ഒരു L2 നെറ്റ്‌വർക്കിലേക്ക് നെറ്റ്‌വർക്കുകളെ സംയോജിപ്പിക്കാൻ OpenVPN-ൽ നിന്ന് WireGuard-ലേക്ക് മാറുന്നു

ഭൂമിശാസ്ത്രപരമായി വിദൂരമായ മൂന്ന് അപ്പാർട്ട്‌മെന്റുകളിലെ നെറ്റ്‌വർക്കുകൾ സംയോജിപ്പിച്ചതിന്റെ അനുഭവം പങ്കിടാൻ ഞാൻ ആഗ്രഹിക്കുന്നു, അവയിൽ ഓരോന്നിനും OpenWRT റൂട്ടറുകൾ ഗേറ്റ്‌വേ ആയി ഉപയോഗിക്കുന്നു, ഒരു പൊതു നെറ്റ്‌വർക്കിലേക്ക്. എല്ലാ നെറ്റ്‌വർക്ക് നോഡുകളും ഒരേ സബ്‌നെറ്റിൽ ആയിരിക്കുമ്പോൾ, എൽ3 സബ്‌നെറ്റ് റൂട്ടിംഗും എൽ2 ബ്രിഡ്ജിംഗും തമ്മിൽ നെറ്റ്‌വർക്കുകൾ സംയോജിപ്പിക്കുന്നതിനുള്ള ഒരു രീതി തിരഞ്ഞെടുക്കുമ്പോൾ, കോൺഫിഗർ ചെയ്യാൻ കൂടുതൽ ബുദ്ധിമുട്ടുള്ളതും എന്നാൽ കൂടുതൽ അവസരങ്ങൾ നൽകുന്നതുമായ രണ്ടാമത്തെ രീതിക്ക് മുൻഗണന നൽകി. വേക്ക്-ഓൺ-ലാനും ഡിഎൽഎൻഎയും സൃഷ്ടിക്കുന്ന നെറ്റ്‌വർക്കിൽ സാങ്കേതികവിദ്യകളുടെ സുതാര്യമായ ഉപയോഗം ആസൂത്രണം ചെയ്തിട്ടുണ്ട്.

ഭാഗം 1: പശ്ചാത്തലം

ഈ ടാസ്‌ക് നടപ്പിലാക്കുന്നതിനുള്ള പ്രോട്ടോക്കോളായി ആദ്യം ഓപ്പൺവിപിഎൻ തിരഞ്ഞെടുത്തു, കാരണം, ഒന്നാമതായി, ബ്രിഡ്ജിലേക്ക് പ്രശ്‌നങ്ങളില്ലാതെ ചേർക്കാൻ കഴിയുന്ന ഒരു ടാപ്പ് ഉപകരണം സൃഷ്ടിക്കാൻ ഇതിന് കഴിയും, രണ്ടാമതായി, ടിസിപി പ്രോട്ടോക്കോളിന് മുകളിലൂടെയുള്ള പ്രവർത്തനത്തെ ഓപ്പൺവിപിഎൻ പിന്തുണയ്ക്കുന്നു, അത് പ്രധാനമാണ്, കാരണം ഒന്നുമില്ല. അപ്പാർട്ട്‌മെന്റുകളിൽ ഒരു സമർപ്പിത IP വിലാസം ഉണ്ടായിരുന്നു, എനിക്ക് STUN ഉപയോഗിക്കാൻ കഴിഞ്ഞില്ല, കാരണം ചില കാരണങ്ങളാൽ എന്റെ ദാതാവ് അവരുടെ നെറ്റ്‌വർക്കുകളിൽ നിന്നുള്ള ഇൻകമിംഗ് UDP കണക്ഷനുകൾ തടയുന്നു, അതേസമയം TCP പ്രോട്ടോക്കോൾ എന്നെ SSH ഉപയോഗിച്ച് വാടകയ്‌ക്ക് VPS-ലേക്ക് VPN സെർവർ പോർട്ട് കൈമാറാൻ അനുവദിച്ചു. അതെ, ഈ സമീപനം ഒരു വലിയ ലോഡ് നൽകുന്നു, കാരണം ഡാറ്റ രണ്ടുതവണ എൻക്രിപ്റ്റുചെയ്‌തിരിക്കുന്നു, പക്ഷേ എന്റെ സ്വകാര്യ നെറ്റ്‌വർക്കിലേക്ക് ഒരു വിപിഎസ് അവതരിപ്പിക്കാൻ ഞാൻ ആഗ്രഹിച്ചില്ല, കാരണം മൂന്നാം കക്ഷികൾക്ക് അതിൽ നിയന്ത്രണം ലഭിക്കാനുള്ള സാധ്യതയുണ്ട്, അതിനാൽ, അത്തരമൊരു ഉപകരണം ഉണ്ട് എന്റെ ഹോം നെറ്റ്‌വർക്കിൽ അങ്ങേയറ്റം അനഭിലഷണീയമായതിനാൽ ഒരു വലിയ ഓവർഹെഡിൽ സെക്യൂരിറ്റിക്ക് പണം നൽകാൻ തീരുമാനിച്ചു.

സെർവർ വിന്യസിക്കാൻ പദ്ധതിയിട്ടിരുന്ന റൂട്ടറിൽ പോർട്ട് ഫോർവേഡ് ചെയ്യാൻ, sshtunnel പ്രോഗ്രാം ഉപയോഗിച്ചു. അതിന്റെ കോൺഫിഗറേഷന്റെ സങ്കീർണതകൾ ഞാൻ വിവരിക്കില്ല - ഇത് വളരെ എളുപ്പത്തിൽ ചെയ്തു, റൂട്ടറിൽ നിന്ന് VPS-ലേക്ക് TCP പോർട്ട് 1194 ഫോർവേഡ് ചെയ്യുക എന്നതായിരുന്നു അതിന്റെ ചുമതല എന്നത് ഞാൻ ശ്രദ്ധിക്കും. അടുത്തതായി, br-lan ബ്രിഡ്ജുമായി ബന്ധിപ്പിച്ചിരിക്കുന്ന tap0 ഉപകരണത്തിൽ OpenVPN സെർവർ ക്രമീകരിച്ചു. ലാപ്‌ടോപ്പിൽ നിന്ന് പുതുതായി സൃഷ്‌ടിച്ച സെർവറിലേക്കുള്ള കണക്ഷൻ പരിശോധിച്ച ശേഷം, പോർട്ട് ഫോർവേഡിംഗ് എന്ന ആശയം ന്യായമാണെന്നും എന്റെ ലാപ്‌ടോപ്പ് റൂട്ടറിന്റെ നെറ്റ്‌വർക്കിൽ അംഗമായെന്നും വ്യക്തമായിരുന്നു, അത് ശാരീരികമായി അതിൽ ഇല്ലെങ്കിലും.

ഒരു ചെറിയ കാര്യം മാത്രമേ ചെയ്യാനുള്ളൂ: വ്യത്യസ്ത അപ്പാർട്ടുമെന്റുകളിൽ ഐപി വിലാസങ്ങൾ വിതരണം ചെയ്യേണ്ടത് ആവശ്യമാണ്, അങ്ങനെ അവ വൈരുദ്ധ്യമുണ്ടാക്കുകയും റൂട്ടറുകൾ ഓപ്പൺവിപിഎൻ ക്ലയന്റുകളായി കോൺഫിഗർ ചെയ്യുകയും ചെയ്തു.
ഇനിപ്പറയുന്ന റൂട്ടർ IP വിലാസങ്ങളും DHCP സെർവർ ശ്രേണികളും തിരഞ്ഞെടുത്തു:

• 192.168.10.1 ഒരു ശ്രേണിയിൽ 192.168.10.2 - 192.168.10.80 സെർവറിനായി
• 192.168.10.100 ഒരു ശ്രേണിയിൽ 192.168.10.101 - 192.168.10.149 അപ്പാർട്ട്മെന്റ് നമ്പർ 2 ലെ റൂട്ടറിനായി
• 192.168.10.150 ഒരു ശ്രേണിയിൽ 192.168.10.151 - 192.168.10.199 അപ്പാർട്ട്മെന്റ് നമ്പർ 3 ലെ റൂട്ടറിനായി

ഓപ്പൺവിപിഎൻ സെർവറിന്റെ കോൺഫിഗറേഷനിലേക്ക് ലൈൻ ചേർത്ത് ക്ലയന്റ് റൂട്ടറുകളിലേക്ക് ഈ വിലാസങ്ങൾ കൃത്യമായി നൽകേണ്ടതും ആവശ്യമാണ്:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

കൂടാതെ /etc/openvpn/ipp.txt ഫയലിലേക്ക് ഇനിപ്പറയുന്ന വരികൾ ചേർക്കുന്നു:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

OpenVPN-ലേക്ക് കണക്റ്റുചെയ്യുന്നതിന് സർട്ടിഫിക്കറ്റുകൾ സൃഷ്‌ടിക്കുമ്പോൾ വ്യക്തമാക്കിയ ഉപകരണ നാമങ്ങളാണ് flat1_id, flat2_id എന്നിവ.

അടുത്തതായി, ഓപ്പൺവിപിഎൻ ക്ലയന്റുകൾ റൂട്ടറുകളിൽ ക്രമീകരിച്ചു, രണ്ടിലും ടാപ്പ്0 ഉപകരണങ്ങൾ br-lan ബ്രിഡ്ജിൽ ചേർത്തു. ഈ ഘട്ടത്തിൽ, മൂന്ന് നെറ്റ്‌വർക്കുകളും പരസ്പരം കാണാനും ഒന്നായി പ്രവർത്തിക്കാനും കഴിയുന്നതിനാൽ എല്ലാം ശരിയാണെന്ന് തോന്നി. എന്നിരുന്നാലും, അത്ര സുഖകരമല്ലാത്ത ഒരു വിശദാംശം ഉയർന്നുവന്നു: ചിലപ്പോൾ ഉപകരണങ്ങൾക്ക് അവരുടെ റൂട്ടറിൽ നിന്നല്ല ഐപി വിലാസം ലഭിക്കുക, തുടർന്നുള്ള എല്ലാ അനന്തരഫലങ്ങളും. ചില കാരണങ്ങളാൽ, അപ്പാർട്ട്‌മെന്റുകളിലൊന്നിലെ റൂട്ടറിന് കൃത്യസമയത്ത് DHCPDISCOVER-നോട് പ്രതികരിക്കാൻ സമയമില്ല, കൂടാതെ ഉപകരണത്തിന് ഉദ്ദേശിച്ചിട്ടില്ലാത്ത ഒരു വിലാസം ലഭിച്ചു. ഓരോ റൂട്ടറുകളിലും അത്തരം അഭ്യർത്ഥനകൾ ടാപ്പ് 0-ൽ ഫിൽട്ടർ ചെയ്യേണ്ടതുണ്ടെന്ന് ഞാൻ മനസ്സിലാക്കി, പക്ഷേ അത് മാറിയതുപോലെ, ഉപകരണം ഒരു ബ്രിഡ്ജിന്റെ ഭാഗമാണെങ്കിൽ iptables-ന് പ്രവർത്തിക്കാൻ കഴിയില്ല, കൂടാതെ ebtables എന്റെ സഹായത്തിന് വരണം. എന്റെ ഖേദത്തിന്, അത് എന്റെ ഫേംവെയറിൽ ഇല്ലായിരുന്നു, ഓരോ ഉപകരണത്തിനും ചിത്രങ്ങൾ പുനർനിർമ്മിക്കേണ്ടി വന്നു. ഇത് ചെയ്ത് ഓരോ റൂട്ടറിന്റെയും /etc/rc.local എന്നതിലേക്ക് ഈ വരികൾ ചേർക്കുന്നതിലൂടെ, പ്രശ്നം പരിഹരിച്ചു:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

ഈ കോൺഫിഗറേഷൻ മൂന്ന് വർഷം നീണ്ടുനിന്നു.

ഭാഗം 2: വയർഗാർഡ് അവതരിപ്പിക്കുന്നു

അടുത്തിടെ, ഇന്റർനെറ്റിലെ ആളുകൾ വയർഗാർഡിനെക്കുറിച്ച് കൂടുതലായി സംസാരിക്കാൻ തുടങ്ങി, അതിന്റെ കോൺഫിഗറേഷന്റെ ലാളിത്യം, ഉയർന്ന ട്രാൻസ്മിഷൻ വേഗത, താരതമ്യപ്പെടുത്താവുന്ന സുരക്ഷയുള്ള കുറഞ്ഞ പിംഗ് എന്നിവയെ അഭിനന്ദിക്കുന്നു. അതിനെക്കുറിച്ച് കൂടുതൽ വിവരങ്ങൾക്കായി തിരയുമ്പോൾ, ഒരു ബ്രിഡ്ജ് അംഗമായി പ്രവർത്തിക്കുകയോ ടിസിപി പ്രോട്ടോക്കോളിൽ പ്രവർത്തിക്കുകയോ ചെയ്യുന്നില്ല എന്ന് വ്യക്തമാക്കി, ഇത് എനിക്ക് ഓപ്പൺവിപിഎൻ-ന് ബദലുകളൊന്നുമില്ലെന്ന് എന്നെ ചിന്തിപ്പിച്ചു. അതിനാൽ വയർഗാർഡിനെ അറിയുന്നത് ഞാൻ മാറ്റിവച്ചു.

കുറച്ച് ദിവസങ്ങൾക്ക് മുമ്പ്, 5.6 പതിപ്പ് മുതൽ WireGuard ഒടുവിൽ ലിനക്സ് കേർണലിൽ ഉൾപ്പെടുത്തുമെന്ന് ഐടിയുമായി ബന്ധപ്പെട്ട ഒരു തരത്തിലല്ലെങ്കിൽ മറ്റൊരു തരത്തിൽ ഉറവിടങ്ങളിൽ വാർത്തകൾ പ്രചരിച്ചിരുന്നു. വാർത്താ ലേഖനങ്ങൾ, എല്ലായ്പ്പോഴും എന്നപോലെ, വയർഗാർഡിനെ പ്രശംസിച്ചു. പഴയ ഓപ്പൺവിപിഎൻ മാറ്റിസ്ഥാപിക്കാനുള്ള വഴികൾക്കായുള്ള തിരയലിൽ ഞാൻ വീണ്ടും മുഴുകി. ഇത്തവണ ഞാൻ ഓടിക്കയറി ഈ ലേഖനം. GRE ഉപയോഗിച്ച് L3 ന് മുകളിൽ ഒരു ഇഥർനെറ്റ് ടണൽ സൃഷ്ടിക്കുന്നതിനെ കുറിച്ച് അത് സംസാരിച്ചു. ഈ ലേഖനം എനിക്ക് പ്രതീക്ഷ നൽകി. UDP പ്രോട്ടോക്കോൾ എന്തുചെയ്യണമെന്ന് വ്യക്തമല്ല. ഒരു യുഡിപി പോർട്ട് ഫോർവേഡ് ചെയ്യുന്നതിന് ഒരു എസ്എസ്എച്ച് ടണലുമായി സംയോജിച്ച് സോകാറ്റ് ഉപയോഗിക്കുന്നതിനെക്കുറിച്ചുള്ള ലേഖനങ്ങളിലേക്ക് തിരയൽ എന്നെ നയിച്ചു, എന്നിരുന്നാലും, ഈ സമീപനം സിംഗിൾ കണക്ഷൻ മോഡിൽ മാത്രമേ പ്രവർത്തിക്കൂ, അതായത്, നിരവധി വിപിഎൻ ക്ലയന്റുകളുടെ പ്രവർത്തനം അസാധ്യമാകുമെന്ന് അവർ അഭിപ്രായപ്പെട്ടു. ഒരു വിപിഎസിൽ ഒരു വിപിഎൻ സെർവർ ഇൻസ്റ്റാൾ ചെയ്യാനും ക്ലയന്റുകൾക്കായി ജിആർഇ സജ്ജീകരിക്കാനുമുള്ള ആശയം ഞാൻ കൊണ്ടുവന്നു, പക്ഷേ, ജിആർഇ എൻക്രിപ്ഷനെ പിന്തുണയ്ക്കുന്നില്ല, ഇത് മൂന്നാം കക്ഷികൾ സെർവറിലേക്ക് പ്രവേശനം നേടിയാൽ എന്ന വസ്തുതയിലേക്ക് നയിക്കും. , എന്റെ നെറ്റ്‌വർക്കുകൾക്കിടയിലുള്ള എല്ലാ ട്രാഫിക്കും അവരുടെ കൈകളിലായിരിക്കും, അത് എനിക്ക് ഒട്ടും അനുയോജ്യമല്ല.

ഒരിക്കൽ കൂടി, ഇനിപ്പറയുന്ന സ്കീം ഉപയോഗിച്ച് VPN വഴി VPN ഉപയോഗിച്ച് അനാവശ്യ എൻക്രിപ്ഷന് അനുകൂലമായി തീരുമാനം എടുത്തു:

ലെവൽ XNUMX VPN:
VPS ലേക്ക് അത് സെർവർ ആന്തരിക വിലാസം 192.168.30.1
എംഎസ് അത് കക്ഷി ആന്തരിക വിലാസം 192.168.30.2 ഉള്ള VPS
MK2 അത് കക്ഷി ആന്തരിക വിലാസം 192.168.30.3 ഉള്ള VPS
MK3 അത് കക്ഷി ആന്തരിക വിലാസം 192.168.30.4 ഉള്ള VPS

രണ്ടാം നില VPN:
എംഎസ് അത് സെർവർ ബാഹ്യ വിലാസം 192.168.30.2 ഉം ആന്തരിക 192.168.31.1 ഉം
MK2 അത് കക്ഷി എംഎസ് 192.168.30.2 എന്ന വിലാസത്തിനൊപ്പം ഒരു ആന്തരിക IP 192.168.31.2 ഉണ്ട്
MK3 അത് കക്ഷി എംഎസ് 192.168.30.2 എന്ന വിലാസത്തിനൊപ്പം ഒരു ആന്തരിക IP 192.168.31.3 ഉണ്ട്

* എംഎസ് - അപ്പാർട്ട്മെന്റ് 1 ലെ റൂട്ടർ-സെർവർ, MK2 - അപ്പാർട്ട്മെന്റ് 2 ലെ റൂട്ടർ, MK3 - അപ്പാർട്ട്മെന്റ് 3 ലെ റൂട്ടർ
* ലേഖനത്തിന്റെ അവസാനം സ്‌പോയിലറിൽ ഉപകരണ കോൺഫിഗറേഷനുകൾ പ്രസിദ്ധീകരിക്കുന്നു.

അതിനാൽ, 192.168.31.0/24 നെറ്റ്‌വർക്ക് നോഡുകൾക്കിടയിൽ പിംഗുകൾ പ്രവർത്തിക്കുന്നു, ഒരു GRE ടണൽ സജ്ജീകരിക്കുന്നതിലേക്ക് നീങ്ങേണ്ട സമയമാണിത്. ഇതിന് മുമ്പ്, റൂട്ടറുകളിലേക്കുള്ള ആക്‌സസ് നഷ്‌ടപ്പെടാതിരിക്കാൻ, പോർട്ട് 22 വിപിഎസിലേക്ക് ഫോർവേഡ് ചെയ്യുന്നതിന് എസ്എസ്എച്ച് തുരങ്കങ്ങൾ സജ്ജീകരിക്കുന്നത് മൂല്യവത്താണ്, അതിനാൽ, ഉദാഹരണത്തിന്, അപ്പാർട്ട്മെന്റ് 10022 ൽ നിന്നുള്ള റൂട്ടർ വിപിഎസിന്റെ പോർട്ട് 2-ൽ ആക്‌സസ് ചെയ്യാൻ കഴിയും, കൂടാതെ അപ്പാർട്ട്മെന്റ് 11122-ൽ നിന്നുള്ള റൂട്ടർ, അപ്പാർട്ട്മെന്റ് 3-ൽ നിന്നുള്ള പോർട്ട് XNUMX റൂട്ടറിൽ ആക്സസ് ചെയ്യാൻ കഴിയും. അതേ sshtunnel ഉപയോഗിച്ച് ഫോർവേഡിംഗ് കോൺഫിഗർ ചെയ്യുന്നതാണ് നല്ലത്, കാരണം അത് പരാജയപ്പെടുകയാണെങ്കിൽ അത് പുനഃസ്ഥാപിക്കും.

തുരങ്കം ക്രമീകരിച്ചിരിക്കുന്നു, ഫോർവേഡ് ചെയ്ത പോർട്ട് വഴി നിങ്ങൾക്ക് SSH-ലേക്ക് കണക്റ്റുചെയ്യാനാകും:

ssh root@МОЙ_VPS -p 10022

അടുത്തതായി നിങ്ങൾ OpenVPN പ്രവർത്തനരഹിതമാക്കണം:

/etc/init.d/openvpn stop

ഇപ്പോൾ നമുക്ക് അപ്പാർട്ട്മെന്റ് 2 ൽ നിന്ന് റൂട്ടറിൽ ഒരു GRE ടണൽ സജ്ജീകരിക്കാം:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

ബ്രിഡ്ജിലേക്ക് സൃഷ്ടിച്ച ഇന്റർഫേസ് ചേർക്കുക:

brctl addif br-lan grelan0

സെർവർ റൂട്ടറിൽ സമാനമായ ഒരു നടപടിക്രമം നടത്താം:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

ബ്രിഡ്ജിലേക്ക് സൃഷ്ടിച്ച ഇന്റർഫേസും ചേർക്കുക:

brctl addif br-lan grelan0

ഈ നിമിഷം മുതൽ, പിംഗ്സ് പുതിയ നെറ്റ്‌വർക്കിലേക്ക് വിജയകരമായി പോകാൻ തുടങ്ങുന്നു, ഞാൻ സംതൃപ്തിയോടെ കാപ്പി കുടിക്കാൻ പോകുന്നു. തുടർന്ന്, ലൈനിന്റെ മറ്റേ അറ്റത്ത് നെറ്റ്‌വർക്ക് എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് വിലയിരുത്തുന്നതിന്, ഞാൻ അപ്പാർട്ട്മെന്റ് 2 ലെ കമ്പ്യൂട്ടറുകളിലൊന്നിലേക്ക് SSH ചെയ്യാൻ ശ്രമിക്കുന്നു, പക്ഷേ ഒരു പാസ്‌വേഡ് ആവശ്യപ്പെടാതെ തന്നെ ssh ക്ലയന്റ് മരവിപ്പിക്കുന്നു. പോർട്ട് 22-ലെ ടെൽനെറ്റ് വഴി ഞാൻ ഈ കമ്പ്യൂട്ടറിലേക്ക് കണക്റ്റുചെയ്യാൻ ശ്രമിക്കുകയാണ്, കണക്ഷൻ സ്ഥാപിക്കപ്പെടുകയാണെന്ന് മനസ്സിലാക്കാൻ കഴിയുന്ന ഒരു ലൈൻ ഞാൻ കാണുന്നു, SSH സെർവർ പ്രതികരിക്കുന്നു, പക്ഷേ ചില കാരണങ്ങളാൽ അത് എന്നെ ലോഗ് ചെയ്യാൻ പ്രേരിപ്പിക്കുന്നില്ല ഇൻ.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

ഞാൻ VNC വഴി അതിലേക്ക് കണക്റ്റുചെയ്‌ത് ഒരു കറുത്ത സ്‌ക്രീൻ കാണാൻ ശ്രമിക്കുകയാണ്. റിമോട്ട് കമ്പ്യൂട്ടറിലാണ് പ്രശ്നം എന്ന് ഞാൻ എന്നെത്തന്നെ ബോധ്യപ്പെടുത്തുന്നു, കാരണം ആന്തരിക വിലാസം ഉപയോഗിച്ച് എനിക്ക് ഈ അപ്പാർട്ട്മെന്റിൽ നിന്ന് റൂട്ടറിലേക്ക് എളുപ്പത്തിൽ കണക്റ്റുചെയ്യാനാകും. എന്നിരുന്നാലും, റൂട്ടർ വഴി ഈ കമ്പ്യൂട്ടറിന്റെ SSH-ലേക്ക് കണക്റ്റുചെയ്യാൻ ഞാൻ തീരുമാനിക്കുന്നു, കണക്ഷൻ വിജയകരമാണെന്നും റിമോട്ട് കമ്പ്യൂട്ടർ വളരെ സാധാരണമായി പ്രവർത്തിക്കുന്നുവെന്നും ആശ്ചര്യപ്പെടുന്നു, പക്ഷേ ഇത് എന്റെ കമ്പ്യൂട്ടറുമായി ബന്ധിപ്പിക്കാൻ കഴിയില്ല.

ഞാൻ ബ്രിഡ്ജിൽ നിന്ന് grelan0 ഉപകരണം നീക്കം ചെയ്യുകയും അപ്പാർട്ട്മെന്റ് 2 ലെ റൂട്ടറിൽ OpenVPN പ്രവർത്തിപ്പിക്കുകയും നെറ്റ്‌വർക്ക് വീണ്ടും പ്രതീക്ഷിച്ചതുപോലെ പ്രവർത്തിക്കുന്നുവെന്നും കണക്ഷനുകൾ ഉപേക്ഷിക്കപ്പെടുന്നില്ലെന്നും ഉറപ്പാക്കുന്നു. തിരയുന്നതിലൂടെ, ഒരേ പ്രശ്‌നങ്ങളെക്കുറിച്ച് ആളുകൾ പരാതിപ്പെടുന്ന ഫോറങ്ങൾ ഞാൻ കാണുന്നു, അവിടെ MTU ഉയർത്താൻ അവരെ ഉപദേശിക്കുന്നു. പറഞ്ഞയുടനെ അനുസരണയോടെ ചെയ്ത് തീർക്കുക. എന്നിരുന്നാലും, MTU വേണ്ടത്ര ഉയരത്തിൽ സജ്ജീകരിക്കുന്നത് വരെ - gretap ഉപകരണങ്ങൾക്ക് 7000, ഒന്നുകിൽ TCP കണക്ഷനുകൾ കുറഞ്ഞു അല്ലെങ്കിൽ കുറഞ്ഞ ട്രാൻസ്ഫർ നിരക്കുകൾ നിരീക്ഷിക്കപ്പെട്ടു. ഗ്രെറ്റാപ്പിനുള്ള ഉയർന്ന MTU കാരണം, ലെയർ 8000, ലെയർ 7500 വയർഗാർഡ് കണക്ഷനുകൾക്കുള്ള MTU-കൾ യഥാക്രമം XNUMX, XNUMX എന്നിങ്ങനെ സജ്ജീകരിച്ചു.

ഞാൻ അപ്പാർട്ട്മെന്റ് 3-ൽ നിന്ന് റൂട്ടറിൽ സമാനമായ ഒരു സജ്ജീകരണം നടത്തി, ഒരേയൊരു വ്യത്യാസം, സെർവർ റൂട്ടറിലേക്ക് grelan1 എന്ന് പേരുള്ള രണ്ടാമത്തെ ഗ്രെറ്റാപ്പ് ഇന്റർഫേസ് ചേർത്തു, അത് br-lan ബ്രിഡ്ജിലേക്കും ചേർത്തു.

എല്ലാം പ്രവർത്തിക്കുന്നു. ഇപ്പോൾ നിങ്ങൾക്ക് ഗ്രാറ്റപ്പ് അസംബ്ലി സ്റ്റാർട്ടപ്പിൽ ഇടാം. ഇതിനായി:

അപ്പാർട്ട്മെന്റ് 2 ലെ റൂട്ടറിൽ /etc/rc.local എന്നതിൽ ഞാൻ ഈ ലൈനുകൾ സ്ഥാപിച്ചു:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

അപ്പാർട്ട്മെന്റ് 3-ലെ റൂട്ടറിലെ /etc/rc.local-ലേക്ക് ഇത് ചേർത്തു:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

കൂടാതെ സെർവർ റൂട്ടറിലും:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

ക്ലയന്റ് റൂട്ടറുകൾ റീബൂട്ട് ചെയ്ത ശേഷം, ചില കാരണങ്ങളാൽ അവ സെർവറിലേക്ക് കണക്റ്റുചെയ്യുന്നില്ലെന്ന് ഞാൻ കണ്ടെത്തി. അവരുടെ SSH-ലേക്ക് കണക്റ്റുചെയ്‌ത ശേഷം (ഭാഗ്യവശാൽ, ഇതിനായി ഞാൻ മുമ്പ് sshtunnel ക്രമീകരിച്ചിരുന്നു), ചില കാരണങ്ങളാൽ WireGuard എൻഡ്‌പോയിന്റിനായി ഒരു റൂട്ട് സൃഷ്‌ടിക്കുകയാണെന്ന് കണ്ടെത്തി, പക്ഷേ അത് തെറ്റായിരുന്നു. അതിനാൽ, 192.168.30.2-ന്, റൂട്ട് ടേബിൾ pppoe-wan ഇന്റർഫേസിലൂടെയുള്ള ഒരു റൂട്ട് സൂചിപ്പിച്ചു, അതായത്, ഇന്റർനെറ്റ് വഴി, അതിലേക്കുള്ള റൂട്ട് wg0 ഇന്റർഫേസ് വഴിയാണ് റൂട്ട് ചെയ്യേണ്ടത്. ഈ റൂട്ട് ഇല്ലാതാക്കിയ ശേഷം, കണക്ഷൻ പുനഃസ്ഥാപിച്ചു. ഈ റൂട്ടുകൾ സൃഷ്‌ടിക്കാതിരിക്കാൻ വയർഗാർഡിനെ എങ്ങനെ നിർബന്ധിക്കണം എന്നതിനെക്കുറിച്ചുള്ള നിർദ്ദേശങ്ങൾ എവിടെയും കണ്ടെത്താൻ എനിക്ക് കഴിഞ്ഞില്ല. മാത്രമല്ല, ഇത് ഓപ്പൺഡബ്ല്യുആർടിയുടെയോ വയർഗാർഡിന്റെയോ സവിശേഷതയാണോ എന്ന് പോലും എനിക്ക് മനസ്സിലായില്ല. വളരെക്കാലം ഈ പ്രശ്നം കൈകാര്യം ചെയ്യാതെ തന്നെ, ഈ റൂട്ട് ഇല്ലാതാക്കിയ സമയബന്ധിതമായ സ്ക്രിപ്റ്റിൽ ഞാൻ രണ്ട് റൂട്ടറുകളിലേക്കും ഒരു ലൈൻ ചേർത്തു:

route del 192.168.30.2

സംഗ്രഹിക്കുന്നു

ഞാൻ ഇതുവരെ OpenVPN പൂർണ്ണമായും ഉപേക്ഷിച്ചിട്ടില്ല, കാരണം എനിക്ക് ചിലപ്പോൾ ഒരു ലാപ്‌ടോപ്പിൽ നിന്നോ ഫോണിൽ നിന്നോ ഒരു പുതിയ നെറ്റ്‌വർക്കിലേക്ക് കണക്റ്റുചെയ്യേണ്ടതുണ്ട്, മാത്രമല്ല അവയിൽ ഒരു ഗ്രെറ്റാപ്പ് ഉപകരണം സജ്ജീകരിക്കുന്നത് പൊതുവെ അസാധ്യമാണ്, എന്നിരുന്നാലും, ഇതൊക്കെയാണെങ്കിലും, വേഗതയിൽ എനിക്ക് ഒരു നേട്ടം ലഭിച്ചു. അപ്പാർട്ടുമെന്റുകൾ തമ്മിലുള്ള ഡാറ്റാ കൈമാറ്റം, ഉദാഹരണത്തിന്, VNC ഉപയോഗിക്കുന്നത് ഇനി അസൗകര്യമല്ല. പിംഗ് ചെറുതായി കുറഞ്ഞു, പക്ഷേ കൂടുതൽ സ്ഥിരത പ്രാപിച്ചു:

OpenVPN ഉപയോഗിക്കുമ്പോൾ:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

വയർഗാർഡ് ഉപയോഗിക്കുമ്പോൾ:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

VPS-ലേക്കുള്ള ഉയർന്ന പിംഗ് ആണ് ഇതിനെ കൂടുതൽ ബാധിക്കുന്നത്, അത് ഏകദേശം 61.5 ms ആണ്.

എന്നിരുന്നാലും, വേഗത ഗണ്യമായി വർദ്ധിച്ചു. അതിനാൽ, ഒരു സെർവർ റൂട്ടർ ഉള്ള ഒരു അപ്പാർട്ട്മെന്റിൽ എനിക്ക് 30 Mbit/sec എന്ന ഇന്റർനെറ്റ് കണക്ഷൻ വേഗതയുണ്ട്, മറ്റ് അപ്പാർട്ടുമെന്റുകളിൽ ഇത് 5 Mbit/sec ആണ്. അതേ സമയം, OpenVPN ഉപയോഗിക്കുമ്പോൾ, iperf റീഡിംഗുകൾ അനുസരിച്ച് 3,8 Mbit/sec-ൽ കൂടുതൽ നെറ്റ്‌വർക്കുകൾക്കിടയിൽ ഒരു ഡാറ്റാ ട്രാൻസ്ഫർ വേഗത കൈവരിക്കാൻ എനിക്ക് കഴിഞ്ഞില്ല, അതേസമയം WireGuard അതിനെ അതേ 5 Mbit/sec ആയി "ബൂസ്റ്റ്" ചെയ്തു.

VPS-ൽ വയർഗാർഡ് കോൺഫിഗറേഷൻ[Interface] Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_1_МС>
AllowedIPs = 192.168.30.2/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2>
AllowedIPs = 192.168.30.3/32

[Peer] PublicKey = <ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3>
AllowedIPs = 192.168.30.4/32

MS-ൽ WireGuard കോൺഫിഗറേഷൻ (/etc/config/network-ലേക്ക് ചേർത്തു)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

MK2-ലെ വയർഗാർഡ് കോൺഫിഗറേഷൻ (/etc/config/network-ലേക്ക് ചേർത്തു)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

MK3-ലെ വയർഗാർഡ് കോൺഫിഗറേഷൻ (/etc/config/network-ലേക്ക് ചേർത്തു)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

രണ്ടാം-ലെവൽ VPN-നുള്ള വിവരിച്ച കോൺഫിഗറേഷനുകളിൽ, ഞാൻ WireGuard ക്ലയന്റുകളെ പോർട്ട് 51821-ലേക്ക് ചൂണ്ടിക്കാണിക്കുന്നു. സിദ്ധാന്തത്തിൽ, ഇത് ആവശ്യമില്ല, കാരണം ക്ലയന്റ് ഏതെങ്കിലും സൗജന്യ അൺപ്രിവിലജഡ് പോർട്ടിൽ നിന്ന് ഒരു കണക്ഷൻ സ്ഥാപിക്കും, പക്ഷേ അത് നിരോധിക്കാൻ കഴിയുന്ന തരത്തിൽ ഞാൻ അത് ഉണ്ടാക്കി. പോർട്ട് 0-ലേക്കുള്ള ഇൻകമിംഗ് UDP കണക്ഷനുകൾ ഒഴികെ എല്ലാ റൂട്ടറുകളുടെയും wg51821 ഇന്റർഫേസുകളിലെ എല്ലാ ഇൻകമിംഗ് കണക്ഷനുകളും.

ലേഖനം ആർക്കെങ്കിലും ഉപകാരപ്പെടുമെന്ന് ഞാൻ പ്രതീക്ഷിക്കുന്നു.

പി.എസ് കൂടാതെ, എന്റെ നെറ്റ്‌വർക്കിൽ ഒരു പുതിയ ഉപകരണം ദൃശ്യമാകുമ്പോൾ WirePusher അപ്ലിക്കേഷനിൽ എന്റെ ഫോണിലേക്ക് പുഷ് അറിയിപ്പ് അയയ്‌ക്കുന്ന എന്റെ സ്‌ക്രിപ്റ്റ് പങ്കിടാൻ ഞാൻ ആഗ്രഹിക്കുന്നു. സ്ക്രിപ്റ്റിലേക്കുള്ള ലിങ്ക് ഇതാ: github.com/r0ck3r/device_discover.

അപ്ഡേറ്റ്: OpenVPN സെർവറിന്റെയും ക്ലയന്റുകളുടെയും കോൺഫിഗറേഷൻ

OpenVPN സെർവർ

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN ക്ലയന്റ്

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

സർട്ടിഫിക്കറ്റുകൾ സൃഷ്ടിക്കാൻ ഞാൻ ഈസി-ആർഎസ്എ ഉപയോഗിച്ചു

അവലംബം: www.habr.com