પ્રદાતાના NAT પાછળ VPN સર્વર ચલાવવું

મારા ઘર પ્રદાતાના NAT (સફેદ IP સરનામા વિના) પાછળ VPN સર્વર કેવી રીતે ચલાવવાનું મેં વ્યવસ્થાપિત કર્યું તે વિશેનો એક લેખ. મને તરત જ આરક્ષણ કરવા દો: તે આ અમલીકરણનું પ્રદર્શન તમારા પ્રદાતા દ્વારા ઉપયોગમાં લેવાતા NAT ના પ્રકાર તેમજ રાઉટર પર સીધો આધાર રાખે છે.
તેથી, મારે મારા એન્ડ્રોઇડ સ્માર્ટફોનથી મારા હોમ કોમ્પ્યુટર સાથે કનેક્ટ કરવાની જરૂર છે, બંને ઉપકરણો પ્રદાતા NATs દ્વારા ઇન્ટરનેટ સાથે જોડાયેલા છે, ઉપરાંત કમ્પ્યુટર હોમ રાઉટર દ્વારા કનેક્ટ થયેલ છે, જે NATs કનેક્શન પણ છે.
સફેદ IP એડ્રેસ સાથે લીઝ્ડ VPS/VDS નો ઉપયોગ કરતી ક્લાસિક સ્કીમ તેમજ પ્રદાતા પાસેથી સફેદ IP સરનામું ભાડે આપવા માટે ઘણા કારણોસર વિચારણા કરવામાં આવી ન હતી.
ધ્યાનમાં લેતા ભૂતકાળના લેખોનો અનુભવ, પ્રદાતાઓના STUNs અને NATs સાથે ઘણા પ્રયોગો કર્યા. મેં OpenWRT ફર્મવેર ચલાવતા હોમ રાઉટર પર આદેશ ચલાવીને થોડો પ્રયોગ કરવાનું નક્કી કર્યું:

$ stun stun.sipnet.ru

પરિણામ મળ્યું:

STUN ક્લાયંટ વર્ઝન 0.97
પ્રાથમિક: સ્વતંત્ર મેપિંગ, સ્વતંત્ર ફિલ્ટર, રેન્ડમ પોર્ટ, હેરપિન કરશે
વળતર મૂલ્ય છે 0x000002

શાબ્દિક અનુવાદ:
સ્વતંત્ર મેપિંગ - સ્વતંત્ર મેપિંગ
સ્વતંત્ર ફિલ્ટર - સ્વતંત્ર ફિલ્ટર
રેન્ડમ પોર્ટ - રેન્ડમ પોર્ટ
hairpin કરશે - એક hairpin હશે
મારા PC પર સમાન આદેશ ચલાવીને, મને મળ્યું:

STUN ક્લાયંટ વર્ઝન 0.97
પ્રાથમિક: સ્વતંત્ર મેપિંગ, પોર્ટ ડિપેન્ડન્ટ ફિલ્ટર, રેન્ડમ પોર્ટ, હેરપિન કરશે
વળતર મૂલ્ય છે 0x000006

પોર્ટ ડિપેન્ડન્ટ ફિલ્ટર - પોર્ટ ડિપેન્ડન્ટ ફિલ્ટર
કમાન્ડ આઉટપુટના પરિણામોમાં તફાવત દર્શાવે છે કે હોમ રાઉટર ઇન્ટરનેટ પરથી પેકેટો ટ્રાન્સમિટ કરવાની પ્રક્રિયામાં "તેનું યોગદાન" આપી રહ્યું છે; આ એ હકીકતમાં પ્રગટ થયું હતું કે કમ્પ્યુટર પર આદેશ ચલાવતી વખતે:

stun stun.sipnet.ru -p 11111 -v

મને પરિણામ મળ્યું:

...
મેપ કરેલ સરનામું = XX.1XX.1X4.2XX:4398
...

આ ક્ષણે, થોડા સમય માટે UDP સત્ર ખોલવામાં આવ્યું હતું, જો આ ક્ષણે તમે UDP વિનંતી મોકલો (ઉદાહરણ તરીકે: netcat XX.1XX.1X4.2XX 4398 -u), તો વિનંતી હોમ રાઉટર પર આવી, જે હતી તેના પર ચાલી રહેલા TCPDump દ્વારા પુષ્ટિ કરવામાં આવી હતી, પરંતુ વિનંતી કમ્પ્યુટર સુધી પહોંચી ન હતી - IPtables, રાઉટર પર NAT અનુવાદક તરીકે, તેને છોડી દીધી હતી.

પરંતુ ખૂબ જ હકીકત એ છે કે UDP વિનંતી પ્રદાતાની NATમાંથી પસાર થઈ છે તે સફળતાની આશા આપે છે. રાઉટર મારા અધિકારક્ષેત્રમાં આવેલું હોવાથી, મેં UDP/11111 પોર્ટને કમ્પ્યુટર પર રીડાયરેક્ટ કરીને સમસ્યા હલ કરી છે:

iptables -t nat -A PREROUTING -i eth1 -p udp -d 10.1XX.2XX.XXX --dport 11111 -j DNAT --to-destination 192.168.X.XXX

આમ, હું UDP સત્ર શરૂ કરવામાં સક્ષમ હતો અને કોઈપણ IP સરનામાંથી ઇન્ટરનેટથી વિનંતીઓ પ્રાપ્ત કરી શક્યો. આ ક્ષણે, મેં UDP/11111 પોર્ટ સાંભળીને OpenVPN-સર્વર લોન્ચ કર્યું (તેને અગાઉ ગોઠવેલું), સ્માર્ટફોન પર બાહ્ય IP સરનામું અને પોર્ટ (XX.1XX.1X4.2XX:4398) સૂચવ્યું અને સ્માર્ટફોનથી સફળતાપૂર્વક કનેક્ટ થયું કમ્પ્યુટર પરંતુ આ અમલીકરણમાં એક સમસ્યા ઊભી થઈ: જ્યાં સુધી OpenVPN ક્લાયંટ સર્વર સાથે કનેક્ટ ન થાય ત્યાં સુધી કોઈક રીતે UDP સત્રને જાળવવું જરૂરી હતું; મને સમયાંતરે STUN ક્લાયંટ લોંચ કરવાનો વિકલ્પ ગમ્યો નહીં - હું તેના પરનો ભાર બગાડવા માંગતો ન હતો. STUN સર્વર્સ.
મેં એન્ટ્રી પણ નોંધી "hairpin કરશે - એક hairpin હશે", આ મોડ

હેરપિનિંગ એ NAT ની પાછળના સ્થાનિક નેટવર્ક પર એક મશીનને રાઉટરના બાહ્ય સરનામાં પર સમાન નેટવર્ક પર બીજા મશીનને ઍક્સેસ કરવાની મંજૂરી આપે છે.

પરિણામે, મેં UDP સત્ર જાળવવાની સમસ્યાને સરળ રીતે હલ કરી - મેં સર્વર સાથે સમાન કમ્પ્યુટર પર ક્લાયંટને લોન્ચ કર્યું.
તે આની જેમ કામ કર્યું:

• સ્થાનિક પોર્ટ 11111 પર STUN ક્લાયન્ટ લોન્ચ કર્યું
• બાહ્ય IP સરનામા અને પોર્ટ XX.1XX.1X4.2XX:4398 સાથે પ્રતિસાદ મળ્યો
• સ્માર્ટફોન પર રૂપરેખાંકિત બાહ્ય IP સરનામાં અને ઇમેઇલ પર પોર્ટ સાથે ડેટા મોકલ્યો (કોઈપણ અન્ય સેવા શક્ય છે)
• UDP/11111 પોર્ટ સાંભળતા કમ્પ્યુટર પર OpenVPN સર્વર લોન્ચ કર્યું
• કનેક્શન માટે XX.1XX.1X4.2XX:4398 નો ઉલ્લેખ કરતા કમ્પ્યુટર પર OpenVPN ક્લાયંટ લોન્ચ કર્યું
• કોઈપણ સમયે સ્માર્ટફોન પર ઓપનવીપીએન ક્લાયંટ લોંચ કરો જે IP સરનામું અને પોર્ટ સૂચવે છે (મારા કિસ્સામાં IP સરનામું બદલાયું નથી) કનેક્ટ કરવા માટે

આ રીતે હું મારા સ્માર્ટફોનથી મારા કમ્પ્યુટરથી કનેક્ટ થવામાં સક્ષમ હતો. આ અમલીકરણ તમને કોઈપણ OpenVPN ક્લાયંટને કનેક્ટ કરવાની મંજૂરી આપે છે.

પ્રેક્ટિસ

તે લેશે:

# apt install openvpn stun-client sendemail

કેટલીક સ્ક્રિપ્ટો, બે રૂપરેખાંકન ફાઇલો લખ્યા પછી, અને જરૂરી પ્રમાણપત્રો જનરેટ કર્યા (કારણ કે સ્માર્ટફોન પરનો ક્લાયંટ ફક્ત પ્રમાણપત્રો સાથે જ કામ કરે છે), અમને OpenVPN સર્વરનું સામાન્ય અમલીકરણ મળ્યું.

કમ્પ્યુટર પર મુખ્ય સ્ક્રિપ્ટ

# cat vpn11.sh

#!/bin/bash
until [[ -n "$iftosrv" ]]; do echo "$(date) Определяю сетевой интерфейс"; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'`; sleep 5; done
ABSOLUTE_FILENAME=`readlink -f "$0"`
DIR=`dirname "$ABSOLUTE_FILENAME"`
localport=11111
until [[ $a ]]; do
	address=`stun stun.sipnet.ru -v -p $localport 2>&1 | grep "MappedAddress" | sort | uniq | head -n 1 | sed 's/:/ /g' | awk '{print $3" "$4}'`
        ip=`echo "$address" | awk {'print $1'}`
        port=`echo "$address" | awk {'print $2'}`
	srv="openvpn --config $DIR/server.conf --port $localport --daemon"
	$srv
	echo "$(date) Сервер запущен с внешним адресом $ip:$port"
	$DIR/sendemail.sh "OpenVPN-Server" "$ip:$port"
	sleep 1
	openvpn --config $DIR/client.conf --remote $ip --port $port
	echo "$(date) Cоединение клиента с сервером разорвано"
	for i in `ps xa | grep "$srv" | grep -v grep | awk '{print $1}'`; do
		kill $i && echo "$(date) Завершен процесс сервера $i ($srv)"
		done
	echo "Жду 15 сек"
	sleep 15
	done

ઇમેઇલ દ્વારા ડેટા મોકલવા માટેની સ્ક્રિપ્ટ:

# cat sendemail.sh 

#!/bin/bash
from="От кого"
pass="Пароль"
to="Кому"
theme="$1"
message="$2"
server="smtp.yandex.ru:587"
sendEmail -o tls=yes -f "$from" -t "$to" -s "$server" -xu "$from" -xp "$pass" -u "$theme" -m "$message"

સર્વર રૂપરેખાંકન ફાઇલ:

# cat server.conf

proto udp
dev tun
ca      /home/vpn11-srv/ca.crt
cert    /home/vpn11-srv/server.crt
key     /home/vpn11-srv/server.key
dh      /home/vpn11-srv/dh2048.pem
server 10.2.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
tls-server
tls-auth /home/vpn11-srv/ta.key 0
tls-timeout 60
auth    SHA256
cipher  AES-256-CBC
client-to-client
keepalive 10 30
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-server.log
verb 3
mute 20

ક્લાઈન્ટ રૂપરેખાંકન ફાઈલ:

# cat client.conf

client
dev tun
proto udp
ca      "/home/vpn11-srv/ca.crt"
cert    "/home/vpn11-srv/client1.crt"
key     "/home/vpn11-srv/client1.key"
tls-client
tls-auth "/home/vpn11-srv/ta.key" 1
auth SHA256
cipher AES-256-CBC
auth-nocache
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-clent.log
verb 3
mute 20
ping 10
ping-exit 30

નો ઉપયોગ કરીને પ્રમાણપત્રો બનાવવામાં આવ્યા હતા આ લેખ.
સ્ક્રિપ્ટ ચલાવી રહ્યા છીએ:

# ./vpn11.sh

પ્રથમ તેને એક્ઝિક્યુટેબલ બનાવીને

# chmod +x vpn11.sh

સ્માર્ટફોન બાજુ પર

એપ્લિકેશન ઇન્સ્ટોલ કરીને Android માટે OpenVPN, રૂપરેખાંકન ફાઇલ, પ્રમાણપત્રોની નકલ કરીને અને તેને રૂપરેખાંકિત કર્યા પછી, તે આના જેવું બહાર આવ્યું:
હું મારા સ્માર્ટફોન પર મારો ઈમેલ ચેક કરું છું
હું સેટિંગ્સમાં પોર્ટ નંબર સંપાદિત કરું છું
હું ક્લાયન્ટ લોન્ચ અને કનેક્ટ

આ લેખ લખતી વખતે, મેં રૂપરેખાંકનને મારા કમ્પ્યુટરથી રાસ્પબેરી પી 3 પર સ્થાનાંતરિત કર્યું અને આખી વસ્તુને LTE મોડેમ પર ચલાવવાનો પ્રયાસ કર્યો, પરંતુ તે કામ કરતું નથી! આદેશ પરિણામ

# stun stun.ekiga.net -p 11111

STUN ક્લાયંટ વર્ઝન 0.97
પ્રાથમિક: સ્વતંત્ર મેપિંગ, પોર્ટ ડિપેન્ડન્ટ ફિલ્ટર, રેન્ડમ પોર્ટ, હેરપિન કરશે
વળતર મૂલ્ય છે 0x000006

અર્થ પોર્ટ ડિપેન્ડન્ટ ફિલ્ટર સિસ્ટમ શરૂ કરવાની મંજૂરી આપી નથી.
પરંતુ ઘર પ્રદાતાએ કોઈપણ સમસ્યા વિના સિસ્ટમને Raspberry Pi 3 પર શરૂ કરવાની મંજૂરી આપી.
વેબકેમ સાથે જોડાણમાં, માટે VLC સાથે
વેબકેમમાંથી RTSP સ્ટ્રીમ બનાવવી

$ cvlc v4l2:///dev/video0:chroma=h264 :input-slave=alsa://hw:1,0 --sout '#transcode{vcodec=x264,venc=x264{preset=ultrafast,profile=baseline,level=31},vb=2048,fps=12,scale=1,acodec=mpga,ab=128,channels=2,samplerate=44100,scodec=none}:rtp{sdp=rtsp://10.2.0.1:8554/}' --no-sout-all --sout-keep

અને જોવા માટે સ્માર્ટફોન પર VLC (સ્ટ્રીમ rtsp://10.2.0.1:8554/), તે સારી રિમોટ વિડિયો સર્વેલન્સ સિસ્ટમ હોવાનું બહાર આવ્યું છે, તમે સામ્બા પણ ઇન્સ્ટોલ કરી શકો છો, VPN દ્વારા ટ્રાફિકને રૂટ કરી શકો છો, તમારા કમ્પ્યુટરને રિમોટલી નિયંત્રિત કરી શકો છો અને ઘણું બધું વધુ...

નિષ્કર્ષ

પ્રેક્ટિસ બતાવે છે તેમ, VPN સર્વરને ગોઠવવા માટે, તમે કોઈ બાહ્ય IP સરનામા વિના કરી શકો છો કે જેના માટે તમારે ભાડે આપેલ VPS/VDSની જેમ ચૂકવણી કરવાની જરૂર છે. પરંતુ તે બધા પ્રદાતા પર આધાર રાખે છે. અલબત્ત, હું ઉપયોગમાં લેવાતા વિવિધ પ્રદાતાઓ અને NAT ના પ્રકારો વિશે વધુ માહિતી મેળવવા માંગતો હતો, પરંતુ આ માત્ર શરૂઆત છે...
તમારું ધ્યાન બદલ આભાર!

સોર્સ: www.habr.com