使用 TC 限制/节流每个用户的 OpenVPN 带宽

tag-icon tag-icon ubuntu networking vpn openvpn
使用 TC 限制/节流每个用户的 OpenVPN 带宽

我有一组用户通过以下方式连接到我的服务器OpenVPNTCP 和 UDP(2 个服务)。这两个服务分别运行tun0tun1

我希望能够使用 TC 命令将每个用户的上传带宽限制为 5mb/s,下载带宽限制为 5mb/s。

使用 PPTP 实现这一点相当容易,因为每个用户都有自己的界面,所以我可以为该界面创建一个新的类/过滤器,并将其限制为我想要的速度限制,使用如下方法:

IF=<taken from up script, i.e. ppp1>
tc qdisc del dev $IF root
tc qdisc add dev $IF root handle 1: cbq avpkt 1000 bandwidth 100mbit
tc class add dev $IF parent 1: classid 1:1 cbq rate 10mbit allot 1500 prio 5 bounded isolated
tc filter add dev $IF parent 1: protocol ip prio 16 u32 match ip src 0.0.0.0/0 flowid 1:1
tc qdisc add dev $IF parent 1:1 sfq perturb 10

据我所知,OpenVPN 用户没有自己的接口,所有流量都通过主接口tun0tun1接口。

所以我这里有两个问题。

tun01)由于某种原因(将接口名称设置为或) ,上述脚本似乎无法与 OpenVPN 一起使用,tun1我的测试用户仍然可以以其互联网的最大速度下载。

2)我需要能够根据源IP进行过滤,并up在连接时将其添加到OpenVPN的脚本中,同时维护其他过滤器/类,并在脚本中删除该过滤器/类down,同样不会影响其他连接用户的限制(即,我不能每次用户连接时简单地删除tun0的qdisc)。

我在搜索时能找到的唯一帮助是

“您可以使用 TC 来实现这一点”

但没有解释如何...

谢谢!

答案1

我曾经做过类似的事情,为每个用户的连接单独设置防火墙。我使用 OpenVPN 中的脚本实现了它,learn-address该脚本在用户连接或断开连接时调用。我已根据您的用例对其进行了调整。

该脚本如下所示:

#!/bin/bash

statedir=/tmp/

function bwlimit-enable() {
    ip=$1
    user=$2

    # Disable if already enabled.
    bwlimit-disable $ip

    # Find unique classid.
    if [ -f $statedir/$ip.classid ]; then
        # Reuse this IP's classid
        classid=`cat $statedir/$ip.classid`
    else
        if [ -f $statedir/last_classid ]; then
            classid=`cat $statedir/last_classid`
            classid=$((classid+1))
        else
            classid=1
        fi
        echo $classid > $statedir/last_classid
    fi

    # Find this user's bandwidth limit
    # downrate: from VPN server to the client
    # uprate: from client to the VPN server
    if [ "$user" == "myuser" ]; then
        downrate=10mbit
        uprate=10mbit
    elif [ "$user" == "anotheruser"]; then
        downrate=2mbit
        uprate=2mbit
    else
        downrate=5mbit
        uprate=5mbit
    fi

    # Limit traffic from VPN server to client
    tc class add dev $dev parent 1: classid 1:$classid htb rate $downrate
    tc filter add dev $dev protocol all parent 1:0 prio 1 u32 match ip dst $ip/32 flowid 1:$classid

    # Limit traffic from client to VPN server
    tc filter add dev $dev parent ffff: protocol all prio 1 u32 match ip src $ip/32 police rate $uprate burst 80k drop flowid :$classid

    # Store classid and dev for further use.
    echo $classid > $statedir/$ip.classid
    echo $dev > $statedir/$ip.dev
}

function bwlimit-disable() {
    ip=$1

    if [ ! -f $statedir/$ip.classid ]; then
        return
    fi
    if [ ! -f $statedir/$ip.dev ]; then
        return
    fi

    classid=`cat $statedir/$ip.classid`
    dev=`cat $statedir/$ip.dev`

    tc filter del dev $dev protocol all parent 1:0 prio 1 u32 match ip dst $ip/32
    tc class del dev $dev classid 1:$classid

    tc filter del dev $dev parent ffff: protocol all prio 1 u32 match ip src $ip/32

    # Remove .dev but keep .classid so it can be reused.
    rm $statedir/$ip.dev
}

# Make sure queueing discipline is enabled.
tc qdisc add dev $dev root handle 1: htb 2>/dev/null || /bin/true
tc qdisc add dev $dev handle ffff: ingress 2>/dev/null || /bin/true

case "$1" in
    add|update)
        bwlimit-enable $2 $3
        ;;
    delete)
        bwlimit-disable $2
        ;;
    *)
        echo "$0: unknown operation [$1]" >&2
        exit 1
        ;;
esac

exit 0

该脚本需要安装在你的 OpenVPN 的 server.conf 中,如下所示:

learn-address <path-to-script>
script-security 3

script-security 3是必要的,因此 OpenVPN 实际上会调用该脚本。

当用户连接时,脚本被调用为<path-to-script> add <ip> <username>,此外网络接口被放置在环境变量中$dev(例如tun0)。

该脚本配置网络接口以进行排队规则设置,并向其附加必要的过滤器和类。它会跟踪安装了过滤器和类的 IP,以便在用户断开连接时可以稍后删除它们。该状态保存在目录中/tmp,可能需要进行更改。

请注意,我不确定我是否 100% 正确地掌握了流量控制。下载流量整形(即从 OpenVPN 到用户)工作正常,但限制上传不是很精确,据我所知,这有点正常。也许你可以找到更好的方法并将其集成到脚本中。

相关内容