[Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

dethegeek · 2014-01-18 15:24:14

auth-user-pass /etc/openvpn/freedom-ip/login.txt

Dernière modification par dethegeek (2014-04-21 11:06:10)

dethegeek · 2014-01-18 15:25:20

Dernière modification par dethegeek (2014-04-21 11:07:15)

Antonin · 2014-01-18 23:30:20

Bonjour,

Un grand merci pour ce tutoriel.

Bien cordialement,
Antonin.

pti_yoda · 2014-03-05 12:42:40

Bonjour,

Tu as de bon débit de transfert en faisant ça?
Car typiquement je fais la même avec mon raspberry pi (pas aussi poussé je te l'accord), et je suis "bridé" à environ 1Mo/s alors que ma connexion permet 1.3Mo/s.
Je suis donc passé par la commande top, et openvpn client me prend toute la puissance.
J'ai fais des test en local, et il s'avère que le décryptage à la volé est très consommatrice de cpu...

Quid de l'optimisation sur cette machine et quid de tes performance avec ton appareil?

MErci de ton retour smile

dethegeek · 2014-03-05 19:41:40

Bonjour

Le routeur peine à tenir la charge, c'est prévisible. J'ai fait un essai en téléchargeant l'iso officielle d'un système d'exploitation horriblement gros et lourd; en passant par le VPN. Pour info j'était à distance, donc en plus de cela il y a un peu de trafic lié à un bureau distant NX. En plus de cela, entre la Box du FAI et mon OpenWRT, la liaison est en Wifi, mais de qualité suffisante pour ne pas faire goulot d'étranglement par rapport au débit offert par l'ADSL.

Sans le VPN : je tourne entre 1,2 et 1,3 MB/s (relevé au compteur de Firefox) La charge varie entre 0,3 et 0,99.

Avec le VPN le débit de téléchargement tourne autour de 300 Ko/s et la charge varie entre 1,15 et 1,67.

Conclusion : evidemment un routeur grand public ne tient pas la route ( ha ha ! le jeu de mots ! ) , mais pour moi, la confidentialité est plus importante. De plus, la config est compatible avce l'utilisation du proxy FIP ce qui devrait sensiblement réduire la charge du routeur.

Enfin, je compte réussir à dégoter des cartes wifi compatibles PCI Passthrough pour créer mon OpenWRT sous forme de VM sous Proxmox VE (mes essais montrent que je n'ai pas des interfaces pleinement comaptibles PCI Passthrough ni sous VMWare, ni sous Proxmox : je subis une limitation pour la plus compatible de toutes celles dont je dispose). Si j'arrive à réaliser cette configuration, j'aurai toute la puissance requise pour avoir un VPN performant, et je pourrai me débarrasser de mon routeur Netgear (mais j'avoue que sous OpenWRT, je l'affectionne !)

Il faut aussi savoir que le VPN consomme un peu de bande passante à cause de l'encapsulation qu'il effectue. Le débit sera donc toujours un peu inférieur au débit que tu connais sans VPN.

pti_yoda · 2014-03-06 12:01:47

salut,

merci de ton feed-back smile

je vais quand même, essayer d'améliorer la chose...

dethegeek · 2014-03-06 12:37:28

Je pense qu'un Raspberry Pi a un meilleur potentiel qu'un routeur grâce à sa fréquence d'horloge plus élevée.

Sur mes essais d'hier, j'ai oublié de noter que le processus OpenVPN consommait 21% de CPU seulement, et que 2 ou 3 autres processus consommaient 4% (les autres à 0%). J'ai regardé sur une courte période, donc je suis peut être tombé sur une période de creux. L'interface web du routeur restait parfaitement réactive et sur les captures d'écran que j'ai faites, la charge du système semble oscillante entre les valeurs que je t'ai remontées. Je n'avais pas le temps de pousser sur une très longue période, mais il se peut que les courbes de charge moyenne sur 1 minute prennent (très) grossièrement une forme sinusoidale dans le long terme,à trafic maximal et constant (je me demande pourquoi d'ailleurs).

Les raspberry Pi, c'est bien, c'est tentant mais j'ai un peu peur d'en arriver au même sentiment qu'une tablette (c'est inutile !). Si tu as un PC qui te fait office de serveur avec 2 interfaces ethernet, tu devrais explorer la piste d'une VM sous OpenWRT. Je pense que c'est le meilleur choix pour éliminer les goulots d'étranglement et ne pas multiplier les appareils spécialisés.

Si tu trouves des pistes d'optimisation, ça m'intéresse, histoire d'améliorer le tuto et d'améliorer mes connaissances sur le sujet smile . Il y a peut être une meilleure solution dans le routage que j'ai configuré. Un expert en la matière pourra le dire. En ce qui me concerne, c'était mon premier travail sur iptables.

tomaschener · 2014-03-09 00:43:02

Bonjours,

c'est parfait, exactement ce qui me faut ! smile
mais j’hésite entre utiliser mon raspberry pi ou mon routeur une suggestion?

Dernière modification par tomaschener (2014-03-09 00:46:04)

dethegeek · 2014-03-09 17:39:11

Bonjour

Compare leur configuration respective (CPU, RAM) et fais ton choix. A défaut de préciser ton routeur, je pense avoir peu de risque de me tromper en te disant d'utiliser ton Raspberry Pi : Les routeurs sont assez souvent moins puissants que ces petits fruits rouges.

ptit_poulet · 2014-03-09 17:47:25

Bonjour.

Heu oui et non, le routeur est conçu que pour ça donc malgré son matériel très peu performant par rapport au Raspberry Pi il a l'avantage d'être optimisé que pour faire du réseau ce qui n'est pas le cas du RPI surtout niveau interface réseau...

dethegeek · 2014-03-09 18:56:47

On peut se poser la question en effet, mais quand on regarde l'ingénierie inverse faite sur les routeurs pour porter OpenWRT dessus, on ne voit pas d'unité de calcul spécialisée dans une tâche particulière. La seule chose que j'ai trouvé dans le matériel et qui pourrrait être une optimisatioin est cette interface réseau connectée directement au CPU (j'ignore si elle est sur tous les routeurs, mais le mien dispose de cette infrastructure). Alors soit c'est une simple spécificité de connexion des composants internes, soit le CPU est vraiment conçu (ASIC ?) pour son rôle. J'en doute : on se rapproche plus des CPU à basse consommation généralistes. D'ailleurs ça me fait penser que le Raspberry, avec son SoCn a peut être encore un avantage structurel.

De toute façon, le mieux, c'est d'expérimenter et mesurer.

tomaschener, tu pourrais préciser ton modèle de routeur ? Si tu as le courage de faire des essais ce serait très intéressant.

EDIt : je pense à quelque chose : On peut mettre une 2e interface ethernet sur le raspberry pi ?

Dernière modification par dethegeek (2014-03-09 19:07:10)

ljere · 2014-03-10 07:04:14

Bonjour,
on peut facilement créer autant d'interface virtuelle que nécesaire sur le pi, physiquement par contre il n'y en a qu'une

dethegeek · 2014-03-10 11:44:18

Bonjour

Ce n'est pas réputé sûr de faire un routeur ou un pare-feu sur une seule interface : on active le mode promiscuous, et on peut sniffer tout le trafic de l'autre coté...

crandor · 2016-03-21 15:42:41

Bonjour à tous

Désolé de réveiller ce vieux tuto et de le faire avec mon 1er post.

En tout excellent tout Merci dethegeek.

J’ai un routeur HG556 avec openwrt ; IP LAN 192.168.2.1
Il est installé derriére un modem routeur connecté par ADSL IP LAN 192.168.1.1

Le connexion HG556 se fait via une interface wan .

Aucun probléme de connexion vers le net en utlisant le HG556 avec VPN ou sans.

Par contre l’accès à mon serveur SSH logé dans le HG556 de l’extérieur ne se fait que si le VPN est déconnecté.

J’ai suivit le tuto pour router le port 22 hors VPN, mais mon serveur SSH reste inaccessible.

1 - root@OpenWrt:~# ip route show 0.0.0.0/0 dev wlan0 | cut -d\ -f3
192.168.1.1
2 - root@OpenWrt:~# ip route add default via 192.168.1.1 dev wlan0 table 123

3- root@OpenWrt:~# ip route show table 123
default via 192.168.1.1 dev wlan0

4 - root@OpenWrt:~# ip rule add fwmark 1 lookup 123

5 - root@OpenWrt:~# iptables -A PREROUTING -t mangle -i br-lan -s 192.168.2.1 -p tcp -m tcp --sport 22 -j MARK --set-mark 1

On voit bien la nouvelle table de routage :
Network Target IPv4-Gateway Metric Table
wwan 0.0.0.0/0 192.168.1.1 0 123
VPN_client 0.0.0.0/1 10.200.4.1 0 main
wwan 0.0.0.0/0 192.168.1.1 0 main

Mais toujours pas d’accès à mon serveur SSH de l’extérieur.

Qu’est ce que j’ai raté ?
Merci pour votre aide

chico · 2016-03-21 15:55:33

Bonjour,

Vous devez ouvrir un port dans la section prévue à cet effet sur votre dashboard Freedom-IP et ensuite configurer votre serveur SSH pour qu'il écoute sur ce même port.

Cordialement

crandor · 2016-03-21 16:47:00

Bonjour

Merci pour votre réponse.

Je suis censé ne pas en avoir besoin, puisque le port 22 est routé hors VPN.

crandor · 2016-03-23 16:57:40

Bonjour

Problème résolu pour ceux qui seraient dans le même cas:

ip rule add from 192.168.2.1 table 10

ip route add default via 192.168.1.1 table 10

à placer dans firewall.user après test.

dans la séquence de lancement firwall doit être lancé après network et openvpn.

A bientôt

Forum Freedom-IP VPN

Annonce

#1 2014-01-18 15:24:14

[Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#2 2014-01-18 15:25:20

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#3 2014-01-18 23:30:20

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#4 2014-03-05 12:42:40

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#5 2014-03-05 19:41:40

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#6 2014-03-06 12:01:47

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#7 2014-03-06 12:37:28

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#8 2014-03-09 00:43:02

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#9 2014-03-09 17:39:11

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#10 2014-03-09 17:47:25

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#11 2014-03-09 18:56:47

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#12 2014-03-10 07:04:14

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#13 2014-03-10 11:44:18

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#14 2016-03-21 15:42:41

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#15 2016-03-21 15:55:33

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#16 2016-03-21 16:47:00

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

#17 2016-03-23 16:57:40

Re : [Tuto] Configurer OpenWRT pour le VPN, le port forwarding et le proxy

Pied de page des forums