💃🏾 👩🏽‍🚀 💝 通过NAT提供程序在计算机之间的直接VPN隧道（不使用VUN，使用STUN服务器和Yandex.Disk） 👩🏾‍💻 👨🏾‍🔧 😹

关于我如何设法在位于NAT提供程序后面的两台计算机之间组织直接VPN隧道的文章的继续。上一篇文章介绍了使用第三方（中介（租用的VPS充当STUN服务器和用于连接的节点数据的发送者））来组织连接的过程。在本文中，我将告诉您如何在不使用VPS的情况下进行操作，但是中介仍然存在，它们是STUN服务器和Yandex.Disk ...

引言

阅读上一篇文章的评论后，我意识到该实现的主要缺点是使用中介-第三方（VPS），该中介指示节点的当前参数，连接的位置和方式。根据使用此STUN的建议（有很多建议）来确定当前的连接参数。首先，我决定在STUN服务器与客户端一起使用并且接收到完全不可读的内容时，使用TCPDump查看数据包的内容。仔细搜索该协议，发现一篇描述该协议的文章。我意识到我自己无法实现对STUN服务器的请求，并将其放入“远方”。

理论

我最近不得不通过软件包在Debian上安装STUN服务器

# apt install stun-server

在依赖项中，我看到了stun-client程序包，但不知何故对此没有任何重视。但是后来，我想起了stun-client软件包，并决定通过谷歌搜索和收到的Poindeksiv弄清楚它是如何工作的：

 # apt install stun-client # stun stun.ekiga.net -p 21234 -v

作为回应，我收到了：

STUN客户端版本0.97
使用fd 3打开端口21234
使用FD 4打开端口21235
编码眩晕消息：
编码ChangeRequest：0

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码变更请求：4

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码ChangeRequest：2

即将发送len 28的消息到216.93.246.18 opin478
收到的眩晕消息：92个字节
MappedAddress = <我的IP>：2885
源地址= 216.93.246.18//478
ChangedAddress = 216.93.246.17lla479
未知属性：32800
ServerName = Vovida.org 0.98-CPC
收到的257 id = 1类型的消息
编码眩晕消息：
编码ChangeRequest：0

即将发送len 28的消息到216.93.246.17lla478
编码眩晕消息：
编码变更请求：4

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码ChangeRequest：2

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码ChangeRequest：0

即将len 28的消息发送到<我的IP>：2885
收到的眩晕消息：28个字节
ChangeRequest = 0
收到的类型1 id = 11的消息
编码眩晕消息：
编码ChangeRequest：0

即将发送len 28的消息到216.93.246.17lla478
编码眩晕消息：
编码变更请求：4

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码ChangeRequest：2

即将发送len 28的消息到216.93.246.18 opin478
收到的眩晕消息：92个字节
MappedAddress = <我的IP>：2885
SourceAddress = 216.93.246.17lla479
ChangedAddress = 216.93.246.18 {478
未知属性：32800
ServerName = Vovida.org 0.98-CPC
收到的257 id = 10类型的消息
编码眩晕消息：
编码变更请求：4

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码ChangeRequest：2

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码变更请求：4

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码ChangeRequest：2

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码变更请求：4

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码ChangeRequest：2

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码变更请求：4

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码ChangeRequest：2

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码变更请求：4

即将发送len 28的消息到216.93.246.18 opin478
编码眩晕消息：
编码ChangeRequest：2

即将发送len 28的消息到216.93.246.18 opin478
测试I = 1
测试II = 0
测试III = 0
测试I（2）= 1
是nat = 1
映射IP相同= 1
发夹= 1
保留端口= 0
主：独立映射，端口依赖过滤器，随机端口，将发夹
返回值为0x000006

带值的字符串

MappedAddress = <我的IP>：2885

正是您所需要的！它在本地UDP端口21234上显示了连接的当前状态。但这仅是成功的一半，出现了如何将数据传输到远程主机并建立VPN连接的问题。使用邮件协议，也许是电报？有很多选择，因此我决定使用Yandex.Disk，因为我遇到了一篇有关如何使用Yandex.Disk通过WebDav进行Curl工作的文章。在考虑了实现之后，我来到了这个方案：

通过在Yandex.disk上带有时间戳的特定文件来发出信号，表明节点已准备好建立连接；
如果节点准备就绪，则从STUN服务器获取当前参数；
将当前参数上传到Yandex.Disk；
检查可用性并从Yandex.Disk上的文件读取远程站点的参数；
使用OpenVPN建立与远程主机的连接。

练习

经过一番思考，考虑到上一篇文章的经验，我编写了一个快速脚本。我们将需要：

 # apt install openvpn stun-client curl

实际上脚本本身：

初始选项

 # cat vpn8.sh

 #!/bin/bash ########################    ### WARN='\033[37;1;41m' # END='\033[0m' # RED='\033[0;31m' # ${RED} # GREEN='\033[0;32m' # ${GREEN} # ################################################# #######################     ######################################################### al="echo readlink dirname grep awk md5sum shuf nc curl sleep openvpn cat stun" ch=0 for i in $al; do which $i > /dev/null || echo -e "${WARN}   $i ${END}"; which $i > /dev/null || ch=1; done if (( $ch > 0 )); then echo -e "${WARN},      ${END}"; exit; fi ####################################################################################################################### if [[ $1 == '' ]]; then echo -e "${WARN}   (  ,      !) ${END} \t ${GREEN}           /etc/rc.local  nohup /<  >/vpn8.sh > /var/log/vpn8.log 2>/dev/hull & ${END}"; exit; fi ABSOLUTE_FILENAME=`readlink -f "$0"` #     DIR=`dirname "$ABSOLUTE_FILENAME"` #      ###############################     ################################## key="$DIR/secret.key" if [ ! -f "$key" ]; then echo -e "${WARN}  VPN-  ,    : \ openvpn --genkey --secret secret.key :       \     !!!${END} # ls -l secret.key -rw------- 1 root root 637  27 11:12 secret.key # chmod 600 secret.key"; exit; fi ######################################################################################################################## ABSOLUTE_FILENAME=`readlink -f "$0"` #     DIR=`dirname "$ABSOLUTE_FILENAME"` #      name=$(uname -n | md5sum | awk '{print $1}') vpn=$(echo $1 | md5sum | awk '{print $1}') stun="stun.ekiga.net" # STUN  username="Yandex" #   . password="Password" #   . localport=`shuf -i 20000-65000 -n 1` #    echo "$(date)    ." curl -X MKCOL --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn echo "$(date)     " for i in `curl --silent --user "$username:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname" | sed 's/d:displayname//g' | sed 's/>//g' | sed 's/<//' | sed 's/\///g' | grep -v $(date +%Y-%m-%d-%H-%M)`; do echo "$(date) Delete: $i" curl -X DELETE --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn/$i done until [ $c ];do until [[ $b ]]; do echo "$(date)  " date=`date +%Y-%m-%d-%H-%M` mydata=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep $name | grep $date | grep "d:displayname"` if [[ -z $mydata ]]; then echo "$(date)   " echo "$date" > "/tmp/$date-$name-ready.txt" curl -T "/tmp/$date-$name-ready.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$date-$name-ready.txt else echo "$(date)     - $date" fi remote=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep -v $name | grep $date | grep "d:displayname"` if [[ -z $remote ]]; then echo -e "$(date) ${RED}     ${END}" echo "$(date) " sleep 20 else echo -e "$(date) ${GREEN}    ${END}" b=1 a='' fi done until [ $a ]; do echo "$(date)      STUN : $stun" mydata=`stun $stun -p $localport -v 2>&1 | grep MappedAddress | sort | uniq` echo -e "$(date) ${GREEN}  : $mydata${END}" echo "$mydata" > "$DIR/mydata" echo "$(date)    ." curl -T "$DIR/mydata" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$name.txt echo "$(date)     " filename=$(curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname>" | grep "txt" | grep -v "$name" | grep -v "ready" | sed 's|.*d:displayname>||' | sed 's/</ /g' | awk '{print $1}') echo "$(date)     : $filename" address=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | sort | uniq | head -n1 | sed 's/:/ /g') echo "$(date)  IP-  " ip=$(echo "$address" | awk '{print $3}') port=$(echo "$address" | awk '{print $4}') if [[ -n "$ip" && -n "$port" ]]; then echo -e "$(date) ${GREEN}  $ip $port ${END}" openvpn --remote $ip --rport $port --lport $localport \ --proto udp --dev tap --float --auth-nocache --verb 3 --mute 20 \ --ifconfig 10.45.54.2 255.255.255.252 \ --secret "$DIR/secret.key" \ --auth SHA256 --cipher AES-256-CBC \ --ncp-disable --ping 10 --ping-exit 30 \ --comp-lzo yes echo -e "$(date) ${WARN}  ${END}" a=1 b='' else a=1 b='' fi done done

要运行脚本，您需要：

复制到剪贴板并粘贴到编辑器中，例如：
```
 # nano vpn8.sh 
```
从Yandex.Disk指定用户名和密码。
在字段“ --ifconfig 10.45.54。（1或2）255.255.255.252”中，指定接口的内部IP地址

使用以下命令创建secret.key ：

 # openvpn --genkey --secret secret.key

使脚本可执行：
```
 # chmod +x vpn8.sh 
```
运行脚本：
```
 # ./vpn8.sh nZbVGBuX5dtturD 
```
其中nZbVGBuX5dtturD是此处生成的连接ID

在远程节点上，除生成secret.key和ID连接外，请执行相同的操作，它们必须相同。

更新版本（为了正确操作，应该同步时间）：

 cat vpn10.sh

 #!/bin/bash stuns="stun.sipnet.ru stun.ekiga.net" #  STUN    username=" Login " #   . password=" Password " #   . intip="10.23.22.1" # IP-   WARN='\033[37;1;41m' END='\033[0m' RED='\033[0;31m' GREEN='\033[0;32m' al="ip echo readlink dirname grep awk md5sum openssl sha256sum shuf curl sleep openvpn cat stun" ch=0 for i in $al; do which $i > /dev/null || echo -e "${WARN}   $i ${END}"; which $i > /dev/null || ch=1; done if (( $ch > 0 )); then echo -e "${WARN},      ${END}"; exit; fi if [[ $1 == '' ]]; then echo -e "${WARN}   (  ,      !) ${END} \t ${GREEN}           /etc/rc.local  nohup /<  >/vpn10.sh > /var/log/vpn10.log 2>/dev/hull & ${END}" exit fi ABSOLUTE_FILENAME=`readlink -f "$0"` #     DIR=`dirname "$ABSOLUTE_FILENAME"` #      key="$DIR/secret.key" until [[ -n "$iftosrv" ]] do echo "$(date)   "; iftosrv=`ip route get 8.8.8.8 | head -n 1 | sed 's|.*dev ||' | awk '{print $1}'` sleep 5 done timedatectl name=$(uname -n | md5sum | awk '{print $1}') vpn=$(echo $1 | md5sum | awk '{print $1}') echo "$(date)    ." curl -X MKCOL --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn echo "$(date) ID  : $vpn" until [ $c ];do echo "$(date)     " for i in `curl --silent --user "$username:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname" | sed 's/d:displayname//g' | sed 's/>//g' | sed 's/<//' | sed 's/\///g' | grep -v $(date +%Y-%m-%d-%H-%M)` do echo -e "$(date)${RED}   : $i${END}" curl -X DELETE --user "${username}:${password}" https://webdav.yandex.ru/vpn-$vpn/$i done echo "$(date) ID  : $vpn" openvpn --genkey --secret "$key" passwd=`echo "$vpn-tt" | sha256sum | awk '{print $1}'` openssl AES-256-CBC -e -in "$key" -out "$DIR/file.enc" -k "$passwd" -base64 curl -T "$DIR/file.enc" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/key.enc rm "$DIR"/file.enc echo -e "$(date) ${GREEN} 1 -    ${END}" go=3 localport=`shuf -i 20000-65000 -n 1` #    start='' remote='' timeout1='' nextcheck='' timestart='' until [[ $b ]] do echo "$(date)  " date=`date +%s` timeout1=60 echo "$(date)    $date" echo "$date" > "/tmp/ready-$date-$name.txt" curl -T "/tmp/ready-$date-$name.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/ready-$name.txt readyfile=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep -v $name | grep "ready" | grep "d:displayname" | sed 's/<d:displayname>//g' | sed 's/<\/d:displayname>//g'` if [[ -z $readyfile ]] then echo -e "$(date) ${RED}     ${END}" echo "$(date)  60 " sleep $timeout1 else remote=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$readyfile) echo -e "$(date) ${GREEN}    ${END}" start=`curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></>\n</g' | grep "start" | grep "d:displayname" | sed 's/-/ /g' | awk '{print $2}'` if [[ -z $start ]] then let nextcheck=$timeout1-$date+$remote let timestart=$date+$timeout1-$nextcheck go=$nextcheck echo "$timestart" > "/tmp/start-$date-$name.txt" curl -T "/tmp/start-$date-$name.txt" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/start-$date-$name.txt else echo "$(date)  $go " sleep $go b=1 a='' fi fi done echo -e "$(date) ${GREEN} 2 -     ${END}" mydata='' filename='' address='' myip='' ip='' port='' ex=0 until [ $a ]; do until [[ -n "$mydata" ]]; do k=`echo "$stuns" | wc -w` x=1 z=`shuf -i 1-$k -n 1` for st in $stuns; do if [[ $x == $z ]]; then stun=$st; fi; (( x++ )); done echo "$(date)      STUN : $stun" sleep 5 && for pid in $(ps xa | grep "stun "$stun" 1 -p "$localport" -v" | grep -v grep | awk '{print $1}'); do kill $pid; done & mydata=`stun "$stun" 1 -p "$localport" -v 2>&1 | grep "MappedAddress" | sort | uniq` done echo -e "$(date) ${GREEN}  : $mydata${END}" echo "$(date)    ." echo "$mydata" > "$DIR/mydata" echo "IntIP $intip" >> "$DIR/mydata" curl -T "$DIR/mydata" --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$name-ipport.txt rm "$DIR/mydata" sleep 5 echo "$(date)     " filename=$(curl --silent --user "${username}:${password}" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/vpn-$vpn/ | sed 's/></\n/g' | grep "d:displayname>" | grep "ipport" | grep -v "$name" | sed 's|.*d:displayname>||' | sed 's/</ /g' | awk '{print $1}') if [[ -n "$filename" ]] then echo "$(date)     : $filename" address=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | grep "MappedAddress" | head -n1 | sed 's/:/ /g') intip2=$(curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/$filename | grep "IntIP" | head -n1 | awk '{print $2}') echo "$(date)  IP-  : $address $sesid2 $tunid2" ip=$(echo "$address" | awk '{print $3}') port=$(echo "$address" | awk '{print $4}') myip=`ip route get "$ip" | head -n 1 | sed 's|.*src ||' | awk '{print $1}'` if [[ -n "$ip" && -n "$port" && -n "$myip" && -n "$localport" ]]; then echo -e "$(date) ${GREEN}  $ip $port ${END}" echo -e "`date` ${GREEN} $myip:$localport -> $ip:$port ${END}" curl --silent --user "$username:$password" https://webdav.yandex.ru/vpn-$vpn/key.enc > "$DIR/secret.enc" openssl AES-256-CBC -d -in "$DIR/secret.enc" -out "$key" -k "$passwd" -base64 chmod 600 "$key" rm "$DIR/secret.enc" openvpn --remote $ip --rport $port --lport $localport \ --proto udp --dev tun --float --auth-nocache --verb 3 --mute 20 \ --ifconfig "$intip" "$intip2" \ --secret "$key" \ --auth SHA256 --cipher AES-256-CBC \ --ncp-disable --ping 10 --ping-exit 20 \ --comp-lzo yes a=1 b='' fi else if (( $ex >= 5 )) then echo "$(date) " a=1 b='' fi (( ex++ )) sleep 5 fi done done

要运行脚本，您需要：

复制到剪贴板并粘贴到编辑器中，例如：
```
 # nano vpn10.sh 
```
从Yandex.Disk指定登录名（第二行）和密码（第三行）。
指定隧道的内部IP地址（第4行）。
使脚本可执行：
```
 # chmod +x vpn10.sh 
```
运行脚本：
```
 # ./vpn10.sh nZbVGBuX5dtturD 
```
其中nZbVGBuX5dtturD是此处生成的连接ID

在远程节点上，执行相同的操作，指定隧道的相应内部IP地址和ID连接。

要在启动时启动脚本，我使用文件/etc/rc.local中包含的命令“ nohup / <脚本路径> /vpn10.sh nZbVGBuX5dtturD> /var/log/vpn10.log 2> / dev / null＆”

结论

该脚本可以正常工作，并已在Ubuntu 18.04和Debian 9上进行了测试。您可以将任何其他服务用作传输器，但出于经验，我使用了Yandex.Disk。
在实验过程中，发现某些类型的NAT提供程序不允许进行连接。通常是在种子被阻止的移动运营商那里。

我计划在以下方面完成：

每次启动时都会自动生成secret.key，将其加密并复制到Yandex.Disk以传输到远程主机（在更新版本中已记入帐户）
自动分配接口IP地址
数据加密，然后再上传到Yandex.Disk
代码优化

可能每个家庭都有IPv6！

通过NAT提供程序在计算机之间的直接VPN隧道（不使用VUN，使用STUN服务器和Yandex.Disk）

引言

理论

练习

结论

More articles: