ProHoster > Blog > administração > Acelerando o OpenVPN em um roteador Openwrt. Versão alternativa sem ferro de solda e extremismo de hardware

Acelerando o OpenVPN em um roteador Openwrt. Versão alternativa sem ferro de solda e extremismo de hardware

Acelerando o OpenVPN em um roteador Openwrt. Versão alternativa sem ferro de solda e extremismo de hardware

Olá a todos, li recentemente artigo antigo sobre como você pode acelerar o OpenVPN em um roteador transferindo a criptografia para uma peça de hardware separada, que é soldada dentro do próprio roteador. Tenho um caso semelhante ao do autor - TP-Link WDR3500 com 128 megabytes de RAM e um processador ruim que é completamente incapaz de lidar com a criptografia de túnel. No entanto, eu absolutamente não queria entrar no roteador com um ferro de soldar. Abaixo está minha experiência de mover o OpenVPN para uma peça de hardware separada com backup no roteador em caso de acidente.

Tarefa

Há um roteador TP-Link WDR3500 e um Orange Pi Zero H2. Queremos que o Orange Pi criptografe os túneis normalmente e, se algo acontecer com ele, o processamento da VPN retornará ao roteador. Todas as configurações de firewall do roteador devem funcionar como antes. E, em geral, adicionar hardware adicional deve ser transparente e imperceptível para todos. OpenVPN funciona sobre TCP, o adaptador TAP está em modo bridge (server-bridge).

Solução

Em vez de conectar via USB, decidi usar uma porta do roteador e conectar todas as sub-redes que possuem uma ponte VPN ao Orange Pi. Acontece que o hardware ficará fisicamente suspenso nas mesmas redes que o servidor VPN no roteador. Depois disso, instalamos exatamente os mesmos servidores no Orange Pi, e no roteador configuramos algum tipo de proxy para que ele envie todas as conexões de entrada para o servidor externo, e se o Orange Pi estiver morto ou indisponível, então para o servidor substituto interno. Eu tomei HAProxy.

Acontece assim:

  1. Um cliente chega
  2. Se o servidor externo estiver indisponível, como antes, a conexão vai para o servidor interno
  3. Se disponível, o cliente é aceito pela Orange Pi
  4. VPN no Orange Pi descriptografa pacotes e os envia de volta para o roteador
  5. O roteador os encaminha para algum lugar

Exemplo de implementação

Então, vamos ter duas redes no roteador - principal(1) e convidada(2), para cada uma delas existe um servidor OpenVPN para conexão externa.

Configuração de rede

Precisamos rotear ambas as redes através de uma porta, então criamos 2 VLANs.

No roteador, na seção Rede/Switch, crie VLANs (por exemplo 1 e 2) e habilite-as no modo etiquetado na porta desejada, adicione as recém-criadas eth0.1 e eth0.2 às redes correspondentes (por exemplo, adicione-os à brigada).

No Orange Pi criamos duas interfaces VLAN (tenho Archlinux ARM + netctl):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

E imediatamente criamos duas pontes para eles:

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

Habilite a inicialização automática para todos os 4 perfis (netctl enable). Agora, após a reinicialização, o Orange Pi ficará pendurado nas duas redes necessárias. Configuramos os endereços de interface no Orange Pi em Static Leases no roteador.

ip addr show

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

Configuração VPN

A seguir, copiamos as configurações do OpenVPN e as chaves do roteador. As configurações geralmente podem ser encontradas em /tmp/etc/openvpn*.conf

Por padrão, o openvpn rodando no modo TAP e server-bridge mantém sua interface inativa. Para que tudo funcione, você precisa adicionar um script que seja executado quando a conexão for ativada.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

Como resultado, assim que a conexão ocorrer, a interface vpn-main será adicionada ao br-main. Para a grade de convidados - da mesma forma, até o nome e endereço da interface na ponte do servidor.

Roteamento de solicitações externamente e proxy

Nesta etapa, o Orange Pi já é capaz de aceitar conexões e conectar clientes às redes necessárias. Resta apenas configurar o proxy das conexões de entrada no roteador.

Transferimos os servidores VPN do roteador para outras portas, instalamos o HAProxy no roteador e configuramos:

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

Aproveitar

Se tudo correr conforme o planejado, os clientes mudarão para Orange Pi e o processador do roteador não aquecerá mais e a velocidade da VPN aumentará significativamente. Ao mesmo tempo, todas as regras de rede registradas no roteador permanecerão relevantes. Em caso de acidente no Orange Pi, ele cairá e o HAProxy transferirá os clientes para servidores locais.

Obrigado pela atenção, sugestões e correções são bem-vindas.

Fonte: habr.com

Adicionar um comentário