12 июля

Простой UDP hole punching на примере IPIP-туннеля

Информационная безопасностьСетевые технологииРазработка для интернета вещей
Доброе время суток!

В этой статье хочу рассказать как я реализовал (еще один) скрипт на Bash для соединения двух компьютеров, находящимися за NAT, с использованием технологии UDP hole punching на примере ОС Ubuntu/Debian.

Организация соединения состоит из нескольких шагов:

  1. Запуск узла и ожидание готовности удаленного узла;
  2. Определение внешнего IP-адреса и UDP-порта;
  3. Передача внешнего IP-адреса и UDP-порта удаленному узлу;
  4. Получение внешнего IP-адреса и UDP-порта от удаленного узла;
  5. Организация IPIP-туннеля;
  6. Мониторинг соединения;
  7. При обрыве соединения удалять IPIP туннель.

Я долго думал и еще думаю, что можно использовать для обмена данными между узлами, самое простое и быстрое для меня на данный момент, это работа через Яндекс.диск.

  • Во первых, это простота в использовании — нужно 3 действия: создать, прочитать, удалить. С помощью curl это:
    Создать:

    curl -s -X MKCOL --user "$usename:$password" https://webdav.yandex.ru/$folder

    Прочитать:
    curl -s --user "$usename:$password" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/$folder

    Удалить:

    curl -s -X DELETE --user "$usename:$password" https://webdav.yandex.ru/$folder
  • Во вторых, это простота в установке:

    apt install curl

Для определения внешнего IP-адреса и UDP-порта используется stun-client командой:

stun stun.sipnet.ru -v -p $1 2>&1 | grep "MappedAddress"

Установка командой:

apt install stun-client

Для организации туннеля используются штатные средства ОС из пакета iproute2. Существует множество туннелей которые можно поднять штатными средствами (L2TPv3, GRE и т.п.), но я выбрал IPIP потому что он создаёт минимальную дополнительную нагрузку на систему. Я пробовал L2TPv3 поверх UDP и разочаровался, скорость упала в 10 раз, но это могут быть различные ограничения связанные с провайдерами или еще чего-то. Так как IPIP-туннель работает на уровне IP, то используется FOU-туннель для того, что бы работать на уровне UDP-портов. Для организации IPIP-туннеля нужно:

— загрузить модуль FOU:

modprobe fou

— слушать локальный порт:

ip fou add port $localport ipproto 4

— создать туннель:

ip link add name fou$name type ipip remote $remoteip local $localip encap fou  encap-sport $localport encap-dport $remoteport

— поднять интерфейс туннеля:

ip link set up dev fou$name

— назначить внутренний локальный и внутренний удаленный IP-адрес тунеля:

ip addr add $intIP peer $peerip dev fou$name

Удалить туннель:

ip link del dev fou$name

ip fou del port $localport

Мониторинг состояния туннеля происходит с помощью периодического пинга внутреннего IP-адреса туннеля удаленного узла, командой:

ping -c 1 $peerip -s 0

Периодический пинг нужен в первую очередь для поддержания канала, иначе при простое туннеля на роутерах могут очиститься таблицы NAT и тогда соединение разорвется.

Если пинг пропадает, то IPIP-туннель удаляется и ждет готовности от удаленного узла.

Собственно сам скрипт:

#!/bin/bash
username="username@yandex.ru"
password="password"
folder="vpnid"
intip="10.0.0.1"
localport=`shuf -i 10000-65000 -n 1`
cid=`shuf -i 10000-99999 -n 1`
tid=`shuf -i 10-99 -n 1`
function yaread {
        curl -s --user "$1:$2" -X PROPFIND -H "Depth: 1" https://webdav.yandex.ru/$3 | sed 's/></>\n</g' | grep "displayname" | sed 's/<d:displayname>//g' | sed 's/<\/d:displayname>//g' | grep -v $3 | grep -v $4 | sort -r
}
function yacreate {
        curl -s -X MKCOL --user "$1:$2" https://webdav.yandex.ru/$3
}
function yadelete {
        curl -s -X DELETE --user "$1:$2" https://webdav.yandex.ru/$3
}
function myipport {
        stun stun.sipnet.ru -v -p $1 2>&1 | grep "MappedAddress" | sort | uniq | awk '{print $3}' | head -n1
}
function tunnel-up {
	modprobe fou
	ip fou add port $4 ipproto 4
	ip link add name fou$7 type ipip remote $1 local $3 encap fou encap-sport $4 encap-dport $2
	ip link set up dev fou$7
	ip addr add $6 peer $5 dev fou$7
}
function tunnel-check {
	sleep 10
        pings=0
        until [[ $pings == 4 ]]; do
                if ping -c 1 $1 -s 0 &>/dev/null;
                        then    echo -n .; n=0
                        else    echo -n !; ((pings++))
                fi
		sleep 15
        done
}
function tunnel-down {
	ip link del dev fou$1
	ip fou del port $2
}
trap 'echo -e "\nDisconnecting..." && yadelete $username $password $folder; tunnel-down $tunnelid $localport; echo "IPIP tunnel disconnected!"; exit 1' 1 2 3 8 9 14 15
until [[ -n $end ]]; do
    yacreate $username $password $folder
    until [[ -n $ip ]]; do
        mydate=`date +%s`
        timeout="60"
        list=`yaread $username $password $folder $cid | head -n1`
        yacreate $username $password $folder/$mydate:$cid
        for l in $list; do
                if [ `echo $l | sed 's/:/ /g' | awk {'print $1'}` -ge $(($mydate-65)) ]; then
			#echo $list
                        myipport=`myipport $localport`
                        yacreate $username $password $folder/$mydate:$cid:$myipport:$intip:$tid
                        timeout=$(( $timeout + `echo $l | sed 's/:/ /g' | awk {'print $1'}` - $mydate + 3 ))
                        ip=`echo $l | sed 's/:/ /g' | awk '{print $3}'`
                        port=`echo $l | sed 's/:/ /g' | awk '{print $4}'`
                        peerip=`echo $l | sed 's/:/ /g' | awk '{print $5}'`
			peerid=`echo $l | sed 's/:/ /g' | awk '{print $6}'`
			if [[ -n $peerid ]]; then tunnelid=$(($peerid*$tid)); fi
                fi
        done
        if ( [[ -z "$ip" ]] && [ "$timeout" -gt 0 ] ) ; then
                echo -n "!"
                sleep $timeout
        fi
    done
    localip=`ip route get $ip | head -n1 | sed 's|.*src ||' | cut -d' ' -f1`
    tunnel-up $ip $port $localip $localport $peerip $intip $tunnelid
    tunnel-check $peerip
    tunnel-down $tunnelid $localport
    yadelete $username $password $folder
    unset ip port myipport
done
exit 0

Переменные username, password и folder должны быть одинаковые на обоих сторонах, а вот intip — разные, например: 10.0.0.1 и 10.0.0.2. Время на узлах должно быть синхронизированно. Запускать скрипт можно так:

nohup script.sh &

Обращаю внимание на то, что IPIP-теннель небезопасен с точки зрения того, что трафик не шифруется, но это легко решается при помощи IPsec по этой статье, она мне показалось простой и понятной.

Использую данный скрипт для подключения к рабочему ПК уже несколько недель и проблем не замечал. Удобно в плане того, что настроил и забыл.

Возможно у Вас будут замечания и предложения, буду рад выслушать.

Спасибо за внимание!
Теги:udp hole punchingipsecipip
Хабы: Информационная безопасность Сетевые технологии Разработка для интернета вещей
+12
3,6k 38
Комментарии 10
Лучшие публикации за сутки

Минуточку внимания

Разместить