ProHoster > Blog > Administrácia > Zrýchlenie OpenVPN na smerovači Openwrt. Alternatívna verzia bez spájkovačky a hardvérového extrémizmu

Zrýchlenie OpenVPN na smerovači Openwrt. Alternatívna verzia bez spájkovačky a hardvérového extrémizmu

Zrýchlenie OpenVPN na smerovači Openwrt. Alternatívna verzia bez spájkovačky a hardvérového extrémizmu

Ahojte všetci, nedávno som čítal starý článok o tom, ako môžete urýchliť OpenVPN na smerovači prenesením šifrovania na samostatný hardvér, ktorý je prispájkovaný vo vnútri samotného smerovača. Mám podobný prípad ako autor - TP-Link WDR3500 so 128 megabajtami RAM a slabým procesorom, ktorý si úplne nevie poradiť so šifrovaním tunela. Absolútne sa mi však nechcelo dostať do routera s spájkovačkou. Nižšie sú moje skúsenosti s presunom OpenVPN na samostatný hardvér so zálohou na smerovači v prípade nehody.

Úloha

K dispozícii je router TP-Link WDR3500 a Orange Pi Zero H2. Chceme, aby Orange Pi šifroval tunely ako obvykle, a ak sa mu niečo stane, spracovanie VPN sa vráti späť do smerovača. Všetky nastavenia brány firewall na smerovači by mali fungovať ako predtým. A vo všeobecnosti by pridávanie ďalšieho hardvéru malo byť pre každého transparentné a nepostrehnuteľné. OpenVPN funguje cez TCP, adaptér TAP je v režime mosta (server-bridge).

rozhodnutie

Namiesto pripojenia cez USB som sa rozhodol použiť jeden port routera a pripojiť všetky podsiete, ktoré majú VPN bridge k Orange Pi. Ukazuje sa, že hardvér bude fyzicky visieť v rovnakých sieťach ako server VPN na smerovači. Potom nainštalujeme presne tie isté servery na Orange Pi a na routeri nastavíme nejaký proxy server tak, aby posielal všetky prichádzajúce spojenia na externý server, a ak je Orange Pi mŕtvy alebo nedostupný, tak na interný záložný server. Bral som HAProxy.

Dopadá to takto:

  1. Prichádza klient
  2. Ak je externý server nedostupný, ako predtým, pripojenie prejde na interný server
  3. Ak je k dispozícii, klienta akceptuje Orange Pi
  4. VPN na Orange Pi dešifruje pakety a vypľuje ich späť do smerovača
  5. Smerovač ich niekam nasmeruje

Príklad implementácie

Povedzme teda, že na smerovači máme dve siete - hlavnú (1) a hosťovskú (2), pre každú z nich existuje server OpenVPN na externé pripojenie.

Konfigurácia siete

Potrebujeme smerovať obe siete cez jeden port, preto vytvoríme 2 VLAN.

Na routeri v sekcii Network/Switch vytvorte VLAN (napríklad 1 a 2) a povoľte ich v značkovacom režime na požadovanom porte, pridajte novovytvorené eth0.1 a eth0.2 do zodpovedajúcich sietí (napr. pridajte ich do mostíka).

Na Orange Pi vytvárame dve rozhrania VLAN (mám Archlinux ARM + netctl):

/etc/netctl/vlan-main

Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no

/etc/netctl/vlan-guest

Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no

A okamžite pre nich vytvoríme dva mosty:

/etc/netctl/br-main

Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp

/etc/netctl/br-guest

Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp

Povoliť automatické spustenie pre všetky 4 profily (povoliť netctl). Teraz po reštarte bude Orange Pi visieť v dvoch požadovaných sieťach. Adresy rozhrania na Orange Pi nakonfigurujeme v statických lízingoch na smerovači.

ip addr show

4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
    link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::42:f0ff:fef8:23c8/64 scope link 
       valid_lft forever preferred_lft forever

6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
       valid_lft 29379sec preferred_lft 21439sec
    inet6 fe80::50c7:fff:fe89:716e/64 scope link 
       valid_lft forever preferred_lft forever

7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
    inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
       valid_lft forever preferred_lft forever
    inet6 fe80::ecea:19ff:fe31:3432/64 scope link 
       valid_lft forever preferred_lft forever

Nastavenie siete VPN

Ďalej skopírujeme nastavenia pre OpenVPN a kľúče zo smerovača. Nastavenia sa zvyčajne nachádzajú v /tmp/etc/openvpn*.conf

V predvolenom nastavení openvpn spustený v režime TAP a server-bridge ponecháva svoje rozhranie neaktívne. Aby všetko fungovalo, musíte pridať skript, ktorý sa spustí pri aktivácii pripojenia.

/etc/openvpn/main.conf

dev vpn-main
dev-type tap

client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3

setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh

/etc/openvpn/vpn-up.sh

#!/bin/sh

ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}

Výsledkom je, že hneď ako dôjde k pripojeniu, rozhranie vpn-main sa pridá do br-main. Pre hosťovskú mriežku - podobne až po názov rozhrania a adresu v server-bridge.

Smerovanie požiadaviek externe a proxy

V tomto kroku už Orange Pi dokáže prijímať pripojenia a pripájať klientov do požadovaných sietí. Zostáva len nakonfigurovať proxy prichádzajúcich pripojení na smerovači.

Prenesieme servery VPN smerovača na iné porty, nainštalujeme HAProxy na smerovač a nakonfigurujeme:

/etc/haproxy.cfg

global
        maxconn 256
        uid 0
        gid 0
        daemon

defaults
        retries 1
        contimeout 1000
        option splice-auto

listen guest_vpn
        bind :444
        mode tcp
        server 0-orange 192.168.2.3:444 check
        server 1-local  127.0.0.1:4444 check backup

listen main_vpn
        bind :443
        mode tcp
        server 0-orange 192.168.1.3:443 check
        server 1-local  127.0.0.1:4443 check backup

Užite si to

Ak všetko pôjde podľa plánu, klienti prejdú na Orange Pi a procesor routera sa už nebude zahrievať a rýchlosť VPN sa výrazne zvýši. Zároveň zostanú relevantné všetky sieťové pravidlá, ktoré sú zaregistrované na smerovači. V prípade nehody na Orange Pi spadne a HAProxy prenesie klientov na lokálne servery.

Ďakujem za pozornosť, návrhy a opravy sú vítané.

Zdroj: hab.com

Pridať komentár