | grep 'PARTITION_CONFIG'
Boot configuration bytes [PARTITION_CONFIG: 0x48]

Tālāk jums jāieraksta priekšielādētājs īpašā sāknēšanas nodalījumā

root@bpi-r64:~# echo 0 > /sys/block/mmcblk0boot0/force_ro 
root@bpi-r64:~# dd if=preloader_evb7622_64_foremmc.bin of=/dev/mmcblk0boot0

Ražotājs R64 (Ķīna) ievietoja šo bināro failu šeit. Tas, ko tas dara, nav zināms (nav avota kodu), taču tas nedarbosies arī bez tā.

Kopumā pēc tam attēli sāk ielādēt no eMMC. Ja vēlaties to izdomāt un izveidot attēlus no nulles, tad abos gadījumos (SD/eMMC) ir jāuzraksta vēl vairāki faili (SD kartes priekšielādētājs, ATF, u-boot), lai tikai tiktu pie kodola ielādēšanas. Šī tēma joprojām ir attīstās, bet mums galvenais, lai strādā un labi.

Tagad lejupielādēju caur eMMC, godīgi sakot, neizmantoju, pietiek ar SD karti, bet pavadīju diezgan daudz laika, lai tā darbotos, tāpēc lai tas ir rakstā.

Operētājsistēmas izvēle. Armbija

Pirmais lietojumprogrammas uzdevums ir palaist VPN, dabiski Wireguard. Uzreiz atklājās, ka kodola pusē tas nav samontēts un nav galvenes. Es pārbūvēju kodolu un, kā tas ir mans ieradums ar x86, saliku kodola moduli, izmantojot DKMS. Tomēr pat nelielu inženierkomunikāciju izveides ātrums uz arm64 mani nepatīkami pārsteidza. Un tad vajadzēja vēl vienu kodola moduli utt. Kopumā izrādās, ka visu, kas saistīts ar kodolu, vislabāk ir salikt uz silta x86 klēpjdatora, pēc tam vienkārši kopējot pārsūtīt uz R64, pārstartēt un pārbaudīt.

Vēl viena lieta ir userspace daļa. Manā gadījumā, izvēloties Debian, viss arm64 arhitektūrai jau atrodas vietnē packages.debian.org, un nekas nav jāpārbūvē.

Lai neražotu vēl vienu velosipēdu, I pārnests Armbija uz BPI R64.
Pareizāk sakot, šī: lietotāja telpas daļa ir Armbian, un kodols tiek ņemts no repozitorija atklāts-A. Jaunāko attēlu var lejupielādēt šeit.

Visas darbības, kas saistītas ar R64 programmatūras daļas izstrādi, tiek veiktas forums. Vispārīgi runājot, pats ražotājs cenšas popularizēt Openwrt maršrutētāju, taču, pateicoties izstrādātāja Frank no Vācijas darbībai, visas funkcijas ātri nonāk Debian kodolā. Pārsteidzoši, Frenks ir aktīvs katrā foruma pavedienā.

Darba telpas organizācija: vadi

Atsevišķi es vēlētos jums pastāstīt, kā izstrādes/testēšanas laikā novietot SBC (ne tikai BPI) uz galda, lai visā telpā/birojā uz to netiktu palaists Ethernet kabelis no interneta avota. Fakts ir tāds, ka, no vienas puses, jums ir jānodrošina aparatūra ar internetu, bet, no otras puses, viss šajā aparatūrā var sabojāties, un, pirmkārt, Wi-Fi.

Pirmkārt, es nolēmu nopirkt lētu USB-Wifi “svilpi”, iespraust to vienīgajā BPI portā un aizmirst par vadiem. Lai to izdarītu, es iegādājos lētu TP-LINK TL-WN725N USB 2.0, taču ļoti drīz kļuva skaidrs, ka tas nepacelsies: lai svilpe darbotos, ir nepieciešams kodola draiveris, kura, protams, tur nebija. (vēlāk es samontēju nepieciešamo RTL8XXXU draiveri, bet tas joprojām ir nepraktisks ). Un Ethernet kabelis uz brīdi sabojāja telpas izskatu.

Rezultātā man izdevās atbrīvoties no kabeļa ar Tenda MW3 (Wifi mesh system) palīdzību: es vienkārši noliku vienu kubu zem galda un ar metru garu Ethernet kabeli savienoju BPI ar pēdējā LAN portu. Panākumi.

Stiepļu aizsargs, RKN, putns

Viena no lietām, kurai es vēlos izmantot Banana PI, ir nodrošināt bezmaksas piekļuvi vietnēm, kuras bloķējis RKN, lai varētu darboties Telegram un Slack zvani. Par šo tēmu jau ir ierosināti raksti par Habrē: laiks, два, trīs.

Es izvietoju tieši šo risinājumu, izmantojot Ansible: saite.

Tiek pieņemts, ka VPS darbojas Ubuntu 18.04. Es pārbaudīju funkcionalitāti divos mitinātājos Eiropā: Amazon un Digital Ocean.

Tātad, mēs instalējām iepriekš minēto Armbian uz R64, tas ir pieejams caur ssh ar nosaukumu hm-bananapi-1 un ir interneta pieslēgums. Mēs konsekventi izvietojam Ansible automatizācijas skriptus un palaižam pašu instalāciju uz R64:

# зависимости для Debian-based дистрибутивов
$ sudo apt install --no-install-recommends python3-pip python3-setuptools python3-wheel git
$ which pip3
/usr/bin/pip3

# ansible с pybook, скриптование на Python
$ pip3 install https://github.com/muravjov/ansible/archive/ansible-2.10.0.dev0-pybook2019.tar.gz

$ export PATH=~/.local/bin:$PATH
$ which ansible-playbook
/home/sa/.local/bin/ansible-playbook

$ git clone https://github.com/muravjov/ansible-bpi-r64.git
$ cd ansible-bpi-r64

$ git submodule update --init

# убеждаемся в доступности hm-bananapi-1
$ ssh hm-bananapi-1 which python3
/usr/bin/python3

# собственно установка
$ ansible-playbook ./router.py -l hm-bananapi-1

Tālāk jums ir jāizvieto mūsu VPN VPS tādā pašā veidā:

ansible-playbook ./router.py -l current-vpn

Šeit arguments vienmēr ir pašreizējais-vpn, un faktiskais VPS nosaukums ir konfigurēts mainīgajā (šajā gadījumā tas ir paris-vpn-aws-t2-micro-1):

$ grep current_vpn group_vars/all 
current_vpn: paris-vpn-aws-t2-micro-1
#current_vpn: frankfurt-vpn-d0-starter-1

Ak jā, pirms visām šīm darbībām mapē ir jāģenerē noslēpumi (it īpaši Wireguard atslēgas). ./secrets, direktorijam vajadzētu izskatīties šādi tā.

Iespējamā automatizācija Python

Jūs varat pamanīt, ka tā vietā, lai tās būtu YAML formātā, Ansible komandas tiek kodētas Python skriptos. Salīdzinājumam, kā parastajā veidā iespējot putnu dēmonu:

- name: start bird
  systemd:
    name: bird
    state: started
    enabled: yes

un kā to izdarīt, izmantojot Python:

with mapping:
    append("name", "start bird")
    with mapping("systemd"):
        append("name",  "bird")
        append("state", "started")
        append("enabled", "yes")

Ansible komandu rakstīšana Python ļauj atkārtoti izmantot kodu un kopumā paver visas universālās valodas iespējas. Piemēram, putna instalēšana uz R64 un VPS:

install_bird("router/bird.conf.j2")
install_bird("vpn/bird.conf.j2")

skatiet funkcijas kodu install_bird().

Šī funkcija sauc pybook īstenota šeit. Pagaidām nav dokumentācijas par pybook, taču es šo problēmu novērsīšu vēlāk.

Ko viņš domā pret straumi šajā gadījumā.

Uzraudzība. Prometejs

Kopā: telegramma darbojas, linkedin un pornhub arī, kopumā lietotāja pieredze ir ok. Bet viss var salūzt, ieskaitot ķīniešu aparatūru.

Kodola atjauninājumi var būt arī interesanti: piemēram, es gribēju atjaunināt kodolu 5.4 => 5.6, labi, Wireguard jau ir izņemts no kastes, nav nepieciešams labot... Neko ātrāk pateikts: es cītīgi pārnesu ielāpus no 5.4 uz 5.6, kodols tika palaists, tunelis uz VPS tika pingēts, bet putns nevar izveidot savienojumu ar kļūdu "BGP Error" ... "I rolled back in horror" (c) uz 5.4; Pāreja uz 5.6 tika atlikta TODO.

Tāpēc papildus maršrutētāja un VPS instalēšanai es pievienoju uzraudzību (uz x86 Ubuntu 18.04), kas ir instalēts atsevišķā resursdatorā ar šādiem komponentiem:

• prometheus, alertmanager, blackbox_exporter — viss docker
• Brīdinājumi tiek nosūtīti uz telegrammas kanālu, izmantojot robotu metalmatze/alertmanager-bot — arī programmā Docker
• tor robotam, lai robots varētu brīdināt par situācijām, kad ir internets, bet Telegram joprojām nedarbojas un pats robots nevar izveidot savienojumu
• piemērots brīdinājumus: NodeVPNTproblēmas (nav ping uz VPS), BirdVPNTproblēmas (nav Bird sesijas), Antifiltra lejupielādes problēmas (kļūda, ielādējot bloķētas IP adreses), SiteTroubles (neveiksmīgā telegramma nav pieejama)
• sistēmas brīdinājumi, piemēram, HostGrowingDiskReadLatency (lēta SD karte kļūst nelasāma)

Uzraudzības uzstādīšanas piemērs:

ansible-playbook ./monitoring.py -l monitoring-preprod

Prometheus automātiskā atklāšana ir konfigurēta mapē /etc/prometheus/auto_http, kas ir piemērs resursdatora pievienošanai uzraudzībai (saimnieki netiek pārraudzīti pēc noklusējuma):

bash << 'EOF'
HOSTNAME=hm-bananapi-1
IP_ADDRESS=`ssh -G $HOSTNAME | awk '/^hostname / { print $2 }'`

ssh monitoring-preprod sudo sponge /etc/prometheus/auto_http/$HOSTNAME.json << EOF2
[
  {
    "targets": ["$IP_ADDRESS:9100"],
    "labels": {
      "env": "prod",
      "hostname": "$HOSTNAME"
    }
  }
]
EOF2
EOF

TODO: 2 pakalpojumu sniedzēji, 2 BPI, jebkuras apraides kļūmjpārlēce

Papildus visam plānoju pieslēgties pie diviem provaideriem, lai internets turpinātu strādāt, pat ja vienam provaiderim būtu problēmas ar tīklu, vai aizmirsu samaksāt par internetu utt un citi cilvēciskie faktori.

Ir aprakstīta visprogresīvākā lietotāju pieredze par multi-wan tēmu šeit Mwan3 sistēmai saskaņā ar Openwrt. Šim risinājumam ir bagātīga funkcionalitāte, taču tā iestatīšana un darbība kopumā vairākiem wan ir diezgan apgrūtinoša. Tikai viens piemērs: ja jūs ierodaties uz dažām vietnēm no divām IP adresēm vienlaikus, viņiem tas var nepatikt, viņi pārtrauks darboties => "internets nedarbojas."

Ņemot vērā šo pieredzi, nolēmu, ka multihoming pagaidām nav prioritāte, tikai failover. Lai gan šķiet, ka jaunākajās Linux versijās visam vajadzētu darboties ar vienu komandu, piemēram:

ip route add default 
    nexthop via 192.168.1.1 weight 10 
    nexthop via 192.168.2.1 weight 5

Tātad, lai izvairītos no viena kļūmes punkta, mēs ņemam 2 BPI, savienojam katru ar vienu pakalpojumu sniedzēju, savienojam tos savā starpā un izveidojam savienojumu savā starpā dinamisku maršrutēšanu, izmantojot putnu/OSPF.

Tālāk mēs reklamējam vienu un to pašu IP adresi katrā, ja pakalpojums ir pieejams (internets, DNS). Tas ir, mēs paši nenostādīsim noklusējuma maršrutu, bet gan caur putnu. Es izspiegoju risinājumu šeit .

Šī funkcionalitāte vēl nav ieviesta, mānīgais koronavīruss šeit piespēlēja (ne viss ieradās no Aliexpress; cits interneta veikals Layta solīja piegādāt pēc nedēļas, bet pagājis vairāk nekā mēnesis; otrajam pakalpojumu sniedzējam nebija laika lai pagarinātu kabeli pirms karantīnas, izdevās tikai dabūt sienā caurumu kabeli).

Kā pasūtīt R64

Pati dēlis atrodas oficiālajā veikalā SinoVoip.
Labāk ir arī nekavējoties pasūtīt:

• pārtika + informēt ES vai ASV spraudņa standartu
• siltuma izlietne: radiatori/ventilatori; jo uzsilst gan CPU, gan slēdža mikroshēma
• wifi antena, piemēram

Ir nianse - oficiālajā veikalā piegādes cena jau kādu laiku kļuvusi neadekvāti augsta. Menedžere Džūdija Huanga mani pārliecināja, ka kļūdu nav, un jūs varat izvēlēties ePacket par 5 USD, bet es redzēju, ka Krievijai ir tikai EMS par > 33 USD. Nepatīkami, bet ne kritiski. Turklāt, ja izvēlēsieties piegādei jebkuru citu valsti (izbraucu cauri visiem kontinentiem), piegāde maksās ~5$. Rusofobi?.. Bet tad konstatēju, ka Francijai piegādes cena arī ~30$, un nomierinājos.

Rezultātā Džūdija piedāvāja veikt pasūtījumu, bet nemaksāt (mājiens: ielieciet karti mazāk, lai automātiskais maksājums netiktu cauri); uzraksti viņai un viņa samazinās piegādes cenu līdz normālai. Panākumi.

Jautājumi

Ne viss vēl darbojas ideāli.

Производительность

Ansible=Python komandas tiek izpildītas lēni, pat dīkstāves, 20-30 sekundes; par lielumu garāks nekā x86 klēpjdatorā. Turklāt sākumā tie tiek izpildīti diezgan ātri, ~3 sekundes, pēc tam strauji bremzē. Tas var būt saistīts ar CPU uzkaršanu (droselēšanu). Arī Go kods darbojas ilgi:

# запрос метрик для прометея из node_exporter на Go
$ time curl -s http://172.30.1.1:9100/metrics > /dev/null

real    0m6,118s
user    0m0,005s
sys     0m0,009s

# однако температура 51 градус, не так и много
sa@bananapir64:~$ cat /sys/devices/virtual/thermal/thermal_zone0/temp
51700

Wifi

Wifi darbojas, bet Armbian tas apstājas apmēram pēc dienas, raksta:

sa@bananapir64:~$ dmesg | grep -E 'mt7622_wmac.*timeout'
[470303.802539] mt7622_wmac 18000000.wmac: Message 38 (seq 3) timeout
[470314.042508] mt7622_wmac 18000000.wmac: Message 50 (seq 4) timeout
...

Palīdz tikai restartēšana. Mums jāiet tālāk atrisināt.

Ethernet

Ethernet strādā, bet pēc ~64 stundām pārstāj ienākt paketes (DHCP) no RXNUMX.
Interfeisa restartēšana palīdz:

ifdown br0; sleep 30; ifup br0

Draiveris jauns, vēl nav pieņemts kodolā, ceru, ka tas ir ķīnietis Landen Chao pabeidz to.

Avots: www.habr.com