OpenWRT कोषेर टनलिंग

इसलिए हमें दो लिनक्स मेजबानों के बीच एक सुरंग को व्यवस्थित करने की आवश्यकता है, जिसमें से एक बोर्ड पर इस अद्भुत फर्मवेयर के साथ हमारे सोहो राउटर हैं। हम तुरंत एक आरक्षण करेंगे कि हमारे लिए सबसे महत्वपूर्ण चीज कनेक्शन की गति और ओवरहेड लागत में कमी है। इसलिए, हम उन पैकेजों को स्थापित करने के बारे में भूल जाएंगे जो प्रमाणीकरण, यातायात एन्क्रिप्शन को लागू करते हैं, लेकिन राउटर की मेमोरी में बड़ी संख्या में क़ीमती किलोबाइट पर कब्जा कर लेते हैं। हम केवल ipv4 सुरंगों पर विचार करेंगे। मानक रूप से कर्नेल द्वारा समर्थित:

• ipip - केवल unicast IPv4 ट्रैफ़िक को एनकैप्सुलेट करता है
• gre - IPv4 / IPv6 यूनिकस्ट / मल्टिकास्ट ट्रैफिक, एक शब्द में - सौंदर्य!

चुनाव आपका है, गति को कम करने और सिस्टम पर लोड बढ़ाने के रूप में कुछ प्राकृतिक ओवरहेड के अलावा, आपका प्रदाता इस या उस के पक्ष में एक तर्क के रूप में काम कर सकता है, यह बस एक प्रोटोकॉल को अवरुद्ध कर सकता है। गति में कमी के लिए, मैं इस तरह के टैबलेट के साथ हूं। मानक सेटिंग्स के साथ iperf परीक्षण, मेगाबिट्स में मान:

सुरंग	औसत	कम से कम	अधिकतम।
बिना सुरंग के	30.9	29.8	31.9
IPIP	24.8	24.4	25.3
जीआरई	24.0	22.3	24.9

सिस्टम की तैयारी

opkg update #    opkg install ip #    ,    iproute2 - "must have"-   linux- opkg install kmod-gre # gre-(№47,  ,        iptables) opkg install kmod-ipip # ipip-(№4) 

OpenWRT में, नेटवर्क इंटरफ़ेस सेटिंग्स /etc/config/network फ़ाइल में वर्णित हैं। मैं इस प्रणाली की शैली की विशेषता का पालन करने का प्रस्ताव करता हूं, हम वहां सेटिंग्स सेट करेंगे, लेकिन समस्या यह है कि सुरंग का वर्णन करने का कोई मानक तरीका नहीं है, उसी सहजता के साथ जैसे कि आप इसे ifup के लिए कर सकते हैं। एक मैनुअल हमारी सहायता के लिए आता है, जो विस्तार से वर्णन करता है कि नए प्रोटोकॉल को कैसे परिभाषित किया जाए।

इंटरफ़ेस विवरण

इसलिए, अंत में, मेरे पास मेरे मामले में हमारी सुरंग का विवरण है - gre:

 #      -  config 'interface' 'gretunnel' option 'proto' 'tunnel' #,        option 'tunnel_end' '1.2.3.4' #    option 'tunnel_start' '5.6.7.8' option 'remote_address' '192.168.0.1' #   - option 'local_address' '192.168.0.2' option 'mtu' '1476' option 'mode' 'gre' #gre/ipip #option 'gateway' '192.168.0.1' #        

फिर से, मानक तरीके से, ubuntu सर्वर के लिए मेरे मामले में, हम सुरंग के दूसरे सिरे को बढ़ाते हैं:

 auto gretunnel iface gretunnel inet static address 192.168.0.1 netmask 255.255.255.255 #,     ,      ? pointopoint 192.168.0.2 mtu 1476 pre-up ip tunnel add gretunnel mode gre remote 5.6.7.8 local 1.2.3.4 post-down ip tunnel del gretunnel 

एक नया प्रोटोकॉल परिभाषित करें

गाइड चार प्रक्रियाओं का वर्णन करता है जो नेटवर्क इंटरफ़ेस के जीवन चक्र का पूरी तरह से वर्णन करता है। हालाँकि, उन्हें /lib/network/ डायरेक्टरी में स्थित किसी भी फाइल में जोड़ा जा सकता है, लेकिन मेरा सुझाव है कि एक अलग tunnel.sh जाए। ताकि सिस्टम या अलग-अलग पैकेज के संभावित अपग्रेड के साथ, परिवर्तन सहेजे tunnel.sh सकें।

स्कैन

वर्चुअल इंटरफेस (उदाहरण के लिए, PPP, 6in4 या हमारी IP सुरंग) बनाने वाले प्रोटोकॉल को हमारे इंटरफ़ेस कॉन्फ़िगरेशन के ifname विशेषता को संश्लेषित करने के लिए scan प्रक्रिया को लागू करना चाहिए, जो कि hotplug सिस्टम में ifup/ifdown इवेंट हैंडलर के लिए आवश्यक है। वास्तव में, आप सीधे कॉन्फ़िगरेशन में option ifname tunnel_name कर सकते हैं, लेकिन क्यों?

 scan_tunnel() { config_set "$1" ifname "$1" } 

यही है, हम इंटरफ़ेस को कॉन्फ़िगरेशन नाम के समान नाम देते हैं।

Coldplug

डिफ़ॉल्ट रूप से, सिस्टम स्टार्टअप पर केवल /proc/net/dev/ उदय में मौजूद इंटरफेस। यह यहां है कि हम अपना इंटरफ़ेस बनाते हैं, लगभग पूरी तरह से इसे कॉन्फ़िगर करते हैं - हम केवल बिंदु-ओ-बिंदु पते निर्दिष्ट नहीं करते हैं, क्योंकि वे अभी भी prepare_interface में परिभाषित prepare_interface प्रक्रिया में रीसेट हो /lib/network/config.sh ।

 coldplug_interface_tunnel() { local mtu, tunnel_start, tunnel_end, mode, ifname config_get mode "$1" mode ([[ "$mode" == "ipip" ]] && insmod ipip) || insmod ip_gre config_get mtu "$1" mtu config_get tunnel_end "$1" tunnel_end config_get tunnel_start "$1" tunnel_start config_get ifname "$1" ifname ip tunnel add "$ifname" mode "$mode" local "$tunnel_start" remote "$tunnel_end" } 

सेटअप

यहां इंटरफ़ेस ऊपर जाता है और अंत तक कॉन्फ़िगर होता है

 setup_interface_tunnel() { local alocal, aremote, mtu, defroute config_get alocal "$2" local_address config_get aremote "$2" remote_address config_get mtu "$2" mtu ip link set dev "$1" up mtu "$mtu" ip address add dev "$1" "$alocal" peer "$aremote" config_get defroute "$2" gateway [[ -n "$defroute" ]] && ip route add default via "$aremote" dev "$1" env -i ACTION="ifup" INTERFACE="$2" DEVICE="$1" PROTO=tunnel /sbin/hotplug-call "iface" & } 

अंतिम पंक्ति में, एक तंत्र लॉन्च किया गया है जो बूलियन सत्य up महत्वपूर्ण विशेषता सेट करता है, जो बदले में आपको नियमित फ़ायरवॉल में इंटरफ़ेस के साथ काम करने की अनुमति देता है, और इस इंटरफ़ेस के माध्यम से मार्गों को असाइन करना भी संभव हो जाता है।

बंद करो

इंटरफ़ेस को छोड़ें

 stop_interface_tunnel() { local ifname "$1" ifname ip link set dev "$ifname" down } 

फ़ायरवॉल के साथ काम करें

डिफ़ॉल्ट रूप से, filter तालिका में डिफ़ॉल्ट रूप से DROP नीति होती है, हालाँकि, किसी भी सामान्य लिनक्स प्रणाली की तरह। हमें ऊपर वर्णित gretunnel इंटरफ़ेस के माध्यम से चलने के साथ काम का वर्णन करने की आवश्यकता है। ऐसा करने के लिए, फ़ाइल /etc/config/firewall ज़ोन /etc/config/firewall में एक ज़ोन बनाएं:

 config 'zone' option 'name' 'gretunnel' option 'output' 'ACCEPT' option 'forward' 'ACCEPT' option 'mtu_fix' '1' option 'input' 'ACCEPT' 

जिसका नाम इंटरफ़ेस के नाम से मेल खाता है, मानक 1500 बाइट्स से अलग mtu बारे में मत भूलना। मैं -j MASQUERADE माध्यम से सफल नहीं हुआ (क्या कोई मुझे बता सकता है?), इसलिए हम पैकेजों को बंद कर देंगे, सभी इसे और अधिक तेज़ करेंगे। ऐसा करने के लिए, हम इसी नियम का वर्णन करते हैं:

 config redirect option src lan option dest gretunnel option src_dip 192.168.0.2 option proto 'udp icmp tcp' option target SNAT 

आपके पास एक स्पष्ट सवाल हो सकता है - " all को ऑप्शन विकल्प में क्यों नहीं रखा?" - दुर्भाग्य से, मेरे पास कोई जवाब नहीं है, यह इस विकल्प के साथ काम नहीं करता है, हालांकि ऐसा लगता है :( अंत में, हम स्थानीय नेटवर्क से forward' यातायात की अनुमति forward' सुरंग का दूसरा छोर।

 config 'forwarding' option 'src' 'lan' option 'dest' 'gretunnel' 

रूटिंग या यह सब क्यों जरूरी था

चलो विहित मामले से शुरू करते हैं - एक स्थानीय नेटवर्क में दो भौगोलिक रूप से अलग मेजबान / नेटवर्क के संयोजन। मैं सुरक्षा-विशेषज्ञों के हमलों का अनुमान लगाता हूं, वे कहते हैं कि यातायात सुरक्षित नहीं है, और परवाह नहीं है, केवल सादगी और गति मेरे लिए महत्वपूर्ण है, हम किसी अन्य विषय के लिए एन्क्रिप्शन छोड़ देंगे। कुछ लिखें जैसे /etc/config/network in /etc/config/network :

 config 'route' option 'interface' 'gretunnel' option 'target' '192.168.2.0' option 'netmask' '255.255.255.0' option 'gateway' '192.168.0.1' 

और दूसरे छोर पर, हम इसी तरह के जोड़तोड़ करते हैं, सब कुछ - नेटवर्क / मेजबान जुड़े हुए हैं। अब हम उस मामले पर विचार करेंगे जो व्यक्तिगत रूप से मुझे मेरे डलिंक -320 को वापस करने के लिए प्रेरित करता है। दिन के 1 पर मेरा प्रदाता नेटवर्क से ग्राहकों को डिस्कनेक्ट नहीं करता है - स्विच पोर्ट पर - इसके बजाय यह इंटरनेट संसाधनों और कुछ आंतरिक लोगों तक पहुंच को सीमित करते हुए स्थानीय नेटवर्क तक पूरी पहुंच छोड़ देता है। ठीक है, चलो निम्नानुसार आगे बढ़ें - हम प्रदाता के प्रवेश द्वार के लिए सभी "कानूनी यातायात" को रूट करेंगे, और हमारी सुरंग के लिए सब कुछ। स्थानीय पुराने टाइमर्स को सलाह दी जाती है कि वे अपने प्रदाता के नेटवर्क को यहां देखें । हम आगे बढ़ते हैं, फ़ाइल /etc/config/network उस विकल्प पर टिप्पणी करते हैं जो प्रदाता के गेटवे को सौंपे गए डिफ़ॉल्ट मार्ग को दर्शाता है:

 config 'interface' 'wan' option 'ifname' 'eth0.1' option 'proto' 'static' option 'ipaddr' '5.6.7.8' option 'netmask' '255.255.255.252' # option 'gateway' '5.6.7.7' option 'defaultroute' '0' option 'peerdns' '0' option 'dns' '8.8.4.4' 

और हमारी सुरंग के विवरण में संबंधित विकल्प को अनइंस्टॉल करें

 option 'gateway' '192.168.0.1' 

"कानूनी" ट्रैफ़िक के बारे में मत भूलना

 config 'route' option 'interface' 'wan' option 'target' '5.6.7.6' option 'netmask' '255.255.255.252' option 'gateway' '5.6.7.7' #   config 'route' option 'interface' 'wan' option 'target' '10.0.0.0' option 'netmask' '255.0.0.0' option 'gateway' '5.6.7.7' 

यही है, अब हमारे पास एक मुफ्त इंटरनेट है :) वास्तव में, मेरे प्रदाता द्वारा प्रदान की गई "फ्रीबी" अंतहीन नहीं है, अफसोस, आह। 45 दिनों के बाद, पोर्ट अभी भी अवरुद्ध है, लेकिन इस तथ्य के कारण कि वे बिना किसी भोग के ग्राहक-उन्मुख हैं, वे भी पुनर्गणना करते हैं - मैं केवल आधे महीने के लिए उनकी सेवाओं का उपयोग करके भुगतान कर सकता हूं। यही कारण है कि मेरे पास यह है, "मुक्त" 8 मेगाबिट्स) इस लेख को पढ़ने के बाद, आप फिर से सवाल पूछ सकते हैं कि "यदि एक ही चीज़ को किसी तरह की इनस्क्रिप्ट में 10 लाइनों में किया जा सकता है तो आपको एक उपद्रव क्यों करना चाहिए?" "- सौभाग्य से, मेरे पास इस सवाल का जवाब है, हालांकि शायद विवादास्पद है - मेरा मानना ​​है कि सिस्टम को वहां अपनाई गई विचारधारा के ढांचे के भीतर काम करना चाहिए, बिना हैक, कोषेर के करने की कोशिश करनी चाहिए, इसलिए बोलने के लिए) आह हां, अभी भी एक" मुक्त "है टेलीविजन, लेकिन यह एक विषय के लिए एक और विषय है।