공급자의 NAT 뒤에서 VPN 서버 실행

홈 공급자의 NAT 뒤에서 (화이트 IP 주소 없이) VPN 서버를 실행하는 방법에 대한 기사입니다. 바로 예약하겠습니다. 이 구현의 성능은 공급자가 사용하는 NAT 유형과 라우터에 따라 직접적으로 달라집니다..
그래서 Android 스마트폰에서 집에 있는 컴퓨터로 연결해야 했습니다. 두 장치 모두 공급자 NAT를 통해 인터넷에 연결되어 있고 컴퓨터도 NAT 연결인 홈 라우터를 통해 연결되어 있었습니다.
화이트 IP 주소를 사용하여 임대된 VPS/VDS를 사용하고 공급자로부터 화이트 IP 주소를 임대하는 기존 방식은 여러 가지 이유로 고려되지 않았습니다.
보기에 과거 기사의 경험, 공급자의 STUN 및 NAT를 사용하여 여러 실험을 수행했습니다. OpenWRT 펌웨어를 실행하는 홈 라우터에서 명령을 실행하여 약간의 실험을 하기로 결정했습니다.

$ stun stun.sipnet.ru

결과를 얻었습니다 :

STUN 클라이언트 버전 0.97
기본: 독립 매핑, 독립 필터, 무작위 포트, 헤어핀
반환 값은 0 X 000002

직역:
독립 매핑 - 독립 매핑
독립 필터 - 독립 필터
임의 포트 - 임의 포트
머리핀이 있을 것이다 - 머리핀이 있을 것이다
내 PC에서 비슷한 명령을 실행하면 다음과 같은 결과가 나타납니다.

STUN 클라이언트 버전 0.97
기본: 독립 매핑, 포트 종속 필터, 임의 포트, 헤어핀
반환 값은 0 X 000006

포트 종속 필터 - 포트 종속 필터
명령 출력 결과의 차이는 홈 라우터가 인터넷에서 패킷을 전송하는 프로세스에 "기여"하고 있음을 나타냅니다. 이는 컴퓨터에서 명령을 실행할 때 다음과 같은 사실에서 나타납니다.

stun stun.sipnet.ru -p 11111 -v

나는 결과를 얻었습니다 :

...
매핑된 주소 = XX.1XX.1X4.2XX:4398
...

이 순간 UDP 세션이 한동안 열렸습니다. 이 순간 UDP 요청(예: netcat XX.1XX.1X4.2XX 4398 -u)을 보내면 요청이 홈 라우터로 전달되었습니다. 실행 중인 TCPDump에 의해 확인되었지만 요청이 컴퓨터에 도달하지 못했습니다. 라우터의 NAT 변환기인 IPtables가 요청을 삭제했습니다.

하지만 UDP 요청이 공급자의 NAT를 통과했다는 사실 자체가 성공에 대한 희망을 주었습니다. 라우터가 내 관할 구역에 있으므로 UDP/11111 포트를 컴퓨터로 리디렉션하여 문제를 해결했습니다.

iptables -t nat -A PREROUTING -i eth1 -p udp -d 10.1XX.2XX.XXX --dport 11111 -j DNAT --to-destination 192.168.X.XXX

따라서 UDP 세션을 시작하고 모든 IP 주소에서 인터넷의 요청을 받을 수 있었습니다. 이때 UDP/11111 포트를 수신하는 OpenVPN 서버(이전에 구성한)를 시작하고 스마트폰에 외부 IP 주소와 포트(XX.1XX.1X4.2XX:4398)를 표시하고 스마트폰에서 컴퓨터. 그러나 이 구현에서는 문제가 발생했습니다: OpenVPN 클라이언트가 서버에 연결될 때까지 UDP 세션을 어떻게든 유지해야 했고, STUN 클라이언트를 주기적으로 시작하는 옵션이 마음에 들지 않았습니다. STUN 서버.
나는 또한 "라는 항목을 발견했습니다.머리핀이 있을 것이다 - 머리핀이 있을 것이다", 이 모드는

헤어피닝을 사용하면 NAT 뒤의 로컬 네트워크에 있는 한 시스템이 라우터의 외부 주소에서 동일한 네트워크에 있는 다른 시스템에 액세스할 수 있습니다.

결과적으로 UDP 세션 유지 문제를 간단히 해결했습니다. 서버와 동일한 컴퓨터에서 클라이언트를 시작했습니다.
다음과 같이 작동했습니다.

• 로컬 포트 ​​11111에서 STUN 클라이언트를 시작했습니다.
• 외부 IP 주소와 포트 XX.1XX.1X4.2XX:4398로 응답을 받았습니다.
• 스마트폰에 설정된 외부 IP 주소와 포트를 이메일로 데이터 전송(다른 서비스도 가능)
• UDP/11111 포트를 수신하는 컴퓨터에서 OpenVPN 서버를 시작했습니다.
• 연결을 위해 XX.1XX.1X4.2XX:4398을 지정하는 컴퓨터에서 OpenVPN 클라이언트를 시작했습니다.
• 언제든지 스마트폰에서 OpenVPN 클라이언트를 실행하여 연결할 IP 주소와 포트(제 경우에는 IP 주소가 변경되지 않음)를 표시합니다.

이 방법으로 스마트폰에서 컴퓨터에 연결할 수 있었습니다. 이 구현을 통해 모든 OpenVPN 클라이언트를 연결할 수 있습니다.

연습

당신이 필요합니다 :

# apt install openvpn stun-client sendemail

두 개의 스크립트와 두 개의 구성 파일을 작성하고 필요한 인증서를 생성한 후(스마트폰의 클라이언트는 인증서로만 작동하므로) OpenVPN 서버의 일반적인 구현을 얻었습니다.

컴퓨터의 기본 스크립트

# cat vpn11.sh

#!/bin/bash
until [[ -n "$iftosrv" ]]; do echo "$(date) Определяю сетевой интерфейс"; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'`; sleep 5; done
ABSOLUTE_FILENAME=`readlink -f "$0"`
DIR=`dirname "$ABSOLUTE_FILENAME"`
localport=11111
until [[ $a ]]; do
	address=`stun stun.sipnet.ru -v -p $localport 2>&1 | grep "MappedAddress" | sort | uniq | head -n 1 | sed 's/:/ /g' | awk '{print $3" "$4}'`
        ip=`echo "$address" | awk {'print $1'}`
        port=`echo "$address" | awk {'print $2'}`
	srv="openvpn --config $DIR/server.conf --port $localport --daemon"
	$srv
	echo "$(date) Сервер запущен с внешним адресом $ip:$port"
	$DIR/sendemail.sh "OpenVPN-Server" "$ip:$port"
	sleep 1
	openvpn --config $DIR/client.conf --remote $ip --port $port
	echo "$(date) Cоединение клиента с сервером разорвано"
	for i in `ps xa | grep "$srv" | grep -v grep | awk '{print $1}'`; do
		kill $i && echo "$(date) Завершен процесс сервера $i ($srv)"
		done
	echo "Жду 15 сек"
	sleep 15
	done

이메일로 데이터를 보내는 스크립트:

# cat sendemail.sh 

#!/bin/bash
from="От кого"
pass="Пароль"
to="Кому"
theme="$1"
message="$2"
server="smtp.yandex.ru:587"
sendEmail -o tls=yes -f "$from" -t "$to" -s "$server" -xu "$from" -xp "$pass" -u "$theme" -m "$message"

서버 구성 파일:

# cat server.conf

proto udp
dev tun
ca      /home/vpn11-srv/ca.crt
cert    /home/vpn11-srv/server.crt
key     /home/vpn11-srv/server.key
dh      /home/vpn11-srv/dh2048.pem
server 10.2.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
tls-server
tls-auth /home/vpn11-srv/ta.key 0
tls-timeout 60
auth    SHA256
cipher  AES-256-CBC
client-to-client
keepalive 10 30
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-server.log
verb 3
mute 20

클라이언트 구성 파일:

# cat client.conf

client
dev tun
proto udp
ca      "/home/vpn11-srv/ca.crt"
cert    "/home/vpn11-srv/client1.crt"
key     "/home/vpn11-srv/client1.key"
tls-client
tls-auth "/home/vpn11-srv/ta.key" 1
auth SHA256
cipher AES-256-CBC
auth-nocache
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-clent.log
verb 3
mute 20
ping 10
ping-exit 30

인증서는 다음을 사용하여 생성되었습니다. 이 기사.
스크립트 실행:

# ./vpn11.sh

먼저 실행 가능하게 만들어서

# chmod +x vpn11.sh

스마트폰 쪽에서는

애플리케이션을 설치하여 안드로이드용 OpenVPN, 구성 파일, 인증서를 복사하고 구성한 결과는 다음과 같습니다.
나는 스마트폰으로 이메일을 확인한다
설정에서 포트 번호를 편집합니다
클라이언트를 실행하고 연결합니다.

이 글을 쓰는 동안 컴퓨터의 구성을 Raspberry Pi 3로 전송하고 LTE 모뎀에서 모든 것을 실행하려고 시도했지만 작동하지 않았습니다! 명령 결과

# stun stun.ekiga.net -p 11111

STUN 클라이언트 버전 0.97
기본: 독립 매핑, 포트 종속 필터, 임의 포트, 헤어핀
반환 값은 0 X 000006

가치 포트 종속 필터 시스템 시작을 허용하지 않았습니다.
그러나 홈 제공업체는 시스템이 아무런 문제 없이 Raspberry Pi 3에서 시작되도록 허용했습니다.
웹캠과 함께 VLC 사용
웹캠에서 RTSP 스트림 생성

$ cvlc v4l2:///dev/video0:chroma=h264 :input-slave=alsa://hw:1,0 --sout '#transcode{vcodec=x264,venc=x264{preset=ultrafast,profile=baseline,level=31},vb=2048,fps=12,scale=1,acodec=mpga,ab=128,channels=2,samplerate=44100,scodec=none}:rtp{sdp=rtsp://10.2.0.1:8554/}' --no-sout-all --sout-keep

및 스마트폰의 VLC(스트림 rtsp://10.2.0.1:8554/)는 훌륭한 원격 비디오 감시 시스템으로 판명되었으며 Samba를 설치하고 VPN을 통해 트래픽을 라우팅하고 컴퓨터를 원격으로 제어하는 ​​등 다양한 작업을 수행할 수 있습니다. 더...

출력

실습에서 알 수 있듯이 VPN 서버를 구성하려면 임대 VPS/VDS와 마찬가지로 비용을 지불해야 하는 외부 IP 주소 없이도 할 수 있습니다. 그러나 그것은 모두 공급자에 달려 있습니다. 물론 다양한 공급자와 사용되는 NAT 유형에 대한 자세한 정보를 얻고 싶었지만 이는 시작에 불과합니다.
감사합니다!

출처 : habr.com