פליסנדיק אַ VPN סערווער הינטער די NAT ​​פון די שפּייַזער

אַן אַרטיקל וועגן ווי איך געראטן צו לויפן אַ VPN סערווער הינטער די NAT ​​פון מיין היים שפּייַזער (אָן אַ ווייַס IP אַדרעס). לאָזן מיר מאַכן אַ רעזערוואַציע גלייך: אַז די פאָרשטעלונג פון דעם ימפּלאַמענטיישאַן גלייַך דעפּענדס אויף די טיפּ פון NAT געניצט דורך דיין שפּייַזער, ווי געזונט ווי די ראַוטער.
אַזוי, איך דארף צו פאַרבינדן פון מיין אַנדרויד סמאַרטפאָנע צו מיין היים קאָמפּיוטער, ביידע דעוויסעס זענען קאָננעקטעד צו די אינטערנעט דורך פּראַוויידער NATs, פּלוס די קאָמפּיוטער איז קאָננעקטעד דורך אַ היים ראַוטער, וואָס אויך NAT קאַנעקשאַנז.
דער קלאַסיש סכעמע ניצן אַ ליסט VPS / VDS מיט אַ ווייַס IP אַדרעס, ווי געזונט ווי רענטינג אַ ווייַס IP אַדרעס פון אַ שפּייַזער, איז נישט קאַנסידערד פֿאַר עטלעכע סיבות.
גענומען אין חשבון דערפאַרונג פון פאַרגאַנגענהייט אַרטיקלען, ווייל געפירט עטלעכע יקספּעראַמאַנץ מיט STUNs און NATs פון פּראַוויידערז. איך באַשלאָסן צו טאָן אַ ביסל עקספּערימענט דורך לויפן די באַפֿעל אויף אַ היים ראַוטער מיט OpenWRT פירמוואַרע:

$ stun stun.sipnet.ru

באַקומען די רעזולטאַט:

STUN קליענט ווערסיע 0.97
ערשטיק: אומאָפּהענגיק מאַפּינג, אומאָפּהענגיק פֿילטריר, טראַפ פּאָרט, וועט זיין האַירפּין
צוריקקומען ווערט איז 0x000002

ליטעראַלע איבערזעצונג:
פרייַ מאַפּינג - פרייַ מאַפּינג
פרייַ פילטער - פרייַ פילטער
טראַפ פּאָרט - טראַפ - פּאָרט
יִשְׂרָאֵל יִשְׂרָאֵל - יִהְיֶה אֶת הַשְּׂרִיפָה
ווען איך לויפן אַ ענלעך באַפֿעל אויף מיין פּיסי, איך גאַט:

STUN קליענט ווערסיע 0.97
ערשטיק: אומאָפּהענגיק מאַפּינג, פּאָרט אָפענגיק פֿילטריר, טראַפ - פּאָרט, האַירפּין
צוריקקומען ווערט איז 0x000006

פּאָרט אָפענגיק פילטער - פּאָרט אָפענגיק פילטער
דער חילוק אין די רעזולטאטן פון די באַפֿעל רעזולטאַט האט אנגעוויזן אַז דער היים ראַוטער איז געווען "זייַן צושטייַער" צו דעם פּראָצעס פון טראַנסמיטינג פּאַקיץ פֿון דער אינטערנעץ; דאָס איז געווען ארויסגעוויזן אין די פאַקט אַז ווען עקסאַקיוטינג די באַפֿעל אויף די קאָמפּיוטער:

stun stun.sipnet.ru -p 11111 -v

איך האב באקומען די תוצאה:

...
מאַפּטאַד אַדרעס = XX.1XX.1X4.2XX:4398
...

אין דעם מאָמענט, אַ ודפּ סעסיע איז געווען אָפּענעד פֿאַר עטלעכע מאָל, אויב אין דעם מאָמענט איר שיקן אַ ודפּ בעטן (למשל: netcat XX.1XX.1X4.2XX 4398 -u), דעמאָלט דער בקשה געקומען צו די היים ראַוטער, וואָס איז געווען באשטעטיקט דורך TCPDump פליסנדיק אויף עס, אָבער די בקשה האט נישט דערגרייכן דעם קאָמפּיוטער - IPtables, ווי אַ NAT איבערזעצער אויף די ראַוטער, דראַפּט עס.

אָבער דער פאַקט אַז די UDP בעטן דורכגעגאנגען דורך די NAT ​​פון די שפּייַזער האט האָפענונג פֿאַר הצלחה. זינט דער ראַוטער איז ליגן אין מיין דזשוריסדיקשאַן, איך סאַלווד דעם פּראָבלעם דורך רידערעקטינג די UDP/11111 פּאָרט צו די קאָמפּיוטער:

iptables -t nat -A PREROUTING -i eth1 -p udp -d 10.1XX.2XX.XXX --dport 11111 -j DNAT --to-destination 192.168.X.XXX

אזוי, איך איז געווען ביכולת צו אָנהייבן אַ UDP סעסיע און באַקומען ריקוועס פֿון די אינטערנעט פֿון קיין IP אַדרעס. אין דעם מאָמענט, איך לאָנטשט OpenVPN-סערווער (מיט פריער קאַנפיגיערד עס) צוגעהערט צו UDP/11111 פּאָרט, אנגעוויזן די פונדרויסנדיק IP אַדרעס און פּאָרט (XX.1XX.1X4.2XX:4398) אויף די סמאַרטפאָנע און הצלחה קאָננעקטעד פֿון די סמאַרטפאָנע צו די קאָמפּיוטער. אָבער אין דעם ימפּלאַמענטיישאַן, אַ פּראָבלעם איז אויפגעשטאנען: עס איז נייטיק צו עפעס האַלטן די UDP סעסיע ביז די OpenVPN קליענט איז קאָננעקטעד צו די סערווער; איך האָב ניט ליב די אָפּציע פון ​​פּיריאַדיקלי קאַטער די STUN קליענט - איך טאָן נישט וועלן צו וויסט די מאַסע אויף די STUN סערווערס.
איך אויך באמערקט די פּאָזיציע "יִשְׂרָאֵל יִשְׂרָאֵל - יִהְיֶה אֶת הַשְּׂרִיפָה", דעם מאָדע

האַירפּיננינג אַלאַוז איין מאַשין אויף אַ היגע נעץ הינטער אַ NAT צו אַקסעס אן אנדער מאַשין אויף דער זעלביקער נעץ אין די פונדרויסנדיק אַדרעס פון די ראַוטער.

ווי אַ רעזולטאַט, איך פשוט סאַלווד די פּראָבלעם פון מיינטיינינג אַ ודפּ סעסיע - איך לאָנטשט דעם קליענט אויף דער זעלביקער קאָמפּיוטער מיט די סערווער.
עס געארבעט ווי דאָס:

• לאָנטשט די STUN קליענט אויף היגע פּאָרט 11111
• באקומען אַ ענטפער מיט אַ פונדרויסנדיק IP אַדרעס און פּאָרט XX.1XX.1X4.2XX:4398
• געשיקט דאַטן מיט אַ פונדרויסנדיק IP אַדרעס און פּאָרט צו E- בריוו (קיין אנדערע דינסט איז מעגלעך) קאַנפיגיערד אויף די סמאַרטפאָנע
• לאָנטשט די OpenVPN סערווער אויף אַ קאָמפּיוטער צוגעהערט צו UDP/11111 פּאָרט
• לאָנטשט די OpenVPN קליענט אויף דעם קאָמפּיוטער וואָס ספּעציפיצירט XX.1XX.1X4.2XX: 4398 פֿאַר קשר
• אין קיין צייט לאָנטשט די OpenVPN קליענט אויף די סמאַרטפאָנע וואָס ינדיקייץ די IP אַדרעס און פּאָרט (אין מיין פאַל די IP אַדרעס האט נישט טוישן) צו פאַרבינדן

דעם וועג איך איז געווען ביכולת צו פאַרבינדן צו מיין קאָמפּיוטער פֿון מיין סמאַרטפאָנע. די ימפּלאַמענטיישאַן אַלאַוז איר צו פאַרבינדן קיין OpenVPN קליענט.

פיר

איר וועט דאַרפֿן:

# apt install openvpn stun-client sendemail

מיר האָבן געשריבן אַ פּאָר פון סקריפּס, אַ פּאָר פון קאַנפיגיעריישאַן טעקעס און דזשענערייטאַד די נייטיק סערטיפיקאַץ (זינט דער קליענט אויף אַ סמאַרטפאָנע אַרבעט בלויז מיט סערטיפיקאַץ), מיר האָבן די געוויינטלעך ימפּלאַמענטיישאַן פון אַן OpenVPN סערווער.

הויפּט שריפט אויף די קאָמפּיוטער

# cat vpn11.sh

#!/bin/bash
until [[ -n "$iftosrv" ]]; do echo "$(date) Определяю сетевой интерфейс"; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'`; sleep 5; done
ABSOLUTE_FILENAME=`readlink -f "$0"`
DIR=`dirname "$ABSOLUTE_FILENAME"`
localport=11111
until [[ $a ]]; do
	address=`stun stun.sipnet.ru -v -p $localport 2>&1 | grep "MappedAddress" | sort | uniq | head -n 1 | sed 's/:/ /g' | awk '{print $3" "$4}'`
        ip=`echo "$address" | awk {'print $1'}`
        port=`echo "$address" | awk {'print $2'}`
	srv="openvpn --config $DIR/server.conf --port $localport --daemon"
	$srv
	echo "$(date) Сервер запущен с внешним адресом $ip:$port"
	$DIR/sendemail.sh "OpenVPN-Server" "$ip:$port"
	sleep 1
	openvpn --config $DIR/client.conf --remote $ip --port $port
	echo "$(date) Cоединение клиента с сервером разорвано"
	for i in `ps xa | grep "$srv" | grep -v grep | awk '{print $1}'`; do
		kill $i && echo "$(date) Завершен процесс сервера $i ($srv)"
		done
	echo "Жду 15 сек"
	sleep 15
	done

שריפט פֿאַר שיקט דאַטן דורך בליצפּאָסט:

# cat sendemail.sh 

#!/bin/bash
from="От кого"
pass="Пароль"
to="Кому"
theme="$1"
message="$2"
server="smtp.yandex.ru:587"
sendEmail -o tls=yes -f "$from" -t "$to" -s "$server" -xu "$from" -xp "$pass" -u "$theme" -m "$message"

סערווירער קאַנפיגיעריישאַן טעקע:

# cat server.conf

proto udp
dev tun
ca      /home/vpn11-srv/ca.crt
cert    /home/vpn11-srv/server.crt
key     /home/vpn11-srv/server.key
dh      /home/vpn11-srv/dh2048.pem
server 10.2.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
tls-server
tls-auth /home/vpn11-srv/ta.key 0
tls-timeout 60
auth    SHA256
cipher  AES-256-CBC
client-to-client
keepalive 10 30
comp-lzo
max-clients 10
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-server.log
verb 3
mute 20

קליענט קאַנפיגיעריישאַן טעקע:

# cat client.conf

client
dev tun
proto udp
ca      "/home/vpn11-srv/ca.crt"
cert    "/home/vpn11-srv/client1.crt"
key     "/home/vpn11-srv/client1.key"
tls-client
tls-auth "/home/vpn11-srv/ta.key" 1
auth SHA256
cipher AES-256-CBC
auth-nocache
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
log /var/log/vpn11-clent.log
verb 3
mute 20
ping 10
ping-exit 30

סערטיפיקאַץ זענען דזשענערייטאַד ניצן דעם אַרטיקל.
לויפן די שריפט:

# ./vpn11.sh

דורך ערשטער מאכן עס עקסעקוטאַבלע

# chmod +x vpn11.sh

אויף די סמאַרטפאָנע זייַט

דורך ינסטאָלינג די אַפּלאַקיישאַן OpenVPN פֿאַר אַנדרויד, נאָך קאַפּיד די קאַנפיגיעריישאַן טעקע, סערטיפיקאַץ און קאַנפיגיערד עס, עס פארקערט אויס ווי דאָס:
איך טשעק מיין אימעיל אויף מיין סמאַרטפאָנע
איך רעדאַגירן די פּאָרט נומער אין די סעטטינגס
איך קאַטער דעם קליענט און פאַרבינדן

בשעת שרייבן דעם אַרטיקל, איך טראַנספערד די קאַנפיגיעריישאַן פון מיין קאָמפּיוטער צו די Raspberry Pi 3 און געפרוווט צו לויפן די גאנצע זאַך אויף אַ לטע מאָדעם, אָבער עס האט נישט אַרבעטן! באַפֿעל רעזולטאַט

# stun stun.ekiga.net -p 11111

STUN קליענט ווערסיע 0.97
ערשטיק: אומאָפּהענגיק מאַפּינג, פּאָרט אָפענגיק פֿילטריר, טראַפ - פּאָרט, האַירפּין
צוריקקומען ווערט איז 0x000006

ווערט פּאָרט אָפענגיק פילטער האט נישט לאָזן די סיסטעם צו אָנהייבן.
אָבער דער היים שפּייַזער ערלויבט די סיסטעם צו אָנהייבן אויף די Raspberry Pi 3 אָן קיין פראבלעמען.
אין קאַנדזשאַנגקשאַן מיט אַ וועבקאַם, מיט VLC פֿאַר
קריייטינג אַ RTSP טייַך פֿון אַ וועבקאַם

$ cvlc v4l2:///dev/video0:chroma=h264 :input-slave=alsa://hw:1,0 --sout '#transcode{vcodec=x264,venc=x264{preset=ultrafast,profile=baseline,level=31},vb=2048,fps=12,scale=1,acodec=mpga,ab=128,channels=2,samplerate=44100,scodec=none}:rtp{sdp=rtsp://10.2.0.1:8554/}' --no-sout-all --sout-keep

און וולק אויף אַ סמאַרטפאָנע פֿאַר וויוינג (סטרים rtsp://10.2.0.1:8554/), עס איז געווען אַ גוט ווייַט ווידעא סערוויילאַנס סיסטעם, איר קענען אויך ינסטאַלירן סאַמבאַ, מאַרשרוט פאַרקער דורך וופּן, רימאָוטלי קאָנטראָל דיין קאָמפּיוטער און פיל. מער...

רעזולטאַט

ווי פיר האט געוויזן, צו אָרגאַניזירן אַ וופּן סערווער, איר קענען טאָן אָן אַ פונדרויסנדיק IP אַדרעס פֿאַר וואָס איר דאַרפֿן צו באַצאָלן, פּונקט ווי פֿאַר אַ רענטאַד וופּס / וודס. אבער עס אַלע דעפּענדס אויף דער שפּייַזער. דאָך, איך געוואלט צו באַקומען מער אינפֿאָרמאַציע וועגן די פאַרשידענע פּראַוויידערז און טייפּס פון NAT געניצט, אָבער דאָס איז נאָר דער אָנהייב ...
גוט גליק!

מקור: www.habr.com