🥇Debian 10 を搭載したラップトップ上の SOCKS でルーターを構築する

丸 XNUMX 年 (または XNUMX 年) もの間、この記事の公開を延期したのは主な理由です。Debian を使用したごく普通のラップトップから SOCKS でルーターを作成するプロセスを説明した XNUMX つの記事をすでに公開していました。

しかし、それ以来、Debian の安定版が Buster に更新され、かなりの数の人が私に個人的にセットアップの支援を求めて連絡をくれました。つまり、私の以前の記事がすべてを網羅しているわけではありません。そうですね、私自身は、そこに概説されている方法では、SOCKS でのルーティング用に Linux をセットアップする複雑さのすべてを完全に明らかにすることはできないと推測していました。さらに、これらは Debian Stretch 用に書かれており、Buster にアップグレードした後、systemd init システムでサービスの相互作用に小さな変化があることに気づきました。また、記事自体では systemd-networkd を使用しませんでしたが、systemd-networkd は複雑なネットワーク構成に最適です。

上記の変更に加えて、次のサービスが構成に追加されました。 hostapd - アクセスポイント仮想化サービス、 ntp ローカルネットワーククライアントの時刻を同期するため、 dnscrypt-プロキシ DNS 経由で接続を暗号化し、ローカルネットワーククライアント上の広告を無効にするため、また、前述したように、 systemd-networkd ネットワークインターフェースの設定に使用します。

以下は、そのようなルーターの内部構造の簡単なブロック図です。

そこで、この一連の記事の目標を思い出してください。

すべての OS 接続を SOCKS にルーティングし、ラップトップと同じネットワーク上のすべてのデバイスからの接続をルーティングします。
私の場合、ラップトップは完全にモバイルのままでなければなりません。つまり、物理的な場所に縛られず、デスクトップ環境を使用する機会を与えることです。
最後の点は、内蔵ワイヤレスインターフェイスのみを介した接続とルーティングを意味します。
もちろん、包括的なガイドの作成と、私のささやかな知識の限りの関連テクノロジーの分析も必要です。

この記事で説明する内容は次のとおりです。

git — プロジェクトリポジトリをダウンロードする タン2ソックスTCP トラフィックを SOCKS にルーティングするために必要です。 作成_ap — を使用して仮想アクセスポイントのセットアップを自動化するスクリプト hostapd.
タン2ソックス — systemd サービスをシステムに構築してインストールします。
systemd-networkd — ワイヤレスおよび仮想インターフェイス、静的ルーティングテーブル、パケットリダイレクトを構成します。
作成_ap — systemd サービスをシステムにインストールし、仮想アクセスポイントを構成して起動します。

オプションの手順:

ntp — 仮想アクセスポイントクライアントの時刻を同期するためにサーバーをインストールして構成します。
dnscrypt-プロキシ — DNS リクエストを暗号化して SOCKS にルーティングし、ローカルネットワークの広告ドメインを無効にします。

なんでこれ？

これは、ローカルネットワーク上で TCP 接続を保護する方法の XNUMX つです。主な利点は、元のゲートウェイを介して静的ルートが構築されない限り、すべての接続が SOCKS で行われることです。これは、ローカルネットワーク上の個々のプログラムまたはクライアントのいずれかに対して SOCKS サーバー設定を指定する必要がないことを意味します。特に指定しない限り、SOCKS がデフォルトゲートウェイであるため、それらはすべてデフォルトで SOCKS に送られます。

基本的に、XNUMX 番目の暗号化ルーターを元のルーターの前にラップトップとして追加し、ラップトップの既に暗号化された SOCKS リクエストに元のルーターのインターネット接続を使用します。これにより、LAN クライアントからのリクエストがルーティングされ、暗号化されます。

プロバイダーの観点から見ると、私たちは暗号化されたトラフィックで XNUMX つのサーバーに常に接続されています。

したがって、すべてのデバイスがラップトップの仮想アクセスポイントに接続されます。

システムに tun2socks をインストールします

マシンにインターネットが接続されている限り、必要なツールをすべてダウンロードしてください。

apt update

apt install git make cmake

badvpn パッケージをダウンロードする

git clone https://github.com/ambrop72/badvpn

システム上にフォルダーが表示されます badvpn。ビルド用に別のフォルダーを作成する

mkdir badvpn-build

そこに行ってください

cd badvpn-build

収集 tun2socks

cmake ../badvpn -DBUILD_NOTHING_BY_DEFAULT=1 -DBUILD_TUN2SOCKS=1

システムにインストールする

make install

パラメーター -DBUILD_NOTHING_BY_DEFAULT=1 badvpn リポジトリのすべてのコンポーネントのビルドを無効にします。
- DBUILD_TUN2SOCKS=1 アセンブリにコンポーネントが含まれています タン2ソックス.
make install — tun2socks バイナリをシステムにインストールします /usr/local/bin/badvpn-tun2socks.

systemd に tun2socks サービスをインストールします

ファイルを作成する /etc/systemd/system/tun2socks.service 次の内容で：

[Unit]
Description=SOCKS TCP Relay

[Service]
ExecStart=/usr/local/bin/badvpn-tun2socks --tundev tun2socks --netif-ipaddr 172.16.1.1 --netif-netmask 255.255.255.0 --socks-server-addr 127.0.0.1:9050

[Install]
WantedBy=multi-user.target

--tundev - systemd-networkd で初期化する仮想インターフェイスの名前を取得します。
--netif-ipaddr — 仮想インターフェイスが接続されている tun2socks 「ルーター」のネットワークアドレス。分けたほうがいいよ予約済みサブネット.
--socks-server-addr - ソケットを受け入れます (адрес:порт SOCKS サーバー)。

SOCKS サーバーが認証を必要とする場合は、パラメータを指定できます。 --username и --password.

次にサービスを登録します

systemctl daemon-reload

そしてそれをオンにします

systemctl enable tun2socks

サービスを開始する前に、仮想ネットワークインターフェイスを提供します。

systemd-networkd への切り替え

オンにする systemd-networkd:

systemctl enable systemd-networkd

現在のネットワークサービスを無効にします。

systemctl disable networking NetworkManager NetworkManager-wait-online

NetworkManager-待機-オンライン systemd がネットワークの存在に依存する他のサービスの開始を続行する前に、ネットワーク接続が機能するまで待機するサービスです。 systemd-networkd アナログに切り替えるため、これを無効にします。

すぐに有効にしてみましょう:

systemctl enable systemd-networkd-wait-online

ワイヤレスネットワークインターフェースを設定する

ワイヤレスネットワークインターフェイス用の systemd-networkd 構成ファイルを作成する /etc/systemd/network/25-wlp6s0.network.

[Match]
Name=wlp6s0

[Network]
Address=192.168.1.2/24
IPForward=yes

名前はワイヤレスインターフェイスの名前です。コマンドで特定する ip a.
IPフォワード - ネットワークインターフェイスでのパケットリダイレクトを有効にするディレクティブ。
住所無線インターフェイスに IP アドレスを割り当てる責任があります。同等のディレクティブがあるため、静的に指定します。 DHCP=yes, systemd-networkd はシステム上にデフォルトゲートウェイを作成します。そうすれば、すべてのトラフィックは、別のサブネット上の将来の仮想インターフェイスを経由せずに、元のゲートウェイを経由するようになります。現在のデフォルトゲートウェイは次のコマンドで確認できます。 ip r

リモート SOCKS サーバーの静的ルートを作成する

SOCKS サーバーがローカルではなくリモートにある場合は、そのサーバー用の静的ルートを作成する必要があります。これを行うには、セクションを追加します Route 次の内容で作成したワイヤレスインターフェイス構成ファイルの末尾に追加します。

[Route]
Gateway=192.168.1.1
Destination=0.0.0.0

Gateway — これはデフォルトゲートウェイまたは元のアクセスポイントのアドレスです。
Destination — SOCKS サーバーのアドレス。

systemd-networkd の wpa_supplicant を構成する

systemd-networkd は、wpa_supplicant を使用して安全なアクセスポイントに接続します。ワイヤレスインターフェイスを「起動」しようとすると、systemd-networkd がサービスを開始します wpa_supplicant@имяどこ名前無線インターフェースの名前です。この時点までに systemd-networkd を使用したことがない場合は、このサービスがシステムに存在しない可能性があります。

したがって、次のコマンドで作成します。

systemctl enable wpa_supplicant@wlp6s0

使用しました wlp6s0 ワイヤレスインターフェースの名前として。お名前は違うかもしれません。コマンドで認識できる ip l.

これで作成されたサービスは wpa_supplicant@wlp6s0 ワイヤレスインターフェイスが「起動」されると起動されますが、ファイル内のアクセスポイントの SSID とパスワードの設定が検索されます。 /etc/wpa_supplicant/wpa_supplicant-wlp6s0。したがって、ユーティリティを使用して作成する必要があります wpa_passphrase.

これを行うには、次のコマンドを実行します。

wpa_passphrase SSID password>/etc/wpa_supplicant/wpa_supplicant-wlp6s0.conf

どこ SSID はアクセスポイントの名前、password はパスワード、 wlp6s0 — ワイヤレスインターフェイスの名前。

tun2socks の仮想インターフェースを初期化する

システム内の新しい仮想インターフェイスを初期化するファイルを作成します。/etc/systemd/network/25-tun2socks.netdev

[NetDev]
Name=tun2socks
Kind=tun

名前これは、systemd-networkd が将来の仮想インターフェイスの初期化時に割り当てる名前です。
種類仮想インターフェイスの一種です。 tun2socks サービスの名前から、次のようなインターフェイスを使用していることが推測できます。 tun.
netdev ファイルの拡張子は systemd-networkd 仮想ネットワークインターフェイスを初期化するために使用します。これらのインターフェイスのアドレスとその他のネットワーク設定は、次のように指定されます。 。通信網-ファイル。

このようなファイルを作成します /etc/systemd/network/25-tun2socks.network 次の内容で：

[Match]
Name=tun2socks

[Network]
Address=172.16.1.2/24
Gateway=172.16.1.1

Name — で指定した仮想インターフェイスの名前 netdev-ファイル。
Address — 仮想インターフェイスに割り当てられる IP アドレス。 tun2socks サービスで指定したアドレスと同じネットワーク上にある必要があります
Gateway — 「ルーター」のIPアドレス タン2ソックスこれは、systemd サービスの作成時に指定したものです。

したがって、インターフェースは タン2ソックス 住所がある 172.16.1.2、そしてサービス タン2ソックス - 172.16.1.1つまり、仮想インターフェイスからのすべての接続のゲートウェイです。

仮想アクセスポイントを設定する

依存関係をインストールします。

apt install util-linux procps hostapd iw haveged

リポジトリをダウンロードする 作成_ap あなたの車へ：

git clone https://github.com/oblique/create_ap

マシン上のリポジトリフォルダーに移動します。

cd create_ap

システムにインストールします。

make install

設定がシステムに表示されます /etc/create_ap.conf。主な編集オプションは次のとおりです。

GATEWAY=10.0.0.1 — 別の予約済みサブネットにする方が良いでしょう。
NO_DNS=1 - このパラメータは systemd-networkd 仮想インターフェイスによって管理されるため、無効にします。
NO_DNSMASQ=1 - 同じ理由でオフにします。
WIFI_IFACE=wlp6s0 — ラップトップのワイヤレスインターフェイス。
INTERNET_IFACE=tun2socks - tun2socks 用に作成された仮想インターフェイス。
SSID=hostapd — 仮想アクセスポイントの名前。
PASSPHRASE=12345678 - パスワード。

サービスを有効にすることを忘れないでください。

systemctl enable create_ap

systemd-networkd で DHCP サーバーを有効にする

サービス create_ap システム内の仮想インターフェイスを初期化します ap0。理論的には、dnsmasq はこのインターフェイスでハングしますが、systemd-networkd に DHCP サーバーが組み込まれている場合、なぜ追加のサービスをインストールするのでしょうか?

これを有効にするには、仮想ポイントのネットワーク設定を定義します。これを行うには、ファイルを作成します /etc/systemd/network/25-ap0.network 次の内容で：

[Match]
Name=ap0

[Network]
Address=10.0.0.1/24
DHCPServer=yes

[DHCPServer]
EmitDNS=yes
DNS=10.0.0.1
EmitNTP=yes
NTP=10.0.0.1

create_ap サービスが仮想インターフェイスを初期化した後 ap0, systemd-networkd は自動的に IP アドレスを割り当て、DHCP サーバーを有効にします。

文字列 EmitDNS=yes и DNS=10.0.0.1 DNS サーバーの設定をアクセスポイントに接続されているデバイスに送信します。

ローカル DNS サーバーを使用する予定がない場合 (私の場合は dnscrypt-proxy です)、インストールできます。 DNS=10.0.0.1 в DNS=192.168.1.1どこ 192.168.1.1 — 元のゲートウェイのアドレス。そうすれば、ホストとローカルネットワークに対する DNS リクエストは暗号化されずにプロバイダーのサーバーを通過します。

EmitNTP=yes и NTP=192.168.1.1 NTP設定を転送します。

ラインも同様です NTP=10.0.0.1.

NTPサーバーのインストールと構成

システムにインストールします。

apt install ntp

構成を編集する /etc/ntp.conf。標準プールのアドレスをコメントアウトします。

#pool 0.debian.pool.ntp.org iburst
#pool 1.debian.pool.ntp.org iburst
#pool 2.debian.pool.ntp.org iburst
#pool 3.debian.pool.ntp.org iburst

パブリックサーバーアドレス (Google Public NTP など) を追加します。

server time1.google.com ibrust
server time2.google.com ibrust
server time3.google.com ibrust
server time4.google.com ibrust

ネットワーク上のクライアントにサーバーへのアクセスを提供します。

restrict 10.0.0.0 mask 255.255.255.0

ネットワークへのブロードキャストを有効にします。

broadcast 10.0.0.255

最後に、これらのサーバーのアドレスを静的ルーティングテーブルに追加します。これを行うには、ワイヤレスインターフェイス構成ファイルを開きます。 /etc/systemd/network/25-wlp6s0.network セクションの最後に追加します Route.

[Route]
Gateway=192.168.1.1
Destination=216.239.35.0

[Route]
Gateway=192.168.1.1
Destination=216.239.35.4

[Route]
Gateway=192.168.1.1
Destination=216.239.35.8

[Route]
Gateway=192.168.1.1
Destination=216.239.35.12

ユーティリティを使用して NTP サーバーのアドレスを確認できます。 host 次のようにします。

host time1.google.com

dnscrypt-proxy をインストールし、広告を削除し、プロバイダーからの DNS トラフィックを非表示にします

apt install dnscrypt-proxy

ホストおよびローカルネットワークの DNS クエリを処理するには、ソケットを編集します /lib/systemd/system/dnscrypt-proxy.socket。次の行を変更します。

ListenStream=0.0.0.0:53
ListenDatagram=0.0.0.0:53

再起動 systemd:

systemctl daemon-reload

構成を編集する /etc/dnscrypt-proxy/dnscrypt-proxy.toml:

server_names = ['adguard-dns']

dnscrypt-proxy 接続を tun2socks 経由でルーティングするには、以下を追加します。

force_tcp = true

構成を編集する /etc/resolv.confこれにより、DNS サーバーがホストに通知されます。

nameserver 127.0.0.1
nameserver 192.168.1.1

最初の行では dnscrypt-proxy の使用を有効にし、XNUMX 行目では dnscrypt-proxy サーバーが利用できない場合に備えて元のゲートウェイを使用します。

完了！

再起動するか、実行中のネットワークサービスを停止します。

systemctl stop networking NetworkManager NetworkManager-wait-online

そして、必要なものをすべて再起動します。

systemctl restart systemd-networkd tun2socks create_ap dnscrypt-proxy ntp

再起動または再起動後、ホストと LAN デバイスを SOCKS にルーティングする XNUMX 番目のアクセスポイントが作成されます。

出力は次のようになります ip a 通常のラップトップ:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: tun2socks: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 500
    link/none 
    inet 172.16.1.2/24 brd 172.16.1.255 scope global tun2socks
       valid_lft forever preferred_lft forever
    inet6 fe80::122b:260:6590:1b0e/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
3: enp4s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether e8:11:32:0e:01:50 brd ff:ff:ff:ff:ff:ff
4: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 4c:ed:de:cb:cf:85 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.2/24 brd 192.168.1.255 scope global wlp6s0
       valid_lft forever preferred_lft forever
    inet6 fe80::4eed:deff:fecb:cf85/64 scope link 
       valid_lft forever preferred_lft forever
5: ap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 4c:ed:de:cb:cf:86 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 brd 10.0.0.255 scope global ap0
       valid_lft forever preferred_lft forever
    inet6 fe80::4eed:deff:fecb:cf86/64 scope link 
       valid_lft forever preferred_lft forever

結果として、

プロバイダーは SOCKS サーバーへの暗号化された接続のみを認識します。つまり、何も認識しません。
それでも、NTP リクエストは認識されるため、これを防ぐには、NTP サーバーの静的ルートを削除します。ただし、SOCKS サーバーが NTP プロトコルを許可しているかどうかはわかりません。

Debain 10 で松葉杖が発見される

コンソールからネットワークサービスを再起動しようとすると、エラーが発生して失敗します。これは、その一部が仮想インターフェイスの形式で tun2socks サービスに関連付けられている、つまり使用されているという事実によるものです。ネットワークサービスを再起動するには、まず tun2socks サービスを停止する必要があります。でも、最後まで読んでいただければ、決して問題ないと思います！

リファレンス

出所： habr.com