ဝန်ဆောင်မှုပေးသူ၏ NAT နောက်ကွယ်ရှိ VPN ဆာဗာကို လုပ်ဆောင်နေသည်။

ကျွန်ုပ်၏အိမ်ဝန်ဆောင်မှုပေးသူ၏ NAT (အဖြူရောင် IP လိပ်စာမပါဘဲ) ၏ NAT နောက်ကွယ်ရှိ VPN ဆာဗာကို ကျွန်ုပ် မည်သို့လည်ပတ်နိုင်ပုံအကြောင်း ဆောင်းပါးတစ်ပုဒ်။ ချက်ချင်း booking လုပ်ပါရစေ ဤအကောင်အထည်ဖော်မှု၏စွမ်းဆောင်ရည်သည် သင့်ဝန်ဆောင်မှုပေးသူအသုံးပြုသည့် NAT အမျိုးအစားအပြင် router ပေါ်တွင်လည်း တိုက်ရိုက်မူတည်ပါသည်။.
ထို့ကြောင့်၊ ကျွန်ုပ်သည် ကျွန်ုပ်၏ Android စမတ်ဖုန်းမှ ကျွန်ုပ်၏အိမ်ကွန်ပြူတာသို့ ချိတ်ဆက်ရန် လိုအပ်သည်၊ စက်ပစ္စည်းနှစ်ခုလုံးကို ပံ့ပိုးပေးသူ NATs များမှတစ်ဆင့် အင်တာနက်သို့ ချိတ်ဆက်ထားသည့်အပြင် ကွန်ပျူတာကိုလည်း NATs ချိတ်ဆက်မှုများဖြစ်သည့် အိမ်ရောက်ရောက်တာမှတဆင့် ချိတ်ဆက်ထားသည်။
အဖြူရောင် IP လိပ်စာပါသည့် ငှားရမ်းထားသော VPS/VDS ကို အသုံးပြု၍ ဂန္တဝင်အစီအစဥ်ကို ပံ့ပိုးပေးသူထံမှ အဖြူရောင် IP လိပ်စာကို ငှားရမ်းခြင်းအား အကြောင်းပြချက်များစွာဖြင့် ထည့်သွင်းစဉ်းစားခြင်းမပြုပါ။
ထည့်သွင်းစဉ်းစားခြင်း။ အတိတ်ဆောင်းပါးများမှ အတွေ့အကြုံပံ့ပိုးပေးသူများ၏ STUNs နှင့် NATs တို့နှင့် စမ်းသပ်မှုများစွာ ပြုလုပ်ခဲ့သည်။ OpenWRT firmware ကိုအသုံးပြုထားသော home router တွင် command ကို run ခြင်းဖြင့်အနည်းငယ်စမ်းသပ်မှုပြုလုပ်ရန်ဆုံးဖြတ်ခဲ့သည်

$ stun stun.sipnet.ru

ရလဒ်ကို ရရှိခဲ့သည်

STUN client ဗားရှင်း 0.97
မူလတန်း- အမှီအခိုကင်းသောမြေပုံဆွဲခြင်း၊ အမှီအခိုကင်းသောစစ်ထုတ်ခြင်း၊ ကျပန်းပို့တ်၊ ဆံပင်ညှပ်ပါမည်။
ပြန်လာတန်ဖိုး 0x000002

အက္ခရာဘာသာပြန်ချက်
Independent Mapping - လွတ်လပ်သောမြေပုံဆွဲခြင်း။
Independent Filter - သီးခြားစစ်ထုတ်မှု
random port - ကျပန်းဆိပ်ကမ်း
ဆံပင်ညှပ်မည် - ဆံညှပ်တစ်ခုရှိလိမ့်မည်။
ကျွန်ုပ်၏ PC တွင် အလားတူ command ကို run ရင်း၊ ကျွန်ုပ်ရပါသည်-

STUN client ဗားရှင်း 0.97
အဓိက- အမှီအခိုကင်းသောမြေပုံဆွဲခြင်း၊ ဆိပ်ကမ်းမှီခိုသည့် စစ်ထုတ်ခြင်း၊ ကျပန်းပို့တ်၊ ဆံပင်ညှပ်ပါမည်။
ပြန်လာတန်ဖိုး 0x000006

Port Dependent Filter - ဆိပ်ကမ်းမှီခိုသည့် စစ်ထုတ်မှု
command output ၏ရလဒ်များ၏ကွာခြားချက်မှာ home router သည်အင်တာနက်မှ packet များကိုထုတ်လွှင့်ခြင်းလုပ်ငန်းစဉ်အတွက် "၎င်း၏ပံ့ပိုးကူညီမှု" ကိုပြုလုပ်နေကြောင်းညွှန်ပြနေသည်; ကွန်ပျူတာရှိ command ကိုလုပ်ဆောင်သောအခါ၎င်းသည်ထင်ရှားသည်။

stun stun.sipnet.ru -p 11111 -v

ရလဒ်ကို ရခဲ့တယ်

...
MappedAddress = XX.1XX.1X4.2XX:4398
...

ဤအခိုက်အတန့်တွင် သင်သည် UDP တောင်းဆိုချက်တစ်ခု ပေးပို့ပါက UDP စက်ရှင်ကို အချိန်အတန်ကြာ ဖွင့်ထားမည်ဆိုလျှင် (ဥပမာ- netcat XX.1XX.1X4.2XX 4398 -u)၊ ထို့နောက် တောင်းဆိုချက်ဖြစ်သည့် အိမ်ရောက်တာဆီသို့ ၎င်းကို လုပ်ဆောင်နေသည့် TCPDump မှ အတည်ပြုခဲ့သော်လည်း တောင်းဆိုချက်သည် ကွန်ပျူတာသို့ မရောက်ခဲ့ပါ - Router ပေါ်ရှိ NAT ဘာသာပြန်ဆိုသူအနေဖြင့် IPtables သည် ၎င်းကို ဖြုတ်ချခဲ့သည်။

သို့သော် UDP တောင်းဆိုချက်သည် ဝန်ဆောင်မှုပေးသူ၏ NAT မှတစ်ဆင့် အောင်မြင်မှုအတွက် မျှော်လင့်ချက်ပေးသည်။ router သည် ကျွန်ုပ်၏တရားစီရင်ပိုင်ခွင့်တွင် တည်ရှိသောကြောင့် UDP/11111 port ကို ကွန်ပျူတာသို့ ပြန်ညွှန်းခြင်းဖြင့် ပြဿနာကို ဖြေရှင်းခဲ့သည်-

iptables -t nat -A PREROUTING -i eth1 -p udp -d 10.1XX.2XX.XXX --dport 11111 -j DNAT --to-destination 192.168.X.XXX

ထို့ကြောင့်၊ ကျွန်ုပ်သည် UDP စက်ရှင်ကို စတင်နိုင်ခဲ့ပြီး မည်သည့် IP လိပ်စာမှမဆို အင်တာနက်မှ တောင်းဆိုမှုများကို လက်ခံနိုင်ခဲ့သည်။ ဤအခိုက်အတန့်တွင်၊ ကျွန်ုပ်သည် စမတ်ဖုန်းပေါ်ရှိ ပြင်ပ IP လိပ်စာနှင့် ပို့တ် (XX.11111XX.1X1XX:4.2) ကို UDP/4398 ဆိပ်ကမ်းကို နားထောင်ပြီး (ယခင်က ပြင်ဆင်သတ်မှတ်ထားသည်) OpenVPN-ဆာဗာကို ဖွင့်ပြီး စမတ်ဖုန်းမှ အောင်မြင်စွာချိတ်ဆက်ထားသည်။ ကွန်ပျူတာ။ သို့သော်ဤအကောင်အထည်ဖော်မှုတွင်ပြဿနာတစ်ခုပေါ်ပေါက်ခဲ့သည်- OpenVPN ကလိုင်းယင့်ဆာဗာနှင့်ချိတ်ဆက်သည့်အချိန်အထိ UDP ကိုဆက်လက်ထိန်းသိမ်းထားရန်လိုအပ်သည်၊ STUN client ကိုအခါအားလျော်စွာဖွင့်ခြင်း၏ရွေးချယ်မှုကိုကျွန်တော်မကြိုက်ပါ - ဝန်ကိုမဖြုန်းတီးချင်ပါ။ STUN ဆာဗာများ။
ဝင်ခွင့်ကိုလည်း သတိထားမိတယ်"ဆံပင်ညှပ်မည် - ဆံညှပ်တစ်ခုရှိလိမ့်မည်။"ဒီမုဒ်

Hairpinning သည် NAT နောက်ကွယ်ရှိ ဒေသတွင်း ကွန်ရက်တစ်ခုမှ စက်တစ်ခုအား router ၏ ပြင်ပလိပ်စာတွင် တူညီသောကွန်ရက်ရှိ အခြားစက်တစ်ခုအား ဝင်ရောက်အသုံးပြုခွင့်ပေးသည်။

ရလဒ်အနေနဲ့၊ UDP session တစ်ခုထိန်းသိမ်းထားရတဲ့ ပြဿနာကို ကျွန်တော် ရိုးရိုးရှင်းရှင်းပဲ ဖြေရှင်းခဲ့တယ် - client ကို server နဲ့ တူညီတဲ့ computer ပေါ်မှာ တင်ခဲ့တယ်။
ဤကဲ့သို့ လုပ်ဆောင်ခဲ့သည်-

• local port 11111 တွင် STUN client ကို စတင်ခဲ့သည်။
• ပြင်ပ IP လိပ်စာနှင့် ပို့တ် XX.1XX.1X4.2XX:4398 ဖြင့် တုံ့ပြန်မှုကို လက်ခံရရှိခဲ့သည်။
• စမတ်ဖုန်းပေါ်တွင် ပြင်ဆင်သတ်မှတ်ထားသော ပြင်ပ IP လိပ်စာနှင့် အီးမေးလ်သို့ ပို့တ်ဖြင့် ဒေတာပေးပို့ခြင်း (အခြားဝန်ဆောင်မှုတစ်ခုခု ဖြစ်နိုင်သည်)
• UDP/11111 အပေါက်ကို နားထောင်သည့် ကွန်ပျူတာတွင် OpenVPN ဆာဗာကို စတင်ခဲ့သည်။
• ချိတ်ဆက်မှုအတွက် XX.1XX.1X4.2XX:4398 ဟုသတ်မှတ်ထားသော ကွန်ပျူတာပေါ်တွင် OpenVPN ကလိုင်းယင့်ကို စတင်ခဲ့သည်
• ချိတ်ဆက်ရန် IP လိပ်စာနှင့် ဆိပ်ကမ်းကို ညွှန်ပြသော OpenVPN ကလိုင်းယင့်ကို မည်သည့်အချိန်တွင်မဆို စမတ်ဖုန်းတွင် စတင်ဖွင့်လှစ်ခဲ့သည် (ကျွန်ုပ်၏အခြေအနေတွင် IP လိပ်စာမပြောင်းလဲပါ)

ဤနည်းဖြင့် ကျွန်ုပ်၏စမတ်ဖုန်းမှ ကျွန်ုပ်၏ကွန်ပျူတာနှင့် ချိတ်ဆက်နိုင်ခဲ့ပါသည်။ ဤအကောင်အထည်ဖော်မှုသည် သင့်အား မည်သည့် OpenVPN အသုံးပြုသူကိုမဆို ချိတ်ဆက်နိုင်စေပါသည်။

အလေ့အကျင့်

သင်လိုအပ်ပါလိမ့်မယ်:

# apt install openvpn stun-client sendemail

Script နှစ်ခု၊ ဖွဲ့စည်းမှုဖိုင်အချို့ကို ရေးသားပြီး လိုအပ်သော လက်မှတ်များကို ထုတ်ပေးပြီး (စမတ်ဖုန်းပေါ်တွင် သုံးစွဲသူသည် လက်မှတ်များနှင့်သာ အလုပ်လုပ်သောကြောင့်) OpenVPN ဆာဗာ၏ ပုံမှန်အတိုင်း အကောင်အထည်ဖော်မှုကို ရရှိခဲ့ပါသည်။

ကွန်ပြူတာတွင် အဓိက ဇာတ်ညွှန်း

# cat vpn11.sh

#!/bin/bash
until [[ -n "$iftosrv" ]]; do echo "$(date) Определяю сетевой интерфейс"; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'`; sleep 5; done
ABSOLUTE_FILENAME=`readlink -f "$0"`
DIR=`dirname "$ABSOLUTE_FILENAME"`
localport=11111
until [[ $a ]]; do
	address=`stun stun.sipnet.ru -v -p $localport 2>&1 | grep "MappedAddress" | sort | uniq | head -n 1 | sed 's/:/ /g' | awk '{print $3" "$4}'`
        ip=`echo "$address" | awk {'print $1'}`
        port=`echo "$address" | awk {'print $2'}`
	srv="openvpn --config $DIR/server.conf --port $localport --daemon"
	$srv
	echo "$(date) Сервер запущен с внешним адресом $ip:$port"
	$DIR/sendemail.sh "OpenVPN-Server" "$ip:$port"
	sleep 1
	openvpn --config $DIR/client.conf --remote $ip --port $port
	echo "$(date) Cоединение клиента с сервером разорвано"
	for i in `ps xa | grep "$srv" | grep -v grep | awk '{print $1}'`; do
		kill $i && echo "$(date) Завершен процесс сервера $i ($srv)"
		done
	echo "Жду 15 сек"
	sleep 15
	done

အီးမေးလ်ဖြင့် ဒေတာပေးပို့ခြင်းအတွက် Script

# cat sendemail.sh 

#!/bin/bash
from="От кого"
pass="Пароль"
to="Кому"
theme="$1"
message="$2"
server="smtp.yandex.ru:587"
sendEmail -o tls=yes -f "$from" -t "$to" -s "$server" -xu "$from" -xp "$pass" -u "$theme" -m "$message"

ဆာဗာပြင်ဆင်မှုဖိုင်-

# cat server.conf

proto udp
dev tun
ca      /home/vpn11-srv/ca.crt
cert    /home/vpn11-srv/server.crt
key     /home/vpn11-srv/server.key
dh      /home/vpn11-srv/dh2048.pem
server 10.2.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
tls-server
tls-auth /home/vpn11-srv/ta.key 0
tls-timeout 60
auth    SHA256
cipher  AES-256-CBC
client-to-client
keepalive 10 30
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-server.log
verb 3
mute 20

ကလိုင်းယင့် ဖွဲ့စည်းမှုပုံစံ ဖိုင်-

# cat client.conf

client
dev tun
proto udp
ca      "/home/vpn11-srv/ca.crt"
cert    "/home/vpn11-srv/client1.crt"
key     "/home/vpn11-srv/client1.key"
tls-client
tls-auth "/home/vpn11-srv/ta.key" 1
auth SHA256
cipher AES-256-CBC
auth-nocache
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-clent.log
verb 3
mute 20
ping 10
ping-exit 30

လက်မှတ်များကို အသုံးပြု၍ ထုတ်ပေးခဲ့သည်။ ဤဆောင်းပါးတွင်.
ဇာတ်ညွှန်းကို လုပ်ဆောင်နေသည်-

# ./vpn11.sh

အကောင်အထည်ဖော်နိုင်အောင် အရင်လုပ်ပါ။

# chmod +x vpn11.sh

စမတ်ဖုန်းဘက်မှာ

လျှောက်လွှာကိုထည့်သွင်းခြင်းဖြင့် Android အတွက် OpenVPNconfiguration ဖိုင်၊ လက်မှတ်များကို ကူးယူပြီး ၎င်းကို configure လုပ်ခြင်းဖြင့်၊ ၎င်းသည် ဤကဲ့သို့ ထွက်လာသည်-
ကျွန်ုပ်၏စမတ်ဖုန်းပေါ်တွင်ကျွန်ုပ်၏အီးမေးလ်ကိုစစ်ဆေးပါ။
ဆက်တင်များတွင် ကျွန်ုပ်သည် ဆိပ်ကမ်းနံပါတ်ကို တည်းဖြတ်သည်။
ငါ client ကိုဖွင့်ပြီးချိတ်ဆက်ပါ။

ဤဆောင်းပါးကိုရေးနေစဉ်တွင်၊ ကျွန်ုပ်၏ကွန်ပြူတာမှဖွဲ့စည်းပုံကို Raspberry Pi 3 သို့လွှဲပြောင်းပြီး LTE modem တွင်အရာအားလုံးကိုလုပ်ဆောင်ရန်ကြိုးစားသော်လည်းအလုပ်မဖြစ်ပါ။ အမိန့်ရလဒ်

# stun stun.ekiga.net -p 11111

STUN client ဗားရှင်း 0.97
အဓိက- အမှီအခိုကင်းသောမြေပုံဆွဲခြင်း၊ ဆိပ်ကမ်းမှီခိုသည့် စစ်ထုတ်ခြင်း၊ ကျပန်းပို့တ်၊ ဆံပင်ညှပ်ပါမည်။
ပြန်လာတန်ဖိုး 0x000006

အဓိပ်ပါယျ Port Dependent Filter စနစ်ကို စတင်ခွင့်မပြုခဲ့ပါ။
သို့သော် အိမ်ဝန်ဆောင်မှုပေးသူက အဆိုပါစနစ်ကို Raspberry Pi 3 တွင် ပြဿနာတစ်စုံတစ်ရာမရှိဘဲ စတင်ခွင့်ပြုခဲ့သည်။
webcam နှင့်တွဲဖက်၍ VLC for
ဝဘ်ကင်မရာမှ RTSP ထုတ်လွှင့်မှုကို ဖန်တီးခြင်း။

$ cvlc v4l2:///dev/video0:chroma=h264 :input-slave=alsa://hw:1,0 --sout '#transcode{vcodec=x264,venc=x264{preset=ultrafast,profile=baseline,level=31},vb=2048,fps=12,scale=1,acodec=mpga,ab=128,channels=2,samplerate=44100,scodec=none}:rtp{sdp=rtsp://10.2.0.1:8554/}' --no-sout-all --sout-keep

နှင့် VLC ကိုကြည့်ရှုရန်အတွက်စမတ်ဖုန်းပေါ်တွင် (stream rtsp://10.2.0.1:8554/)၊ ၎င်းသည်ကောင်းမွန်သောအဝေးထိန်းဗီဒီယိုစောင့်ကြည့်ရေးစနစ်တစ်ခုဖြစ်လာသည်၊ သင်သည် Samba ကိုထည့်သွင်းနိုင်သည်၊ VPN မှတဆင့်လမ်းကြောင်းလမ်းကြောင်း၊ သင့်ကွန်ပျူတာကိုအဝေးမှထိန်းချုပ်နိုင်ပြီးများစွာသော၊ နောက်ထပ်...

ကောက်ချက်

လက်တွေ့တွင်ပြသထားသည့်အတိုင်း VPN ဆာဗာကို စုစည်းရန်၊ ငှားရမ်းထားသော VPS/VDS ကဲ့သို့ သင်ပေးဆောင်ရန် လိုအပ်သည့် ပြင်ပ IP လိပ်စာမပါဘဲ သင်လုပ်ဆောင်နိုင်သည်။ ဒါပေမယ့် အားလုံးက ပံ့ပိုးပေးသူပေါ်မှာ မူတည်ပါတယ်။ ဟုတ်ပါတယ်၊ အသုံးပြုတဲ့ မတူညီတဲ့ ပံ့ပိုးပေးသူတွေနဲ့ NAT အမျိုးအစားတွေအကြောင်း နောက်ထပ် အချက်အလက်တွေ ထပ်ရချင်ပေမယ့် ဒါက အစပဲ...
Спасибозавнимание!

source: www.habr.com