প্রদানকারীর NAT এর পিছনে একটি VPN সার্ভার চালানো

আমি কীভাবে আমার হোম প্রোভাইডারের NAT এর পিছনে একটি VPN সার্ভার চালাতে পেরেছি সে সম্পর্কে একটি নিবন্ধ (একটি সাদা আইপি ঠিকানা ছাড়াই)। আমাকে এখনই একটি রিজার্ভেশন করতে দিন: যে এই বাস্তবায়নের কার্যকারিতা সরাসরি নির্ভর করে আপনার প্রদানকারীর দ্বারা ব্যবহৃত NAT-এর উপর, সেইসাথে রাউটারের উপর.
তাই, আমার অ্যান্ড্রয়েড স্মার্টফোন থেকে আমার হোম কম্পিউটারের সাথে সংযোগ করতে হবে, উভয় ডিভাইসই প্রদানকারী NATs-এর মাধ্যমে ইন্টারনেটের সাথে সংযুক্ত রয়েছে, প্লাস কম্পিউটারটি একটি হোম রাউটারের মাধ্যমে সংযুক্ত রয়েছে, যা NATs সংযোগও করে।
একটি সাদা আইপি ঠিকানা সহ একটি লিজড ভিপিএস/ভিডিএস ব্যবহার করে, সেইসাথে একটি প্রদানকারীর কাছ থেকে একটি সাদা আইপি ঠিকানা ভাড়া নেওয়ার ক্লাসিক স্কিমটি বিভিন্ন কারণে বিবেচনা করা হয়নি৷
আমলে নিচ্ছে অতীত নিবন্ধ থেকে অভিজ্ঞতা, প্রদানকারীদের STUNs এবং NATs-এর সাথে বেশ কিছু পরীক্ষা-নিরীক্ষা করা হয়েছে। আমি OpenWRT ফার্মওয়্যার চালানোর একটি হোম রাউটারে কমান্ড চালানোর মাধ্যমে একটি ছোট পরীক্ষা করার সিদ্ধান্ত নিয়েছি:

$ stun stun.sipnet.ru

ফলাফল পেয়েছি:

STUN ক্লায়েন্ট সংস্করণ 0.97
প্রাথমিক: স্বাধীন ম্যাপিং, স্বাধীন ফিল্টার, এলোমেলো পোর্ট, চুলের পিন
রিটার্ন মান হল 0x000002

আক্ষরিক অনুবাদ:
স্বাধীন ম্যাপিং - স্বাধীন ম্যাপিং
স্বাধীন ফিল্টার - স্বাধীন ফিল্টার
এলোমেলো পোর্ট - এলোমেলো পোর্ট
hairpin হবে - একটি hairpin হবে
আমার পিসিতে অনুরূপ কমান্ড চালানো, আমি পেয়েছি:

STUN ক্লায়েন্ট সংস্করণ 0.97
প্রাথমিক: স্বাধীন ম্যাপিং, পোর্ট ডিপেন্ডেন্ট ফিল্টার, র্যান্ডম পোর্ট, উইল হেয়ারপিন
রিটার্ন মান হল 0x000006

পোর্ট ডিপেন্ডেন্ট ফিল্টার - পোর্ট ডিপেন্ডেন্ট ফিল্টার
কমান্ড আউটপুট ফলাফলের পার্থক্য নির্দেশ করে যে হোম রাউটার ইন্টারনেট থেকে প্যাকেট প্রেরণের প্রক্রিয়াতে "এর অবদান" করছে; এটি কম্পিউটারে কমান্ড চালানোর সময় প্রকাশ পেয়েছিল:

stun stun.sipnet.ru -p 11111 -v

আমি ফলাফল পেয়েছিলাম:

...
ম্যাপ করা ঠিকানা = XX.1XX.1X4.2XX:4398
...

এই মুহুর্তে, একটি UDP সেশন কিছু সময়ের জন্য খোলা হয়েছিল, যদি এই মুহুর্তে আপনি একটি UDP অনুরোধ পাঠান (উদাহরণস্বরূপ: netcat XX.1XX.1X4.2XX 4398 -u), তারপর অনুরোধটি হোম রাউটারে এসেছিল, যা ছিল এটিতে চলমান TCPDump দ্বারা নিশ্চিত করা হয়েছে, কিন্তু অনুরোধটি কম্পিউটারে পৌঁছায়নি - IPtables, রাউটারে NAT অনুবাদক হিসাবে, এটি বাদ দিয়েছে।

কিন্তু ইউডিপি অনুরোধটি প্রদানকারীর NAT-এর মাধ্যমে পাস করা সত্যই সাফল্যের আশা দিয়েছে। যেহেতু রাউটারটি আমার এখতিয়ারে অবস্থিত, তাই আমি UDP/11111 পোর্টটিকে কম্পিউটারে পুনঃনির্দেশ করে সমস্যার সমাধান করেছি:

iptables -t nat -A PREROUTING -i eth1 -p udp -d 10.1XX.2XX.XXX --dport 11111 -j DNAT --to-destination 192.168.X.XXX

এইভাবে, আমি একটি UDP সেশন শুরু করতে এবং যেকোনো IP ঠিকানা থেকে ইন্টারনেট থেকে অনুরোধ পেতে সক্ষম হয়েছি। এই মুহুর্তে, আমি UDP/11111 পোর্ট শুনে OpenVPN-সার্ভার চালু করেছি (আগে এটি কনফিগার করেছি), স্মার্টফোনে বাহ্যিক আইপি ঠিকানা এবং পোর্ট (XX.1XX.1X4.2XX:4398) নির্দেশ করেছি এবং স্মার্টফোন থেকে সফলভাবে সংযুক্ত হয়েছি কম্পিউটার. কিন্তু এই বাস্তবায়নে একটি সমস্যা দেখা দিয়েছে: সার্ভারের সাথে OpenVPN ক্লায়েন্ট সংযুক্ত না হওয়া পর্যন্ত UDP সেশন বজায় রাখা প্রয়োজন; আমি পর্যায়ক্রমে STUN ক্লায়েন্ট চালু করার বিকল্প পছন্দ করিনি - আমি লোড নষ্ট করতে চাইনি STUN সার্ভার।
আমিও এন্ট্রি লক্ষ্য করেছি "hairpin হবে - একটি hairpin হবে", এই মোড

হেয়ারপিনিং একটি NAT এর পিছনে একটি স্থানীয় নেটওয়ার্কে একটি মেশিনকে রাউটারের বাহ্যিক ঠিকানায় একই নেটওয়ার্কে অন্য একটি মেশিন অ্যাক্সেস করতে দেয়।

ফলস্বরূপ, আমি সহজভাবে একটি UDP সেশন বজায় রাখার সমস্যা সমাধান করেছি - আমি সার্ভারের সাথে একই কম্পিউটারে ক্লায়েন্ট চালু করেছি।
এটি এই মত কাজ করেছে:

• স্থানীয় পোর্ট 11111 এ STUN ক্লায়েন্ট চালু করেছে
• একটি বহিরাগত IP ঠিকানা এবং পোর্ট XX.1XX.1X4.2XX:4398 সহ একটি প্রতিক্রিয়া পেয়েছে
• স্মার্টফোনে কনফিগার করা একটি বহিরাগত আইপি ঠিকানা এবং ইমেলে পোর্ট সহ ডেটা পাঠানো হয়েছে (অন্য যেকোনো পরিষেবা সম্ভব)
• UDP/11111 পোর্ট শোনার জন্য একটি কম্পিউটারে OpenVPN সার্ভার চালু করেছে
• সংযোগের জন্য XX.1XX.1X4.2XX:4398 নির্দিষ্ট করে কম্পিউটারে OpenVPN ক্লায়েন্ট চালু করেছে
• যেকোন সময় স্মার্টফোনে OpenVPN ক্লায়েন্ট চালু করে আইপি ঠিকানা এবং পোর্ট নির্দেশ করে (আমার ক্ষেত্রে আইপি ঠিকানা পরিবর্তন হয়নি) সংযোগ করার জন্য

এইভাবে আমি আমার স্মার্টফোন থেকে আমার কম্পিউটারের সাথে সংযোগ করতে সক্ষম হয়েছি। এই বাস্তবায়ন আপনাকে যেকোনো OpenVPN ক্লায়েন্ট সংযোগ করতে দেয়।

অনুশীলন

এটি নিতে হবে:

# apt install openvpn stun-client sendemail

কয়েকটি স্ক্রিপ্ট, কয়েকটি কনফিগারেশন ফাইল লিখে এবং প্রয়োজনীয় শংসাপত্র তৈরি করে (যেহেতু একটি স্মার্টফোনে ক্লায়েন্ট শুধুমাত্র শংসাপত্রের সাথে কাজ করে), আমরা একটি OpenVPN সার্ভারের স্বাভাবিক বাস্তবায়ন পেয়েছি।

কম্পিউটারে প্রধান স্ক্রিপ্ট

# cat vpn11.sh

#!/bin/bash
until [[ -n "$iftosrv" ]]; do echo "$(date) Определяю сетевой интерфейс"; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'`; sleep 5; done
ABSOLUTE_FILENAME=`readlink -f "$0"`
DIR=`dirname "$ABSOLUTE_FILENAME"`
localport=11111
until [[ $a ]]; do
	address=`stun stun.sipnet.ru -v -p $localport 2>&1 | grep "MappedAddress" | sort | uniq | head -n 1 | sed 's/:/ /g' | awk '{print $3" "$4}'`
        ip=`echo "$address" | awk {'print $1'}`
        port=`echo "$address" | awk {'print $2'}`
	srv="openvpn --config $DIR/server.conf --port $localport --daemon"
	$srv
	echo "$(date) Сервер запущен с внешним адресом $ip:$port"
	$DIR/sendemail.sh "OpenVPN-Server" "$ip:$port"
	sleep 1
	openvpn --config $DIR/client.conf --remote $ip --port $port
	echo "$(date) Cоединение клиента с сервером разорвано"
	for i in `ps xa | grep "$srv" | grep -v grep | awk '{print $1}'`; do
		kill $i && echo "$(date) Завершен процесс сервера $i ($srv)"
		done
	echo "Жду 15 сек"
	sleep 15
	done

ইমেল দ্বারা ডেটা পাঠানোর জন্য স্ক্রিপ্ট:

# cat sendemail.sh 

#!/bin/bash
from="От кого"
pass="Пароль"
to="Кому"
theme="$1"
message="$2"
server="smtp.yandex.ru:587"
sendEmail -o tls=yes -f "$from" -t "$to" -s "$server" -xu "$from" -xp "$pass" -u "$theme" -m "$message"

সার্ভার কনফিগারেশন ফাইল:

# cat server.conf

proto udp
dev tun
ca      /home/vpn11-srv/ca.crt
cert    /home/vpn11-srv/server.crt
key     /home/vpn11-srv/server.key
dh      /home/vpn11-srv/dh2048.pem
server 10.2.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
tls-server
tls-auth /home/vpn11-srv/ta.key 0
tls-timeout 60
auth    SHA256
cipher  AES-256-CBC
client-to-client
keepalive 10 30
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-server.log
verb 3
mute 20

ক্লায়েন্ট কনফিগারেশন ফাইল:

# cat client.conf

client
dev tun
proto udp
ca      "/home/vpn11-srv/ca.crt"
cert    "/home/vpn11-srv/client1.crt"
key     "/home/vpn11-srv/client1.key"
tls-client
tls-auth "/home/vpn11-srv/ta.key" 1
auth SHA256
cipher AES-256-CBC
auth-nocache
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-clent.log
verb 3
mute 20
ping 10
ping-exit 30

ব্যবহার করে সার্টিফিকেট তৈরি করা হয়েছে এই নিবন্ধটি.
স্ক্রিপ্ট চালানো হচ্ছে:

# ./vpn11.sh

প্রথমে এটি নির্বাহযোগ্য করে

# chmod +x vpn11.sh

স্মার্টফোনের পাশে

অ্যাপ্লিকেশন ইনস্টল করে অ্যান্ড্রয়েডের জন্য ওপেনভিপিএন, কনফিগারেশন ফাইল, শংসাপত্রগুলি অনুলিপি করে এবং এটি কনফিগার করার পরে, এটি এইরকম পরিণত হয়েছে:
আমি আমার স্মার্টফোনে আমার ইমেল চেক করি
আমি সেটিংসে পোর্ট নম্বর সম্পাদনা করি
আমি ক্লায়েন্ট চালু এবং সংযোগ

এই নিবন্ধটি লেখার সময়, আমি আমার কম্পিউটার থেকে কনফিগারেশনটি রাস্পবেরি পাই 3 এ স্থানান্তরিত করেছি এবং একটি LTE মডেমে পুরো জিনিসটি চালানোর চেষ্টা করেছি, কিন্তু এটি কাজ করেনি! কমান্ড ফলাফল

# stun stun.ekiga.net -p 11111

STUN ক্লায়েন্ট সংস্করণ 0.97
প্রাথমিক: স্বাধীন ম্যাপিং, পোর্ট ডিপেন্ডেন্ট ফিল্টার, র্যান্ডম পোর্ট, উইল হেয়ারপিন
রিটার্ন মান হল 0x000006

অর্থ পোর্ট ডিপেন্ডেন্ট ফিল্টার সিস্টেম শুরু করার অনুমতি দেয়নি।
কিন্তু হোম প্রদানকারী কোনো সমস্যা ছাড়াই সিস্টেমটিকে রাস্পবেরি পাই 3 এ শুরু করার অনুমতি দিয়েছে।
একটি ওয়েবক্যামের সাথে একত্রে, এর জন্য VLC সহ
একটি ওয়েবক্যাম থেকে একটি RTSP স্ট্রিম তৈরি করা

$ cvlc v4l2:///dev/video0:chroma=h264 :input-slave=alsa://hw:1,0 --sout '#transcode{vcodec=x264,venc=x264{preset=ultrafast,profile=baseline,level=31},vb=2048,fps=12,scale=1,acodec=mpga,ab=128,channels=2,samplerate=44100,scodec=none}:rtp{sdp=rtsp://10.2.0.1:8554/}' --no-sout-all --sout-keep

এবং দেখার জন্য একটি স্মার্টফোনে ভিএলসি (স্ট্রিম rtsp://10.2.0.1:8554/), এটি একটি ভাল রিমোট ভিডিও নজরদারি সিস্টেম হিসাবে প্রমাণিত হয়েছে, আপনি সাম্বা ইনস্টল করতে পারেন, ভিপিএন এর মাধ্যমে ট্র্যাফিক রুট করতে পারেন, দূরবর্তীভাবে আপনার কম্পিউটার নিয়ন্ত্রণ করতে পারেন এবং অনেক কিছু আরো...

উপসংহার

অনুশীলনে দেখানো হয়েছে, একটি VPN সার্ভার সংগঠিত করতে, আপনি একটি বাহ্যিক IP ঠিকানা ছাড়াই করতে পারেন যার জন্য আপনাকে অর্থ প্রদান করতে হবে, ঠিক যেমন একটি ভাড়া করা VPS/VDS-এর জন্য। কিন্তু এটা সব প্রদানকারীর উপর নির্ভর করে। অবশ্যই, আমি ব্যবহৃত বিভিন্ন প্রদানকারী এবং NAT এর প্রকার সম্পর্কে আরও তথ্য পেতে চেয়েছিলাম, কিন্তু এটি কেবল শুরু...
আপনার মনোযোগের জন্য আপনাকে ধন্যবাদ!

উত্স: www.habr.com