प्रदाता के NAT के पीछे एक वीपीएन सर्वर चलाना

इस बारे में एक लेख कि मैं अपने होम प्रदाता के NAT के पीछे एक वीपीएन सर्वर चलाने में कैसे कामयाब रहा (एक सफेद आईपी पते के बिना)। मुझे तुरंत आरक्षण कराने दीजिए: वह इस कार्यान्वयन का प्रदर्शन सीधे आपके प्रदाता, साथ ही राउटर द्वारा उपयोग किए जाने वाले NAT के प्रकार पर निर्भर करता है.
इसलिए, मुझे अपने एंड्रॉइड स्मार्टफोन से अपने घरेलू कंप्यूटर से कनेक्ट करने की आवश्यकता है, दोनों डिवाइस प्रदाता NAT के माध्यम से इंटरनेट से जुड़े हुए हैं, साथ ही कंप्यूटर एक होम राउटर के माध्यम से जुड़ा हुआ है, जो NAT कनेक्शन भी है।
सफेद आईपी पते के साथ पट्टे पर वीपीएस/वीडीएस का उपयोग करने वाली क्लासिक योजना, साथ ही एक प्रदाता से सफेद आईपी पता किराए पर लेने पर कई कारणों से विचार नहीं किया गया था।
ध्यान में रखते हुए पिछले लेखों से अनुभव, प्रदाताओं के STUNs और NATs के साथ कई प्रयोग किए हैं। मैंने OpenWRT फ़र्मवेयर चलाने वाले होम राउटर पर कमांड चलाकर एक छोटा सा प्रयोग करने का निर्णय लिया:

$ stun stun.sipnet.ru

परिणाम मिला:

स्टन क्लाइंट संस्करण 0.97
प्राथमिक: स्वतंत्र मैपिंग, स्वतंत्र फ़िल्टर, रैंडम पोर्ट, विल हेयरपिन
वापसी मूल्य है 0x000002

शाब्दिक अनुवाद:
स्वतंत्र मानचित्रण - स्वतंत्र मानचित्रण
स्वतंत्र फ़िल्टर - स्वतंत्र फ़िल्टर
यादृच्छिक बंदरगाह - यादृच्छिक बंदरगाह
हेयरपिन होगा - हेयरपिन होगा
अपने पीसी पर एक समान कमांड चलाने पर, मुझे मिला:

स्टन क्लाइंट संस्करण 0.97
प्राथमिक: स्वतंत्र मैपिंग, पोर्ट डिपेंडेंट फ़िल्टर, रैंडम पोर्ट, विल हेयरपिन
वापसी मूल्य है 0x000006

पोर्ट डिपेंडेंट फ़िल्टर - पोर्ट डिपेंडेंट फ़िल्टर
कमांड आउटपुट के परिणामों में अंतर ने संकेत दिया कि होम राउटर इंटरनेट से पैकेट संचारित करने की प्रक्रिया में "अपना योगदान" दे रहा था; यह इस तथ्य में प्रकट हुआ कि कंप्यूटर पर कमांड निष्पादित करते समय:

stun stun.sipnet.ru -p 11111 -v

मुझे परिणाम मिल रहा था:

...
मैप किया गया पता = XX.1XX.1X4.2XX:4398
...

इस समय, एक यूडीपी सत्र कुछ समय के लिए खोला गया था, यदि इस समय आप एक यूडीपी अनुरोध भेजते हैं (उदाहरण के लिए: नेटकैट XX.1XX.1X4.2XX 4398 -u), तो अनुरोध होम राउटर पर आया, जो था इस पर चल रहे TCPDump द्वारा इसकी पुष्टि की गई, लेकिन अनुरोध कंप्यूटर तक नहीं पहुंचा - राउटर पर NAT अनुवादक के रूप में IPtables ने इसे हटा दिया।

लेकिन तथ्य यह है कि यूडीपी अनुरोध प्रदाता के एनएटी के माध्यम से पारित हो गया, जिससे सफलता की उम्मीद जगी। चूंकि राउटर मेरे अधिकार क्षेत्र में स्थित है, इसलिए मैंने यूडीपी/11111 पोर्ट को कंप्यूटर पर रीडायरेक्ट करके समस्या का समाधान किया:

iptables -t nat -A PREROUTING -i eth1 -p udp -d 10.1XX.2XX.XXX --dport 11111 -j DNAT --to-destination 192.168.X.XXX

इस प्रकार, मैं एक यूडीपी सत्र शुरू करने और किसी भी आईपी पते से इंटरनेट से अनुरोध प्राप्त करने में सक्षम था। इस समय, मैंने UDP/11111 पोर्ट को सुनते हुए OpenVPN-सर्वर (पहले इसे कॉन्फ़िगर किया हुआ) लॉन्च किया, स्मार्टफोन पर बाहरी आईपी पते और पोर्ट (XX.1XX.1X4.2XX:4398) को इंगित किया और स्मार्टफोन से सफलतापूर्वक कनेक्ट किया। कंप्यूटर। लेकिन इस कार्यान्वयन में एक समस्या उत्पन्न हुई: ओपनवीपीएन क्लाइंट सर्वर से कनेक्ट होने तक किसी तरह यूडीपी सत्र को बनाए रखना आवश्यक था; मुझे समय-समय पर STUN क्लाइंट लॉन्च करने का विकल्प पसंद नहीं आया - मैं लोड बर्बाद नहीं करना चाहता था STUN सर्वर।
मैंने प्रविष्टि पर भी ध्यान दिया "हेयरपिन होगा - हेयरपिन होगा", यह विधा

हेयरपिनिंग NAT के पीछे स्थानीय नेटवर्क पर एक मशीन को राउटर के बाहरी पते पर उसी नेटवर्क पर दूसरी मशीन तक पहुंचने की अनुमति देता है।

परिणामस्वरूप, मैंने यूडीपी सत्र को बनाए रखने की समस्या को आसानी से हल कर लिया - मैंने क्लाइंट को सर्वर के साथ उसी कंप्यूटर पर लॉन्च किया।
इसने इस तरह काम किया:

• स्थानीय पोर्ट 11111 पर STUN क्लाइंट लॉन्च किया
• बाहरी IP पते और पोर्ट XX.1XX.1X4.2XX:4398 के साथ प्रतिक्रिया प्राप्त हुई
• स्मार्टफोन पर कॉन्फ़िगर किए गए बाहरी आईपी पते और ईमेल पर पोर्ट (कोई अन्य सेवा संभव है) के साथ डेटा भेजा गया
• UDP/11111 पोर्ट सुनने वाले कंप्यूटर पर OpenVPN सर्वर लॉन्च किया
• कनेक्शन के लिए XX.1XX.1X4.2XX:4398 निर्दिष्ट करते हुए कंप्यूटर पर OpenVPN क्लाइंट लॉन्च किया
• किसी भी समय कनेक्ट करने के लिए आईपी पते और पोर्ट (मेरे मामले में आईपी पता नहीं बदला) को इंगित करते हुए स्मार्टफोन पर ओपनवीपीएन क्लाइंट लॉन्च किया गया

इस तरह मैं अपने स्मार्टफोन से अपने कंप्यूटर से कनेक्ट हो सका। यह कार्यान्वयन आपको किसी भी OpenVPN क्लाइंट को कनेक्ट करने की अनुमति देता है।

अभ्यास

आप की आवश्यकता होगी:

# apt install openvpn stun-client sendemail

कुछ स्क्रिप्ट, कुछ कॉन्फ़िगरेशन फ़ाइलें लिखने और आवश्यक प्रमाणपत्र तैयार करने के बाद (चूंकि स्मार्टफोन पर क्लाइंट केवल प्रमाणपत्रों के साथ काम करता है), हमें ओपनवीपीएन सर्वर का सामान्य कार्यान्वयन मिला।

कंप्यूटर पर मुख्य स्क्रिप्ट

# cat vpn11.sh

#!/bin/bash
until [[ -n "$iftosrv" ]]; do echo "$(date) Определяю сетевой интерфейс"; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'`; sleep 5; done
ABSOLUTE_FILENAME=`readlink -f "$0"`
DIR=`dirname "$ABSOLUTE_FILENAME"`
localport=11111
until [[ $a ]]; do
	address=`stun stun.sipnet.ru -v -p $localport 2>&1 | grep "MappedAddress" | sort | uniq | head -n 1 | sed 's/:/ /g' | awk '{print $3" "$4}'`
        ip=`echo "$address" | awk {'print $1'}`
        port=`echo "$address" | awk {'print $2'}`
	srv="openvpn --config $DIR/server.conf --port $localport --daemon"
	$srv
	echo "$(date) Сервер запущен с внешним адресом $ip:$port"
	$DIR/sendemail.sh "OpenVPN-Server" "$ip:$port"
	sleep 1
	openvpn --config $DIR/client.conf --remote $ip --port $port
	echo "$(date) Cоединение клиента с сервером разорвано"
	for i in `ps xa | grep "$srv" | grep -v grep | awk '{print $1}'`; do
		kill $i && echo "$(date) Завершен процесс сервера $i ($srv)"
		done
	echo "Жду 15 сек"
	sleep 15
	done

ईमेल द्वारा डेटा भेजने की स्क्रिप्ट:

# cat sendemail.sh 

#!/bin/bash
from="От кого"
pass="Пароль"
to="Кому"
theme="$1"
message="$2"
server="smtp.yandex.ru:587"
sendEmail -o tls=yes -f "$from" -t "$to" -s "$server" -xu "$from" -xp "$pass" -u "$theme" -m "$message"

सर्वर कॉन्फ़िगरेशन फ़ाइल:

# cat server.conf

proto udp
dev tun
ca      /home/vpn11-srv/ca.crt
cert    /home/vpn11-srv/server.crt
key     /home/vpn11-srv/server.key
dh      /home/vpn11-srv/dh2048.pem
server 10.2.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
tls-server
tls-auth /home/vpn11-srv/ta.key 0
tls-timeout 60
auth    SHA256
cipher  AES-256-CBC
client-to-client
keepalive 10 30
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-server.log
verb 3
mute 20

क्लाइंट कॉन्फ़िगरेशन फ़ाइल:

# cat client.conf

client
dev tun
proto udp
ca      "/home/vpn11-srv/ca.crt"
cert    "/home/vpn11-srv/client1.crt"
key     "/home/vpn11-srv/client1.key"
tls-client
tls-auth "/home/vpn11-srv/ta.key" 1
auth SHA256
cipher AES-256-CBC
auth-nocache
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-clent.log
verb 3
mute 20
ping 10
ping-exit 30

का उपयोग करके प्रमाणपत्र तैयार किये गये यह लेख.
स्क्रिप्ट चलाना:

# ./vpn11.sh

पहले इसे निष्पादन योग्य बनाकर

# chmod +x vpn11.sh

स्मार्टफोन की तरफ

एप्लिकेशन इंस्टॉल करके एंड्रॉइड के लिए ओपनवीपीएन, कॉन्फ़िगरेशन फ़ाइल, प्रमाणपत्रों की प्रतिलिपि बनाने और इसे कॉन्फ़िगर करने के बाद, यह इस तरह निकला:
मैं अपने स्मार्टफ़ोन पर अपना ईमेल जाँचता हूँ
मैं सेटिंग्स में पोर्ट नंबर संपादित करता हूं
मैं क्लाइंट लॉन्च करता हूं और कनेक्ट करता हूं

इस लेख को लिखते समय, मैंने अपने कंप्यूटर से कॉन्फ़िगरेशन को रास्पबेरी पाई 3 में स्थानांतरित कर दिया और पूरी चीज़ को एलटीई मॉडेम पर चलाने की कोशिश की, लेकिन यह काम नहीं किया! आदेश परिणाम

# stun stun.ekiga.net -p 11111

स्टन क्लाइंट संस्करण 0.97
प्राथमिक: स्वतंत्र मैपिंग, पोर्ट डिपेंडेंट फ़िल्टर, रैंडम पोर्ट, विल हेयरपिन
वापसी मूल्य है 0x000006

मूल्य पोर्ट डिपेंडेंट फ़िल्टर सिस्टम को चालू नहीं होने दिया.
लेकिन होम प्रदाता ने सिस्टम को बिना किसी समस्या के रास्पबेरी पाई 3 पर शुरू करने की अनुमति दी।
एक वेबकैम के साथ संयोजन में, वीएलसी के साथ
वेबकैम से आरटीएसपी स्ट्रीम बनाना

$ cvlc v4l2:///dev/video0:chroma=h264 :input-slave=alsa://hw:1,0 --sout '#transcode{vcodec=x264,venc=x264{preset=ultrafast,profile=baseline,level=31},vb=2048,fps=12,scale=1,acodec=mpga,ab=128,channels=2,samplerate=44100,scodec=none}:rtp{sdp=rtsp://10.2.0.1:8554/}' --no-sout-all --sout-keep

और देखने के लिए स्मार्टफोन पर वीएलसी (स्ट्रीम आरटीएसपी://10.2.0.1:8554/), यह एक अच्छा रिमोट वीडियो निगरानी सिस्टम साबित हुआ, आप सांबा भी इंस्टॉल कर सकते हैं, वीपीएन के माध्यम से ट्रैफिक को रूट कर सकते हैं, अपने कंप्यूटर को दूरस्थ रूप से नियंत्रित कर सकते हैं और भी बहुत कुछ अधिक...

उत्पादन

जैसा कि अभ्यास से पता चला है, एक वीपीएन सर्वर को व्यवस्थित करने के लिए, आप बाहरी आईपी पते के बिना काम कर सकते हैं जिसके लिए आपको भुगतान करना होगा, जैसे किराए के वीपीएस/वीडीएस के लिए। लेकिन यह सब प्रदाता पर निर्भर करता है। बेशक, मैं विभिन्न प्रदाताओं और उपयोग किए जाने वाले NAT के प्रकारों के बारे में अधिक जानकारी प्राप्त करना चाहता था, लेकिन यह केवल शुरुआत है...
धन्यवाद!

स्रोत: www.habr.com