ProHoster > බ්ලොග් > පරිපාලනය > සිට සංක්‍රාන්තිය OpenVPN මත WireGuard ජාල එක් L2 ජාලයකට ඒකාබද්ධ කිරීමට

සිට සංක්‍රාන්තිය OpenVPN මත WireGuard ජාල එක් L2 ජාලයකට ඒකාබද්ධ කිරීමට

සිට සංක්‍රාන්තිය OpenVPN මත WireGuard ජාල එක් L2 ජාලයකට ඒකාබද්ධ කිරීමට

භූගෝලීය වශයෙන් දුරස්ථ මහල් නිවාස තුනක ජාල ඒකාබද්ධ කිරීමේ මගේ අත්දැකීම් බෙදා ගැනීමට මම කැමතියි, ඒ සෑම එකක්ම OpenWRT රවුටර ද්වාරයක් ලෙස භාවිතා කරයි, එක් පොදු ජාලයකට. L3 subnet routing සහ L2 අතර ජාල ඒකාබද්ධ කිරීම සඳහා ක්‍රමයක් තෝරාගැනීමේදී, සියලුම ජාල නෝඩ් එකම අනුජාලයේ ඇති විට, වින්‍යාස කිරීම වඩා දුෂ්කර නමුත් විශාල අවස්ථාවන් සපයන දෙවන ක්‍රමයට මනාප ලබා දෙන ලදී. Wake-on-Lan සහ DLNA නිර්මාණය කරන ලද ජාලය තුළ විනිවිද පෙනෙන තාක්ෂණයන් භාවිතා කිරීමට සැලසුම් කර ඇත.

1 කොටස: පසුබිම

මෙම කාර්යය ක්‍රියාත්මක කිරීම සඳහා තෝරාගත් ප්‍රොටෝකෝලය මුලින් OpenVPN, මන්ද, පළමුව, එය කිසිදු ගැටළුවක් නොමැතිව පාලමට එකතු කළ හැකි ටැප් උපාංගයක් නිර්මාණය කළ හැකි අතර, දෙවනුව, OpenVPN එය TCP සඳහා සහය දක්වයි, එයද වැදගත් වූයේ කිසිදු මහල් නිවාසයකට කැපවූ IP ලිපිනයක් නොතිබූ බැවිනි. මගේ ISP කිසියම් හේතුවක් නිසා එහි ජාල වලින් ලැබෙන UDP සම්බන්ධතා අවහිර කරන නිසා මට STUN භාවිතා කළ නොහැකි විය. TCP මට SSH භාවිතයෙන් කුලියට ගත් VPS වෙත VPN සේවාදායක වරාය යොමු කිරීමට ඉඩ දුන්නේය. මෙම ප්‍රවේශය සැලකිය යුතු උඩිස් මුදලක් නිර්මාණය කරන අතර, දත්ත ද්විත්ව සංකේතනය කර ඇති බැවින්, තෙවන පාර්ශවයන් එය පාලනය කිරීමේ අවදානමක් ඇති බැවින්, VPS මගේ පුද්ගලික ජාලයට ඒකාබද්ධ කිරීමට මට අවශ්‍ය නොවීය. එබැවින්, මගේ නිවසේ ජාලයේ එවැනි උපාංගයක් තිබීම අතිශයින්ම නුසුදුසු විය, එබැවින් ආරක්ෂාව සඳහා සැලකිය යුතු උඩිස් මුදලක් ගෙවීමට මම තීරණය කළෙමි.

රවුටරයේ සේවාදායකය යෙදවීමට සැලසුම් කර තිබූ වරාය යොමු කිරීම සඳහා, මම sshtunnel වැඩසටහන භාවිතා කළෙමි. එහි වින්‍යාසය පිළිබඳ විස්තර වෙත මම නොයමි - එය තරමක් පහසුයි. එහි අරමුණ TCP port 1194 රවුටරයේ සිට VPS වෙත යොමු කිරීම බව මම සටහන් කරමි. ඊළඟට, මම සේවාදායකය වින්‍යාස කළෙමි. OpenVPN br-lan පාලමට සම්බන්ධ කර තිබූ tap0 උපාංගයේ. මගේ ලැප්ටොප් පරිගණකයෙන් අලුතින් නිර්මාණය කරන ලද සේවාදායකයට සම්බන්ධතාවය පරීක්ෂා කිරීමෙන් පසු, port forwarding අදහස ක්‍රියාත්මක වී ඇති බවත්, මගේ ලැප්ටොප් පරිගණකය භෞතිකව රවුටරයේ ජාලයේ කොටසක් නොවූවත්, එහි සාමාජිකයෙකු බවට පත්ව ඇති බවත් පැහැදිලි විය.

කළ යුතු එකම දෙය නම් විවිධ මහල් නිවාසවල IP ලිපින බෙදා හැරීමයි, එවිට ඒවා ගැටෙන්නේ නැති අතර රවුටර වින්‍යාස කිරීම පමණි. OpenVPN- සේවාදායකයින්.
පහත රවුටර IP ලිපින සහ DHCP සේවාදායක පරාසයන් තෝරාගෙන ඇත:

  • 192.168.10.1 පරාසය සමඟ 192.168.10.2 - 192.168.10.80 සේවාදායකය සඳහා
  • 192.168.10.100 පරාසය සමඟ 192.168.10.101 - 192.168.10.149 මහල් අංක 2 හි රවුටරය සඳහා
  • 192.168.10.150 පරාසය සමඟ 192.168.10.151 - 192.168.10.199 මහල් අංක 3 හි රවුටරය සඳහා

මෙම ලිපින සේවාදායක රවුටර වලට පැවරීම ද අවශ්‍ය විය. OpenVPN-සේවාදායකය, එහි වින්‍යාසයට පහත පේළිය එකතු කිරීමෙන්:

ifconfig-pool-persist /etc/openvpn/ipp.txt 0

සහ /etc/openvpn/ipp.txt ගොනුවට පහත රේඛා එකතු කිරීම:

flat1_id 192.168.10.100
flat2_id 192.168.10.150

සම්බන්ධ වීම සඳහා සහතික නිර්මාණය කිරීමේදී flat1_id සහ flat2_id යන උපාංග නම් නිශ්චිතව දක්වා ඇත. OpenVPN

ඊළඟට, රවුටර වින්‍යාස කරන ලදී OpenVPN- සේවාදායකයින්, දෙකෙහිම tap0 උපාංග br-lan පාලමට එකතු කරන ලදී. මෙම අවස්ථාවේදී, සියල්ල හොඳින් පෙනෙන්නට තිබුණි, මන්ද ජාල තුනම එකිනෙකා දැක තනි ඒකකයක් ලෙස ක්‍රියා කළ හැකි බැවිනි. කෙසේ වෙතත්, තරමක් අප්‍රසන්න විස්තරයක් මතු විය: සමහර විට උපාංගවලට වැරදි රවුටරයකින් IP ලිපිනයක් ලැබෙනු ඇත, එහි සියලු ප්‍රතිවිපාක සමඟ. කිසියම් හේතුවක් නිසා, එක් මහල් නිවාසයක රවුටරය නියමිත වේලාවට DHCPDISCOVER වෙත ප්‍රතිචාර දැක්වීමට අපොහොසත් වූ අතර, උපාංගයට වැරදි ලිපිනයක් ලැබුණි. සෑම රවුටරයකම tap0 හි එවැනි ඉල්ලීම් පෙරහන් කිරීමට මට අවශ්‍ය බව මට වැටහුණි, නමුත් එය සිදු වූ විට, iptables පාලමක කොටසක් නම් උපාංගයක් සමඟ ක්‍රියා කළ නොහැක, එබැවින් මට ebtables භාවිතා කිරීමට අවශ්‍ය විය. අවාසනාවකට මෙන්, මගේ ස්ථිරාංග එය ඇතුළත් කළේ නැත, එබැවින් මට එක් එක් උපාංගය සඳහා රූප නැවත ගොඩනැගීමට සිදු විය. මෙය සිදු කර එක් එක් රවුටරයේ /etc/rc.local වෙත පහත රේඛා එකතු කිරීමෙන් පසු, ගැටළුව විසඳුණි:

ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A INPUT --in-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-destination-port 67:68 -j DROP
ebtables -A FORWARD --out-interface tap0 --protocol ipv4 --ip-protocol udp --ip-source-port 67:68 -j DROP

මෙම වින්යාසය වසර තුනක් පැවතුනි.

2 කොටස: දැන හඳුනා ගැනීම WireGuard

මෑතකදී, අන්තර්ජාලය තුළ වැඩි වැඩියෙන් කතාබහට ලක්වෙමින් පවතින්නේ WireGuard, එහි වින්‍යාස කිරීමේ පහසුව, ඉහළ හුවමාරු වේගය, අඩු පිං සහ සැසඳිය හැකි ආරක්ෂාව අගය කරමින්. ඒ පිළිබඳ අමතර තොරතුරු සෙවීමේදී හෙළි වූයේ එය පාලම් සාමාජික හෝ TCP ප්‍රොටෝකෝල සහාය සඳහා සහය නොදක්වන බවයි, එමඟින් විකල්පයක් නොමැති බව මා විශ්වාස කිරීමට හේතු විය. OpenVPN මට නම් ඒක තාමත් එතන නෑ. ඒ නිසා මම දැනගන්න එක කල් දැම්මා. WireGuard.

දින කිහිපයකට පෙර, තොරතුරු තාක්ෂණයට අදාළ සම්පත් හරහා එක් ආකාරයකින් හෝ වෙනත් ආකාරයකින් ප්‍රවෘත්ති පැතිර ගියේය WireGuard අවසානයේ කර්නලයට ඇතුළත් වේ. Linux, 5.6 අනුවාදයෙන් ආරම්භ වේ. ප්‍රවෘත්ති ලිපි, සෑම විටම මෙන්, ප්‍රශංසා කරන ලදී WireGuardමම නැවත වරක් හොඳ පැරණි දේ ප්‍රතිස්ථාපනය කිරීමට ක්‍රම සෙවීමට යොමු වුණෙමි. OpenVPNමේ වතාවේ මම අහම්බෙන් මෙම ලිපිය. එය GRE භාවිතයෙන් L3 හරහා ඊතර්නෙට් උමගක් නිර්මාණය කිරීම ගැන කතා කළේය. මෙම ලිපිය මට බලාපොරොත්තුවක් ලබා දුන්නේය. UDP ප්‍රොටෝකෝලය සමඟ කුමක් කළ යුතුද යන්න අපැහැදිලි විය. UDP port එකක් ඉදිරියට යැවීම සඳහා SSH උමගක් සමඟ සම්බන්ධව socat භාවිතා කිරීම පිළිබඳ ලිපි සෙවීමට මා යොමු විය, කෙසේ වෙතත්, මෙම ප්‍රවේශය ක්‍රියාත්මක වන්නේ තනි සම්බන්ධතා මාදිලියකින් පමණක් බව, එනම් VPN සේවාදායකයින් කිහිප දෙනෙකුගේ වැඩ කළ නොහැකි වනු ඇති බව ඔවුන් සඳහන් කළේය. VPS එකක VPN සේවාදායකයක් ස්ථාපනය කිරීම සහ සේවාදායකයින් සඳහා GRE පිහිටුවීමේ අදහස මම ඉදිරිපත් කළෙමි, නමුත් එය සිදු වූ පරිදි, GRE සංකේතනයට සහය නොදක්වයි, එය තෙවන පාර්ශවයන් සේවාදායකයට ප්‍රවේශය ලබා ගන්නේ නම් යන කාරණයට හේතු වේ. , මගේ ජාල අතර සියලුම ගමනාගමනය ඔවුන් අතේ පවතිනු ඇත, එය මට කිසිසේත් නොගැලපේ.

නැවත වරක්, පහත යෝජනා ක්‍රමය භාවිතා කරමින් VPN හරහා VPN භාවිතා කිරීමෙන් අතිරික්ත සංකේතනයට පක්ෂව තීරණය ගන්නා ලදී:

XNUMX මට්ටමේ VPN:
VPS එය සේවාදායකය අභ්යන්තර ලිපිනය 192.168.30.1 සමඟ
මෙනෙවිය එය සේවාදායකයා අභ්යන්තර ලිපිනය සහිත VPS 192.168.30.2
එම්කේ 2 එය සේවාදායකයා අභ්යන්තර ලිපිනය සහිත VPS 192.168.30.3
එම්කේ 3 එය සේවාදායකයා අභ්යන්තර ලිපිනය සහිත VPS 192.168.30.4

දෙවන මට්ටමේ VPN:
මෙනෙවිය එය සේවාදායකය බාහිර ලිපිනය 192.168.30.2 සහ අභ්යන්තර 192.168.31.1 සමඟ
එම්කේ 2 එය සේවාදායකයා මෙනෙවිය 192.168.30.2 ලිපිනය සමඟ සහ අභ්‍යන්තර IP 192.168.31.2 ඇත
එම්කේ 3 එය සේවාදායකයා මෙනෙවිය 192.168.30.2 ලිපිනය සමඟ සහ අභ්‍යන්තර IP 192.168.31.3 ඇත

* මෙනෙවිය - මහල් නිවාස 1 හි රවුටර-සේවාදායකය, එම්කේ 2 - මහල් නිවාස 2 හි රවුටරය, එම්කේ 3 - මහල් නිවාසයේ රවුටරය 3
* උපාංග වින්‍යාසයන් ලිපියේ අවසානයේ ස්පොයිලර් තුළ ප්‍රකාශයට පත් කෙරේ.

එබැවින්, pings ජාල නෝඩ් 192.168.31.0/24 අතර ධාවනය වේ, GRE උමගක් සැකසීමට ඉදිරියට යාමට කාලයයි. මෙයට පෙර, රවුටර වෙත ප්‍රවේශය අහිමි නොකිරීමට, වරාය 22 VPS වෙත යොමු කිරීම සඳහා SSH උමං සැකසීම වටී, එබැවින්, උදාහරණයක් ලෙස, මහල් නිවාස 10022 හි රවුටරය VPS හි 2 වරායට ප්‍රවේශ විය හැකි අතර, මහල් 11122 සිට රවුටරය 3 port XNUMX රවුටරයෙන් මහල් නිවාස XNUMX වෙතින් ප්‍රවේශ විය හැක. එම sshtunnel භාවිතයෙන් ඉදිරියට යැවීම වින්‍යාස කිරීම වඩාත් සුදුසුය, මන්ද එය අසාර්ථක වුවහොත් උමඟ ප්‍රතිෂ්ඨාපනය කරනු ඇත.

උමග වින්‍යාස කර ඇත, ඔබට යොමු කළ වරාය හරහා SSH වෙත සම්බන්ධ විය හැකිය:

ssh root@МОЙ_VPS -p 10022

ඊළඟට ඔබ අක්‍රිය කළ යුතුයි OpenVPN:

/etc/init.d/openvpn stop

දැන් අපි මහල් නිවාස 2 සිට රවුටරයේ GRE උමගක් සකසමු:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set grelan0 up

පාලමට සාදන ලද අතුරු මුහුණත එක් කරන්න:

brctl addif br-lan grelan0

සේවාදායක රවුටරයේ සමාන ක්‍රියා පටිපාටියක් සිදු කරමු:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set grelan0 up

තවද සාදන ලද අතුරු මුහුණත පාලමට එක් කරන්න:

brctl addif br-lan grelan0

මේ මොහොතේ සිට, පිං සාර්ථකව නව ජාලයට යාමට පටන් ගන්නා අතර මම තෘප්තිමත්ව කෝපි පානයට යමි. ඉන්පසුව, රේඛාවේ අනෙක් කෙළවරේ ජාලය ක්‍රියා කරන ආකාරය ඇගයීමට, මම මහල් 2 හි එක් පරිගණකයකට SSH කිරීමට උත්සාහ කරමි, නමුත් මුරපදයක් ඉල්ලා සිටීමකින් තොරව ssh සේවාදායකයා කැටි වේ. මම 22 වරායේ ටෙල්නෙට් හරහා මෙම පරිගණකයට සම්බන්ධ වීමට උත්සාහ කරන අතර සම්බන්ධතාවය ස්ථාපිත වෙමින් පවතින බව මට තේරුම් ගත හැකි රේඛාවක් මම දකිමි, SSH සේවාදායකය ප්‍රතිචාර දක්වයි, නමුත් කිසියම් හේතුවක් නිසා එය ලොග් වීමට මා නොපෙන්වයි තුල.

$ telnet 192.168.10.110 22
SSH-2.0-OpenSSH_8.1

මම VNC හරහා එයට සම්බන්ධ වී කළු තිරයක් දැකීමට උත්සාහ කරමි. අභ්යන්තර ලිපිනය භාවිතයෙන් මෙම මහල් නිවාසයේ සිට රවුටරයට පහසුවෙන් සම්බන්ධ විය හැකි නිසා, ගැටලුව දුරස්ථ පරිගණකයේ ඇති බව මම ඒත්තු ගන්වමි. කෙසේ වෙතත්, මම මෙම පරිගණකයේ SSH වෙත රවුටරය හරහා සම්බන්ධ වීමට තීරණය කරන අතර සම්බන්ධතාවය සාර්ථක බව දැකීමෙන් පුදුමයට පත් වන අතර දුරස්ථ පරිගණකය සාමාන්යයෙන් ක්රියා කරයි, නමුත් එය මගේ පරිගණකයට සම්බන්ධ කළ නොහැක.

මම grelan0 උපාංගය පාලමෙන් ඉවතට ගෙන එය ක්‍රියාත්මක කරමි. OpenVPN මහල් නිවාස 2 හි රවුටරය මත, ජාලය නැවත නිසි ලෙස ක්‍රියාත්මක වන බවත් සම්බන්ධතා පහත වැටෙන්නේ නැති බවත් මම තහවුරු කළෙමි. සෙවීමේදී, එකම ගැටළු පිළිබඳව මිනිසුන් පැමිණිලි කරන සහ MTU වැඩි කිරීමට උපදෙස් දෙන සංසද මට හමු විය. කිව යුතු ඉක්මනින්ම එය සිදු විය. කෙසේ වෙතත්, MTU ප්‍රමාණවත් තරම් ඉහළ මට්ටමකට සකසා ඇති තුරු - gretap උපාංග සඳහා 7000 - TCP සම්බන්ධතා පහත වැටීම හෝ අඩු හුවමාරු වේගයක් මට අත්විඳිය හැකිය. gretap සඳහා ඉහළ MTU නිසා, සම්බන්ධතා සඳහා MTU WireGuard පළමු සහ දෙවන මට්ටම් පිළිවෙලින් 8000 සහ 7500 ලෙස සකසා තිබුණි.

මම මහල් නිවාස 3 වෙතින් රවුටරයේ එවැනිම සැකසුම සිදු කළෙමි, එකම වෙනස නම් grelan1 නම් දෙවන ග්‍රෙටැප් අතුරුමුහුණත සේවාදායක රවුටරයට එක් කර තිබීමයි, එය br-lan පාලමටද එකතු කරන ලදී.

හැම දෙයක්ම වැඩ කරනවා. දැන් ඔබට gretap එකලස් කිරීම ආරම්භයට තැබිය හැක. මේ වෙනුවෙන්:

මම මෙම රේඛා මහල් නිවාස 2 හි රවුටරයේ /etc/rc.local හි තැබුවෙමි:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.2
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

මෙය මහල් 3 හි රවුටරයේ /etc/rc.local වෙත එක් කරන ලදී:

ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

සහ සේවාදායක රවුටරයේ:

ip link add grelan0 type gretap remote 192.168.31.2 local 192.168.31.1
ip link set dev grelan0 mtu 7000
ip link set grelan0 up
brctl addif br-lan grelan0

ip link add grelan1 type gretap remote 192.168.31.3 local 192.168.31.1
ip link set dev grelan1 mtu 7000
ip link set grelan1 up
brctl addif br-lan grelan1

සේවාදායක රවුටර නැවත ආරම්භ කිරීමෙන් පසු, කිසියම් හේතුවක් නිසා ඒවා සේවාදායකයට සම්බන්ධ නොවන බව මම සොයා ගතිමි. ඔවුන්ගේ SSH වෙත සම්බන්ධ වීමෙන් පසු (ස්තුතිවන්තව, මම මීට පෙර මේ සඳහා sshtunnel වින්‍යාස කර තිබුණි), මම එය සොයා ගතිමි WireGuard කිසියම් හේතුවක් නිසා, එය අන්ත ලක්ෂ්‍යය සඳහා මාර්ගයක් නිර්මාණය කරයි, නමුත් එය වැරදියි. උදාහරණයක් ලෙස, 192.168.30.2 සඳහා, මාර්ග වගුව pppoe-wan අතුරුමුහුණත හරහා මාර්ගයක් නියම කළේය, එනම් අන්තර්ජාලය හරහා, නමුත් එයට යන මාර්ගය wg0 අතුරුමුහුණත හරහා යොමු කළ යුතුව තිබුණි. මෙම මාර්ගය මකා දැමීමෙන් පසු, සම්බන්ධතාවය ප්‍රතිසාධනය කරන ලදී. බල කරන්නේ කෙසේද යන්න පිළිබඳ උපදෙස් මට කොතැනක හෝ සොයාගත හැකිද? WireGuard මට මේ මාර්ග නිර්මාණය කිරීමෙන් වැළකී සිටීමට නොහැකි විය. එපමණක් නොව, මෙය OpenWRT හි විශේෂාංගයක්ද නැතහොත් WireGuardගැටලුව සොයා ගැනීමට වැඩි කාලයක් ගත නොකර, මම මෙම මාර්ගය මකා දැමූ රවුටර දෙකෙහිම ටයිමර්-ලූප් ස්ක්‍රිප්ටයට පේළියක් එක් කළෙමි:

route del 192.168.30.2

සාරාංශගත කිරීම

සම්පූර්ණ ප්‍රතික්ෂේප කිරීම OpenVPN මට තවමත් මෙය සාක්ෂාත් කර ගැනීමට නොහැකි වී ඇත්තේ, ඉඳහිට ලැප්ටොප් එකකින් හෝ දුරකථනයකින් නව ජාලයකට සම්බන්ධ වීමට අවශ්‍ය වන අතර, ඒවා මත gretap උපාංගයක් සැකසීම සාමාන්‍යයෙන් කළ නොහැකි බැවිනි. කෙසේ වෙතත්, මෙය තිබියදීත්, මහල් නිවාස අතර දත්ත හුවමාරු වේගයෙහි මම වාසියක් ලබා ඇති අතර, උදාහරණයක් ලෙස VNC භාවිතා කිරීම දැන් කරදරයකින් තොරය. Ping තරමක් අඩු වී ඇත නමුත් වඩාත් ස්ථායී වී ඇත:

භාවිතා කිරීම OpenVPN:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=133 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=125 ms

--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19006ms
rtt min/avg/max/mdev = 124.722/126.152/136.907/3.065 ms

භාවිතා කිරීම WireGuard:

[r0ck3r@desktop ~]$ ping -c 20 192.168.10.110
PING 192.168.10.110 (192.168.10.110) 56(84) bytes of data.
64 bytes from 192.168.10.110: icmp_seq=1 ttl=64 time=124 ms
...
64 bytes from 192.168.10.110: icmp_seq=20 ttl=64 time=124 ms
--- 192.168.10.110 ping statistics ---
20 packets transmitted, 20 received, 0% packet loss, time 19003ms
rtt min/avg/max/mdev = 123.954/124.423/126.708/0.675 ms

එය VPS වෙත ඉහළ පිං මගින් වැඩි බලපෑමක් ඇති කරයි, එය ආසන්න වශයෙන් 61.5 ms වේ.

කෙසේ වෙතත්, වේගය සැලකිය යුතු ලෙස වැඩි වී ඇත. ඉතින්, රවුටර්-සේවාදායකය සහිත මහල් නිවාසයේ, මගේ අන්තර්ජාල සම්බන්ධතා වේගය 30 Mbps වන අතර, අනෙක් මහල් නිවාසවල එය 5 Mbps වේ. එපමණක් නොව, භාවිතයේදී OpenVPN iperf කියවීම් අනුව 3,8 Mbps ට වඩා වැඩි ජාල අතර දත්ත හුවමාරු වේගයක් ලබා ගැනීමට මට නොහැකි විය, නමුත් WireGuard එය එම 5 Mbit/sec දක්වා "පොම්ප" කළා.

වින්‍යාසය WireGuard VPS මත[Interface]
Address = 192.168.30.1/24
ListenPort = 51820
PrivateKey = <ЗАКРЫТЫЙ_КЛЮЧ_ДЛЯ_VPS>

[තුල්‍ය]
පොදු යතුර = <VPN_1_MS_PUBLIC_KEY>
අවසර ලත් IPs = 192.168.30.2/32

[තුල්‍ය]
පොදු යතුර = <VPN_2_MK2_PUBLIC_KEY>
අවසර ලත් IPs = 192.168.30.3/32

[තුල්‍ය]
පොදු යතුර = <VPN_2_MK3_PUBLIC_KEY>
අවසර ලත් IPs = 192.168.30.4/32

වින්‍යාසය WireGuard MS මත (/etc/config/network වෙත එක් කරන ලදී)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.2/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МС'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option route_allowed_ips '1'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - сервер
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option listen_port '51821'
        list addresses '192.168.31.1/24'
        option auto '1'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list allowed_ips '192.168.31.2'

config wireguard_wg1ip link add grelan0 type gretap remote 192.168.31.1 local 192.168.31.3

        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list allowed_ips '192.168.31.3'

වින්‍යාසය WireGuard MK2 මත (/etc/config/network වෙත එක් කරන ලදී)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.3/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК2'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК2'
        list addresses '192.168.31.2/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

වින්‍යාසය WireGuard MK3 මත (/etc/config/network වෙත එක් කරන ලදී)

#VPN первого уровня - клиент
config interface 'wg0'
        option proto 'wireguard'
        list addresses '192.168.30.4/24'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_1_МК3'
        option auto '1'
        option mtu '8000'

config wireguard_wg0
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_1_VPS'
        option endpoint_port '51820'
        option persistent_keepalive '25'
        list allowed_ips '192.168.30.0/24'
        option endpoint_host 'IP_АДРЕС_VPS'

#VPN второго уровня - клиент
config interface 'wg1'
        option proto 'wireguard'
        option private_key 'ЗАКРЫТЫЙ_КЛЮЧ_VPN_2_МК3'
        list addresses '192.168.31.3/24'
        option auto '1'
        option listen_port '51821'
        option mtu '7500'

config wireguard_wg1
        option public_key 'ОТКРЫТЫЙ_КЛЮЧ_VPN_2_МС'
        option endpoint_host '192.168.30.2'
        option endpoint_port '51821'
        option persistent_keepalive '25'
        list allowed_ips '192.168.31.0/24'

දෙවන මට්ටමේ VPN සඳහා විස්තර කර ඇති වින්‍යාසයන් තුළ, මම සේවාදායකයින්ට දක්වන්නේ WireGuard 51821 වරාය. මෙය අවශ්‍ය නොවිය යුතුය, මන්ද සේවාදායකයා ඕනෑම නිදහස්, වරප්‍රසාද නොලත් වරායකින් සම්බන්ධතාවයක් ස්ථාපිත කරනු ඇත, නමුත් මම එය කළේ 51821 වරායට එන UDP සම්බන්ධතා හැර, සියලුම රවුටරවල wg0 අතුරුමුහුණත් මත ලැබෙන සියලුම සම්බන්ධතා ප්‍රතික්ෂේප කිරීමට හැකි වන පරිදිය.

ලිපිය යමෙකුට ප්‍රයෝජනවත් වනු ඇතැයි මම බලාපොරොත්තු වෙමි.

ප්රාදේශීය සභා එසේම, මගේ ජාලයේ නව උපාංගයක් දිස්වන විට WirePusher යෙදුම තුළ මගේ දුරකථනයට PUSH දැනුම්දීමක් එවන මගේ පිටපත බෙදා ගැනීමට මට අවශ්‍යය. පිටපතට සබැඳිය මෙන්න: github.com/r0ck3r/device_discover.

UPDATE: වින්‍යාසය OpenVPN- සේවාදායකයින් සහ සේවාදායකයින්

OpenVPN- සේවාදායකය

client-to-client

ca /etc/openvpn/server/ca.crt
cert /etc/openvpn/server/vpn-server.crt
dh /etc/openvpn/server/dh.pem
key /etc/openvpn/server/vpn-server.key

dev tap
ifconfig-pool-persist /etc/openvpn/ipp.txt 0
keepalive 10 60
proto tcp4
server-bridge 192.168.10.1 255.255.255.0 192.168.10.80 192.168.10.254
status /var/log/openvpn-status.log
verb 3
comp-lzo

OpenVPN- සේවාදායකයා

client
tls-client
dev tap
proto tcp
remote VPS_IP 1194 # Change to your router's External IP
resolv-retry infinite
nobind

ca client/ca.crt
cert client/client.crt
key client/client.key
dh client/dh.pem

comp-lzo
persist-tun
persist-key
verb 3

සහතික ජනනය කිරීමට මම පහසු-rsa භාවිතා කළෙමි

මූලාශ්රය: www.habr.com

DDoS ආරක්ෂාව, VPS VDS සේවාදායකයන් සහිත අඩවි සඳහා විශ්වාසදායක සත්කාරකත්වය මිලදී ගන්න 🔥 DDoS ආරක්ෂාව, VPS VDS සේවාදායකයන් සහිත විශ්වාසදායක වෙබ් අඩවි සත්කාරකත්වය මිලදී ගන්න | ProHoster