สวัสดีทุกคน ฉันเพิ่งอ่าน
งาน
มีเราเตอร์ TP-Link WDR3500 และ Orange Pi Zero H2 เราต้องการให้ Orange Pi เข้ารหัสอุโมงค์ในโหมดปกติ และหากเกิดอะไรขึ้นกับมัน การประมวลผล VPN จะย้อนกลับมาที่เราเตอร์ การตั้งค่าไฟร์วอลล์ทั้งหมดบนเราเตอร์ควรใช้งานได้เหมือนเดิม และโดยทั่วไปแล้วการเพิ่มชิ้นส่วนเหล็กเพิ่มเติมควรมีความโปร่งใสและมองไม่เห็นสำหรับทุกคน OpenVPN ทำงานผ่าน TCP, อะแดปเตอร์ TAP ในโหมดบริดจ์ (เซิร์ฟเวอร์บริดจ์)
การตัดสิน
แทนที่จะเชื่อมต่อผ่าน USB ฉันตัดสินใจใช้พอร์ตหนึ่งของเราเตอร์และเชื่อมต่อเครือข่ายย่อยทั้งหมดที่มีบริดจ์ VPN กับ Orange Pi ปรากฎว่าชิ้นส่วนเหล็กจะแขวนอยู่ในเครือข่ายเดียวกับเซิร์ฟเวอร์ VPN บนเราเตอร์ หลังจากนั้น เราเพิ่มเซิร์ฟเวอร์ตัวเดียวกันบน Orange Pi และบนเราเตอร์ เราตั้งค่าพร็อกซีบางประเภทเพื่อส่งการเชื่อมต่อขาเข้าทั้งหมดไปยังเซิร์ฟเวอร์ภายนอก และหาก Orange Pi เสียหรือไม่พร้อมใช้งาน ให้สำรองภายใน เซิร์ฟเวอร์ ฉันทาน HAProxy
ปรากฎดังนี้:
- ลูกค้ามาถึง
- หากไม่มีเซิร์ฟเวอร์ภายนอก - เช่นเดิม การเชื่อมต่อจะไปที่เซิร์ฟเวอร์ภายใน
- ถ้ามีแสดงว่าลูกค้ายอมรับพี่ส้ม
- VPN บน Orange Pi ถอดรหัสแพ็กเก็ตและส่งกลับไปที่เราเตอร์
- เราเตอร์กำหนดเส้นทางไปที่ใดที่หนึ่ง
ตัวอย่างการใช้งาน
สมมติว่าเรามีสองเครือข่ายบนเราเตอร์ - หลัก(1) และแขก(2) สำหรับแต่ละเครือข่ายมีเซิร์ฟเวอร์ OpenVPN สำหรับเชื่อมต่อจากภายนอก
การกำหนดค่าเครือข่าย
เราจำเป็นต้องผ่านทั้งสองเครือข่ายผ่านพอร์ตเดียว ดังนั้นเราจึงสร้าง 2 VLAN
บนเราเตอร์ ในส่วนเครือข่าย / สวิตช์ ให้สร้าง VLAN (เช่น 1 และ 2) และเปิดใช้งานในโหมดแท็กบนพอร์ตที่ต้องการ เพิ่ม eth0.1 และ eth0.2 ที่สร้างขึ้นใหม่ไปยังเครือข่ายที่เหมาะสม (สำหรับ เช่น เพิ่มไปยัง brigde)
บน Orange Pi เราสร้างอินเทอร์เฟซ VLAN สองตัว (ฉันมี Archlinux ARM + netctl):
/etc/netctl/vlan-main
Description='Main VLAN on eth0'
Interface=vlan-main
Connection=vlan
BindsToInterfaces=eth0
VLANID=1
IP=no
/etc/netctl/vlan-guest
Description='Guest VLAN on eth0'
Interface=vlan-guest
Connection=vlan
BindsToInterfaces=eth0
VLANID=2
IP=no
และสร้างสะพานสองแห่งทันที:
/etc/netctl/br-main
Description="Main Bridge connection"
Interface=br-main
Connection=bridge
BindsToInterfaces=(vlan-main)
IP=dhcp
/etc/netctl/br-guest
Description="Guest Bridge connection"
Interface=br-guest
Connection=bridge
BindsToInterfaces=(vlan-guest)
IP=dhcp
เปิดใช้งาน autostart สำหรับทั้ง 4 โปรไฟล์ (เปิดใช้งาน netctl) หลังจากรีบูตเครื่อง Orange Pi จะค้างในสองเครือข่ายที่ต้องการ ที่อยู่อินเทอร์เฟซบน Orange Pi ได้รับการกำหนดค่าใน Static Leases บนเราเตอร์
แสดง IP addr
4: vlan-main@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-main state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
5: vlan-guest@eth0: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue master br-guest state UP group default qlen 1000
link/ether 02:42:f0:f8:23:c8 brd ff:ff:ff:ff:ff:ff
inet6 fe80::42:f0ff:fef8:23c8/64 scope link
valid_lft forever preferred_lft forever
6: br-main: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether 52:c7:0f:89:71:6e brd ff:ff:ff:ff:ff:ff
inet 192.168.1.3/24 brd 192.168.1.255 scope global dynamic noprefixroute br-main
valid_lft 29379sec preferred_lft 21439sec
inet6 fe80::50c7:fff:fe89:716e/64 scope link
valid_lft forever preferred_lft forever
7: br-guest: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
link/ether ee:ea:19:31:34:32 brd ff:ff:ff:ff:ff:ff
inet 192.168.2.3/24 brd 192.168.2.255 scope global br-guest
valid_lft forever preferred_lft forever
inet6 fe80::ecea:19ff:fe31:3432/64 scope link
valid_lft forever preferred_lft forever
การตั้งค่า VPN
จากนั้น คัดลอกการตั้งค่าสำหรับ OpenVPN และคีย์จากเราเตอร์ การตั้งค่ามักจะนำมาจาก /tmp/etc/openvpn*.conf
ตามค่าเริ่มต้น openvpn ที่ทำงานในโหมด TAP และเซิร์ฟเวอร์บริดจ์จะทำให้อินเทอร์เฟซไม่ทำงาน เพื่อให้ใช้งานได้ คุณต้องเพิ่มสคริปต์ที่ทำงานเมื่อเปิดใช้งานการเชื่อมต่อ
/etc/openvpn/main.conf
dev vpn-main
dev-type tap
client-to-client
persist-key
persist-tun
ca /etc/openvpn/main/ca.crt
cert /etc/openvpn/main/main.crt
cipher AES-256-CBC
comp-lzo yes
dh /etc/openvpn/main/dh2048.pem
ifconfig-pool-persist /etc/openvpn/ipp_main.txt
keepalive 10 60
key /etc/openvpn/main/main.key
port 443
proto tcp
push "redirect-gateway"
push "dhcp-option DNS 192.168.1.1"
server-bridge 192.168.1.3 255.255.255.0 192.168.1.200 192.168.1.229
status /tmp/openvpn.main.status
verb 3
setenv profile_name main
script-security 2
up /etc/openvpn/vpn-up.sh
/etc/openvpn/vpn-up.sh
#!/bin/sh
ifconfig vpn-${profile_name} up
brctl addif br-${profile_name} vpn-${profile_name}
ดังนั้น ทันทีที่มีการเชื่อมต่อเกิดขึ้น อินเทอร์เฟซ vpn-main จะถูกเพิ่มไปยัง br-main สำหรับกริดแขก จะคล้ายกับชื่ออินเทอร์เฟซและที่อยู่ในเซิร์ฟเวอร์บริดจ์
การกำหนดเส้นทางคำขอภายนอกและพร็อกซี
ในขั้นตอนนี้ Orange Pi สามารถยอมรับการเชื่อมต่อและอนุญาตให้ไคลเอนต์เข้าสู่เครือข่ายที่ต้องการได้แล้ว ยังคงกำหนดค่าพร็อกซีของการเชื่อมต่อขาเข้าบนเราเตอร์
เราถ่ายโอนเซิร์ฟเวอร์ VPN ของเราเตอร์ไปยังพอร์ตอื่น ติดตั้ง HAProxy บนเราเตอร์และกำหนดค่า:
/etc/haproxy.cfg
global
maxconn 256
uid 0
gid 0
daemon
defaults
retries 1
contimeout 1000
option splice-auto
listen guest_vpn
bind :444
mode tcp
server 0-orange 192.168.2.3:444 check
server 1-local 127.0.0.1:4444 check backup
listen main_vpn
bind :443
mode tcp
server 0-orange 192.168.1.3:443 check
server 1-local 127.0.0.1:4443 check backup
สนุก
หากทุกอย่างเป็นไปตามแผน ลูกค้าจะไปที่ Orange Pi และตัวประมวลผลของเราเตอร์จะไม่ร้อนอีกต่อไป และความเร็ว VPN จะเพิ่มขึ้นอย่างมาก ในขณะเดียวกัน กฎเครือข่ายทั้งหมดที่ลงทะเบียนบนเราเตอร์จะยังคงมีความเกี่ยวข้อง ในกรณีที่เกิดอุบัติเหตุบน Orange Pi มันจะหลุดและ HAProxy จะรวมไคลเอนต์บนเซิร์ฟเวอร์ภายใน
ขอบคุณสำหรับความสนใจ ข้อเสนอแนะและการแก้ไขยินดีต้อนรับ
ที่มา: will.com