ProHoster > blog > Amministrazzjoni > Tħaffef OpenVPN fuq router Openwrt. Verżjoni alternattiva mingħajr ħadid u ħardwer estremiżmu

Tħaffef OpenVPN fuq router Openwrt. Verżjoni alternattiva mingħajr ħadid u ħardwer estremiżmu

Tħaffef OpenVPN fuq router Openwrt. Verżjoni alternattiva mingħajr ħadid u ħardwer estremiżmu

Hello lil kulħadd, dan l-aħħar qrajt artiklu antik dwar kif tista 'tħaffef OpenVPN fuq router billi tittrasferixxi l-encryption għal biċċa ħardwer separata, li hija issaldjata ġewwa r-router innifsu. Għandi każ simili għall-awtur - TP-Link WDR3500 b'128 megabytes ta 'RAM u proċessur fqir li huwa kompletament kapaċi jlaħħaq mal-kriptaġġ tal-mina. Madankollu, assolutament ma ridtx nidħol fir-router b'ħadid tal-issaldjar. Hawn taħt tinsab l-esperjenza tiegħi li nċaqlaq OpenVPN għal biċċa hardware separata b'backup fuq ir-router f'każ ta 'inċident.

Kompitu

Hemm router TP-Link WDR3500 u Orange Pi Zero H2. Irridu li l-Orange Pi jikkripta l-mini bħas-soltu, u jekk jiġrilu xi ħaġa, l-ipproċessar tal-VPN jerġa 'lura lejn ir-router. Is-settings kollha tal-firewall fuq ir-router għandhom jaħdmu bħal qabel. U b'mod ġenerali, iż-żieda ta 'hardware addizzjonali għandha tkun trasparenti u ma tinnotax għal kulħadd. OpenVPN jaħdem fuq TCP, l-adapter TAP huwa fil-modalità bridge (server-bridge).

deċiżjoni

Minflok ma kkonnettja permezz tal-USB, iddeċidejt li nuża port wieħed tar-router u nqabbad is-subnets kollha li għandhom pont VPN mal-Orange Pi. Jirriżulta li l-hardware se fiżikament hang fl-istess netwerks bħas-server VPN fuq ir-router. Wara dan, aħna ninstallaw eżattament l-istess servers fuq l-Orange Pi, u fuq ir-router aħna waqqafna xi tip ta 'prokura sabiex tibgħat il-konnessjonijiet deħlin kollha lis-server estern, u jekk l-Orange Pi huwa mejjet jew mhux disponibbli, imbagħad lill- server ta' riżerva intern. Ħadt HAProxy.

Jirriżulta hekk:

  1. Jasal klijent
  2. Jekk is-server estern ma jkunx disponibbli, bħal qabel, il-konnessjoni tmur għas-server intern
  3. Jekk disponibbli, il-klijent jiġi aċċettat minn Orange Pi
  4. VPN fuq Orange Pi jiddeċifra l-pakketti u bżiqhom lura fir-router
  5. Ir-router iwassalhom x'imkien

Eżempju ta' implimentazzjoni

Allura, ejja ngħidu li għandna żewġ netwerks fuq ir-router - main(1) u guest(2), għal kull wieħed minnhom hemm server OpenVPN għall-konnessjoni esterna.

Konfigurazzjoni tan-netwerk

Irridu ngħaddu ż-żewġ netwerks minn port wieħed, għalhekk noħolqu 2 VLANs.

Fuq ir-router, fit-taqsima Netwerk/Swiċċ, oħloq VLANs (pereżempju 1 u 2) u ppermettihom fil-modalità tagged fuq il-port mixtieq, żid l-eth0.1 u eth0.2 maħluqa ġodda man-netwerks korrispondenti (per eżempju, żidhom mal-brigde).

Fuq Orange Pi noħolqu żewġ interfaces VLAN (għandi Archlinux ARM + netctl):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

U immedjatament noħolqu żewġ pontijiet għalihom:

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

Ippermetti l-awtostart għall-4 profili kollha (netctl enable). Issa wara reboot, l-Orange Pi se hang fuq iż-żewġ netwerks meħtieġa. Aħna kkonfigurat l-indirizzi ta 'l-interface fuq l-Orange Pi f'Krijiet Statiċi fuq ir-router.

juru addr ip

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

Setup tal-VPN

Sussegwentement, nikkopjaw is-settings għal OpenVPN u ċwievet mir-router. Is-settings normalment jistgħu jinstabu fi /tmp/etc/openvpn*.conf

B'mod awtomatiku, openvpn jaħdem fil-modalità TAP u server-bridge iżomm l-interface tiegħu inattiv. Biex kollox jaħdem, trid iżżid skript li jibda meta l-konnessjoni tkun attivata.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

Bħala riżultat, malli sseħħ il-konnessjoni, l-interface vpn-main se tiżdied ma 'br-main. Għall-grid tal-mistieden - bl-istess mod, sal-isem u l-indirizz tal-interface fis-server-bridge.

It-talbiet tar-rotot esternament u l-prokura

F'dan il-pass, Orange Pi diġà jista 'jaċċetta konnessjonijiet u jgħaqqad klijenti man-netwerks meħtieġa. Kulma jibqa 'huwa li jiġi kkonfigurat il-proxying ta' konnessjonijiet deħlin fuq ir-router.

Aħna nittrasferixxu s-servers VPN tar-router għal portijiet oħra, ninstallaw HAProxy fuq ir-router u kkonfiguraw:

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

Igawdu

Jekk kollox imur skond il-pjan, il-klijenti se jaqilbu għal Orange Pi u l-proċessur tar-router ma jibqax jisħon, u l-veloċità VPN tiżdied b'mod sinifikanti. Fl-istess ħin, ir-regoli kollha tan-netwerk li huma rreġistrati fuq ir-router se jibqgħu rilevanti. F'każ ta 'inċident fuq l-Orange Pi, se jaqa' u HAProxy jittrasferixxi klijenti għal servers lokali.

Grazzi tal-attenzjoni tiegħek, is-suġġerimenti u l-korrezzjonijiet huma milqugħa.

Sors: www.habr.com

Żid kumment