SavePearlHarbor

Прямой VPN между компьютерами за NAT провайдеров без VPS

от автора

admin
Продолжение статьи о том, как мне удалось организовать прямой VPN-туннель между двумя компьютерами находящимися за NAT’ами провайдеров. В прошлой статье описывался процесс организации соединения с помощью третьей стороны — посредника (арендованный VPS выполняющий роль, что-то типа STUN-сервера и передатчика данных узлов для соединения). В этой статье я расскажу как обошелся без VPS, но посредник остался и им был Яндекс.Диск…

Введение

Прочитав комментарии прошлого поста я понял, что главным недостатком реализации было использование посредника — третьей стороны (VPS) которая указывала текущие параметры узла, куда и как подключаться. Учитывая рекомендации использовать настоящий STUN (коих очень много) для определения текущих параметров подключения. Первым делом я решил посмотреть при помощи TCPDump содержимое пакетов при работе STUN-сервера с клиентами и получил совершенно нечитабельное содержимое. Погуглив протокол наткнулся на статью с описанием протокола. Я понял что самостоятельно реализовать запрос к STUN-серверу я не могу и убрал задумку в «далекий ящик».

Теория

Недавно мне пришлось устанавливать STUN-сервер на Debian из пакета 

# apt install stun-server

и в зависимостях я увидел пакет stun-client, но как-то не придал этому значения. Но позже я вспомнил про пакет stun-client и решил разобраться как он работает, погуглив и пояндексив я получил: 

# apt install stun-client # stun stun.ekiga.net -p 21234 -v

В ответ я получил:

STUN client version 0.97
Opened port 21234 with fd 3
Opened port 21235 with fd 4
Encoding stun message:
Encoding ChangeRequest: 0

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 4

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 2

About to send msg of len 28 to 216.93.246.18:3478
Received stun message: 92 bytes
MappedAddress = <Мой IP>:2885
SourceAddress = 216.93.246.18:3478
ChangedAddress = 216.93.246.17:3479
Unknown attribute: 32800
ServerName = Vovida.org 0.98-CPC
Received message of type 257 id=1
Encoding stun message:
Encoding ChangeRequest: 0

About to send msg of len 28 to 216.93.246.17:3478
Encoding stun message:
Encoding ChangeRequest: 4

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 2

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 0

About to send msg of len 28 to <Мой IP>:2885
Received stun message: 28 bytes
ChangeRequest = 0
Received message of type 1 id=11
Encoding stun message:
Encoding ChangeRequest: 0

About to send msg of len 28 to 216.93.246.17:3478
Encoding stun message:
Encoding ChangeRequest: 4

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 2

About to send msg of len 28 to 216.93.246.18:3478
Received stun message: 92 bytes
MappedAddress = <Мой IP>:2885
SourceAddress = 216.93.246.17:3479
ChangedAddress = 216.93.246.18:3478
Unknown attribute: 32800
ServerName = Vovida.org 0.98-CPC
Received message of type 257 id=10
Encoding stun message:
Encoding ChangeRequest: 4

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 2

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 4

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 2

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 4

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 2

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 4

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 2

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 4

About to send msg of len 28 to 216.93.246.18:3478
Encoding stun message:
Encoding ChangeRequest: 2

About to send msg of len 28 to 216.93.246.18:3478
test I = 1
test II = 0
test III = 0
test I(2) = 1
is nat = 1
mapped IP same = 1
hairpin = 1
preserver port = 0
Primary: Independent Mapping, Port Dependent Filter, random port, will hairpin
Return value is 0x000006

Строка со значением

MappedAddress = <Мой IP>:2885

как раз то, что надо! Она отображала текущее состояние для соединения на локальном UDP порту 21234. Но это всего лишь пол дела, встал вопрос как передать эти данные удаленному узлу и организовать VPN-соединение. Использование почтового протокола, а может Telegram?! Вариантов много и решил использовать Яндекс.диск, так как попадалась мне статья о работе Curl через WebDav с Яндекс.диском. Подумав над реализацией я пришел к такой схеме:

  1. Сигнализировать о готовности узлов к установке соединения наличием определенного файла с временной меткой на Яндекс.диске;
  2. Если узлы готовы, то получать текущие параметры от STUN-сервера;
  3. Выгружать текущие параметры на Яндекс.диск;
  4. Проверять наличие и считывать параметры удаленного узла из файла на Яндекс.диске;
  5. Установка соединения с удаленным узлом с помощью OpenVPN.

Практика

Немного подумав и переняв опыт прошлого раза, написал на скорую руку скрипт.
Собственно сам скрипт: 

# cat vpn8.sh

#!/bin/bash ######################## Задаем цветной текст ### WARN='\033[37;1;41m'				# END='\033[0m'					# RED='\033[0;31m'         #  ${RED}		# GREEN='\033[0;32m'      #  ${GREEN}		# ################################################# ####################### Проверяем наличие необходымих приложений ######################################################### al="echo readlink dirname grep awk md5sum shuf nc curl sleep openvpn cat stun" ch=0 for i in $al; do which $i > /dev/null || echo -e "${WARN}Для работы необходим $i ${END}"; which $i > /dev/null || ch=1; done if (( $ch > 0 )); then echo -e "${WARN}Ой, отсутствуют необходимые для корректной работы приложения${END}"; exit; fi #######################################################################################################################  if [[ $1 == '' ]]; then echo -e "${WARN}Введите идентификатор соединения (любое уникальное слово, должно быть одинаковое с двух сторон!) ${END} \t ${GREEN}Для запуска в автоматическом режиме при включении компьютера можно прописать в /etc/rc.local строку nohup /<путь к файлу>/vpn8.sh  > /var/log/vpn8.log 2>/dev/hull & ${END}"; exit; fi ABSOLUTE_FILENAME=`readlink -f "$0"`                                                    # полный путь до скрипта DIR=`dirname "$ABSOLUTE_FILENAME"`                                                      # каталог в котором лежит скрипт ############################### Проверка наличия секретного ключа ################################## key="$DIR/secret.key" if [ ! -f "$key" ]; then 				echo -e "${WARN}Секретный ключ VPN-соединения не найден, для генерации ключа выполните: \ openvpn --genkey --secret secret.key Внимание: ключ используется для авторизации и должен \ быть одинаковым с двух сторон!!!${END}  # ls -l secret.key  -rw------- 1 root root 637 ноя 27 11:12 secret.key  # chmod 600 secret.key"; 				exit; 				fi ########################################################################################################################  ABSOLUTE_FILENAME=`readlink -f "$0"`                                                    # полный путь до скрипта DIR=`dirname "$ABSOLUTE_FILENAME"`                                                      # каталог в котором лежит скрипт name=$(uname -n | md5sum | awk '{print $1}') vpn=$(echo $1 | md5sum | awk '{print $1}') stun="stun.ekiga.net" 	# STUN сервер username="Yandex"	# Логин от Яндекс.диска	 password="Password"	# Пароль от Яндекс.диска localport=`shuf -i 20000-65000 -n 1`	# генерация локального порта  echo "$(date) Создаю папку на Яндекс.диске" curl -X MKCOL --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn echo "$(date) Очищаю папку от всякого мусора" for i in `curl --silent --user "$username:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname" | sed 's/d:displayname//g' | sed 's/>//g' | sed 's/<//' | sed 's/\///g' | grep -v $(date +%Y-%m-%d-%H-%M)`; do 	echo "$(date) Delete: $i" 	curl -X DELETE --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn/$i 	done  until [ $c ];do  	until [[ $b ]]; do 		echo "$(date) Проверяю папку" 		date=`date +%Y-%m-%d-%H-%M` 		mydata=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep $name | grep $date | grep "d:displayname"` 		if [[ -z $mydata ]]; 	then 						echo "$(date) Файл готовности создан" 					        echo "$date" > "/tmp/$date-$name-ready.txt" 					        curl -T "/tmp/$date-$name-ready.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$date-$name-ready.txt 					else 						echo "$(date) Файл готовности уже существует - $date" 					fi 		remote=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep -v $name | grep $date | grep "d:displayname"` 		if [[ -z $remote ]];	then 						echo -e "$(date) ${RED} Удаленный узел не готов ${END}" 						echo "$(date) Жду" 						sleep 20 					else 						echo -e "$(date) ${GREEN} Удаленный узел готов ${END}" 						b=1 						a='' 					fi 	done  	until [ $a ]; do 		echo "$(date) Подключение и получение данных от STUN сервера: $stun"                 stun $stun -p $localport -v 2>&1 | grep MappedAddress | sort |uniq > "$DIR/mydata"                 echo "$(date) Ожидание завершения соединения получения данных от STUN сервера"                 sleep 4                 echo "$(date) Загрузка данных на Яндекс.диск"                 curl -T "$DIR/mydata" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$name.txt 		echo "$(date) Получение файла данных удаленного узла" 		filename=$(curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname>" | grep "txt" | grep -v "$name" | grep -v "ready" | sed 's|.*d:displayname>||' | sed 's/</ /g' | awk '{print $1}') 		echo "$(date) Чтение файла данных удаленного узла: $filename" 		address=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | sort | uniq | head -n1 | sed 's/:/ /g') 		echo "$(date) Определение IP-адреса и порта" 		ip=$(echo "$address" | awk '{print $3}') 		port=$(echo "$address" | awk '{print $4}') 		if [[ -n "$ip" && -n "$port" ]]; then 			echo -e "$(date) ${GREEN} Соединение $ip $port ${END}"        		 	openvpn --remote $ip --rport $port --lport $localport \ 	       	 	    --proto udp --dev tap --float --auth-nocache --verb 3 --mute 20 \ 	       	 	    --ifconfig 10.45.54.2 255.255.255.252 \ 	       		    --secret "$DIR/secret.key" \ 	       		    --auth SHA256 --cipher AES-256-CBC \ 	        	    --ncp-disable --ping 10  --ping-exit 30 \ 	        	    --comp-lzo yes 			echo -e "$(date) ${WARN} Соединение разорвано${END}" 			a=1 			b='' 			else 			a=1 			b='' 			fi 	done done

Для работы скрипта нужно:

  1. Скопировать в буфер и вставить в редактор, например:
    # nano vpn8.sh
  2. указать логин и пароль от Яндекс.диска.
  3. в поле «—ifconfig 10.45.54.(1 или 2) 255.255.255.252» указать внутренний IP-адрес интерфейса
  4. cоздать secret.key командой:
    # openvpn --genkey --secret secret.key
  5. сделать скрипт исполняемым:
    # chmod +x vpn8.sh
  6. запустить скрипт:
    # ./vpn8.sh nZbVGBuX5dtturD

    где nZbVGBuX5dtturD — ID-соединения сгенерированный тут

На удаленном узле произвести всё тоже самое за исключением генерации secret.key и ID-соединения, они должны быть идентичными.
Для автозапуска скрипта при включении я использую команду «nohup /<путь до скрипта>/vpn8.sh nZbVGBuX5dtturD > /var/log/vpn8.log 2>/dev/null &» содержащиюся в файле /etc/rc.local

Заключение

Скрипт работает, проверен на Ubuntu 18.04 и Debian 9. В качестве передатчика можно использовать любой другой сервис, но для опыта я использовал Яндекс.диск.
Планирую доработать в плане:

  • Автоматической генерации secret.key каждый раз при старте, шифровании и копирования на Яндекс.диск для передачи на удаленный узел
  • Автоматического назначения IP-адресов интерфейсов
  • Шифрования данных перед выгрузкой на Яндекс.диск
  • Оптимизация кода

Да будет IPv6 в каждом доме!


ссылка на оригинал статьи https://habr.com/ru/post/481034/

Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *