בניית נתב ב-SOCKS על מחשב נייד עם דביאן 10

במשך שנה שלמה (או שנתיים) דחיתי את פרסום המאמר הזה מהסיבה העיקרית - כבר פרסמתי שני מאמרים שבהם תיארתי את תהליך יצירת הנתב ב-SOCKS ממחשב נייד מאוד רגיל עם דביאן.

עם זאת, מאז הגרסה היציבה של דביאן עודכנה ל-Buster, מספר מספיק של אנשים פנו אליי באופן פרטי וביקשו עזרה בהתקנה, מה שאומר שהמאמרים הקודמים שלי אינם ממצים. ובכן, אני עצמי ניחשתי שהשיטות המתוארות בהן אינן חושפות במלואן את כל המורכבויות של הגדרת לינוקס לניתוב ב-SOCKS. בנוסף, הם כתובים עבור Debian Stretch, ולאחר שדרוג ל-Buster, במערכת systemd init, הבחנתי בשינויים קטנים באינטראקציה של השירותים. ובמאמרים עצמם, לא השתמשתי ב-systemd-networkd, למרות שהיא מתאימה ביותר לתצורות רשת מורכבות.

בנוסף לשינויים לעיל, השירותים הבאים נוספו לתצורה שלי: hostapd - שירות לווירטואליזציה של נקודות גישה, ntp כדי לסנכרן את הזמן של לקוחות רשת מקומיים, dnscrypt-proxy להצפין חיבורים באמצעות DNS ולהשבית פרסום בלקוחות רשת מקומית, וגם, כפי שציינתי קודם, systemd-networkd להגדרת ממשקי רשת.

הנה תרשים בלוקים פשוט של המבנה הפנימי של נתב כזה.

אז הרשו לי להזכיר לכם מהן המטרות של סדרת מאמרים זו:

1. נתב את כל חיבורי מערכת ההפעלה אל SOCKS, כמו גם חיבורים מכל המכשירים באותה רשת כמו המחשב הנייד.
2. המחשב הנייד במקרה שלי צריך להישאר נייד לחלוטין. כלומר, לספק את האפשרות להשתמש בסביבת שולחן העבודה ולא להיות קשור למיקום פיזי.
3. הנקודה האחרונה מרמזת על חיבור וניתוב רק דרך הממשק האלחוטי המובנה.
4. ובכן, וכמובן, יצירת מדריך מקיף, וכן ניתוח הטכנולוגיות הרלוונטיות למיטב ידיעתי הצנועה.

מה נעסוק במאמר זה:

1. סילון - הורד מאגרי פרויקטים tun2socksנדרש לנתב תעבורת TCP אל SOCKS, וכן create_ap - סקריפט לאוטומטי של ההגדרה של נקודת גישה וירטואלית באמצעות hostapd.
2. tun2socks - לבנות ולהתקין את שירות systemd על המערכת.
3. systemd-networkd - הגדר ממשקים אלחוטיים ווירטואליים, טבלאות ניתוב סטטיות והפניית מנות.
4. create_ap - התקן את שירות systemd במערכת, הגדר והפעל נקודת גישה וירטואלית.

שלבים אופציונליים:

• ntp - התקן והגדר שרת לסנכרון זמן בלקוחות נקודות גישה וירטואליות.
• dnscrypt-proxy - אנו נצפין בקשות DNS, ננתב אותן ל-SOCKS ונשבית דומיינים של פרסום עבור הרשת המקומית.

למה כל זה?

זוהי אחת הדרכים לאבטחת חיבורי TCP ברשת מקומית. היתרון העיקרי הוא שכל החיבורים נעשים ב-SOCKS, אלא אם כן נבנה עבורם מסלול סטטי דרך השער המקורי. משמעות הדבר היא שאינך צריך לציין הגדרות שרת SOCKS לא עבור תוכניות בודדות או עבור לקוחות ברשת המקומית - כולם עוברים אל SOCKS כברירת מחדל, מכיוון שזהו שער ברירת המחדל עד שנציין אחרת.

בעיקרו של דבר, אנו מוסיפים נתב הצפנה שני כמחשב נייד מול הנתב המקורי ומשתמשים בחיבור האינטרנט של הנתב המקורי עבור בקשות SOCKS שכבר מוצפנות של המחשב הנייד, אשר בתורו מנתב ומצפין בקשות מלקוחות LAN.

מנקודת מבטו של הספק, אנו מחוברים כל הזמן לשרת אחד עם תעבורה מוצפנת.

בהתאם לכך, כל המכשירים מחוברים לנקודת הגישה הוירטואלית של המחשב הנייד.

התקן tun2socks על המערכת

כל עוד למכשיר שלך יש אינטרנט, הורד את כל הכלים הדרושים.

apt update

apt install git make cmake

הורד את חבילת badvpn

git clone https://github.com/ambrop72/badvpn

תיקיה תופיע במערכת שלך badvpn. צור תיקיה נפרדת עבור ה-build

mkdir badvpn-build

לך לזה

cd badvpn-build

לאסוף tun2socks

cmake ../badvpn -DBUILD_NOTHING_BY_DEFAULT=1 -DBUILD_TUN2SOCKS=1

התקן על המערכת

make install

• פרמטר -DBUILD_NOTHING_BY_DEFAULT=1 משבית את הבנייה של כל הרכיבים של מאגר badvpn.
• -DBUILD_TUN2SOCKS=1 כולל רכיב בהרכבה tun2socks.
• make install - יתקין את ה-tun2socks בינארי במערכת שלך ב /usr/local/bin/badvpn-tun2socks.

התקן את שירות tun2socks ב-systemd

צור קובץ /etc/systemd/system/tun2socks.service עם התוכן הבא:

[Unit]
Description=SOCKS TCP Relay

[Service]
ExecStart=/usr/local/bin/badvpn-tun2socks --tundev tun2socks --netif-ipaddr 172.16.1.1 --netif-netmask 255.255.255.0 --socks-server-addr 127.0.0.1:9050

[Install]
WantedBy=multi-user.target

• --tundev - לוקח את השם של הממשק הווירטואלי שאנו מאתחלים עם systemd-networkd.
• --netif-ipaddr - כתובת הרשת של "נתב" tun2socks שאליו מחובר הממשק הווירטואלי. עדיף לעשות את זה נפרד רשת משנה שמורה.
• --socks-server-addr - מקבל שקע (адрес:порт שרתי SOCKS).

אם שרת SOCKS שלך דורש אימות, אתה יכול לציין את הפרמטרים --username и --password.

לאחר מכן, רשום את השירות

systemctl daemon-reload

ותדליק אותו

systemctl enable tun2socks

לפני תחילת השירות, נספק לו ממשק רשת וירטואלי.

מעבר ל-systemd-networkd

תדליק systemd-networkd:

systemctl enable systemd-networkd

השבת את שירותי הרשת הנוכחיים.

systemctl disable networking NetworkManager NetworkManager-wait-online

• NetworkManager-חכה-מקוון הוא שירות שמחכה לחיבור רשת עובד לפני ש-systemd ממשיכה להפעיל שירותים אחרים התלויים בנוכחות רשת. אנו משביתים אותו כאשר אנו עוברים לאנלוגי systemd-networkd.

בואו נפעיל את זה מיד:

systemctl enable systemd-networkd-wait-online

הגדר את ממשק הרשת האלחוטית

צור קובץ תצורה systemd-networkd עבור ממשק הרשת האלחוטית /etc/systemd/network/25-wlp6s0.network.

[Match]
Name=wlp6s0

[Network]
Address=192.168.1.2/24
IPForward=yes

• שם הוא השם של הממשק האלחוטי שלך. זהה את זה עם הפקודה ip a.
• IPForward - הנחיה המאפשרת הפניית מנות בממשק רשת.
• כתובת אחראי על הקצאת כתובת IP לממשק האלחוטי. אנו מציינים את זה באופן סטטי כי עם ההנחיה המקבילה DHCP=yes, systemd-networkd יוצר שער ברירת מחדל במערכת. אז כל התעבורה תעבור דרך השער המקורי, ולא דרך הממשק הווירטואלי העתידי ברשת משנה אחרת. אתה יכול לבדוק את שער ברירת המחדל הנוכחי עם הפקודה ip r

צור מסלול סטטי עבור שרת SOCKS המרוחק

אם שרת SOCKS שלך אינו מקומי, אלא מרוחק, עליך ליצור עבורו נתיב סטטי. כדי לעשות זאת, הוסף קטע Route לסוף קובץ התצורה של הממשק האלחוטי שיצרת עם התוכן הבא:

[Route]
Gateway=192.168.1.1
Destination=0.0.0.0

• Gateway - זהו שער ברירת המחדל או הכתובת של נקודת הגישה המקורית שלך.
• Destination — כתובת שרת SOCKS.

הגדר את wpa_supplicant עבור systemd-networkd

systemd-networkd משתמש ב-wpa_supplicant כדי להתחבר לנקודת גישה מאובטחת. כאשר מנסים "להעלות" את הממשק האלחוטי, systemd-networkd מפעיל את השירות wpa_supplicant@имяאיפה שם הוא שם הממשק האלחוטי. אם לא השתמשת ב-systemd-networkd לפני נקודה זו, כנראה ששירות זה חסר במערכת שלך.

אז צור אותו עם הפקודה:

systemctl enable wpa_supplicant@wlp6s0

השתמשתי wlp6s0 כשם הממשק האלחוטי שלו. השם שלך עשוי להיות שונה. אתה יכול לזהות אותו עם הפקודה ip l.

עכשיו השירות שנוצר wpa_supplicant@wlp6s0 יופעל כאשר הממשק האלחוטי "מועלה", אולם הוא, בתורו, יחפש את הגדרות ה-SSID והסיסמה של נקודת הגישה בקובץ /etc/wpa_supplicant/wpa_supplicant-wlp6s0. לכן, עליך ליצור אותו באמצעות כלי השירות wpa_passphrase.

כדי לעשות זאת, הפעל את הפקודה:

wpa_passphrase SSID password>/etc/wpa_supplicant/wpa_supplicant-wlp6s0.conf

איפה SSID הוא השם של נקודת הגישה שלך, הסיסמה היא הסיסמה, ו wlp6s0 - שם הממשק האלחוטי שלך.

אתחל את הממשק הווירטואלי עבור tun2socks

צור קובץ לאתחול ממשק וירטואלי חדש במערכת/etc/systemd/network/25-tun2socks.netdev

[NetDev]
Name=tun2socks
Kind=tun

• שם הוא השם שיקצה systemd-networkd לממשק הווירטואלי העתידי כאשר הוא יאתחל.
• סוג הוא סוג של ממשק וירטואלי. מהשם של שירות tun2socks, אתה יכול לנחש שהוא משתמש בממשק כמו tun.
• נטו היא הסיומת של קבצים ש systemd-networkd משמש לאתחול ממשקי רשת וירטואליים. הכתובת והגדרות רשת אחרות עבור ממשקים אלה מצוינות ב .רֶשֶׁת-קבצים.

צור קובץ כזה /etc/systemd/network/25-tun2socks.network עם התוכן הבא:

[Match]
Name=tun2socks

[Network]
Address=172.16.1.2/24
Gateway=172.16.1.1

• Name - שם הממשק הווירטואלי שציינת בו נטו-קוֹבֶץ.
• Address - כתובת IP שתוקצה לממשק הוירטואלי. חייב להיות באותה רשת כמו הכתובת שציינת בשירות tun2socks
• Gateway - כתובת IP של ה"נתב" tun2socks, שציינת בעת יצירת שירות systemd.

אז הממשק tun2socks יש כתובת 172.16.1.2, והשירות tun2socks - 172.16.1.1, כלומר, זה השער לכל החיבורים מהממשק הוירטואלי.

הגדר נקודת גישה וירטואלית

תלות בהתקנה:

apt install util-linux procps hostapd iw haveged

הורד את המאגר create_ap לרכב שלך:

git clone https://github.com/oblique/create_ap

עבור אל תיקיית המאגר במחשב שלך:

cd create_ap

התקן על המערכת:

make install

תצורה תופיע במערכת שלך /etc/create_ap.conf. להלן אפשרויות העריכה העיקריות:

• GATEWAY=10.0.0.1 - עדיף להפוך אותו לרשת משנה שמורה נפרדת.
• NO_DNS=1 - השבת, מכיוון שהפרמטר הזה ינוהל על ידי הממשק הווירטואלי systemd-networkd.
• NO_DNSMASQ=1 - כבה אותו מאותה סיבה.
• WIFI_IFACE=wlp6s0 - ממשק אלחוטי למחשב נייד.
• INTERNET_IFACE=tun2socks - ממשק וירטואלי שנוצר עבור tun2socks.
• SSID=hostapd - שם נקודת הגישה הווירטואלית.
• PASSPHRASE=12345678 - סיסמה.

אל תשכח להפעיל את השירות:

systemctl enable create_ap

אפשר שרת DHCP ב-systemd-networkd

שירות create_ap מאתחל ממשק וירטואלי במערכת ap0. בתיאוריה, dnsmasq תלוי על הממשק הזה, אבל למה להתקין שירותים נוספים אם systemd-networkd מכיל שרת DHCP מובנה?

כדי להפעיל אותו, נגדיר את הגדרות הרשת עבור הנקודה הווירטואלית. לשם כך, צור קובץ /etc/systemd/network/25-ap0.network עם התוכן הבא:

[Match]
Name=ap0

[Network]
Address=10.0.0.1/24
DHCPServer=yes

[DHCPServer]
EmitDNS=yes
DNS=10.0.0.1
EmitNTP=yes
NTP=10.0.0.1

לאחר ששירות create_ap מאתחל את הממשק הווירטואלי ap0, systemd-networkd יקצה לו באופן אוטומטי כתובת IP ותאפשר את שרת ה-DHCP.

מחרוזות EmitDNS=yes и DNS=10.0.0.1 העברת הגדרות שרת DNS להתקנים המחוברים לנקודת הגישה.

אם אתה לא מתכנן להשתמש בשרת DNS מקומי - במקרה שלי זה dnscrypt-proxy - אתה יכול להתקין DNS=10.0.0.1 в DNS=192.168.1.1איפה 192.168.1.1 - הכתובת של השער המקורי שלך. אז בקשות DNS עבור המארח והרשת המקומית שלך יעברו ללא מוצפן דרך שרתי הספק.

EmitNTP=yes и NTP=192.168.1.1 העברת הגדרות NTP.

אותו דבר לגבי הקו NTP=10.0.0.1.

התקן והגדר את שרת NTP

התקן על המערכת:

apt install ntp

ערוך את התצורה /etc/ntp.conf. ציין את הכתובות של בריכות סטנדרטיות:

#pool 0.debian.pool.ntp.org iburst
#pool 1.debian.pool.ntp.org iburst
#pool 2.debian.pool.ntp.org iburst
#pool 3.debian.pool.ntp.org iburst

הוסף כתובות של שרתים ציבוריים, למשל Google Public NTP:

server time1.google.com ibrust
server time2.google.com ibrust
server time3.google.com ibrust
server time4.google.com ibrust

ספק גישה לשרת ללקוחות ברשת שלך:

restrict 10.0.0.0 mask 255.255.255.0

אפשר שידור לרשת שלך:

broadcast 10.0.0.255

לבסוף, הוסף את הכתובות של שרתים אלה לטבלת הניתוב הסטטית. לשם כך, פתח את קובץ התצורה של הממשק האלחוטי /etc/systemd/network/25-wlp6s0.network ולהוסיף לסוף הקטע Route.

[Route]
Gateway=192.168.1.1
Destination=216.239.35.0

[Route]
Gateway=192.168.1.1
Destination=216.239.35.4

[Route]
Gateway=192.168.1.1
Destination=216.239.35.8

[Route]
Gateway=192.168.1.1
Destination=216.239.35.12

אתה יכול לגלות את הכתובות של שרתי ה-NTP שלך באמצעות כלי השירות host כדלקמן:

host time1.google.com

התקן dnscrypt-proxy, הסר מודעות והסתיר תעבורת DNS מהספק שלך

apt install dnscrypt-proxy

כדי לשרת שאילתות DNS מארח ורשת מקומית, ערוך את השקע /lib/systemd/system/dnscrypt-proxy.socket. שנה את השורות הבאות:

ListenStream=0.0.0.0:53
ListenDatagram=0.0.0.0:53

אתחול systemd:

systemctl daemon-reload

ערוך את התצורה /etc/dnscrypt-proxy/dnscrypt-proxy.toml:

server_names = ['adguard-dns']

כדי לנתב חיבורי dnscrypt-proxy דרך tun2socks, הוסף להלן:

force_tcp = true

ערוך את התצורה /etc/resolv.conf, שמודיע לשרת ה-DNS למארח.

nameserver 127.0.0.1
nameserver 192.168.1.1

השורה הראשונה מאפשרת שימוש ב-dnscrypt-proxy, השורה השנייה משתמשת בשער המקורי למקרה ששרת dnscrypt-proxy אינו זמין.

בוצע!

הפעל מחדש או הפסק להפעיל שירותי רשת:

systemctl stop networking NetworkManager NetworkManager-wait-online

והפעל מחדש את כל הדרוש:

systemctl restart systemd-networkd tun2socks create_ap dnscrypt-proxy ntp

לאחר אתחול מחדש או הפעלה מחדש, תהיה לך נקודת גישה שנייה שמנתבת את התקני המארח וה-LAN אל SOCKS.

כך נראה הפלט ip a מחשב נייד רגיל:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: tun2socks: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 500
    link/none 
    inet 172.16.1.2/24 brd 172.16.1.255 scope global tun2socks
       valid_lft forever preferred_lft forever
    inet6 fe80::122b:260:6590:1b0e/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
3: enp4s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether e8:11:32:0e:01:50 brd ff:ff:ff:ff:ff:ff
4: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 4c:ed:de:cb:cf:85 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.2/24 brd 192.168.1.255 scope global wlp6s0
       valid_lft forever preferred_lft forever
    inet6 fe80::4eed:deff:fecb:cf85/64 scope link 
       valid_lft forever preferred_lft forever
5: ap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 4c:ed:de:cb:cf:86 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 brd 10.0.0.255 scope global ap0
       valid_lft forever preferred_lft forever
    inet6 fe80::4eed:deff:fecb:cf86/64 scope link 
       valid_lft forever preferred_lft forever

כתוצאה מכך,

1. הספק רואה רק את החיבור המוצפן לשרת SOCKS שלך, מה שאומר שהם לא רואים כלום.
2. ובכל זאת הוא רואה את בקשות ה-NTP שלך, כדי למנוע זאת, הסר מסלולים סטטיים עבור שרתי NTP. עם זאת, לא בטוח ששרת SOCKS שלך מאפשר את פרוטוקול NTP.

קב זהה ב-Debain 10

אם תנסה להפעיל מחדש את שירות הרשת מהמסוף, הוא ייכשל עם שגיאה. זאת בשל העובדה שחלק ממנו בצורה של ממשק וירטואלי קשור לשירות tun2socks, כלומר נעשה בו שימוש. כדי להפעיל מחדש את שירות הרשת, תחילה עליך להפסיק את שירות tun2socks. אבל, אני חושב, אם אתה קורא עד הסוף, זו בהחלט לא בעיה עבורך!

תזכור

1. ניתוב סטטי בלינוקס - IBM
2. systemd-networkd.service - Freedesktop.org
3. Tun2socks · ambrop72/badvpn Wiki · GitHub
4. oblique/create_ap: סקריפט זה יוצר נקודת גישה NATed או מגשרת ל-WiFi.
5. dnscrypt-proxy 2 - פרוקסי DNS גמיש, עם תמיכה בפרוטוקולי DNS מוצפנים.

מקור: www.habr.com