🥇 פּשוט UDP לאָך פּאַנטשינג ניצן אַן IPIP טונעל ווי אַ ביישפּיל

גוטע צייט פון טאָג!

אין דעם אַרטיקל איך ווילן צו זאָגן איר ווי איך ימפּלאַמענאַד (איינער מער) אַ באַש שריפט פֿאַר קאַנעקטינג צוויי קאָמפּיוטערס ליגן הינטער NAT ניצן UDP לאָך פּאַנטשינג טעכנאָלאָגיע ניצן די ובונטו / דעביאַן אַס ווי אַ בייַשפּיל.

פאַרלייגן אַ קשר באשטייט פון עטלעכע סטעפּס:

סטאַרטינג אַ נאָדע און ווארטן פֿאַר די ווייַט נאָדע צו זיין גרייט;
דיטערמאַנינג די פונדרויסנדיק IP אַדרעס און ודפּ פּאָרט;
טראַנספערינג אַ פונדרויסנדיק IP אַדרעס און UDP פּאָרט צו אַ ווייַט באַלעבאָס;
באַקומען אַ פונדרויסנדיק IP אַדרעס און UDP פּאָרט פֿון אַ ווייַט באַלעבאָס;
אָרגאַניזאַציע פון אַן IPIP טונעל;
קאַנעקשאַן מאָניטאָרינג;
אויב די קשר איז פאַרפאַלן, ויסמעקן די IPIP טונעל.

איך געדאַנק פֿאַר אַ לאַנג צייַט און נאָך טראַכטן וואָס קענען זיין געוויינט צו וועקסל דאַטן צווישן נאָודז, די סימפּלאַסט און פאַסטאַסט פֿאַר מיר אין דעם מאָמענט איז ארבעטן דורך Yandex.disk.

ערשטער, עס איז גרינג צו נוצן - איר דאַרפֿן 3 אַקשאַנז: שאַפֿן, לייענען, ויסמעקן. מיט קערל דאָס איז:
שאַפֿן:

curl -s -X MKCOL --user "$usename:$password" https://webdav.yandex.ru/$folder

לייענען:

curl -s --user "$usename:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/$folder

ויסמעקן:

curl -s -X DELETE --user "$usename:$password" https://webdav.yandex.ru/$folder

צווייטנס, עס איז גרינג צו ינסטאַלירן:
```
apt install curl
```

צו באַשטימען די פונדרויסנדיק IP אַדרעס און UDP פּאָרט, נוצן די סטאַן-קליענט באַפֿעל:

stun stun.sipnet.ru -v -p $1 2>&1 | grep "MappedAddress"

ייַנמאָנטירונג מיט באַפֿעל:

apt install stun-client

צו אָרגאַניזירן אַ טונעל, נאָרמאַל אַס מכשירים פון די iproute2 פּעקל זענען געניצט. עקזיסטירט פילע טאַנאַלז וואָס קענען זיין אויפשטיין מיט נאָרמאַל מיטל (L2TPv3, GRE, אאז"ו ו), אָבער איך אויסדערוויילט IPIP ווייַל עס קריייץ מינימאַל נאָך מאַסע אויף די סיסטעם. איך געפרואווט L2TPv3 איבער UDP און איז געווען דיסאַפּויניד, די גיכקייַט דראַפּט 10 מאל, אָבער דאָס קען זיין פאַרשידן ריסטריקשאַנז שייַכות צו פּראַוויידערז אָדער עפּעס אַנדערש. זינט די IPIP טונעל אַפּערייץ אויף די IP מדרגה, די FOU טונעל איז געניצט צו אַרבעטן אויף די UDP פּאָרט מדרגה. צו אָרגאַניזירן אַן IPIP טונעל איר דאַרפֿן:

- לאָדן די FOU מאָדולע:

modprobe fou

- הערן צו היגע פּאָרט:

ip fou add port $localport ipproto 4

- שאַפֿן אַ טונעל:

ip link add name fou$name type ipip remote $remoteip local $localip encap fou  encap-sport $localport encap-dport $remoteport

- כאַפּן דעם טונעל צובינד:

ip link set up dev fou$name

- באַשטימען ינערלעך היגע און ינערלעך ווייַט IP אַדרעסעס פון דעם טונעל:

ip addr add $intIP peer $peerip dev fou$name

ויסמעקן אַ טונעל:

ip link del dev fou$name

ip fou del port $localport

די טונעל שטאַט איז מאָניטאָרעד דורך פּיריאַדיקלי פּינג די ינערלעך IP אַדרעס פון די ווייַט נאָדע טונעל מיט די באַפֿעל:

ping -c 1 $peerip -s 0

פּעריאָדיש פּינג איז בפֿרט דארף צו האַלטן דעם קאַנאַל, אַנדערש, ווען דער טונעל איז ליידיק, די NAT טישן אויף די ראָוטערס קען זיין קלירד און דער קשר וועט זיין צעבראכן.

אויב די פּינג פארשווינדט, די IPIP טונעל איז אויסגעמעקט און ווארטן פֿאַר גרייטקייַט פון די ווייַט באַלעבאָס.

דער שריפט אליין:

#!/bin/bash
username="[email protected]"
password="password"
folder="vpnid"
intip="10.0.0.1"
localport=`shuf -i 10000-65000 -n 1`
cid=`shuf -i 10000-99999 -n 1`
tid=`shuf -i 10-99 -n 1`
function yaread {
        curl -s --user "$1:$2" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/$3 | sed 's/></>n</g' | grep "displayname" | sed 's/<d:displayname>//g' | sed 's/</d:displayname>//g' | grep -v $3 | grep -v $4 | sort -r
}
function yacreate {
        curl -s -X MKCOL --user "$1:$2" https://webdav.yandex.ru/$3
}
function yadelete {
        curl -s -X DELETE --user "$1:$2" https://webdav.yandex.ru/$3
}
function myipport {
        stun stun.sipnet.ru -v -p $1 2>&1 | grep "MappedAddress" | sort | uniq | awk '{print $3}' | head -n1
}
function tunnel-up {
	modprobe fou
	ip fou add port $4 ipproto 4
	ip link add name fou$7 type ipip remote $1 local $3 encap fou encap-sport $4 encap-dport $2
	ip link set up dev fou$7
	ip addr add $6 peer $5 dev fou$7
}
function tunnel-check {
	sleep 10
        pings=0
        until [[ $pings == 4 ]]; do
                if ping -c 1 $1 -s 0 &>/dev/null;
                        then    echo -n .; n=0
                        else    echo -n !; ((pings++))
                fi
		sleep 15
        done
}
function tunnel-down {
	ip link del dev fou$1
	ip fou del port $2
}
trap 'echo -e "nDisconnecting..." && yadelete $username $password $folder; tunnel-down $tunnelid $localport; echo "IPIP tunnel disconnected!"; exit 1' 1 2 3 8 9 14 15
until [[ -n $end ]]; do
    yacreate $username $password $folder
    until [[ -n $ip ]]; do
        mydate=`date +%s`
        timeout="60"
        list=`yaread $username $password $folder $cid | head -n1`
        yacreate $username $password $folder/$mydate:$cid
        for l in $list; do
                if [ `echo $l | sed 's/:/ /g' | awk {'print $1'}` -ge $(($mydate-65)) ]; then
			#echo $list
                        myipport=`myipport $localport`
                        yacreate $username $password $folder/$mydate:$cid:$myipport:$intip:$tid
                        timeout=$(( $timeout + `echo $l | sed 's/:/ /g' | awk {'print $1'}` - $mydate + 3 ))
                        ip=`echo $l | sed 's/:/ /g' | awk '{print $3}'`
                        port=`echo $l | sed 's/:/ /g' | awk '{print $4}'`
                        peerip=`echo $l | sed 's/:/ /g' | awk '{print $5}'`
			peerid=`echo $l | sed 's/:/ /g' | awk '{print $6}'`
			if [[ -n $peerid ]]; then tunnelid=$(($peerid*$tid)); fi
                fi
        done
        if ( [[ -z "$ip" ]] && [ "$timeout" -gt 0 ] ) ; then
                echo -n "!"
                sleep $timeout
        fi
    done
    localip=`ip route get $ip | head -n1 | sed 's|.*src ||' | cut -d' ' -f1`
    tunnel-up $ip $port $localip $localport $peerip $intip $tunnelid
    tunnel-check $peerip
    tunnel-down $tunnelid $localport
    yadelete $username $password $folder
    unset ip port myipport
done
exit 0

וועריאַבאַלז נאמען, פּאַראָל и טעקע זאָל זיין די זעלבע אויף ביידע זייטן, אָבער עצה - אַנדערש, פֿאַר בייַשפּיל: 10.0.0.1 און 10.0.0.2. די צייט אויף די נאָודז מוזן זיין סינגקראַנייזד. איר קענען לויפן דעם שריפט ווי דאָס:

nohup script.sh &

איך וואָלט ווי צו ציען דיין ופמערקזאַמקייט צו די פאַקט אַז די IPIP טונעל איז אַנסייף פֿון די פונט פון מיינונג אַז דער פאַרקער איז נישט ינקריפּטיד, אָבער דאָס קענען זיין לייכט סאַלווד מיט IPsec איבער דעם אַרטיקל, ע ס אי ז מי ר געװע ן אײנפא ך או ן פארשטענדלעך .

איך האָבן שוין ניצן דעם שריפט צו פאַרבינדן צו אַ אַרבעט פּיסי פֿאַר עטלעכע וואָכן און איך האָבן נישט באמערקט קיין פראבלעמען. באַקוועם אין טערמינען פון באַשטעטיקן עס און פאַרגעסן עס.

טאָמער איר וועט האָבן באַמערקונגען און פֿירלייגן, איך וועל זיין צופרידן צו הערן.

גוט גליק!

מקור: www.habr.com

פּשוט ודפּ לאָך פּאַנטשינג מיט אַן IPIP טונעל ווי אַ בייַשפּיל

לייגן אַ באַמערקונג באָטל מאַכן ענטפער