ഒരു Openwrt റൂട്ടറിൽ OpenVPN വേഗത്തിലാക്കുന്നു. സോൾഡറിംഗ് ഇരുമ്പ്, ഹാർഡ്‌വെയർ തീവ്രവാദം ഇല്ലാതെ ഇതര പതിപ്പ്

എല്ലാവർക്കും നമസ്കാരം, ഞാൻ ഈയിടെ വായിച്ചു പഴയ ലേഖനം റൂട്ടറിനുള്ളിൽ തന്നെ ലയിപ്പിച്ചിരിക്കുന്ന ഒരു പ്രത്യേക ഹാർഡ്‌വെയറിലേക്ക് എൻക്രിപ്ഷൻ കൈമാറിക്കൊണ്ട് നിങ്ങൾക്ക് എങ്ങനെ ഒരു റൂട്ടറിൽ OpenVPN വേഗത്തിലാക്കാം എന്നതിനെക്കുറിച്ച്. എനിക്ക് രചയിതാവിന് സമാനമായ ഒരു കേസുണ്ട് - 3500 മെഗാബൈറ്റ് റാമുള്ള ടിപി-ലിങ്ക് ഡബ്ല്യുഡിആർ 128, ടണൽ എൻക്രിപ്ഷനുമായി പൂർണ്ണമായും പൊരുത്തപ്പെടാൻ കഴിയാത്ത ഒരു മോശം പ്രോസസർ. എന്നിരുന്നാലും, ഒരു സോളിഡിംഗ് ഇരുമ്പ് ഉപയോഗിച്ച് റൂട്ടറിലേക്ക് കയറാൻ ഞാൻ ആഗ്രഹിച്ചില്ല. ഒരു അപകടമുണ്ടായാൽ റൂട്ടറിൽ ബാക്കപ്പുള്ള ഒരു പ്രത്യേക ഹാർഡ്‌വെയറിലേക്ക് OpenVPN നീക്കിയതിന്റെ അനുഭവം ചുവടെയുണ്ട്.

ലക്ഷ്യം

ഒരു TP-Link WDR3500 റൂട്ടറും ഓറഞ്ച് പൈ സീറോ H2 ഉം ഉണ്ട്. ഓറഞ്ച് പൈ ടണലുകൾ പതിവുപോലെ എൻക്രിപ്റ്റ് ചെയ്യണമെന്ന് ഞങ്ങൾ ആഗ്രഹിക്കുന്നു, എന്തെങ്കിലും സംഭവിച്ചാൽ, VPN പ്രോസസ്സിംഗ് റൂട്ടറിലേക്ക് മടങ്ങും. റൂട്ടറിലെ എല്ലാ ഫയർവാൾ ക്രമീകരണങ്ങളും മുമ്പത്തെപ്പോലെ പ്രവർത്തിക്കണം. പൊതുവേ, അധിക ഹാർഡ്‌വെയർ ചേർക്കുന്നത് സുതാര്യവും എല്ലാവർക്കും ശ്രദ്ധിക്കപ്പെടാത്തതുമായിരിക്കണം. OpenVPN TCP-യിൽ പ്രവർത്തിക്കുന്നു, TAP അഡാപ്റ്റർ ബ്രിഡ്ജ് മോഡിലാണ് (സെർവർ-ബ്രിഡ്ജ്).

തീരുമാനം

USB വഴി കണക്‌റ്റ് ചെയ്യുന്നതിനുപകരം, റൂട്ടറിന്റെ ഒരു പോർട്ട് ഉപയോഗിക്കാനും ഒരു VPN ബ്രിഡ്ജ് ഉള്ള എല്ലാ സബ്‌നെറ്റുകളും ഓറഞ്ച് പൈയിലേക്ക് ബന്ധിപ്പിക്കാനും ഞാൻ തീരുമാനിച്ചു. റൂട്ടറിലെ VPN സെർവറിന്റെ അതേ നെറ്റ്‌വർക്കുകളിൽ ഹാർഡ്‌വെയറിന്റെ ഭാഗം ശാരീരികമായി തൂങ്ങുമെന്ന് ഇത് മാറുന്നു. അതിനുശേഷം, ഓറഞ്ച് പൈയിൽ ഞങ്ങൾ അതേ സെർവറുകൾ ഇൻസ്റ്റാൾ ചെയ്യുന്നു, കൂടാതെ റൂട്ടറിൽ ഞങ്ങൾ ഏതെങ്കിലും തരത്തിലുള്ള പ്രോക്സി സജ്ജീകരിക്കുന്നു, അതുവഴി എല്ലാ ഇൻകമിംഗ് കണക്ഷനുകളും ബാഹ്യ സെർവറിലേക്ക് അയയ്ക്കുന്നു, ഓറഞ്ച് പൈ ഡെഡ് ആണെങ്കിൽ അല്ലെങ്കിൽ ലഭ്യമല്ലെങ്കിൽ, തുടർന്ന് ആന്തരിക ഫാൾബാക്ക് സെർവർ. ഞാൻ HAProxy എടുത്തു.

ഇത് ഇതുപോലെ മാറുന്നു:

1. ഒരു ക്ലയന്റ് വരുന്നു
2. ബാഹ്യ സെർവർ ലഭ്യമല്ലെങ്കിൽ, മുമ്പത്തെപ്പോലെ, കണക്ഷൻ ആന്തരിക സെർവറിലേക്ക് പോകുന്നു
3. ലഭ്യമാണെങ്കിൽ, ക്ലയന്റ് ഓറഞ്ച് പൈ സ്വീകരിക്കും
4. ഓറഞ്ച് പൈയിലെ VPN പാക്കറ്റുകൾ ഡീക്രിപ്റ്റ് ചെയ്യുകയും റൂട്ടറിലേക്ക് തിരികെ തുപ്പുകയും ചെയ്യുന്നു
5. റൂട്ടർ അവരെ എവിടെയോ നയിക്കുന്നു

നടപ്പാക്കൽ ഉദാഹരണം

അതിനാൽ, റൂട്ടറിൽ നമുക്ക് രണ്ട് നെറ്റ്‌വർക്കുകൾ ഉണ്ടാകട്ടെ - മെയിൻ (1), അതിഥി (2), അവയിൽ ഓരോന്നിനും ബാഹ്യമായി ബന്ധിപ്പിക്കുന്നതിന് ഒരു ഓപ്പൺവിപിഎൻ സെർവർ ഉണ്ട്.

നെറ്റ്‌വർക്ക് കോൺഫിഗറേഷൻ

ഞങ്ങൾക്ക് രണ്ട് നെറ്റ്‌വർക്കുകളും ഒരു പോർട്ടിലൂടെ റൂട്ട് ചെയ്യേണ്ടതുണ്ട്, അതിനാൽ ഞങ്ങൾ 2 VLAN-കൾ സൃഷ്ടിക്കുന്നു.

റൂട്ടറിൽ, നെറ്റ്‌വർക്ക്/സ്വിച്ച് വിഭാഗത്തിൽ, ഞങ്ങൾ VLAN-കൾ (ഉദാഹരണത്തിന്, 1, 2) സൃഷ്‌ടിക്കുകയും അവ ആവശ്യമുള്ള പോർട്ടിൽ ടാഗ് ചെയ്‌ത മോഡിൽ പ്രാപ്‌തമാക്കുകയും ചെയ്യുന്നു, പുതുതായി സൃഷ്‌ടിച്ച eth0.1, eth0.2 എന്നിവ അനുബന്ധ നെറ്റ്‌വർക്കുകളിലേക്ക് ചേർക്കുക (ഇതിനായി ഉദാഹരണത്തിന്, അവയെ ബ്രിഗ്ഡിലേക്ക് ചേർക്കുക).

ഓറഞ്ച് പൈയിൽ ഞങ്ങൾ രണ്ട് VLAN ഇന്റർഫേസുകൾ സൃഷ്ടിക്കുന്നു (എനിക്ക് Archlinux ARM + netctl ഉണ്ട്):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

ഞങ്ങൾ ഉടൻ തന്നെ അവർക്കായി രണ്ട് പാലങ്ങൾ സൃഷ്ടിക്കുന്നു:

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

എല്ലാ 4 പ്രൊഫൈലുകൾക്കും ഓട്ടോസ്റ്റാർട്ട് പ്രവർത്തനക്ഷമമാക്കുക (netctl പ്രവർത്തനക്ഷമമാക്കുക). ഇപ്പോൾ ഒരു റീബൂട്ടിന് ശേഷം, ആവശ്യമുള്ള രണ്ട് നെറ്റ്‌വർക്കുകളിൽ ഓറഞ്ച് പൈ ഹാംഗ് ചെയ്യും. റൂട്ടറിലെ സ്റ്റാറ്റിക് ലീസുകളിൽ ഓറഞ്ച് പൈയിൽ ഞങ്ങൾ ഇന്റർഫേസ് വിലാസങ്ങൾ കോൺഫിഗർ ചെയ്യുന്നു.

ഐപി അഡാർ ഷോ

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

ഒരു VPN സജ്ജീകരിക്കുന്നു

അടുത്തതായി, റൂട്ടറിൽ നിന്ന് OpenVPN, കീകൾ എന്നിവയ്ക്കുള്ള ക്രമീകരണങ്ങൾ ഞങ്ങൾ പകർത്തുന്നു. ക്രമീകരണങ്ങൾ സാധാരണയായി കണ്ടെത്താനാകും /tmp/etc/openvpn*.conf

ഡിഫോൾട്ടായി, TAP മോഡിലും സെർവർ-ബ്രിഡ്ജിലും പ്രവർത്തിക്കുന്ന openvpn അതിന്റെ ഇന്റർഫേസ് നിഷ്‌ക്രിയമായി നിലനിർത്തുന്നു. എല്ലാം പ്രവർത്തിക്കുന്നതിന്, കണക്ഷൻ സജീവമാകുമ്പോൾ പ്രവർത്തിക്കുന്ന ഒരു സ്ക്രിപ്റ്റ് നിങ്ങൾ ചേർക്കേണ്ടതുണ്ട്.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

തൽഫലമായി, കണക്ഷൻ സംഭവിക്കുമ്പോൾ, vpn-മെയിൻ ഇന്റർഫേസ് br-main-ലേക്ക് ചേർക്കും. അതിഥി ഗ്രിഡിനായി - അതുപോലെ, സെർവർ-ബ്രിഡ്ജിലെ ഇന്റർഫേസിന്റെ പേരും വിലാസവും വരെ.

അഭ്യർത്ഥനകൾ ബാഹ്യമായും പ്രോക്‌സി ചെയ്യലും റൂട്ടിംഗ്

ഈ ഘട്ടത്തിൽ, ഓറഞ്ച് പൈയ്ക്ക് ഇതിനകം തന്നെ കണക്ഷനുകൾ സ്വീകരിക്കാനും ആവശ്യമായ നെറ്റ്‌വർക്കുകളിലേക്ക് ക്ലയന്റുകളെ ബന്ധിപ്പിക്കാനും കഴിയും. റൂട്ടറിൽ ഇൻകമിംഗ് കണക്ഷനുകളുടെ പ്രോക്സിയിംഗ് കോൺഫിഗർ ചെയ്യുക മാത്രമാണ് അവശേഷിക്കുന്നത്.

ഞങ്ങൾ റൂട്ടർ VPN സെർവറുകൾ മറ്റ് പോർട്ടുകളിലേക്ക് മാറ്റുകയും റൂട്ടറിൽ HAProxy ഇൻസ്റ്റാൾ ചെയ്യുകയും കോൺഫിഗർ ചെയ്യുകയും ചെയ്യുന്നു:

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

ആസ്വദിക്കൂ

എല്ലാം പ്ലാൻ അനുസരിച്ച് നടന്നാൽ, ക്ലയന്റുകൾ ഓറഞ്ച് പൈയിലേക്ക് മാറും, റൂട്ടറിന്റെ പ്രോസസ്സർ ഇനി ചൂടാകില്ല, കൂടാതെ VPN വേഗത ഗണ്യമായി വർദ്ധിക്കും. അതേ സമയം, റൂട്ടറിൽ രജിസ്റ്റർ ചെയ്തിട്ടുള്ള എല്ലാ നെറ്റ്‌വർക്ക് നിയമങ്ങളും പ്രസക്തമായി തുടരും. ഓറഞ്ച് പൈയിൽ ഒരു അപകടമുണ്ടായാൽ, അത് വീഴുകയും HAProxy ക്ലയന്റുകളെ പ്രാദേശിക സെർവറുകളിലേക്ക് മാറ്റുകയും ചെയ്യും.

നിങ്ങളുടെ ശ്രദ്ധയ്ക്ക് നന്ദി, നിർദ്ദേശങ്ങളും തിരുത്തലുകളും സ്വാഗതം ചെയ്യുന്നു.

അവലംബം: www.habr.com