👩🏼‍💻 🤕 🎑 Túnel de VPN direto entre computadores por meio de provedores NAT (sem VPS, usando um servidor STUN e Yandex.Disk) 🏨 🙉 📞

A continuação do artigo sobre como eu consegui organizar um túnel VPN direto entre dois computadores localizados atrás de provedores de NAT. O último artigo descreveu o processo de organização de uma conexão usando terceiros - um intermediário (um VPS alugado agindo como algo como um servidor STUN e um transmissor de dados do nó para uma conexão). Neste artigo, mostrarei como ficar sem o VPS, mas os intermediários permaneceram e eles eram o servidor STUN e o Yandex.Disk ...

1. Introdução

Depois de ler os comentários do último post, percebi que a principal desvantagem da implementação era o uso de um intermediário - um terceiro (VPS) que indicava os parâmetros atuais do nó, onde e como se conectar. Dadas as recomendações para usar este STUN (existem muitas ) para determinar os parâmetros de conexão atuais. Antes de tudo, decidi examinar o conteúdo dos pacotes usando o TCPDump quando o servidor STUN estava trabalhando com clientes e recebia conteúdo completamente ilegível. Pesquisando no protocolo, vi um artigo descrevendo o protocolo . Percebi que não posso implementar a solicitação no servidor STUN e coloquei a ideia na "caixa distante".

Teoria

Recentemente, tive que instalar um servidor STUN no Debian a partir de um pacote

# apt install stun-server

e nas dependências vi o pacote stun-client, mas de alguma forma não atribui nenhuma importância a isso. Mais tarde, porém, lembrei-me do pacote stun-client e decidi descobrir como ele funciona, pesquisando no Google e Poindeksiv:

 # apt install stun-client # stun stun.ekiga.net -p 21234 -v

Em resposta, recebi:

Cliente STUN versão 0.97
Porta aberta 21234 com fd 3
Porta aberta 21235 com fd 4
Codificando mensagem de atordoamento:
Codificação ChangeRequest: 0

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 4

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 2

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Mensagem de atordoamento recebida: 92 bytes
MappedAddress = <Meu IP>: 2885
SourceAddress = 216.93.246.18//478
ChangedAddress = 216.93.246.17lla479
Atributo desconhecido: 32800
ServerName = Vovida.org 0.98-CPC
Mensagem recebida do tipo 257 id = 1
Codificando mensagem de atordoamento:
Codificação ChangeRequest: 0

Prestes a enviar msg de len 28 para 216.93.246.17lla478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 4

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 2

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
Codificação ChangeRequest: 0

Sobre o envio de msg de len 28 para <My IP>: 2885
Mensagem de atordoamento recebida: 28 bytes
ChangeRequest = 0
Mensagem recebida do tipo 1 id = 11
Codificando mensagem de atordoamento:
Codificação ChangeRequest: 0

Prestes a enviar msg de len 28 para 216.93.246.17lla478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 4

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 2

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Mensagem de atordoamento recebida: 92 bytes
MappedAddress = <Meu IP>: 2885
SourceAddress = 216.93.246.17lla479
ChangedAddress = 216.93.246.18 {478
Atributo desconhecido: 32800
ServerName = Vovida.org 0.98-CPC
Mensagem recebida do tipo 257 id = 10
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 4

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 2

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 4

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 2

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 4

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 2

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 4

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 2

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 4

Sobre enviar msg de len 28 para 216.93.246.18 opin478
Codificando mensagem de atordoamento:
ChangeRequest de codificação: 2

Sobre enviar msg de len 28 para 216.93.246.18 opin478
teste I = 1
teste II = 0
teste III = 0
teste I (2) = 1
é nat = 1
IP mapeado mesmo = 1
gancho de cabelo = 1
porta do preservador = 0
Primário: mapeamento independente, filtro dependente de porta, porta aleatória, gancho de cabelo
O valor de retorno é 0x000006

String com valor

MappedAddress = <Meu IP>: 2885

exatamente o que você precisa! Ele exibia o status atual da conexão na porta UDP local 21234. Mas isso é apenas metade da batalha, surgiu a questão de como transferir esses dados para um host remoto e estabelecer uma conexão VPN. Usando o protocolo de email, talvez Telegram ?! Existem muitas opções e eu decidi usar o Yandex.Disk, pois me deparei com um artigo sobre como o Curl funciona através do WebDav com o Yandex.Disk . Depois de pensar na implementação, cheguei a esse esquema:

Sinalizar que os nós estão prontos para estabelecer uma conexão pela presença de um arquivo específico com carimbo de data / hora no Yandex.disk;
Se os nós estiverem prontos, obtenha os parâmetros atuais do servidor STUN;
Carregar parâmetros atuais para Yandex.Disk;
Verifique a disponibilidade e leia os parâmetros de um site remoto a partir de um arquivo no Yandex.Disk;
Estabeleça uma conexão com um host remoto usando o OpenVPN.

Prática

Depois de um pouco de reflexão, levando em conta a experiência do artigo anterior, escrevi um script rápido. Vamos precisar de:

 # apt install openvpn stun-client curl

Na verdade, o próprio script:

Opção inicial

 # cat vpn8.sh

 #!/bin/bash ########################    ### WARN='\033[37;1;41m' # END='\033[0m' # RED='\033[0;31m' # ${RED} # GREEN='\033[0;32m' # ${GREEN} # ################################################# #######################     ######################################################### al="echo readlink dirname grep awk md5sum shuf nc curl sleep openvpn cat stun" ch=0 for i in $al; do which $i > /dev/null || echo -e "${WARN}   $i ${END}"; which $i > /dev/null || ch=1; done if (( $ch > 0 )); then echo -e "${WARN},      ${END}"; exit; fi ####################################################################################################################### if [[ $1 == '' ]]; then echo -e "${WARN}   (  ,      !) ${END} \t ${GREEN}           /etc/rc.local  nohup /<  >/vpn8.sh > /var/log/vpn8.log 2>/dev/hull & ${END}"; exit; fi ABSOLUTE_FILENAME=`readlink -f "$0"` #     DIR=`dirname "$ABSOLUTE_FILENAME"` #      ###############################     ################################## key="$DIR/secret.key" if [ ! -f "$key" ]; then echo -e "${WARN}  VPN-  ,    : \ openvpn --genkey --secret secret.key :       \     !!!${END} # ls -l secret.key -rw------- 1 root root 637  27 11:12 secret.key # chmod 600 secret.key"; exit; fi ######################################################################################################################## ABSOLUTE_FILENAME=`readlink -f "$0"` #     DIR=`dirname "$ABSOLUTE_FILENAME"` #      name=$(uname -n | md5sum | awk '{print $1}') vpn=$(echo $1 | md5sum | awk '{print $1}') stun="stun.ekiga.net" # STUN  username="Yandex" #   . password="Password" #   . localport=`shuf -i 20000-65000 -n 1` #    echo "$(date)    ." curl -X MKCOL --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn echo "$(date)     " for i in `curl --silent --user "$username:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname" | sed 's/d:displayname//g' | sed 's/>//g' | sed 's/<//' | sed 's/\///g' | grep -v $(date +%Y-%m-%d-%H-%M)`; do echo "$(date) Delete: $i" curl -X DELETE --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn/$i done until [ $c ];do until [[ $b ]]; do echo "$(date)  " date=`date +%Y-%m-%d-%H-%M` mydata=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep $name | grep $date | grep "d:displayname"` if [[ -z $mydata ]]; then echo "$(date)   " echo "$date" > "/tmp/$date-$name-ready.txt" curl -T "/tmp/$date-$name-ready.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$date-$name-ready.txt else echo "$(date)     - $date" fi remote=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep -v $name | grep $date | grep "d:displayname"` if [[ -z $remote ]]; then echo -e "$(date) ${RED}     ${END}" echo "$(date) " sleep 20 else echo -e "$(date) ${GREEN}    ${END}" b=1 a='' fi done until [ $a ]; do echo "$(date)      STUN : $stun" mydata=`stun $stun -p $localport -v 2>&1 | grep MappedAddress | sort | uniq` echo -e "$(date) ${GREEN}  : $mydata${END}" echo "$mydata" > "$DIR/mydata" echo "$(date)    ." curl -T "$DIR/mydata" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$name.txt echo "$(date)     " filename=$(curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname>" | grep "txt" | grep -v "$name" | grep -v "ready" | sed 's|.*d:displayname>||' | sed 's/</ /g' | awk '{print $1}') echo "$(date)     : $filename" address=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | sort | uniq | head -n1 | sed 's/:/ /g') echo "$(date)  IP-  " ip=$(echo "$address" | awk '{print $3}') port=$(echo "$address" | awk '{print $4}') if [[ -n "$ip" && -n "$port" ]]; then echo -e "$(date) ${GREEN}  $ip $port ${END}" openvpn --remote $ip --rport $port --lport $localport \ --proto udp --dev tap --float --auth-nocache --verb 3 --mute 20 \ --ifconfig 10.45.54.2 255.255.255.252 \ --secret "$DIR/secret.key" \ --auth SHA256 --cipher AES-256-CBC \ --ncp-disable --ping 10 --ping-exit 30 \ --comp-lzo yes echo -e "$(date) ${WARN}  ${END}" a=1 b='' else a=1 b='' fi done done

Para executar o script, você precisa:

Copie para a área de transferência e cole no editor, por exemplo:
```
 # nano vpn8.sh 
```
especifique o nome de usuário e a senha do Yandex.Disk.
no campo "--ifconfig 10.45.54. (1 ou 2) 255.255.255.252" especifique o endereço IP interno da interface

crie secret.key com o comando:

 # openvpn --genkey --secret secret.key

torne o script executável:
```
 # chmod +x vpn8.sh 
```
execute o script:
```
 # ./vpn8.sh nZbVGBuX5dtturD 
```
onde nZbVGBuX5dtturD é o ID da conexão gerado aqui

No nó remoto, faça o mesmo, exceto na geração de secret.key e na conexão de ID, eles devem ser idênticos.

Versão atualizada (para operação correta, a hora deve ser sincronizada):

 cat vpn10.sh

 #!/bin/bash stuns="stun.sipnet.ru stun.ekiga.net" #  STUN    username=" Login " #   . password=" Password " #   . intip="10.23.22.1" # IP-   WARN='\033[37;1;41m' END='\033[0m' RED='\033[0;31m' GREEN='\033[0;32m' al="ip echo readlink dirname grep awk md5sum openssl sha256sum shuf curl sleep openvpn cat stun" ch=0 for i in $al; do which $i > /dev/null || echo -e "${WARN}   $i ${END}"; which $i > /dev/null || ch=1; done if (( $ch > 0 )); then echo -e "${WARN},      ${END}"; exit; fi if [[ $1 == '' ]]; then echo -e "${WARN}   (  ,      !) ${END} \t ${GREEN}           /etc/rc.local  nohup /<  >/vpn10.sh > /var/log/vpn10.log 2>/dev/hull & ${END}" exit fi ABSOLUTE_FILENAME=`readlink -f "$0"` #     DIR=`dirname "$ABSOLUTE_FILENAME"` #      key="$DIR/secret.key" until [[ -n "$iftosrv" ]] do echo "$(date)   "; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'` sleep 5 done timedatectl name=$(uname -n | md5sum | awk '{print $1}') vpn=$(echo $1 | md5sum | awk '{print $1}') echo "$(date)    ." curl -X MKCOL --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn echo "$(date) ID  : $vpn" until [ $c ];do echo "$(date)     " for i in `curl --silent --user "$username:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname" | sed 's/d:displayname//g' | sed 's/>//g' | sed 's/<//' | sed 's/\///g' | grep -v $(date +%Y-%m-%d-%H-%M)` do echo -e "$(date)${RED}   : $i${END}" curl -X DELETE --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn/$i done echo "$(date) ID  : $vpn" openvpn --genkey --secret "$key" passwd=`echo "$vpn-tt" | sha256sum | awk '{print $1}'` openssl AES-256-CBC -e -in "$key" -out "$DIR/file.enc" -k "$passwd" -base64 curl -T "$DIR/file.enc" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/key.enc rm "$DIR"/file.enc echo -e "$(date) ${GREEN} 1 -    ${END}" go=3 localport=`shuf -i 20000-65000 -n 1` #    start='' remote='' timeout1='' nextcheck='' timestart='' until [[ $b ]] do echo "$(date)  " date=`date +%s` timeout1=60 echo "$(date)    $date" echo "$date" > "/tmp/ready-$date-$name.txt" curl -T "/tmp/ready-$date-$name.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/ready-$name.txt readyfile=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep -v $name | grep "ready" | grep "d:displayname" | sed 's/<d:displayname>//g' | sed 's/<\/d:displayname>//g'` if [[ -z $readyfile ]] then echo -e "$(date) ${RED}     ${END}" echo "$(date)  60 " sleep $timeout1 else remote=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$readyfile) echo -e "$(date) ${GREEN}    ${END}" start=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep "start" | grep "d:displayname" | sed 's/-/ /g' | awk '{print $2}'` if [[ -z $start ]] then let nextcheck=$timeout1-$date+$remote let timestart=$date+$timeout1-$nextcheck go=$nextcheck echo "$timestart" > "/tmp/start-$date-$name.txt" curl -T "/tmp/start-$date-$name.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/start-$date-$name.txt else echo "$(date)  $go " sleep $go b=1 a='' fi fi done echo -e "$(date) ${GREEN} 2 -     ${END}" mydata='' filename='' address='' myip='' ip='' port='' ex=0 until [ $a ]; do until [[ -n "$mydata" ]]; do k=`echo "$stuns" | wc -w` x=1 z=`shuf -i 1-$k -n 1` for st in $stuns; do if [[ $x == $z ]]; then stun=$st; fi; (( x++ )); done echo "$(date)      STUN : $stun" sleep 5 && for pid in $(ps xa | grep "stun "$stun" 1 -p "$localport" -v" | grep -v grep | awk '{print $1}'); do kill $pid; done & mydata=`stun "$stun" 1 -p "$localport" -v 2>&1 | grep "MappedAddress" | sort | uniq` done echo -e "$(date) ${GREEN}  : $mydata${END}" echo "$(date)    ." echo "$mydata" > "$DIR/mydata" echo "IntIP $intip" >> "$DIR/mydata" curl -T "$DIR/mydata" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$name-ipport.txt rm "$DIR/mydata" sleep 5 echo "$(date)     " filename=$(curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname>" | grep "ipport" | grep -v "$name" | sed 's|.*d:displayname>||' | sed 's/</ /g' | awk '{print $1}') if [[ -n "$filename" ]] then echo "$(date)     : $filename" address=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | grep "MappedAddress" | head -n1 | sed 's/:/ /g') intip2=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | grep "IntIP" | head -n1 | awk '{print $2}') echo "$(date)  IP-  : $address $sesid2 $tunid2" ip=$(echo "$address" | awk '{print $3}') port=$(echo "$address" | awk '{print $4}') myip=`ip route get "$ip" | head -n 1 | sed 's|.*src ||' | awk '{print $1}'` if [[ -n "$ip" && -n "$port" && -n "$myip" && -n "$localport" ]]; then echo -e "$(date) ${GREEN}  $ip $port ${END}" echo -e "`date` ${GREEN} $myip:$localport -> $ip:$port ${END}" curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/key.enc > "$DIR/secret.enc" openssl AES-256-CBC -d -in "$DIR/secret.enc" -out "$key" -k "$passwd" -base64 chmod 600 "$key" rm "$DIR/secret.enc" openvpn --remote $ip --rport $port --lport $localport \ --proto udp --dev tun --float --auth-nocache --verb 3 --mute 20 \ --ifconfig "$intip" "$intip2" \ --secret "$key" \ --auth SHA256 --cipher AES-256-CBC \ --ncp-disable --ping 10 --ping-exit 20 \ --comp-lzo yes a=1 b='' fi else if (( $ex >= 5 )) then echo "$(date) " a=1 b='' fi (( ex++ )) sleep 5 fi done done

Para executar o script, você precisa:

Copie para a área de transferência e cole no editor, por exemplo:
```
 # nano vpn10.sh 
```
especifique o login (segunda linha) e a senha do Yandex.Disk (terceira linha).
especifique o endereço IP interno do túnel (quarta linha).
torne o script executável:
```
 # chmod +x vpn10.sh 
```
execute o script:
```
 # ./vpn10.sh nZbVGBuX5dtturD 
```
onde nZbVGBuX5dtturD é o ID da conexão gerado aqui

No nó remoto, faça o mesmo, especifique o endereço IP interno correspondente do túnel e a conexão de ID.

Para iniciar o script na inicialização, eu uso o comando "nohup / <caminho para o script> /vpn10.sh nZbVGBuX5dtturD> /var/log/vpn10.log 2> / dev / null &" contido no arquivo /etc/rc.local

Conclusão

O script funciona, testado no Ubuntu 18.04 e Debian 9. Você pode usar qualquer outro serviço como transmissor, mas, por experiência, usei o Yandex.Disk.
No decorrer das experiências, verificou-se que alguns tipos de provedores de NAT não permitem uma conexão. Principalmente com operadoras móveis onde os torrents estão bloqueados.

Pretendo finalizar em termos de:

A geração automática de secret.key toda vez que você inicia, criptografa e copia para o Yandex.Disk para transferir para um host remoto (levado em conta na versão atualizada)
Atribuir automaticamente endereços IP de interface
Criptografia de dados antes de carregar no Yandex.Disk
Otimização de código

Pode haver IPv6 em todas as casas!

Túnel de VPN direto entre computadores por meio de provedores NAT (sem VPS, usando um servidor STUN e Yandex.Disk)

1. Introdução

Teoria

Prática

Conclusão

More articles: