🥇 Maršrutētāja izveide programmā SOCKS klēpjdatorā ar Debian 10

Veselu gadu (vai divus) es atliku šī raksta publicēšanu galvenā iemesla dēļ - jau biju publicējis divus rakstus, kuros aprakstīju maršrutētāja izveides procesu SOCKS no ļoti parasta klēpjdatora ar Debian.

Tomēr kopš tā laika Debian stabilā versija ir atjaunināta uz Buster, pietiekami daudz cilvēku ir sazinājušies ar mani privāti, lūdzot palīdzību iestatīšanā, kas nozīmē, ka mani iepriekšējie raksti nav izsmeļoši. Nu, es pats uzminēju, ka tajās izklāstītās metodes pilnībā neatklāj visas Linux iestatīšanas sarežģītības maršrutēšanai SOCKS. Turklāt tie ir rakstīti Debian Stretch, un pēc jaunināšanas uz Buster, systemd init sistēmā, es pamanīju nelielas izmaiņas pakalpojumu mijiedarbībā. Un pašos rakstos es neizmantoju systemd-networkd, lai gan tas ir vislabāk piemērots sarežģītām tīkla konfigurācijām.

Papildus iepriekš minētajām izmaiņām manai konfigurācijai tika pievienoti šādi pakalpojumi: hostapd - piekļuves punktu virtualizācijas pakalpojums, ntp lai sinhronizētu lokālā tīkla klientu laiku, dnscrypt-starpniekserveris šifrēt savienojumus, izmantojot DNS, un atspējot reklāmu vietējā tīkla klientiem, kā arī, kā jau minēju iepriekš, systemd-networkd tīkla saskarņu konfigurēšanai.

Šeit ir vienkārša šāda maršrutētāja iekšējās struktūras blokshēma.

Tāpēc es jums atgādināšu, kādi ir šīs rakstu sērijas mērķi:

Maršrutējiet visus OS savienojumus uz SOCKS, kā arī savienojumus no visām ierīcēm vienā tīklā ar klēpjdatoru.
Manā gadījumā klēpjdatoram vajadzētu palikt pilnīgi mobilam. Tas ir, lai dotu iespēju izmantot darbvirsmas vidi un nebūt piesaistītam fiziskai atrašanās vietai.
Pēdējais punkts nozīmē savienojumu un maršrutēšanu tikai caur iebūvēto bezvadu interfeisu.
Nu, un, protams, visaptveroša ceļveža izveide, kā arī attiecīgo tehnoloģiju analīze, cik man ir pieticīgs.

Kas tiks apskatīts šajā rakstā:

iet — lejupielādēt projektu krātuves tun2zeķesnepieciešams, lai TCP trafiku novirzītu uz SOCKS, un izveidot_ap — skripts, lai automatizētu virtuālā piekļuves punkta iestatīšanu, izmantojot hostapd.
tun2zeķes — izveidot un instalēt sistēmā sistēmas pakalpojumu.
systemd-networkd — konfigurēt bezvadu un virtuālās saskarnes, statiskās maršrutēšanas tabulas un pakešu pāradresāciju.
izveidot_ap — instalējiet sistēmā sistēmas pakalpojumu, konfigurējiet un palaidiet virtuālo piekļuves punktu.

Izvēles darbības:

ntp — instalēt un konfigurēt serveri, lai sinhronizētu laiku virtuālo piekļuves punktu klientiem.
dnscrypt-starpniekserveris — mēs šifrēsim DNS pieprasījumus, novirzīsim tos uz SOCKS un atspējosim reklāmas domēnus lokālajam tīklam.

Priekš kam tas viss?

Šis ir viens no veidiem, kā nodrošināt TCP savienojumus lokālajā tīklā. Galvenā priekšrocība ir tā, ka visi savienojumi tiek veikti SOCKS, ja vien tiem nav izveidots statisks maršruts caur oriģinālo vārteju. Tas nozīmē, ka jums nav jānorāda SOCKS servera iestatījumi ne atsevišķām programmām, ne lokālā tīkla klientiem — tie visi pēc noklusējuma tiek novirzīti uz SOCKS, jo tā ir noklusējuma vārteja, līdz mēs norādām citādi.

Būtībā mēs pievienojam otru šifrēšanas maršrutētāju kā klēpjdatoru pirms sākotnējā maršrutētāja un izmantojam oriģinālā maršrutētāja interneta savienojumu klēpjdatora jau šifrētajiem SOCKS pieprasījumiem, kas savukārt maršrutē un šifrē pieprasījumus no LAN klientiem.

No pakalpojumu sniedzēja viedokļa mēs pastāvīgi esam savienoti ar vienu serveri ar šifrētu trafiku.

Attiecīgi visas ierīces ir savienotas ar klēpjdatora virtuālo piekļuves punktu.

Instalējiet sistēmā tun2socks

Kamēr jūsu mašīnai ir internets, lejupielādējiet visus nepieciešamos rīkus.

apt update

apt install git make cmake

Lejupielādējiet badvpn pakotni

git clone https://github.com/ambrop72/badvpn

Jūsu sistēmā parādīsies mape badvpn. Veidojumam izveidojiet atsevišķu mapi

mkdir badvpn-build

Iet uz to

cd badvpn-build

Savākt tun2socks

cmake ../badvpn -DBUILD_NOTHING_BY_DEFAULT=1 -DBUILD_TUN2SOCKS=1

Instalējiet sistēmā

make install

Parametrs -DBUILD_NOTHING_BY_DEFAULT=1 atspējo visu badvpn repozitorija komponentu veidošanu.
Sākot noDBUILD_TUN2SOCKS=1 komplektā ir iekļauta sastāvdaļa tun2zeķes.
make install — instalēs tun2socks bināro failu jūsu sistēmā vietnē /usr/local/bin/badvpn-tun2socks.

Instalējiet tun2socks pakalpojumu sistēmād

Izveidojiet failu /etc/systemd/system/tun2socks.service ar šādu saturu:

[Unit]
Description=SOCKS TCP Relay

[Service]
ExecStart=/usr/local/bin/badvpn-tun2socks --tundev tun2socks --netif-ipaddr 172.16.1.1 --netif-netmask 255.255.255.0 --socks-server-addr 127.0.0.1:9050

[Install]
WantedBy=multi-user.target

--tundev - aizņem virtuālās saskarnes nosaukumu, kuru inicializējam ar systemd-networkd.
--netif-ipaddr — tun2socks “maršrutētāja”, kuram ir pievienots virtuālais interfeiss, tīkla adrese. Labāk to nošķirt rezervēts apakštīkls.
--socks-server-addr - pieņem kontaktligzdu (адрес:порт SOCKS serveri).

Ja jūsu SOCKS serverim ir nepieciešama autentifikācija, varat norādīt parametrus --username и --password.

Pēc tam reģistrējiet pakalpojumu

systemctl daemon-reload

Un ieslēdziet to

systemctl enable tun2socks

Pirms pakalpojuma uzsākšanas nodrošināsim to ar virtuālā tīkla interfeisu.

Pārslēgšanās uz systemd-networkd

Ieslēdziet systemd-networkd:

systemctl enable systemd-networkd

Atspējojiet pašreizējos tīkla pakalpojumus.

systemctl disable networking NetworkManager NetworkManager-wait-online

NetworkManager-wait-online ir pakalpojums, kas gaida funkcionējošu tīkla savienojumu, pirms systemd turpina startēt citus pakalpojumus, kas ir atkarīgi no tīkla klātbūtnes. Mēs to atspējojam, pārejot uz systemd-networkd analogu.

Iespējosim to uzreiz:

systemctl enable systemd-networkd-wait-online

Iestatiet bezvadu tīkla interfeisu

Izveidojiet systemd-networkd konfigurācijas failu bezvadu tīkla saskarnei /etc/systemd/network/25-wlp6s0.network.

[Match]
Name=wlp6s0

[Network]
Address=192.168.1.2/24
IPForward=yes

Vārds ir jūsu bezvadu interfeisa nosaukums. Identificējiet to ar komandu ip a.
IPForward - direktīva, kas nodrošina pakešu pāradresāciju tīkla saskarnē.
Adrese ir atbildīgs par IP adreses piešķiršanu bezvadu saskarnei. Mēs to norādām statiski, jo ar līdzvērtīgu direktīvu DHCP=yes, systemd-networkd sistēmā izveido noklusējuma vārteju. Tad visa trafika tiks veikta caur sākotnējo vārteju, nevis caur nākotnes virtuālo saskarni citā apakštīklā. Jūs varat pārbaudīt pašreizējo noklusējuma vārteju ar komandu ip r

Izveidojiet statisku maršrutu attālajam SOCKS serverim

Ja jūsu SOCKS serveris nav lokāls, bet attāls, jums ir jāizveido tam statisks maršruts. Lai to izdarītu, pievienojiet sadaļu Route līdz izveidotā bezvadu interfeisa konfigurācijas faila beigām ar šādu saturu:

[Route]
Gateway=192.168.1.1
Destination=0.0.0.0

Gateway — šī ir noklusējuma vārteja vai sākotnējā piekļuves punkta adrese.
Destination — SOCKS servera adrese.

Konfigurējiet wpa_supplicant sistēmai systemd-networkd

systemd-networkd izmanto wpa_supplicant, lai izveidotu savienojumu ar drošu piekļuves punktu. Mēģinot "paaugstināt" bezvadu saskarni, systemd-networkd sāk pakalpojumu wpa_supplicant@имяKur nosaukums ir bezvadu interfeisa nosaukums. Ja pirms šī punkta neesat izmantojis systemd-networkd, iespējams, šī pakalpojuma jūsu sistēmā nav.

Tāpēc izveidojiet to ar komandu:

systemctl enable wpa_supplicant@wlp6s0

ES izmantoju wlp6s0 kā tā bezvadu interfeisa nosaukums. Jūsu vārds var atšķirties. Jūs to varat atpazīt ar komandu ip l.

Tagad izveidots pakalpojums wpa_supplicant@wlp6s0 tiks palaists, kad bezvadu interfeiss tiks “pacelts”, bet tas savukārt failā meklēs piekļuves punkta SSID un paroles iestatījumus /etc/wpa_supplicant/wpa_supplicant-wlp6s0. Tāpēc jums tas ir jāizveido, izmantojot utilītu wpa_passphrase.

Lai to izdarītu, palaidiet komandu:

wpa_passphrase SSID password>/etc/wpa_supplicant/wpa_supplicant-wlp6s0.conf

kur SSID ir jūsu piekļuves punkta nosaukums, parole ir parole un wlp6s0 — bezvadu interfeisa nosaukums.

Inicializējiet tun2socks virtuālo saskarni

Izveidojiet failu, lai sistēmā inicializētu jaunu virtuālo saskarni/etc/systemd/network/25-tun2socks.netdev

[NetDev]
Name=tun2socks
Kind=tun

Vārds ir nosaukums, ko systemd-networkd piešķirs nākotnes virtuālajai saskarnei, kad tā tiks inicializēta.
laipns ir virtuālās saskarnes veids. No tun2socks pakalpojuma nosaukuma varat uzminēt, ka tas izmanto interfeisu, piemēram, tun.
netdev ir failu paplašinājums, kas systemd-networkd Izmanto, lai inicializētu virtuālās tīkla saskarnes. Šo saskarņu adrese un citi tīkla iestatījumi ir norādīti .tīkls- faili.

Izveidojiet šādu failu /etc/systemd/network/25-tun2socks.network ar šādu saturu:

[Match]
Name=tun2socks

[Network]
Address=172.16.1.2/24
Gateway=172.16.1.1

Name — virtuālās saskarnes nosaukums, kuru norādījāt netdev- fails.
Address — IP adrese, kas tiks piešķirta virtuālajam interfeisam. Tai ir jāatrodas tajā pašā tīklā kā adrese, kuru norādījāt pakalpojumā tun2socks
Gateway — “maršrutētāja” IP adrese tun2zeķes, kuru norādījāt, veidojot systemd pakalpojumu.

Tātad interfeiss tun2zeķes ir adrese 172.16.1.2un pakalpojums tun2zeķes Sākot no 172.16.1.1, tas ir, tā ir vārteja visiem savienojumiem no virtuālā interfeisa.

Iestatiet virtuālo piekļuves punktu

Instalēšanas atkarības:

apt install util-linux procps hostapd iw haveged

Lejupielādējiet repozitoriju izveidot_ap uz jūsu automašīnu:

git clone https://github.com/oblique/create_ap

Dodieties uz repozitorija mapi savā datorā:

cd create_ap

Instalējiet sistēmā:

make install

Jūsu sistēmā parādīsies konfigurācija /etc/create_ap.conf. Šeit ir galvenās rediģēšanas iespējas:

GATEWAY=10.0.0.1 — labāk to padarīt par atsevišķu rezervētu apakštīklu.
NO_DNS=1 - atspējot, jo šo parametru pārvaldīs systemd-networkd virtuālais interfeiss.
NO_DNSMASQ=1 - izslēdziet to tā paša iemesla dēļ.
WIFI_IFACE=wlp6s0 — klēpjdatora bezvadu interfeiss.
INTERNET_IFACE=tun2socks - virtuālais interfeiss, kas izveidots priekš tun2socks.
SSID=hostapd — virtuālā piekļuves punkta nosaukums.
PASSPHRASE=12345678 - parole.

Neaizmirstiet iespējot pakalpojumu:

systemctl enable create_ap

Iespējot DHCP serveri sistēmā systemd-networkd

Pakalpojums create_ap inicializē virtuālo saskarni sistēmā ap0. Teorētiski dnsmasq karājas šajā saskarnē, bet kāpēc instalēt papildu pakalpojumus, ja systemd-networkd satur iebūvētu DHCP serveri?

Lai to iespējotu, mēs definēsim virtuālā punkta tīkla iestatījumus. Lai to izdarītu, izveidojiet failu /etc/systemd/network/25-ap0.network ar šādu saturu:

[Match]
Name=ap0

[Network]
Address=10.0.0.1/24
DHCPServer=yes

[DHCPServer]
EmitDNS=yes
DNS=10.0.0.1
EmitNTP=yes
NTP=10.0.0.1

Pēc tam, kad pakalpojums create_ap inicializē virtuālo saskarni ap0, systemd-networkd automātiski piešķirs tai IP adresi un iespējos DHCP serveri.

Stīgas EmitDNS=yes и DNS=10.0.0.1 pārsūtīt DNS servera iestatījumus ierīcēm, kas savienotas ar piekļuves punktu.

Ja neplānojat izmantot vietējo DNS serveri - manā gadījumā tas ir dnscrypt-proxy - varat instalēt DNS=10.0.0.1 в DNS=192.168.1.1Kur 192.168.1.1 — sākotnējās vārtejas adrese. Pēc tam jūsu resursdatora un lokālā tīkla DNS pieprasījumi tiks nešifrēti, izmantojot pakalpojumu sniedzēja serverus.

EmitNTP=yes и NTP=192.168.1.1 pārsūtīt NTP iestatījumus.

Tas pats attiecas uz līniju NTP=10.0.0.1.

Instalējiet un konfigurējiet NTP serveri

Instalējiet sistēmā:

apt install ntp

Rediģējiet konfigurāciju /etc/ntp.conf. Komentāros norādiet standarta pūlu adreses:

#pool 0.debian.pool.ntp.org iburst
#pool 1.debian.pool.ntp.org iburst
#pool 2.debian.pool.ntp.org iburst
#pool 3.debian.pool.ntp.org iburst

Pievienojiet publiskā servera adreses, piemēram, Google publisko NTP:

server time1.google.com ibrust
server time2.google.com ibrust
server time3.google.com ibrust
server time4.google.com ibrust

Nodrošiniet piekļuvi serverim klientiem jūsu tīklā:

restrict 10.0.0.0 mask 255.255.255.0

Iespējot apraidi savā tīklā:

broadcast 10.0.0.255

Visbeidzot pievienojiet šo serveru adreses statiskajai maršrutēšanas tabulai. Lai to izdarītu, atveriet bezvadu interfeisa konfigurācijas failu /etc/systemd/network/25-wlp6s0.network un pievienojiet sadaļas beigās Route.

[Route]
Gateway=192.168.1.1
Destination=216.239.35.0

[Route]
Gateway=192.168.1.1
Destination=216.239.35.4

[Route]
Gateway=192.168.1.1
Destination=216.239.35.8

[Route]
Gateway=192.168.1.1
Destination=216.239.35.12

Izmantojot utilītu, varat uzzināt savu NTP serveru adreses host šādi:

host time1.google.com

Instalējiet dnscrypt-proxy, noņemiet reklāmas un paslēpiet DNS trafiku no sava pakalpojumu sniedzēja

apt install dnscrypt-proxy

Lai apkalpotu resursdatora un lokālā tīkla DNS vaicājumus, rediģējiet ligzdu /lib/systemd/system/dnscrypt-proxy.socket. Mainiet šādas rindas:

ListenStream=0.0.0.0:53
ListenDatagram=0.0.0.0:53

Restartēt systemd:

systemctl daemon-reload

Rediģējiet konfigurāciju /etc/dnscrypt-proxy/dnscrypt-proxy.toml:

server_names = ['adguard-dns']

Lai maršrutētu dnscrypt-proxy savienojumus caur tun2socks, pievienojiet tālāk:

force_tcp = true

Rediģējiet konfigurāciju /etc/resolv.conf, kas paziņo DNS serverim saimniekdatoram.

nameserver 127.0.0.1
nameserver 192.168.1.1

Pirmā rinda ļauj izmantot dnscrypt-proxy, otrā rinda izmanto sākotnējo vārteju, ja dnscrypt-proxy serveris nav pieejams.

Gatavs!

Atsāknējiet vai pārtrauciet tīkla pakalpojumu darbību:

systemctl stop networking NetworkManager NetworkManager-wait-online

Un restartējiet visu nepieciešamo:

systemctl restart systemd-networkd tun2socks create_ap dnscrypt-proxy ntp

Pēc atsāknēšanas vai restartēšanas jums būs otrs piekļuves punkts, kas novirza resursdatora un LAN ierīces uz SOCKS.

Šādi izskatās izvade ip a parastais klēpjdators:

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: tun2socks: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 500
    link/none 
    inet 172.16.1.2/24 brd 172.16.1.255 scope global tun2socks
       valid_lft forever preferred_lft forever
    inet6 fe80::122b:260:6590:1b0e/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
3: enp4s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN group default qlen 1000
    link/ether e8:11:32:0e:01:50 brd ff:ff:ff:ff:ff:ff
4: wlp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 4c:ed:de:cb:cf:85 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.2/24 brd 192.168.1.255 scope global wlp6s0
       valid_lft forever preferred_lft forever
    inet6 fe80::4eed:deff:fecb:cf85/64 scope link 
       valid_lft forever preferred_lft forever
5: ap0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 4c:ed:de:cb:cf:86 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.1/24 brd 10.0.0.255 scope global ap0
       valid_lft forever preferred_lft forever
    inet6 fe80::4eed:deff:fecb:cf86/64 scope link 
       valid_lft forever preferred_lft forever

Kā rezultātā,

Pakalpojumu sniedzējs redz tikai šifrētu savienojumu ar jūsu SOCKS serveri, kas nozīmē, ka viņš neko neredz.
Un tomēr tas redz jūsu NTP pieprasījumus, lai to novērstu, noņemiet statiskos maršrutus NTP serveriem. Tomēr nav skaidrs, vai jūsu SOCKS serveris atļauj NTP protokolu.

Kruķis tika pamanīts uz Debeina 10

Ja mēģināt restartēt tīkla pakalpojumu no konsoles, tas neizdosies ar kļūdu. Tas ir saistīts ar faktu, ka daļa no tā virtuālā interfeisa veidā ir saistīta ar tun2socks pakalpojumu, kas nozīmē, ka tā tiek izmantota. Lai restartētu tīkla pakalpojumu, vispirms ir jāpārtrauc pakalpojums tun2socks. Bet, manuprāt, ja izlasi līdz galam, tā tev noteikti nav problēma!

atsauces

Avots: www.habr.com