ProHoster > Blog > administracja > Przyspieszenie OpenVPN na routerze Openwrt. Alternatywna wersja bez lutownicy i ekstremizmu sprzętowego

Przyspieszenie OpenVPN na routerze Openwrt. Alternatywna wersja bez lutownicy i ekstremizmu sprzętowego

Przyspieszenie OpenVPN na routerze Openwrt. Alternatywna wersja bez lutownicy i ekstremizmu sprzętowego

Witam wszystkich, niedawno przeczytałem stary artykuł o tym, jak przyspieszyć OpenVPN na routerze, przesyłając szyfrowanie do osobnego elementu sprzętu, który jest wlutowany wewnątrz samego routera. Mam podobny przypadek do autora - TP-Link WDR3500 ze 128 megabajtami RAM i słabym procesorem, który zupełnie nie radzi sobie z szyfrowaniem tunelowym. Absolutnie jednak nie chciałem wchodzić do routera z lutownicą. Poniżej przedstawiam moje doświadczenia z przeniesieniem OpenVPN na oddzielny sprzęt z kopią zapasową na routerze na wypadek wypadku.

Zadanie

Jest router TP-Link WDR3500 i Orange Pi Zero H2. Chcemy, aby Orange Pi jak zwykle szyfrował tunele, a jeśli coś mu się stanie, przetwarzanie VPN wróci z powrotem do routera. Wszystkie ustawienia zapory sieciowej na routerze powinny działać jak poprzednio. I w ogóle dodanie dodatkowego sprzętu powinno być przejrzyste i niezauważalne dla każdego. OpenVPN działa poprzez TCP, adapter TAP pracuje w trybie mostu (mostek serwera).

decyzja

Zamiast łączyć się przez USB, zdecydowałem się wykorzystać jeden port routera i podłączyć do Orange Pi wszystkie podsieci posiadające mostek VPN. Okazuje się, że sprzęt fizycznie będzie zawieszony w tych samych sieciach, co serwer VPN na routerze. Następnie instalujemy dokładnie te same serwery na Orange Pi, a na routerze konfigurujemy jakiś rodzaj proxy, aby wysyłał wszystkie połączenia przychodzące na serwer zewnętrzny, a jeśli Orange Pi jest martwy lub niedostępny, to na wewnętrzny serwer rezerwowy. Wziąłem HAProxy.

Okazuje się tak:

  1. Przychodzi klient
  2. Jeśli serwer zewnętrzny jest niedostępny, tak jak poprzednio, połączenie przechodzi do serwera wewnętrznego
  3. Jeśli jest dostępny, klient jest akceptowany przez Orange Pi
  4. VPN w Orange Pi odszyfrowuje pakiety i wypluwa je z powrotem do routera
  5. Router gdzieś je kieruje

Przykład wdrożenia

Załóżmy więc, że mamy na routerze dwie sieci – główną (1) i gościa (2), dla każdej z nich jest serwer OpenVPN do łączenia się zewnętrznie.

Konfiguracja sieci

Musimy poprowadzić obie sieci przez jeden port, więc tworzymy 2 sieci VLAN.

Na routerze w sekcji Sieć/Switch utwórz sieci VLAN (na przykład 1 i 2) i włącz je w trybie tagowanym na żądanym porcie, dodaj nowo utworzone eth0.1 i eth0.2 do odpowiednich sieci (na przykład dodaj je do brigde).

Na Orange Pi tworzymy dwa interfejsy VLAN (mam Archlinux ARM + netctl):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

I od razu tworzymy dla nich dwa mosty:

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

Włącz autostart dla wszystkich 4 profili (włącz netctl). Teraz po ponownym uruchomieniu Orange Pi zawiesi się w dwóch wymaganych sieciach. Konfigurujemy adresy interfejsów na Orange Pi w Static Leases na routerze.

Pokaż IP addr

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

Konfigurowanie VPN

Następnie kopiujemy ustawienia OpenVPN i klucze z routera. Ustawienia można zwykle znaleźć w /tmp/etc/openvpn*.conf

Domyślnie openvpn działający w trybie TAP i mostek serwera utrzymuje swój interfejs w stanie nieaktywnym. Aby wszystko działało należy dodać skrypt uruchamiający się w momencie aktywacji połączenia.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

W rezultacie, gdy tylko nastąpi połączenie, interfejs VPN-main zostanie dodany do br-main. Dla siatki gościa - podobnie, aż do nazwy i adresu interfejsu w mostku serwera.

Zewnętrzny routing żądań i proxy

Na tym etapie Orange Pi jest już w stanie akceptować połączenia i łączyć klientów z wymaganymi sieciami. Pozostaje tylko skonfigurować proxy połączeń przychodzących na routerze.

Przenosimy serwery VPN routera na inne porty, instalujemy HAProxy na routerze i konfigurujemy:

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

Cieszyć się

Jeśli wszystko pójdzie zgodnie z planem, klienci przejdą na Orange Pi, a procesor routera nie będzie się już nagrzewał, a prędkość VPN znacznie wzrośnie. Jednocześnie wszystkie reguły sieciowe zarejestrowane na routerze pozostaną aktualne. W razie wypadku na Orange Pi spadnie ono i HAProxy przeniesie klientów na lokalne serwery.

Dziękuję za uwagę, sugestie i poprawki mile widziane.

Źródło: www.habr.com

Dodaj komentarz