🥇 ניקוב חורים UDP פשוט באמצעות מנהרת IPIP כדוגמה

זמן טוב של יום!

במאמר זה אני רוצה לספר לכם איך יישמתי (עוד אחד) סקריפט Bash לחיבור שני מחשבים מאחורי NAT באמצעות טכנולוגיית חורים של UDP באמצעות מערכת ההפעלה Ubuntu/Debian כדוגמה.

יצירת קשר מורכבת ממספר שלבים:

הפעלת צומת והמתנה עד שהצומת המרוחק יהיה מוכן;
קביעת כתובת ה-IP החיצונית ויציאת UDP;
העברת כתובת IP חיצונית ויציאת UDP למארח מרוחק;
השגת כתובת IP חיצונית ויציאת UDP ממארח מרוחק;
ארגון מנהרת IPIP;
ניטור חיבור;
אם החיבור אבד, מחק את מנהרת ה-IPIP.

חשבתי הרבה זמן ועדיין חושב במה אפשר להשתמש כדי להחליף נתונים בין צמתים, הכי פשוט ומהיר עבורי כרגע עובד דרך Yandex.disk.

ראשית, זה קל לשימוש - אתה צריך 3 פעולות: יצירה, קריאה, מחיקה. עם תלתל זה:
לִיצוֹר:

curl -s -X MKCOL --user "$usename:$password" https://webdav.yandex.ru/$folder

לקרוא:

curl -s --user "$usename:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/$folder

לִמְחוֹק:

curl -s -X DELETE --user "$usename:$password" https://webdav.yandex.ru/$folder

שנית, קל להתקנה:
```
apt install curl
```

כדי לקבוע את כתובת ה-IP החיצונית ויציאת UDP, השתמש בפקודה stun-client:

stun stun.sipnet.ru -v -p $1 2>&1 | grep "MappedAddress"

התקנה עם פקודה:

apt install stun-client

כדי לארגן מנהרה, נעשה שימוש בכלי מערכת הפעלה סטנדרטיים מחבילת iproute2. קיים מנהרות רבות שניתן להעלות באמצעים סטנדרטיים (L2TPv3, GRE וכו'), אבל בחרתי ב-IPIP כי זה יוצר עומס נוסף מינימלי על המערכת. ניסיתי L2TPv3 על UDP והתאכזבתי, המהירות ירדה פי 10, אבל אלו יכולות להיות הגבלות שונות הקשורות לספקים או משהו אחר. מכיוון שמנהרת IPIP פועלת ברמת ה-IP, מנהרת FOU משמשת לפעול ברמת יציאת UDP. כדי לארגן מנהרת IPIP אתה צריך:

- טען את מודול ה-FOU:

modprobe fou

- האזינו לנמל מקומי:

ip fou add port $localport ipproto 4

- ליצור מנהרה:

ip link add name fou$name type ipip remote $remoteip local $localip encap fou  encap-sport $localport encap-dport $remoteport

- להעלות את ממשק המנהרה:

ip link set up dev fou$name

- הקצה כתובות IP מקומיות ופנימיות מרוחקות פנימיות של המנהרה:

ip addr add $intIP peer $peerip dev fou$name

מחק מנהרה:

ip link del dev fou$name

ip fou del port $localport

מצב המנהרה מנוטר על ידי פינג מעת לעת לכתובת ה-IP הפנימית של מנהרת הצומת המרוחקת עם הפקודה:

ping -c 1 $peerip -s 0

יש צורך בפינג תקופתי בעיקר כדי לתחזק את הערוץ, אחרת, כאשר המנהרה לא פעילה, טבלאות ה-NAT בנתבים עשויות להתנקות ואז החיבור יינתק.

אם הפינג נעלם, מנהרת ה-IPIP נמחקת וממתינה למוכנות מהמארח המרוחק.

התסריט עצמו:

#!/bin/bash
username="[email protected]"
password="password"
folder="vpnid"
intip="10.0.0.1"
localport=`shuf -i 10000-65000 -n 1`
cid=`shuf -i 10000-99999 -n 1`
tid=`shuf -i 10-99 -n 1`
function yaread {
        curl -s --user "$1:$2" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/$3 | sed 's/></>n</g' | grep "displayname" | sed 's/<d:displayname>//g' | sed 's/</d:displayname>//g' | grep -v $3 | grep -v $4 | sort -r
}
function yacreate {
        curl -s -X MKCOL --user "$1:$2" https://webdav.yandex.ru/$3
}
function yadelete {
        curl -s -X DELETE --user "$1:$2" https://webdav.yandex.ru/$3
}
function myipport {
        stun stun.sipnet.ru -v -p $1 2>&1 | grep "MappedAddress" | sort | uniq | awk '{print $3}' | head -n1
}
function tunnel-up {
	modprobe fou
	ip fou add port $4 ipproto 4
	ip link add name fou$7 type ipip remote $1 local $3 encap fou encap-sport $4 encap-dport $2
	ip link set up dev fou$7
	ip addr add $6 peer $5 dev fou$7
}
function tunnel-check {
	sleep 10
        pings=0
        until [[ $pings == 4 ]]; do
                if ping -c 1 $1 -s 0 &>/dev/null;
                        then    echo -n .; n=0
                        else    echo -n !; ((pings++))
                fi
		sleep 15
        done
}
function tunnel-down {
	ip link del dev fou$1
	ip fou del port $2
}
trap 'echo -e "nDisconnecting..." && yadelete $username $password $folder; tunnel-down $tunnelid $localport; echo "IPIP tunnel disconnected!"; exit 1' 1 2 3 8 9 14 15
until [[ -n $end ]]; do
    yacreate $username $password $folder
    until [[ -n $ip ]]; do
        mydate=`date +%s`
        timeout="60"
        list=`yaread $username $password $folder $cid | head -n1`
        yacreate $username $password $folder/$mydate:$cid
        for l in $list; do
                if [ `echo $l | sed 's/:/ /g' | awk {'print $1'}` -ge $(($mydate-65)) ]; then
			#echo $list
                        myipport=`myipport $localport`
                        yacreate $username $password $folder/$mydate:$cid:$myipport:$intip:$tid
                        timeout=$(( $timeout + `echo $l | sed 's/:/ /g' | awk {'print $1'}` - $mydate + 3 ))
                        ip=`echo $l | sed 's/:/ /g' | awk '{print $3}'`
                        port=`echo $l | sed 's/:/ /g' | awk '{print $4}'`
                        peerip=`echo $l | sed 's/:/ /g' | awk '{print $5}'`
			peerid=`echo $l | sed 's/:/ /g' | awk '{print $6}'`
			if [[ -n $peerid ]]; then tunnelid=$(($peerid*$tid)); fi
                fi
        done
        if ( [[ -z "$ip" ]] && [ "$timeout" -gt 0 ] ) ; then
                echo -n "!"
                sleep $timeout
        fi
    done
    localip=`ip route get $ip | head -n1 | sed 's|.*src ||' | cut -d' ' -f1`
    tunnel-up $ip $port $localip $localport $peerip $intip $tunnelid
    tunnel-check $peerip
    tunnel-down $tunnelid $localport
    yadelete $username $password $folder
    unset ip port myipport
done
exit 0

משתנים שם משתמש, סיסמא и תיקייה צריך להיות זהה משני הצדדים, אבל טיפ - שונה, למשל: 10.0.0.1 ו-10.0.0.2. הזמן על הצמתים חייב להיות מסונכרן. אתה יכול להריץ את הסקריפט כך:

nohup script.sh &

ברצוני להסב את תשומת לבכם לעובדה שמנהרת IPIP אינה בטוחה מנקודת המבט של העובדה שהתעבורה אינה מוצפנת, אך ניתן לפתור זאת בקלות באמצעות IPsec over מאמר זה, זה נראה לי פשוט ומובן.

אני משתמש בסקריפט הזה כדי להתחבר למחשב עבודה כבר כמה שבועות ולא הבחנתי בבעיות. נוח מבחינת להגדיר אותו ולשכוח אותו.

אולי יהיו לך הערות והצעות, אני אשמח להקשיב.

תודה לך!

מקור: www.habr.com

ניקוב חורים UDP פשוט באמצעות מנהרת IPIP כדוגמה

הוספת תגובה ביטול תגובה