IPIP 터널을 예로 사용한 간단한 UDP 홀 펀칭

좋은 시간!

이 글에서는 제가 어떻게 구현했는지 알려드리고 싶습니다.하나 더) Ubuntu/Debian OS를 예로 들어 UDP 홀 펀칭 기술을 사용하여 NAT 뒤에 두 대의 컴퓨터를 연결하기 위한 Bash 스크립트입니다.

연결 설정은 여러 단계로 구성됩니다.

1. 노드를 시작하고 원격 노드가 준비될 때까지 기다립니다.
2. 외부 IP 주소와 UDP 포트를 결정합니다.
3. 외부 IP 주소와 UDP 포트를 원격 호스트로 전송합니다.
4. 원격 호스트로부터 외부 IP 주소와 UDP 포트를 얻습니다.
5. IPIP 터널 구성
6. 연결 모니터링;
7. 연결이 끊어지면 IPIP 터널을 삭제하세요.

오랫동안 생각했지만 노드 간에 데이터를 교환하는 데 사용할 수 있는 것이 현재로서는 가장 간단하고 빠른 것이 Yandex.disk를 통해 작업하는 것이라고 생각합니다.

• 첫째, 사용하기 쉽습니다. 생성, 읽기, 삭제의 3가지 작업이 필요합니다. 컬을 사용하면 다음과 같습니다.
  창조하다:

  curl -s -X MKCOL --user "$usename:$password" https://webdav.yandex.ru/$folder

  읽다:

  curl -s --user "$usename:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/$folder

  삭제:

  curl -s -X DELETE --user "$usename:$password" https://webdav.yandex.ru/$folder

• 둘째, 설치가 쉽습니다.

  apt install curl

외부 IP 주소와 UDP 포트를 확인하려면 stun-client 명령을 사용하십시오.

stun stun.sipnet.ru -v -p $1 2>&1 | grep "MappedAddress"

명령으로 설치:

apt install stun-client

터널을 구성하려면 iproute2 패키지의 표준 OS 도구가 사용됩니다. 존재한다 많은 터널 이는 표준 수단(L2TPv3, GRE 등)을 사용하여 높일 수 있지만 시스템에 최소한의 추가 부하를 생성하기 때문에 IPIP를 선택했습니다. UDP를 통해 L2TPv3를 시도했는데 속도가 10배나 떨어졌기 때문에 실망했습니다. 그러나 이는 공급자나 다른 것과 관련된 다양한 제한 사항일 수 있습니다. IPIP 터널은 IP 수준에서 동작하므로 FOU 터널은 UDP 포트 수준에서 동작하는 데 사용됩니다. IPIP 터널을 구성하려면 다음이 필요합니다.

— FOU 모듈을 로드합니다:

modprobe fou

— 로컬 포트를 수신합니다.

ip fou add port $localport ipproto 4

— 터널을 생성합니다:

ip link add name fou$name type ipip remote $remoteip local $localip encap fou  encap-sport $localport encap-dport $remoteport

— 터널 인터페이스를 올립니다.

ip link set up dev fou$name

— 터널의 내부 로컬 및 내부 원격 IP 주소를 할당합니다.

ip addr add $intIP peer $peerip dev fou$name

터널 삭제:

ip link del dev fou$name

ip fou del port $localport

다음 명령을 사용하여 원격 노드 터널의 내부 IP 주소를 주기적으로 ping하여 터널 상태를 모니터링합니다.

ping -c 1 $peerip -s 0

주로 채널을 유지하려면 정기적인 ping이 필요합니다. 그렇지 않으면 터널이 유휴 상태일 때 라우터의 NAT 테이블이 지워지고 연결이 끊어질 수 있습니다.

핑이 사라지면 IPIP 터널이 삭제되고 원격 호스트가 준비될 때까지 기다립니다.

스크립트 자체:

#!/bin/bash
username="[email protected]"
password="password"
folder="vpnid"
intip="10.0.0.1"
localport=`shuf -i 10000-65000 -n 1`
cid=`shuf -i 10000-99999 -n 1`
tid=`shuf -i 10-99 -n 1`
function yaread {
        curl -s --user "$1:$2" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/$3 | sed 's/></>n</g' | grep "displayname" | sed 's/<d:displayname>//g' | sed 's/</d:displayname>//g' | grep -v $3 | grep -v $4 | sort -r
}
function yacreate {
        curl -s -X MKCOL --user "$1:$2" https://webdav.yandex.ru/$3
}
function yadelete {
        curl -s -X DELETE --user "$1:$2" https://webdav.yandex.ru/$3
}
function myipport {
        stun stun.sipnet.ru -v -p $1 2>&1 | grep "MappedAddress" | sort | uniq | awk '{print $3}' | head -n1
}
function tunnel-up {
	modprobe fou
	ip fou add port $4 ipproto 4
	ip link add name fou$7 type ipip remote $1 local $3 encap fou encap-sport $4 encap-dport $2
	ip link set up dev fou$7
	ip addr add $6 peer $5 dev fou$7
}
function tunnel-check {
	sleep 10
        pings=0
        until [[ $pings == 4 ]]; do
                if ping -c 1 $1 -s 0 &>/dev/null;
                        then    echo -n .; n=0
                        else    echo -n !; ((pings++))
                fi
		sleep 15
        done
}
function tunnel-down {
	ip link del dev fou$1
	ip fou del port $2
}
trap 'echo -e "nDisconnecting..." && yadelete $username $password $folder; tunnel-down $tunnelid $localport; echo "IPIP tunnel disconnected!"; exit 1' 1 2 3 8 9 14 15
until [[ -n $end ]]; do
    yacreate $username $password $folder
    until [[ -n $ip ]]; do
        mydate=`date +%s`
        timeout="60"
        list=`yaread $username $password $folder $cid | head -n1`
        yacreate $username $password $folder/$mydate:$cid
        for l in $list; do
                if [ `echo $l | sed 's/:/ /g' | awk {'print $1'}` -ge $(($mydate-65)) ]; then
			#echo $list
                        myipport=`myipport $localport`
                        yacreate $username $password $folder/$mydate:$cid:$myipport:$intip:$tid
                        timeout=$(( $timeout + `echo $l | sed 's/:/ /g' | awk {'print $1'}` - $mydate + 3 ))
                        ip=`echo $l | sed 's/:/ /g' | awk '{print $3}'`
                        port=`echo $l | sed 's/:/ /g' | awk '{print $4}'`
                        peerip=`echo $l | sed 's/:/ /g' | awk '{print $5}'`
			peerid=`echo $l | sed 's/:/ /g' | awk '{print $6}'`
			if [[ -n $peerid ]]; then tunnelid=$(($peerid*$tid)); fi
                fi
        done
        if ( [[ -z "$ip" ]] && [ "$timeout" -gt 0 ] ) ; then
                echo -n "!"
                sleep $timeout
        fi
    done
    localip=`ip route get $ip | head -n1 | sed 's|.*src ||' | cut -d' ' -f1`
    tunnel-up $ip $port $localip $localport $peerip $intip $tunnelid
    tunnel-check $peerip
    tunnel-down $tunnelid $localport
    yadelete $username $password $folder
    unset ip port myipport
done
exit 0

변수들 사용자 이름, 암호 и 폴더 양쪽이 동일해야 하지만 인팁 - 다릅니다(예: 10.0.0.1 및 10.0.0.2). 노드의 시간은 동기화되어야 합니다. 다음과 같이 스크립트를 실행할 수 있습니다.

nohup script.sh &

트래픽이 암호화되지 않는다는 점에서 IPIP 터널은 안전하지 않다는 점을 알려드리고 싶지만 이는 IPsec over를 사용하면 쉽게 해결할 수 있습니다. 이 기사, 나에게는 간단하고 이해하기 쉬운 것 같았습니다.

저는 이 스크립트를 사용하여 몇 주 동안 업무용 PC에 연결해 왔지만 아무런 문제도 발견하지 못했습니다. 설정하고 잊어버리는 점에서 편리합니다.

아마도 당신은 의견과 제안을 가지고 있을 것입니다. 나는 기꺼이 듣겠습니다.

감사합니다!

출처 : habr.com