Debian 10을 사용하여 랩톱에서 SOCKS에 라우터 구축

XNUMX년(또는 XNUMX년) 동안 나는 주된 이유로 이 기사 게시를 연기했습니다. 나는 이미 데비안이 있는 매우 일반적인 랩톱에서 SOCKS에 라우터를 만드는 프로세스를 설명하는 두 개의 기사를 게시했습니다.

그러나 그 이후 데비안의 안정 버전이 Buster로 업데이트되었고, 많은 사람들이 나에게 개인적으로 연락하여 설정에 대한 도움을 요청했는데, 이는 나의 이전 기사가 완전하지 않다는 것을 의미합니다. 글쎄, 나는 그들에 설명된 방법이 SOCKS에서 라우팅을 위해 Linux를 설정하는 모든 복잡성을 완전히 드러내지 않는다고 추측했습니다. 또한 Debian Stretch용으로 작성되었으며 Buster로 업그레이드한 후 systemd init 시스템에서 서비스 상호 작용에 작은 변화가 있음을 발견했습니다. 그리고 기사 자체에서는 systemd-networkd를 사용하지 않았지만 복잡한 네트워크 구성에 가장 적합합니다.

위의 변경 사항 외에도 다음 서비스가 내 구성에 추가되었습니다. hostapd - 액세스 포인트 가상화를 위한 서비스, ntp 로컬 네트워크 클라이언트의 시간을 동기화하고, dnscrypt-프록시 DNS를 통한 연결을 암호화하고 로컬 네트워크 클라이언트에 대한 광고를 비활성화하며, 앞서 언급한 것처럼 시스템 네트워크 네트워크 인터페이스를 구성합니다.

다음은 그러한 라우터의 내부 구조에 대한 간단한 블록 다이어그램입니다.

따라서 이 기사 시리즈의 목표가 무엇인지 상기시켜 드리겠습니다.

1. 모든 OS 연결을 SOCKS로 라우팅하고 노트북과 동일한 네트워크에 있는 모든 장치의 연결을 라우팅합니다.
2. 제 경우에는 노트북이 완전히 이동 가능한 상태로 유지되어야 합니다. 즉, 물리적인 위치에 얽매이지 않고 데스크톱 환경을 사용할 수 있는 기회를 주기 위함이다.
3. 마지막 요점은 내장된 무선 인터페이스를 통해서만 연결 및 라우팅을 의미합니다.
4. 물론, 포괄적인 가이드를 작성하고 제가 아는 한도 내에서 관련 기술을 분석했습니다.

이 기사에서 다룰 내용은 다음과 같습니다.

1. 자식 — 프로젝트 저장소 다운로드 tun2socksTCP 트래픽을 SOCKS로 라우팅하는 데 필요합니다. create_ap — 다음을 사용하여 가상 액세스 포인트 설정을 자동화하는 스크립트 hostapd.
2. tun2socks — 시스템에 systemd 서비스를 빌드하고 설치합니다.
3. 시스템 네트워크 — 무선 및 가상 인터페이스, 정적 라우팅 테이블 및 패킷 리디렉션을 구성합니다.
4. create_ap — 시스템에 systemd 서비스를 설치하고 가상 액세스 포인트를 구성 및 실행합니다.

선택적 단계:

• ntp — 가상 액세스 포인트 클라이언트의 시간을 동기화하도록 서버를 설치하고 구성합니다.
• dnscrypt-프록시 — DNS 요청을 암호화하여 SOCKS로 라우팅하고 로컬 네트워크에 대한 광고 도메인을 비활성화합니다.

왜이 모든거야?

이는 로컬 네트워크에서 TCP 연결을 보호하는 방법 중 하나입니다. 가장 큰 장점은 원래 게이트웨이를 통해 고정 경로가 구축되지 않는 한 모든 연결이 SOCKS에서 이루어진다는 것입니다. 이는 개별 프로그램이나 로컬 네트워크의 클라이언트에 대해 SOCKS 서버 설정을 지정할 필요가 없음을 의미합니다. 별도로 지정하지 않는 한 기본 게이트웨이이기 때문에 모두 기본적으로 SOCKS로 이동합니다.

기본적으로 두 번째 암호화 라우터를 원래 라우터 앞에 랩톱으로 추가하고 랩톱의 이미 암호화된 SOCKS 요청에 대해 원래 라우터의 인터넷 연결을 사용하여 LAN 클라이언트의 요청을 라우팅하고 암호화합니다.

공급자의 관점에서 볼 때 우리는 암호화된 트래픽을 통해 하나의 서버에 지속적으로 연결되어 있습니다.

따라서 모든 장치는 노트북의 가상 액세스 포인트에 연결됩니다.

시스템에 tun2socks 설치

컴퓨터에 인터넷이 연결되어 있으면 필요한 모든 도구를 다운로드하세요.

apt update

apt install git make cmake

BadVPN 패키지 다운로드

git clone https://github.com/ambrop72/badvpn

시스템에 폴더가 나타납니다 badvpn. 빌드를 위한 별도의 폴더 생성

mkdir badvpn-build

그것으로 이동

cd badvpn-build

수집 tun2socks

cmake ../badvpn -DBUILD_NOTHING_BY_DEFAULT=1 -DBUILD_TUN2SOCKS=1

시스템에 설치

make install

• 매개 변수 -DBUILD_NOTHING_BY_DEFAULT=1 badvpn 저장소의 모든 구성 요소 빌드를 비활성화합니다.
• -DBUILD_TUN2SOCKS=1 어셈블리에 컴포넌트가 포함되어 있습니다. tun2socks.
• make install — 시스템에 tun2socks 바이너리를 설치합니다. /usr/local/bin/badvpn-tun2socks.

systemd에 tun2socks 서비스 설치

파일 만들기 /etc/systemd/system/tun2socks.service 다음 내용으로:

[Unit]
Description=SOCKS TCP Relay

[Service]
ExecStart=/usr/local/bin/badvpn-tun2socks --tundev tun2socks --netif-ipaddr 172.16.1.1 --netif-netmask 255.255.255.0 --socks-server-addr 127.0.0.1:9050

[Install]
WantedBy=multi-user.target

• --tundev - systemd-networkd로 초기화하는 가상 인터페이스의 이름을 사용합니다.
• --netif-ipaddr — 가상 인터페이스가 연결된 tun2socks "라우터"의 네트워크 주소입니다. 따로 만들어 두는 게 좋을 것 같아요 예약된 서브넷.
• --socks-server-addr - 소켓을 허용합니다(адрес:порт SOCKS 서버).

SOCKS 서버에 인증이 필요한 경우 매개변수를 지정할 수 있습니다. --username и --password.

다음으로 서비스를 등록하세요.

systemctl daemon-reload

그리고 켜세요

systemctl enable tun2socks

서비스를 시작하기 전에 가상 네트워크 인터페이스를 제공합니다.

systemd-networkd로 전환

켜 systemd-networkd:

systemctl enable systemd-networkd

현재 네트워크 서비스를 비활성화합니다.

systemctl disable networking NetworkManager NetworkManager-wait-online

• NetworkManager-온라인 대기 systemd가 네트워크 존재에 의존하는 다른 서비스를 계속 시작하기 전에 작동 중인 네트워크 연결을 기다리는 서비스입니다. 시스템 네트워크 아날로그로 전환할 때 이를 비활성화합니다.

즉시 활성화해 보겠습니다.

systemctl enable systemd-networkd-wait-online

무선 네트워크 인터페이스 설정

무선 네트워크 인터페이스에 대한 systemd-networkd 구성 파일을 만듭니다. /etc/systemd/network/25-wlp6s0.network.

[Match]
Name=wlp6s0

[Network]
Address=192.168.1.2/24
IPForward=yes

• 성함 무선 인터페이스의 이름입니다. 명령으로 식별하십시오. ip a.
• IP 전달 - 네트워크 인터페이스에서 패킷 리디렉션을 활성화하는 지시문입니다.
• 주소 무선 인터페이스에 IP 주소를 할당하는 역할을 담당합니다. 동등한 지시어를 사용하기 때문에 정적으로 지정합니다. DHCP=yes, systemd-networkd는 시스템에 기본 게이트웨이를 생성합니다. 그러면 모든 트래픽이 다른 서브넷의 향후 가상 인터페이스를 통하지 않고 원래 게이트웨이를 통과하게 됩니다. 다음 명령을 사용하여 현재 기본 게이트웨이를 확인할 수 있습니다. ip r

원격 SOCKS 서버에 대한 고정 경로 생성

SOCKS 서버가 로컬이 아니라 원격인 경우 해당 서버에 대한 고정 경로를 생성해야 합니다. 이렇게 하려면 섹션을 추가하세요. Route 다음 내용으로 생성한 무선 인터페이스 구성 파일의 끝에:

[Route]
Gateway=192.168.1.1
Destination=0.0.0.0

• Gateway — 이는 기본 게이트웨이 또는 원래 액세스 포인트의 주소입니다.
• Destination — SOCKS 서버 주소.

systemd-networkd에 대해 wpa_supplicant 구성

systemd-networkd는 wpa_supplicant를 사용하여 보안 액세스 포인트에 연결합니다. 무선 인터페이스를 "상승"하려고 하면 systemd-networkd가 서비스를 시작합니다. wpa_supplicant@имя어디에서 이름 무선 인터페이스의 이름입니다. 이 시점 이전에 systemd-networkd를 사용하지 않았다면 이 서비스가 시스템에 없을 수 있습니다.

따라서 다음 명령을 사용하여 생성하십시오.

systemctl enable wpa_supplicant@wlp6s0

나는 사용했다 wlp6s0 무선 인터페이스의 이름입니다. 귀하의 이름은 다를 수 있습니다. 명령으로 인식할 수 있습니다. ip l.

이제 생성된 서비스 wpa_supplicant@wlp6s0 무선 인터페이스가 "상승"되면 시작되지만, 차례로 파일에서 액세스 포인트의 SSID 및 비밀번호 설정을 찾습니다. /etc/wpa_supplicant/wpa_supplicant-wlp6s0. 따라서 유틸리티를 사용하여 생성해야 합니다. wpa_passphrase.

이렇게 하려면 다음 명령을 실행하세요.

wpa_passphrase SSID password>/etc/wpa_supplicant/wpa_supplicant-wlp6s0.conf

어디에서 SSID 는 액세스 포인트의 이름이고, 비밀번호는 비밀번호입니다. wlp6s0 — 무선 인터페이스의 이름.

tun2socks에 대한 가상 인터페이스 초기화

시스템에서 새 가상 인터페이스를 초기화하는 파일을 만듭니다./etc/systemd/network/25-tun2socks.netdev

[NetDev]
Name=tun2socks
Kind=tun

• 성함 systemd-networkd가 초기화될 때 향후 가상 인터페이스에 할당할 이름입니다.
• 종류 가상 인터페이스의 일종이다. tun2socks 서비스의 이름을 보면 다음과 같은 인터페이스를 사용한다는 것을 짐작할 수 있습니다. tun.
• netdev 파일의 확장자는 다음과 같습니다. systemd-networkd 가상 네트워크 인터페이스를 초기화하는 데 사용됩니다. 이러한 인터페이스의 주소 및 기타 네트워크 설정은 다음 위치에 지정됩니다. .회로망-파일.

이런 파일을 생성하세요 /etc/systemd/network/25-tun2socks.network 다음 내용으로:

[Match]
Name=tun2socks

[Network]
Address=172.16.1.2/24
Gateway=172.16.1.1

• Name — 지정한 가상 인터페이스의 이름 netdev-파일.
• Address — 가상 인터페이스에 할당될 IP 주소입니다. tun2socks 서비스에 지정한 주소와 동일한 네트워크에 있어야 합니다.
• Gateway — "라우터"의 IP 주소 tun2socks, systemd 서비스를 생성할 때 지정한 것입니다.

그래서 인터페이스 tun2socks 주소가 있어요 172.16.1.2, 그리고 서비스 tun2socks - 172.16.1.1즉, 가상 인터페이스의 모든 연결에 대한 게이트웨이입니다.

가상 액세스 포인트 설정

종속성을 설치합니다.

apt install util-linux procps hostapd iw haveged

저장소 다운로드 create_ap 당신의 차에:

git clone https://github.com/oblique/create_ap

컴퓨터의 저장소 폴더로 이동합니다.

cd create_ap

시스템에 설치:

make install

시스템에 구성이 나타납니다 /etc/create_ap.conf. 주요 편집 옵션은 다음과 같습니다.

• GATEWAY=10.0.0.1 — 별도의 예약된 서브넷으로 만드는 것이 좋습니다.
• NO_DNS=1 - 비활성화합니다. 이 매개변수는 systemd-networkd 가상 인터페이스에 의해 관리되기 때문입니다.
• NO_DNSMASQ=1 - 같은 이유로 꺼주세요.
• WIFI_IFACE=wlp6s0 — 노트북 무선 인터페이스.
• INTERNET_IFACE=tun2socks - tun2socks용으로 생성된 가상 인터페이스입니다.
• SSID=hostapd — 가상 액세스 포인트의 이름.
• PASSPHRASE=12345678 - 비밀번호.

서비스를 활성화하는 것을 잊지 마세요:

systemctl enable create_ap

systemd-networkd에서 DHCP 서버 활성화

서비스 create_ap 시스템에서 가상 인터페이스를 초기화합니다. ap0. 이론적으로 dnsmasq는 이 인터페이스에서 정지되지만 systemd-networkd에 내장 DHCP 서버가 포함되어 있으면 추가 서비스를 설치하는 이유는 무엇입니까?

이를 활성화하기 위해 가상 포인트에 대한 네트워크 설정을 정의하겠습니다. 이렇게 하려면 파일을 만드세요. /etc/systemd/network/25-ap0.network 다음 내용으로:

[Match]
Name=ap0

[Network]
Address=10.0.0.1/24
DHCPServer=yes

[DHCPServer]
EmitDNS=yes
DNS=10.0.0.1
EmitNTP=yes
NTP=10.0.0.1

create_ap 서비스가 가상 인터페이스를 초기화한 후 ap0, systemd-networkd는 자동으로 IP 주소를 할당하고 DHCP 서버를 활성화합니다.

라인 EmitDNS=yes и DNS=10.0.0.1 액세스 포인트에 연결된 장치에 DNS 서버 설정을 전송합니다.

로컬 DNS 서버를 사용할 계획이 없다면(제 경우에는 dnscrypt-proxy입니다) 설치할 수 있습니다 DNS=10.0.0.1 в DNS=192.168.1.1어디에서 192.168.1.1 — 원래 게이트웨이의 주소. 그러면 호스트 및 로컬 네트워크에 대한 DNS 요청이 공급자의 서버를 통해 암호화되지 않은 상태로 진행됩니다.

EmitNTP=yes и NTP=192.168.1.1 NTP 설정을 전송합니다.

라인도 마찬가지 NTP=10.0.0.1.

NTP 서버 설치 및 구성

시스템에 설치:

apt install ntp

구성 편집 /etc/ntp.conf. 표준 풀의 주소를 주석 처리합니다.

#pool 0.debian.pool.ntp.org iburst
#pool 1.debian.pool.ntp.org iburst
#pool 2.debian.pool.ntp.org iburst
#pool 3.debian.pool.ntp.org iburst

Google Public NTP와 같은 공개 서버 주소를 추가합니다.

server time1.google.com ibrust
server time2.google.com ibrust
server time3.google.com ibrust
server time4.google.com ibrust

네트워크의 클라이언트에게 서버에 대한 액세스를 제공합니다.

restrict 10.0.0.0 mask 255.255.255.0

네트워크에 브로드캐스트를 활성화합니다.

broadcast 10.0.0.255

마지막으로 이러한 서버의 주소를 정적 라우팅 테이블에 추가합니다. 이렇게 하려면 무선 인터페이스 구성 파일을 엽니다. /etc/systemd/network/25-wlp6s0.network 섹션 끝에 추가 Route.

[Route]
Gateway=192.168.1.1
Destination=216.239.35.0

[Route]
Gateway=192.168.1.1
Destination=216.239.35.4

[Route]
Gateway=192.168.1.1
Destination=216.239.35.8

[Route]
Gateway=192.168.1.1
Destination=216.239.35.12

유틸리티를 사용하여 NTP 서버의 주소를 찾을 수 있습니다 host 다음과 같이

host time1.google.com

dnscrypt-proxy를 설치하고, 광고를 제거하고, 공급자로부터 DNS 트래픽을 숨깁니다.

apt install dnscrypt-proxy

호스트 및 로컬 네트워크 DNS 쿼리를 제공하려면 소켓을 편집하세요. /lib/systemd/system/dnscrypt-proxy.socket. 다음 줄을 변경하십시오.

ListenStream=0.0.0.0:53
ListenDatagram=0.0.0.0:53

재시작 systemd:

systemctl daemon-reload

구성 편집 /etc/dnscrypt-proxy/dnscrypt-proxy.toml:

server_names = ['adguard-dns']

tun2socks를 통해 dnscrypt-proxy 연결을 라우팅하려면 아래를 추가하세요.

force_tcp = true

구성 편집 /etc/resolv.conf, 이는 DNS 서버를 호스트에 알려줍니다.

nameserver 127.0.0.1
nameserver 192.168.1.1

첫 번째 줄에서는 dnscrypt-proxy를 사용할 수 있으며, 두 번째 줄에서는 dnscrypt-proxy 서버를 사용할 수 없는 경우 원래 게이트웨이를 사용합니다.

완료!

네트워크 서비스를 재부팅하거나 실행을 중지합니다.

systemctl stop networking NetworkManager NetworkManager-wait-online

그리고 필요한 모든 것을 다시 시작하십시오.

systemctl restart systemd-networkd tun2socks create_ap dnscrypt-proxy ntp

재부팅하거나 다시 시작한 후에는 호스트 및 LAN 장치를 SOCKS로 라우팅하는 두 번째 액세스 포인트를 갖게 됩니다.

출력 결과는 다음과 같습니다. ip a 일반 노트북:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: tun2socks: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 500
    link/none 
    inet 172.16.1.2/24 brd 172.16.1.255 scope global tun2socks
       valid_lft forever preferred_lft forever
    inet6 fe80::122b:260:6590:1b0e/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
3: enp4s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether e8:11:32:0e:01:50 brd ff:ff:ff:ff:ff:ff
4: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 4c:ed:de:cb:cf:85 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.2/24 brd 192.168.1.255 scope global wlp6s0
       valid_lft forever preferred_lft forever
    inet6 fe80::4eed:deff:fecb:cf85/64 scope link 
       valid_lft forever preferred_lft forever
5: ap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 4c:ed:de:cb:cf:86 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 brd 10.0.0.255 scope global ap0
       valid_lft forever preferred_lft forever
    inet6 fe80::4eed:deff:fecb:cf86/64 scope link 
       valid_lft forever preferred_lft forever

그 결과,

1. 공급자는 SOCKS 서버에 대한 암호화된 연결만 볼 수 있으며 이는 아무것도 볼 수 없음을 의미합니다.
2. 그럼에도 불구하고 NTP 요청을 확인하므로 이를 방지하려면 NTP 서버에 대한 고정 경로를 제거하세요. 그러나 SOCKS 서버가 NTP 프로토콜을 허용하는지 여부는 확실하지 않습니다.

Debain 10에서 목발 발견

콘솔에서 네트워크 서비스를 다시 시작하려고 하면 오류와 함께 실패합니다. 이는 가상 인터페이스 형태의 일부가 tun2socks 서비스에 연결되어 사용되기 때문입니다. 네트워크 서비스를 다시 시작하려면 먼저 tun2socks 서비스를 중지해야 합니다. 하지만 끝까지 읽어보시면 전혀 문제가 되지 않을 것 같아요!

참조

1. Linux의 정적 라우팅 - IBM
2. systemd-networkd.service - Freedesktop.org
3. Tun2socks · ambrop72/badvpn Wiki · GitHub
4. oblique/create_ap: 이 스크립트는 NAT 또는 브리지 WiFi 액세스 포인트를 생성합니다.
5. dnscrypt-proxy 2 — 암호화된 DNS 프로토콜을 지원하는 유연한 DNS 프록시입니다.

출처 : habr.com