🥇הפעל שרת VPN מאחורי ה-NAT של הספק

מאמר על איך הצלחתי להפעיל שרת VPN מאחורי ה-NAT של הספק הביתי שלי (ללא כתובת IP לבנה). תן לי לעשות הזמנה מיד: זה הביצועים של יישום זה תלויים ישירות בסוג ה-NAT המשמש את הספק שלך, כמו גם בנתב.
אז, הייתי צריך להתחבר מהסמארטפון אנדרואיד שלי למחשב הביתי שלי, שני המכשירים מחוברים לאינטרנט דרך NAT של ספק, בנוסף המחשב מחובר דרך נתב ביתי, שגם הוא מחובר לחיבורי NAT.
התוכנית הקלאסית באמצעות VPS/VDS מושכר עם כתובת IP לבנה, כמו גם השכרת כתובת IP לבנה מספק, לא נשקלה מכמה סיבות.
לקחת בחשבון ניסיון ממאמרים קודמים, לאחר שביצע מספר ניסויים עם STUNs ו-NATs של ספקים. החלטתי לעשות ניסוי קטן על ידי הפעלת הפקודה בנתב ביתי שמריץ קושחה של OpenWRT:

$ stun stun.sipnet.ru

קיבל את התוצאה:

גרסת לקוח STUN 0.97
ראשי: מיפוי עצמאי, מסנן עצמאי, יציאה אקראית, יסגור ראש
ערך החזרה הוא 0x000002

תרגום מילולי:
מיפוי עצמאי - מיפוי עצמאי
Independent Filter - פילטר עצמאי
יציאה אקראית - יציאה אקראית
יהיה סיכת ראש - תהיה סיכת ראש
הפעלת פקודה דומה במחשב שלי, קיבלתי:

גרסת לקוח STUN 0.97
ראשי: מיפוי עצמאי, מסנן תלוי יציאות, יציאה אקראית, יסגור ראש
ערך החזרה הוא 0x000006

מסנן תלוי יציאה - מסנן תלוי יציאה
ההבדל בתוצאות פלט הפקודה הצביע על כך שהנתב הביתי תורם "את תרומתו" לתהליך העברת מנות מהאינטרנט; הדבר התבטא בכך שבעת ביצוע הפקודה במחשב:

stun stun.sipnet.ru -p 11111 -v

קיבלתי את התוצאה:

...
MappedAddress = XX.1XX.1X4.2XX:4398
...

ברגע זה, הפעלת UDP נפתחה לזמן מה, אם ברגע זה אתה שולח בקשת UDP (לדוגמה: netcat XX.1XX.1X4.2XX 4398 -u), אז הבקשה הגיעה לנתב הביתי, שהיה אושר על ידי TCPDump שרץ עליו, אך הבקשה לא הגיעה למחשב - IPtables, כמתרגם NAT על הנתב, הפיל אותה.

אבל עצם העובדה שבקשת ה-UDP עברה דרך ה-NAT של הספק נתנה תקווה להצלחה. מכיוון שהנתב ממוקם בתחום השיפוט שלי, פתרתי את הבעיה על ידי הפניית יציאת UDP/11111 למחשב:

iptables -t nat -A PREROUTING -i eth1 -p udp -d 10.1XX.2XX.XXX --dport 11111 -j DNAT --to-destination 192.168.X.XXX

כך, הצלחתי ליזום סשן UDP ולקבל בקשות מהאינטרנט מכל כתובת IP. ברגע זה, פתחתי שרת OpenVPN (לאחר שהגדרתי אותו בעבר) מאזין ליציאת UDP/11111, ציינתי את כתובת ה-IP החיצונית והיציאה (XX.1XX.1X4.2XX:4398) בסמארטפון והתחברתי בהצלחה מהסמארטפון ל המחשב. אבל ביישום זה נוצרה בעיה: היה צורך איכשהו לשמור על סשן UDP עד שלקוח OpenVPN התחבר לשרת; לא אהבתי את האפשרות להפעיל את לקוח STUN מעת לעת - לא רציתי לבזבז את העומס על שרתי STUN.
שמתי לב גם לערך "יהיה סיכת ראש - תהיה סיכת ראש", המצב הזה

סיכת שיער מאפשרת למכונה אחת ברשת מקומית מאחורי NAT לגשת למכונה אחרת באותה רשת בכתובת החיצונית של הנתב.

כתוצאה מכך, פשוט פתרתי את הבעיה של שמירה על סשן UDP – הפעלתי את הלקוח באותו מחשב עם השרת.
זה עבד ככה:

השיקה את לקוח STUN ביציאה מקומית 11111
קיבלה תגובה עם כתובת IP חיצונית ויציאה XX.1XX.1X4.2XX:4398
שלח נתונים עם כתובת IP חיצונית ויציאה למייל (כל שירות אחר אפשרי) המוגדרים בסמארטפון
השיקה את שרת OpenVPN במחשב שמאזין ליציאת UDP/11111
הפעיל את לקוח OpenVPN במחשב המציין XX.1XX.1X4.2XX:4398 לחיבור
בכל עת הפעיל את לקוח OpenVPN בסמארטפון המציין את כתובת ה-IP והיציאה (במקרה שלי כתובת ה-IP לא השתנתה) כדי להתחבר

כך הצלחתי להתחבר למחשב מהסמארטפון שלי. יישום זה מאפשר לך לחבר כל לקוח OpenVPN.

עיסוק

יהיה עליך:

# apt install openvpn stun-client sendemail

לאחר שכתבנו כמה סקריפטים, כמה קובצי תצורה ויצרנו את האישורים הדרושים (מכיוון שהלקוח בסמארטפון עובד רק עם אישורים), קיבלנו את ההטמעה הרגילה של שרת OpenVPN.

סקריפט ראשי במחשב

# cat vpn11.sh

#!/bin/bash
until [[ -n "$iftosrv" ]]; do echo "$(date) Определяю сетевой интерфейс"; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'`; sleep 5; done
ABSOLUTE_FILENAME=`readlink -f "$0"`
DIR=`dirname "$ABSOLUTE_FILENAME"`
localport=11111
until [[ $a ]]; do
	address=`stun stun.sipnet.ru -v -p $localport 2>&1 | grep "MappedAddress" | sort | uniq | head -n 1 | sed 's/:/ /g' | awk '{print $3" "$4}'`
        ip=`echo "$address" | awk {'print $1'}`
        port=`echo "$address" | awk {'print $2'}`
	srv="openvpn --config $DIR/server.conf --port $localport --daemon"
	$srv
	echo "$(date) Сервер запущен с внешним адресом $ip:$port"
	$DIR/sendemail.sh "OpenVPN-Server" "$ip:$port"
	sleep 1
	openvpn --config $DIR/client.conf --remote $ip --port $port
	echo "$(date) Cоединение клиента с сервером разорвано"
	for i in `ps xa | grep "$srv" | grep -v grep | awk '{print $1}'`; do
		kill $i && echo "$(date) Завершен процесс сервера $i ($srv)"
		done
	echo "Жду 15 сек"
	sleep 15
	done

סקריפט לשליחת נתונים בדוא"ל:

# cat sendemail.sh

#!/bin/bash
from="От кого"
pass="Пароль"
to="Кому"
theme="$1"
message="$2"
server="smtp.yandex.ru:587"
sendEmail -o tls=yes -f "$from" -t "$to" -s "$server" -xu "$from" -xp "$pass" -u "$theme" -m "$message"

קובץ תצורת השרת:

# cat server.conf

proto udp
dev tun
ca      /home/vpn11-srv/ca.crt
cert    /home/vpn11-srv/server.crt
key     /home/vpn11-srv/server.key
dh      /home/vpn11-srv/dh2048.pem
server 10.2.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
tls-server
tls-auth /home/vpn11-srv/ta.key 0
tls-timeout 60
auth    SHA256
cipher  AES-256-CBC
client-to-client
keepalive 10 30
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-server.log
verb 3
mute 20

קובץ תצורת הלקוח:

# cat client.conf

client
dev tun
proto udp
ca      "/home/vpn11-srv/ca.crt"
cert    "/home/vpn11-srv/client1.crt"
key     "/home/vpn11-srv/client1.key"
tls-client
tls-auth "/home/vpn11-srv/ta.key" 1
auth SHA256
cipher AES-256-CBC
auth-nocache
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-clent.log
verb 3
mute 20
ping 10
ping-exit 30

אישורים נוצרו באמצעות מאמר זה.
הפעלת הסקריפט:

# ./vpn11.sh

על ידי הפיכתו לניתן להרצה תחילה

# chmod +x vpn11.sh

בצד הסמארטפון

על ידי התקנת האפליקציה OpenVPN עבור אנדרואידלאחר העתקת קובץ התצורה, האישורים והגדרתו, זה התברר כך:
אני בודק את המייל שלי בסמארטפון
אני עורך את מספר היציאה בהגדרות
אני מפעיל את הלקוח ומתחבר

בזמן כתיבת מאמר זה, העברתי את התצורה מהמחשב שלי ל-Raspberry Pi 3 וניסיתי להריץ את כל העניין על מודם LTE, אבל זה לא עבד! תוצאת פקודה

# stun stun.ekiga.net -p 11111

גרסת לקוח STUN 0.97
ראשי: מיפוי עצמאי, מסנן תלוי יציאות, יציאה אקראית, יסגור ראש
ערך החזרה הוא 0x000006

значение מסנן תלוי יציאה לא אפשר למערכת להתחיל.
אבל הספק הביתי אפשר למערכת להתחיל ב-Raspberry Pi 3 ללא בעיות.
בשילוב עם מצלמת אינטרנט, עם VLC עבור
יצירת זרם RTSP ממצלמת אינטרנט

$ cvlc v4l2:///dev/video0:chroma=h264 :input-slave=alsa://hw:1,0 --sout '#transcode{vcodec=x264,venc=x264{preset=ultrafast,profile=baseline,level=31},vb=2048,fps=12,scale=1,acodec=mpga,ab=128,channels=2,samplerate=44100,scodec=none}:rtp{sdp=rtsp://10.2.0.1:8554/}' --no-sout-all --sout-keep

ו-VLC בסמארטפון לצפייה (זרם rtsp://10.2.0.1:8554/), התברר שזו מערכת מעקב וידאו מרחוק טובה, ניתן גם להתקין Samba, לנתב תעבורה דרך VPN, לשלוט מרחוק במחשב ועוד הרבה יותר...

פלט

כפי שהראה בפועל, כדי לארגן שרת VPN, אתה יכול להסתדר בלי כתובת IP חיצונית שעבורה אתה צריך לשלם, בדיוק כמו עבור VPS/VDS שכור. אבל הכל תלוי בספק. כמובן, רציתי לקבל מידע נוסף על הספקים והסוגים השונים של NATs בשימוש, אבל זו רק ההתחלה...
תודה לך!

מקור: www.habr.com

הפעלת שרת VPN מאחורי ה-NAT של הספק

עיסוק

סקריפט ראשי במחשב

בצד הסמארטפון

פלט

הוספת תגובה ביטול תגובה