👋🏽 🤢 🥜 Túnel VPN directo entre computadoras a través de proveedores NAT (sin VPS, usando un servidor STUN y Yandex.Disk) 📻 💟 🦐

La continuación del artículo sobre cómo logré organizar un túnel VPN directo entre dos computadoras ubicadas detrás de los proveedores de NAT. El último artículo describió el proceso de organizar una conexión con un tercero: un intermediario (un VPS alquilado que actúa como un servidor STUN y un transmisor de datos de nodo para una conexión). En este artículo, le diré cómo prescindir de VPS, pero los intermediarios permanecieron y fueron el servidor STUN y Yandex.Disk ...

Introduccion

Después de leer los comentarios de la última publicación, me di cuenta de que el principal inconveniente de la implementación era el uso de un intermediario, un tercero (VPS) que indicaba los parámetros actuales del nodo, dónde y cómo conectarse. Dadas las recomendaciones para usar este STUN (hay muchas ) para determinar los parámetros de conexión actuales. En primer lugar, decidí mirar el contenido de los paquetes usando TCPDump cuando el servidor STUN estaba trabajando con clientes y recibía contenido completamente ilegible. Googleando el protocolo se encontró con un artículo que describe el protocolo . Me di cuenta de que no puedo implementar la solicitud al servidor STUN yo mismo y puse la idea en el "cuadro lejano".

Teoría

Recientemente tuve que instalar un servidor STUN en Debian desde un paquete

# apt install stun-server

y en las dependencias vi el paquete aturdidor-cliente, pero de alguna manera no le di importancia a esto. Pero más tarde, recordé sobre el paquete aturdidor-cliente y decidí averiguar cómo funciona, buscando en Google y Poindeksiv que recibí:

 # apt install stun-client # stun stun.ekiga.net -p 21234 -v

En respuesta, recibí:

Cliente STUN versión 0.97
Puerto abierto 21234 con fd 3
Puerto abierto 21235 con fd 4
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 0

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 4

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 2

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Mensaje de aturdimiento recibido: 92 bytes
MappedAddress = <Mi IP>: 2885
SourceAddress = 216.93.246.18//478
ChangedAddress = 216.93.246.17lla479
Atributo desconocido: 32800
ServerName = Vovida.org 0.98-CPC
Mensaje recibido del tipo 257 id = 1
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 0

A punto de enviar un mensaje de len 28 a 216.93.246.17lla478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 4

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 2

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 0

A punto de enviar un mensaje de len 28 a <Mi IP>: 2885
Mensaje de aturdimiento recibido: 28 bytes
ChangeRequest = 0
Mensaje recibido de tipo 1 id = 11
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 0

A punto de enviar un mensaje de len 28 a 216.93.246.17lla478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 4

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 2

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Mensaje de aturdimiento recibido: 92 bytes
MappedAddress = <Mi IP>: 2885
SourceAddress = 216.93.246.17lla479
ChangedAddress = 216.93.246.18 {478
Atributo desconocido: 32800
ServerName = Vovida.org 0.98-CPC
Mensaje recibido del tipo 257 id = 10
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 4

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 2

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 4

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 2

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 4

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 2

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 4

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 2

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 4

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
Codificar mensaje de aturdimiento:
Solicitud de cambio de codificación: 2

A punto de enviar un mensaje de len 28 a 216.93.246.18 opin478
prueba I = 1
prueba II = 0
prueba III = 0
prueba I (2) = 1
es nat = 1
IP asignada igual = 1
horquilla = 1
puerto de conservador = 0
Primario: mapeo independiente, filtro dependiente del puerto, puerto aleatorio, horquilla
El valor de retorno es 0x000006

Cadena con valor

MappedAddress = <Mi IP>: 2885

justo lo que necesitas! Mostraba el estado actual de la conexión en el puerto UDP local 21234. Pero esto es solo la mitad de la batalla, surgió la pregunta de cómo transferir estos datos a un host remoto y establecer una conexión VPN. Usando el protocolo de correo, ¿tal vez Telegram? Hay muchas opciones y decidí usar Yandex.Disk, ya que encontré un artículo sobre cómo Curl funciona a través de WebDav con Yandex.Disk . Después de pensar en la implementación, llegué a este esquema:

Para indicar que los nodos están listos para establecer una conexión por la presencia de un archivo específico con una marca de tiempo en Yandex.disk;
Si los nodos están listos, obtenga los parámetros actuales del servidor STUN;
Suba los parámetros actuales a Yandex.Disk;
Verifique la disponibilidad y lea los parámetros de un sitio remoto desde un archivo en Yandex.Disk;
Establezca una conexión a un host remoto utilizando OpenVPN.

Practica

Después de pensar un poco, teniendo en cuenta la experiencia del artículo anterior, escribí un guión rápido. Necesitaremos:

 # apt install openvpn stun-client curl

En realidad, el guión en sí mismo:

Opción inicial

 # cat vpn8.sh

 #!/bin/bash ########################    ### WARN='\033[37;1;41m' # END='\033[0m' # RED='\033[0;31m' # ${RED} # GREEN='\033[0;32m' # ${GREEN} # ################################################# #######################     ######################################################### al="echo readlink dirname grep awk md5sum shuf nc curl sleep openvpn cat stun" ch=0 for i in $al; do which $i > /dev/null || echo -e "${WARN}   $i ${END}"; which $i > /dev/null || ch=1; done if (( $ch > 0 )); then echo -e "${WARN},      ${END}"; exit; fi ####################################################################################################################### if [[ $1 == '' ]]; then echo -e "${WARN}   (  ,      !) ${END} \t ${GREEN}           /etc/rc.local  nohup /<  >/vpn8.sh > /var/log/vpn8.log 2>/dev/hull & ${END}"; exit; fi ABSOLUTE_FILENAME=`readlink -f "$0"` #     DIR=`dirname "$ABSOLUTE_FILENAME"` #      ###############################     ################################## key="$DIR/secret.key" if [ ! -f "$key" ]; then echo -e "${WARN}  VPN-  ,    : \ openvpn --genkey --secret secret.key :       \     !!!${END} # ls -l secret.key -rw------- 1 root root 637  27 11:12 secret.key # chmod 600 secret.key"; exit; fi ######################################################################################################################## ABSOLUTE_FILENAME=`readlink -f "$0"` #     DIR=`dirname "$ABSOLUTE_FILENAME"` #      name=$(uname -n | md5sum | awk '{print $1}') vpn=$(echo $1 | md5sum | awk '{print $1}') stun="stun.ekiga.net" # STUN  username="Yandex" #   . password="Password" #   . localport=`shuf -i 20000-65000 -n 1` #    echo "$(date)    ." curl -X MKCOL --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn echo "$(date)     " for i in `curl --silent --user "$username:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname" | sed 's/d:displayname//g' | sed 's/>//g' | sed 's/<//' | sed 's/\///g' | grep -v $(date +%Y-%m-%d-%H-%M)`; do echo "$(date) Delete: $i" curl -X DELETE --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn/$i done until [ $c ];do until [[ $b ]]; do echo "$(date)  " date=`date +%Y-%m-%d-%H-%M` mydata=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep $name | grep $date | grep "d:displayname"` if [[ -z $mydata ]]; then echo "$(date)   " echo "$date" > "/tmp/$date-$name-ready.txt" curl -T "/tmp/$date-$name-ready.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$date-$name-ready.txt else echo "$(date)     - $date" fi remote=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep -v $name | grep $date | grep "d:displayname"` if [[ -z $remote ]]; then echo -e "$(date) ${RED}     ${END}" echo "$(date) " sleep 20 else echo -e "$(date) ${GREEN}    ${END}" b=1 a='' fi done until [ $a ]; do echo "$(date)      STUN : $stun" mydata=`stun $stun -p $localport -v 2>&1 | grep MappedAddress | sort | uniq` echo -e "$(date) ${GREEN}  : $mydata${END}" echo "$mydata" > "$DIR/mydata" echo "$(date)    ." curl -T "$DIR/mydata" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$name.txt echo "$(date)     " filename=$(curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname>" | grep "txt" | grep -v "$name" | grep -v "ready" | sed 's|.*d:displayname>||' | sed 's/</ /g' | awk '{print $1}') echo "$(date)     : $filename" address=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | sort | uniq | head -n1 | sed 's/:/ /g') echo "$(date)  IP-  " ip=$(echo "$address" | awk '{print $3}') port=$(echo "$address" | awk '{print $4}') if [[ -n "$ip" && -n "$port" ]]; then echo -e "$(date) ${GREEN}  $ip $port ${END}" openvpn --remote $ip --rport $port --lport $localport \ --proto udp --dev tap --float --auth-nocache --verb 3 --mute 20 \ --ifconfig 10.45.54.2 255.255.255.252 \ --secret "$DIR/secret.key" \ --auth SHA256 --cipher AES-256-CBC \ --ncp-disable --ping 10 --ping-exit 30 \ --comp-lzo yes echo -e "$(date) ${WARN}  ${END}" a=1 b='' else a=1 b='' fi done done

Para ejecutar el script necesitas:

Copie en el portapapeles y péguelo en el editor, por ejemplo:
```
 # nano vpn8.sh 
```
especifique el nombre de usuario y la contraseña de Yandex.Disk.
en el campo "--ifconfig 10.45.54. (1 o 2) 255.255.255.252" especifique la dirección IP interna de la interfaz

crear secret.key con el comando:

 # openvpn --genkey --secret secret.key

hacer que el script sea ejecutable:
```
 # chmod +x vpn8.sh 
```
ejecuta el script:
```
 # ./vpn8.sh nZbVGBuX5dtturD 
```
donde nZbVGBuX5dtturD es la ID de conexión generada aquí

En el nodo remoto, haga lo mismo excepto por la generación de secret.key y la conexión de ID, deben ser idénticos.

Versión actualizada (para un funcionamiento correcto, la hora debe estar sincronizada):

 cat vpn10.sh

 #!/bin/bash stuns="stun.sipnet.ru stun.ekiga.net" #  STUN    username=" Login " #   . password=" Password " #   . intip="10.23.22.1" # IP-   WARN='\033[37;1;41m' END='\033[0m' RED='\033[0;31m' GREEN='\033[0;32m' al="ip echo readlink dirname grep awk md5sum openssl sha256sum shuf curl sleep openvpn cat stun" ch=0 for i in $al; do which $i > /dev/null || echo -e "${WARN}   $i ${END}"; which $i > /dev/null || ch=1; done if (( $ch > 0 )); then echo -e "${WARN},      ${END}"; exit; fi if [[ $1 == '' ]]; then echo -e "${WARN}   (  ,      !) ${END} \t ${GREEN}           /etc/rc.local  nohup /<  >/vpn10.sh > /var/log/vpn10.log 2>/dev/hull & ${END}" exit fi ABSOLUTE_FILENAME=`readlink -f "$0"` #     DIR=`dirname "$ABSOLUTE_FILENAME"` #      key="$DIR/secret.key" until [[ -n "$iftosrv" ]] do echo "$(date)   "; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'` sleep 5 done timedatectl name=$(uname -n | md5sum | awk '{print $1}') vpn=$(echo $1 | md5sum | awk '{print $1}') echo "$(date)    ." curl -X MKCOL --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn echo "$(date) ID  : $vpn" until [ $c ];do echo "$(date)     " for i in `curl --silent --user "$username:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname" | sed 's/d:displayname//g' | sed 's/>//g' | sed 's/<//' | sed 's/\///g' | grep -v $(date +%Y-%m-%d-%H-%M)` do echo -e "$(date)${RED}   : $i${END}" curl -X DELETE --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn/$i done echo "$(date) ID  : $vpn" openvpn --genkey --secret "$key" passwd=`echo "$vpn-tt" | sha256sum | awk '{print $1}'` openssl AES-256-CBC -e -in "$key" -out "$DIR/file.enc" -k "$passwd" -base64 curl -T "$DIR/file.enc" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/key.enc rm "$DIR"/file.enc echo -e "$(date) ${GREEN} 1 -    ${END}" go=3 localport=`shuf -i 20000-65000 -n 1` #    start='' remote='' timeout1='' nextcheck='' timestart='' until [[ $b ]] do echo "$(date)  " date=`date +%s` timeout1=60 echo "$(date)    $date" echo "$date" > "/tmp/ready-$date-$name.txt" curl -T "/tmp/ready-$date-$name.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/ready-$name.txt readyfile=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep -v $name | grep "ready" | grep "d:displayname" | sed 's/<d:displayname>//g' | sed 's/<\/d:displayname>//g'` if [[ -z $readyfile ]] then echo -e "$(date) ${RED}     ${END}" echo "$(date)  60 " sleep $timeout1 else remote=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$readyfile) echo -e "$(date) ${GREEN}    ${END}" start=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep "start" | grep "d:displayname" | sed 's/-/ /g' | awk '{print $2}'` if [[ -z $start ]] then let nextcheck=$timeout1-$date+$remote let timestart=$date+$timeout1-$nextcheck go=$nextcheck echo "$timestart" > "/tmp/start-$date-$name.txt" curl -T "/tmp/start-$date-$name.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/start-$date-$name.txt else echo "$(date)  $go " sleep $go b=1 a='' fi fi done echo -e "$(date) ${GREEN} 2 -     ${END}" mydata='' filename='' address='' myip='' ip='' port='' ex=0 until [ $a ]; do until [[ -n "$mydata" ]]; do k=`echo "$stuns" | wc -w` x=1 z=`shuf -i 1-$k -n 1` for st in $stuns; do if [[ $x == $z ]]; then stun=$st; fi; (( x++ )); done echo "$(date)      STUN : $stun" sleep 5 && for pid in $(ps xa | grep "stun "$stun" 1 -p "$localport" -v" | grep -v grep | awk '{print $1}'); do kill $pid; done & mydata=`stun "$stun" 1 -p "$localport" -v 2>&1 | grep "MappedAddress" | sort | uniq` done echo -e "$(date) ${GREEN}  : $mydata${END}" echo "$(date)    ." echo "$mydata" > "$DIR/mydata" echo "IntIP $intip" >> "$DIR/mydata" curl -T "$DIR/mydata" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$name-ipport.txt rm "$DIR/mydata" sleep 5 echo "$(date)     " filename=$(curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname>" | grep "ipport" | grep -v "$name" | sed 's|.*d:displayname>||' | sed 's/</ /g' | awk '{print $1}') if [[ -n "$filename" ]] then echo "$(date)     : $filename" address=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | grep "MappedAddress" | head -n1 | sed 's/:/ /g') intip2=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | grep "IntIP" | head -n1 | awk '{print $2}') echo "$(date)  IP-  : $address $sesid2 $tunid2" ip=$(echo "$address" | awk '{print $3}') port=$(echo "$address" | awk '{print $4}') myip=`ip route get "$ip" | head -n 1 | sed 's|.*src ||' | awk '{print $1}'` if [[ -n "$ip" && -n "$port" && -n "$myip" && -n "$localport" ]]; then echo -e "$(date) ${GREEN}  $ip $port ${END}" echo -e "`date` ${GREEN} $myip:$localport -> $ip:$port ${END}" curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/key.enc > "$DIR/secret.enc" openssl AES-256-CBC -d -in "$DIR/secret.enc" -out "$key" -k "$passwd" -base64 chmod 600 "$key" rm "$DIR/secret.enc" openvpn --remote $ip --rport $port --lport $localport \ --proto udp --dev tun --float --auth-nocache --verb 3 --mute 20 \ --ifconfig "$intip" "$intip2" \ --secret "$key" \ --auth SHA256 --cipher AES-256-CBC \ --ncp-disable --ping 10 --ping-exit 20 \ --comp-lzo yes a=1 b='' fi else if (( $ex >= 5 )) then echo "$(date) " a=1 b='' fi (( ex++ )) sleep 5 fi done done

Para ejecutar el script necesitas:

Copie en el portapapeles y péguelo en el editor, por ejemplo:
```
 # nano vpn10.sh 
```
especifique inicio de sesión (segunda línea) y contraseña de Yandex.Disk (tercera línea).
especifique la dirección IP interna del túnel (cuarta línea).
hacer que el script sea ejecutable:
```
 # chmod +x vpn10.sh 
```
ejecuta el script:
```
 # ./vpn10.sh nZbVGBuX5dtturD 
```
donde nZbVGBuX5dtturD es la ID de conexión generada aquí

En el nodo remoto, haga lo mismo, especifique la dirección IP interna correspondiente del túnel y la conexión de ID.

Para iniciar el script al inicio, uso el comando "nohup / <ruta al script> /vpn10.sh nZbVGBuX5dtturD> /var/log/vpn10.log 2> / dev / null &" contenido en el archivo /etc/rc.local

Conclusión

El script funciona, probado en Ubuntu 18.04 y Debian 9. Puede usar cualquier otro servicio como transmisor, pero por la experiencia utilicé Yandex.Disk.
En el curso de los experimentos, se descubrió que algunos tipos de proveedores de NAT no permiten una conexión. Principalmente con operadores móviles donde los torrents están bloqueados.

Planeo finalizar en términos de:

La generación automática de secret.key cada vez que inicie, cifre y copie a Yandex.Disk para transferir a un host remoto (tomado en cuenta en la versión actualizada)
Asignar automáticamente direcciones IP de interfaz
Cifrado de datos antes de subir a Yandex.Disk
Optimización de código

¡Que haya IPv6 en cada hogar!

Túnel VPN directo entre computadoras a través de proveedores NAT (sin VPS, usando un servidor STUN y Yandex.Disk)

Introduccion

Teoría

Practica

Conclusión

More articles: