Здраво свима, недавно сам прочитао о томе како можете да убрзате ОпенВПН на рутеру тако што ћете пренети енкрипцију на посебан комад хардвера, који је залемљен унутар самог рутера. Имам сличан случај као код аутора – ТП-Линк ВДР3500 са 128 мегабајта РАМ-а и лошим процесором који је потпуно неспособан да се носи са тунелском енкрипцијом. Међутим, апсолутно нисам желео да уђем у рутер са лемилом. Испод је моје искуство премештања ОпенВПН-а на посебан комад хардвера са резервном копијом на рутеру у случају несреће.
Задатак
Постоји ТП-Линк ВДР3500 рутер и Оранге Пи Зеро Х2. Желимо да Оранге Пи шифрира тунеле као и обично, а ако му се нешто догоди, ВПН обрада ће се вратити назад у рутер. Сва подешавања заштитног зида на рутеру треба да раде као и раније. И уопште, додавање додатног хардвера треба да буде транспарентно и неприметно за све. ОпенВПН ради преко ТЦП-а, ТАП адаптер је у режиму моста (сервер-бридге).
одлука
Уместо повезивања преко УСБ-а, одлучио сам да користим један порт рутера и повежем све подмреже које имају ВПН мост на Оранге Пи. Испоставило се да ће хардвер физички висити у истим мрежама као и ВПН сервер на рутеру. Након тога инсталирамо потпуно исте сервере на Оранге Пи, а на рутеру постављамо неку врсту проксија тако да све долазне везе шаље на екстерни сервер, а ако је Оранге Пи мртав или недоступан, онда на интерни резервни сервер. Узео сам ХАПроки.
Испада овако:
- Стиже клијент
- Ако спољни сервер није доступан, као и раније, веза иде на интерни сервер
- Ако је доступно, Оранге Пи прихвата клијента
- ВПН на Оранге Пи дешифрује пакете и враћа их назад у рутер
- Рутер их негде усмерава
Пример имплементације
Дакле, рецимо да имамо две мреже на рутеру - главну(1) и гостујућу(2), за сваку од њих постоји ОпенВПН сервер за екстерно повезивање.
Мрежна конфигурација
Морамо да усмеримо обе мреже кроз један порт, тако да креирамо 2 ВЛАН-а.
На рутеру, у одељку Нетворк/Свитцх, креирајте ВЛАН (на пример 1 и 2) и омогућите их у означеном режиму на жељеном порту, додајте новокреиране етх0.1 и етх0.2 у одговарајуће мреже (нпр. додати их у бригде).
На Оранге Пи креирамо два ВЛАН интерфејса (имам Арцхлинук АРМ + нетцтл):
/етц/нетцтл/влан-маин
Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no
/етц/нетцтл/влан-гуест
Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no
И одмах стварамо два моста за њих:
/етц/нетцтл/бр-маин
Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp
/етц/нетцтл/бр-гуест
Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp
Омогући аутоматско покретање за сва 4 профила (нетцтл енабле). Сада након поновног покретања, Оранге Пи ће висити на две потребне мреже. Конфигуришемо адресе интерфејса на Оранге Пи у статичким закупима на рутеру.
ип аддр схов
4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
valid_lft 29379sec preferred_lft 21439sec
inet6 fe80::50c7:fff:fe89:716e/64 scope link
valid_lft forever preferred_lft forever
7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
valid_lft forever preferred_lft forever
inet6 fe80::ecea:19ff:fe31:3432/64 scope link
valid_lft forever preferred_lft forever
Подешавање ВПН-а
Затим копирамо подешавања за ОпенВПН и кључеве са рутера. Подешавања се обично могу наћи у /тмп/етц/опенвпн*.цонф
Подразумевано, опенвпн који ради у ТАП режиму и сервер-бридге држи свој интерфејс неактивним. Да би све функционисало, потребно је да додате скрипту која се покреће када је веза активирана.
/етц/опенвпн/маин.цонф
dev vpn-main
dev-type tap
client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3
setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh
/етц/опенвпн/впн-уп.сх
#!/bin/sh
ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}
Као резултат тога, чим дође до везе, впн-маин интерфејс ће бити додат на бр-маин. За мрежу гостију - слично, до имена интерфејса и адресе у сервер-бридге.
Рутирање захтева екстерно и прокси
У овом кораку, Оранге Пи је већ у стању да прихвати везе и повеже клијенте са потребним мрежама. Остаје само да конфигуришете прокси долазне везе на рутеру.
Пребацујемо ВПН сервере рутера на друге портове, инсталирамо ХАПроки на рутер и конфигуришемо:
/етц/хапроки.цфг
global
maxconn 256
uid 0
gid 0
daemon
defaults
retries 1
contimeout 1000
option splice-auto
listen guest_vpn
bind :444
mode tcp
server 0-orange 192.168.2.3:444 check
server 1-local 127.0.0.1:4444 check backup
listen main_vpn
bind :443
mode tcp
server 0-orange 192.168.1.3:443 check
server 1-local 127.0.0.1:4443 check backup
Уживати
Ако је све ишло по плану, клијенти ће прећи на Оранге Пи и процесор рутера се више неће загревати, а брзина ВПН-а ће се значајно повећати. Истовремено, сва мрежна правила која су регистрована на рутеру ће остати релевантна. У случају несреће на Оранге Пи, он ће отпасти и ХАПроки ће пребацити клијенте на локалне сервере.
Хвала на пажњи, сугестије и исправке су добродошле.
Извор: ввв.хабр.цом