mirror of
https://github.com/bol-van/zapret.git
synced 2024-11-30 05:50:53 +03:00
646 lines
44 KiB
Plaintext
646 lines
44 KiB
Plaintext
|
Данный мануал пишется не как копипастная инструкция, а как помощь уже соображающему.
|
|||
|
Если вы не знаете основ сетей, linux, openwrt, а пытаетесь что-то скопипастить отсюда без малейшего
|
|||
|
понимания смысла, то маловероятно, что у вас что-то заработает. Не тратье свое время напрасно.
|
|||
|
Цель - донести принципы как это настраивается вообще, а не указать какую буковку где вписать.
|
|||
|
|
|||
|
|
|||
|
Есть возможность поднять свой VPN сервер ? Не хотим использовать redsocks ?
|
|||
|
Хотим завертывать на VPN только часть трафика ?
|
|||
|
Например, из ipset zapret только порт tcp:443, из ipban - весь трафик, не только tcp ?
|
|||
|
Да, с VPN такое возможно.
|
|||
|
Опишу понятийно как настраивается policy based routing в openwrt на примере wireguard.
|
|||
|
Вместо wireguard можно использовать openvpn или любой другой. Но wireguard прекрасен сразу несколькими вещами.
|
|||
|
Главная из которых - в разы большая скорость, даже немного превышающая ipsec.
|
|||
|
Ведь openvpn основан на tun, а tun - всегда в разы медленнее решения в kernel mode,
|
|||
|
и если для PC оно может быть не так актуально, для soho роутеров - более чем.
|
|||
|
Wireguard может дать 50 mbps там, где openvpn еле тащит 10.
|
|||
|
Но есть и дополнительное требование. Wireguard работает в ядре, значит ядро должно
|
|||
|
быть под вашим контролем. vps на базе openvz не подойдет. Нужен xen, kvm,
|
|||
|
любой другой вариант, где загружается ваше собственное ядро, а не используется
|
|||
|
общее, разделяемое на множество vps.
|
|||
|
|
|||
|
Понятийно необходимо выполнить следующие шаги :
|
|||
|
1) Поднять vpn сервер.
|
|||
|
2) Настроить vpn клиент. Результат этого шага - получение поднятого интерфейса vpn.
|
|||
|
Будь то wireguard, openvpn или любой другой тип vpn.
|
|||
|
3) Создать такую схему маршрутизации, при которой пакеты, помечаемые особым mark,
|
|||
|
попадают на vpn, а остальные идут обычным способом.
|
|||
|
4) Создать правила, выставляющие mark для всего трафика, который необходимо рулить на vpn.
|
|||
|
Критерии могут быть любые, ограниченные лишь возможностями iptables и вашим воображением.
|
|||
|
|
|||
|
Будем считать наш vpn сервер находится на ip 91.15.68.202.
|
|||
|
Вешать его будем на udp порт 12345. На этот же порт будем вешать и клиентов.
|
|||
|
Сервер работает под debian 9 или выше. Клиент работает под openwrt.
|
|||
|
Для vpn отведем подсеть 192.168.254.0/24.
|
|||
|
|
|||
|
--- Если нет своего сервера ---
|
|||
|
|
|||
|
Но есть конфиг от VPN провайдера или от друга "Васи", который захотел с вами поделиться.
|
|||
|
Тогда вам не надо настраивать сервер, задача упрощается. Делается невозможным вариант настройки
|
|||
|
без masquerade (см ниже).
|
|||
|
Из конфига вытаскиваете приватный ключ своего пира и публичный ключ сервера, ip/host/port сервера,
|
|||
|
используете их в настройках openwrt вместо сгенеренных самостоятельно.
|
|||
|
|
|||
|
--- Поднятие сервера ---
|
|||
|
|
|||
|
Wireguard был включен в ядро linux с версии 5.6.
|
|||
|
Если у вас ядро >=5.6, то достаточно установить пакет wireguard-tools. Он содержит user-mode компоненты wireguard.
|
|||
|
Посмотрите, возможно в вашем дистрибутиве ядро по умолчанию более старое, но в репозитории
|
|||
|
имеются бэкпорты новых версий. Лучше будет обновить ядро из репозитория.
|
|||
|
|
|||
|
В репозитории может быть пакет wireguard-dkms. Это автоматизированное средство сборки
|
|||
|
wireguard с исходников, в том числе модуль ядра. Можно пользоваться им.
|
|||
|
|
|||
|
Иначе вам придется собрать wireguard самому. Ядро должно быть не ниже 3.10.
|
|||
|
На сервере должны быть установлены заголовки ядра (linux-headers-...) и компилятор gcc.
|
|||
|
|
|||
|
# git clone --depth 1 https://git.zx2c4.com/wireguard-linux-compat
|
|||
|
# cd wireguard-linux-compat/src
|
|||
|
# make
|
|||
|
# strip --strip-debug wireguard.ko
|
|||
|
# sudo make install
|
|||
|
|
|||
|
wireguard основан на понятии криптороутинга. Каждый пир (сервер - тоже пир)
|
|||
|
имеет пару открытый/закрытый ключ. Закрытый ключ остается у пира,
|
|||
|
открытый прописывается у его партнера. Каждый пир авторизует другого
|
|||
|
по знанию приватного ключа, соответствующего прописанному у него публичному ключу.
|
|||
|
Протокол построен таким образом, что на все неправильные udp пакеты не следует ответа.
|
|||
|
Не знаешь приватный ключ ? Не смог послать правильный запрос ? Долбись сколько влезет,
|
|||
|
я тебе ничего не отвечу. Это защищает от активного пробинга со стороны DPI и просто
|
|||
|
экономит ресурсы.
|
|||
|
Значит первым делом нужно создать 2 пары ключей : для сервера и для клиента.
|
|||
|
wg genkey генерит приватный ключ, wg pubkey получает из него публичный ключ.
|
|||
|
|
|||
|
# wg genkey
|
|||
|
oAUkmhoREtFQ5D5yZmeHEgYaSWCcLYlKe2jBP7EAGV0=
|
|||
|
# echo oAUkmhoREtFQ5D5yZmeHEgYaSWCcLYlKe2jBP7EAGV0= | wg pubkey
|
|||
|
bCdDaPYSTBZVO1HTmKD+Tztuf3PbOWGDWfz7Lb1E6C4=
|
|||
|
# wg genkey
|
|||
|
OKXX0TSlyjJmGt3/yHlHxi0AqjJ0vh+Msne3qEHk0VM=
|
|||
|
# echo OKXX0TSlyjJmGt3/yHlHxi0AqjJ0vh+Msne3qEHk0VM= | wg pubkey
|
|||
|
EELdA2XzjcKxtriOCPBXMOgxlkgpbRdIyjtc3aIpkxg=
|
|||
|
|
|||
|
Пишем конфиг
|
|||
|
--/etc/wireguard/wgvps.conf-------------------
|
|||
|
[Interface]
|
|||
|
PrivateKey = OKXX0TSlyjJmGt3/yHlHxi0AqjJ0vh+Msne3qEHk0VM=
|
|||
|
ListenPort = 12345
|
|||
|
|
|||
|
[Peer]
|
|||
|
#Endpoint =
|
|||
|
PublicKey = bCdDaPYSTBZVO1HTmKD+Tztuf3PbOWGDWfz7Lb1E6C4=
|
|||
|
AllowedIPs = 192.168.254.3
|
|||
|
PersistentKeepalive=20
|
|||
|
----------------------------------------------
|
|||
|
|
|||
|
Wireguard - минималистичный vpn. В нем нет никаких средств для автоконфигурации ip.
|
|||
|
Все придется прописывать руками.
|
|||
|
В wgvps.conf должны быть перечислены все пиры с их публичными ключами,
|
|||
|
а так же прописаны допустимые для них ip адреса.
|
|||
|
Назначим нашему клиенту 192.168.254.3. Сервер будет иметь ip 192.168.254.1.
|
|||
|
Endpoint должен быть прописан хотя бы на одном пире.
|
|||
|
Если endpoint настроен для пира, то wireguard будет периодически пытаться к нему подключиться.
|
|||
|
В схеме клиент/сервер у сервера можно не прописывать endpoint-ы пиров, что позволит
|
|||
|
менять ip и быть за nat. Endpoint пира настраивается динамически после успешной фазы
|
|||
|
проверки ключа.
|
|||
|
|
|||
|
Включаем маршрутизцию :
|
|||
|
# echo net.ipv4.ip_forward = 1 >>/etc/sysctl.conf
|
|||
|
# sysctl -p
|
|||
|
|
|||
|
Интерфейс конфигурится стандартно для дебианоподобных систем :
|
|||
|
|
|||
|
--/etc/network/interfaces.d/wgvps-------------
|
|||
|
auto wgvps
|
|||
|
iface wgvps inet static
|
|||
|
address 192.168.254.1
|
|||
|
netmask 255.255.255.0
|
|||
|
pre-up ip link add $IFACE type wireguard
|
|||
|
pre-up wg setconf $IFACE /etc/wireguard/$IFACE.conf
|
|||
|
post-up iptables -t nat -A POSTROUTING -o eth0 -s 192.168.254.0/24 -j MASQUERADE
|
|||
|
post-up iptables -A FORWARD -o eth0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
|
|||
|
post-down iptables -D FORWARD -o eth0 -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
|
|||
|
post-down iptables -t nat -D POSTROUTING -o eth0 -s 192.168.254.0/24 -j MASQUERADE
|
|||
|
post-down ip link del $IFACE
|
|||
|
----------------------------------------------
|
|||
|
|
|||
|
Поднятие через ifup wgvps, опускание через ifdown wgvps.
|
|||
|
При поднятии интерфейса заодно настраивается nat. eth0 здесь означает интерфейс vpn сервера с инетовским ip адресом.
|
|||
|
Если у вас какая-то система управления фаерволом, то надо настройку nat прикручивать туда.
|
|||
|
Пример написан для простейшего случая, когда никаких ограничений нет, таблицы iptables пустые.
|
|||
|
Чтобы посмотреть текущие настройки wireguard, запустите 'wg' без параметров.
|
|||
|
|
|||
|
|
|||
|
--- Поднятие клиента ---
|
|||
|
|
|||
|
# opkg update
|
|||
|
# opkg install wireguard-tools
|
|||
|
|
|||
|
Добавляем записи в конфиги.
|
|||
|
|
|||
|
--/etc/config/network--------------------------
|
|||
|
config interface 'wgvps'
|
|||
|
option proto 'wireguard'
|
|||
|
option auto '1'
|
|||
|
option private_key 'oAUkmhoREtFQ5D5yZmeHEgYaSWCcLYlKe2jBP7EAGV0='
|
|||
|
option listen_port '12345'
|
|||
|
option metric '9'
|
|||
|
option mtu '1420'
|
|||
|
|
|||
|
config wireguard_wgvps
|
|||
|
option public_key 'EELdA2XzjcKxtriOCPBXMOgxlkgpbRdIyjtc3aIpkxg='
|
|||
|
list allowed_ips '0.0.0.0/0'
|
|||
|
option endpoint_host '91.15.68.202'
|
|||
|
option endpoint_port '12345'
|
|||
|
option route_allowed_ips '0'
|
|||
|
option persistent_keepalive '20'
|
|||
|
|
|||
|
config interface 'wgvps_ip'
|
|||
|
option proto 'static'
|
|||
|
option ifname '@wgvps'
|
|||
|
list ipaddr '192.168.254.3/24'
|
|||
|
|
|||
|
config route
|
|||
|
option interface 'wgvps'
|
|||
|
option target '0.0.0.0/0'
|
|||
|
option table '100'
|
|||
|
|
|||
|
config rule
|
|||
|
option mark '0x800/0x800'
|
|||
|
option priority '100'
|
|||
|
option lookup '100'
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
--/etc/config/firewall--------------------------
|
|||
|
config zone
|
|||
|
option name 'tunvps'
|
|||
|
option output 'ACCEPT'
|
|||
|
option input 'REJECT'
|
|||
|
option masq '1'
|
|||
|
option mtu_fix '1'
|
|||
|
option forward 'REJECT'
|
|||
|
option network 'wgvps wgvps_ip'
|
|||
|
|
|||
|
config forwarding
|
|||
|
option dest 'tunvps'
|
|||
|
option src 'lan'
|
|||
|
|
|||
|
config rule
|
|||
|
option name 'Allow-ICMP-tunvps'
|
|||
|
option src 'tunvps'
|
|||
|
option proto 'icmp'
|
|||
|
option target 'ACCEPT'
|
|||
|
|
|||
|
config rule
|
|||
|
option target 'ACCEPT'
|
|||
|
option src 'wan'
|
|||
|
option proto 'udp'
|
|||
|
option family 'ipv4'
|
|||
|
option src_port '12345'
|
|||
|
option src_ip '91.15.68.202'
|
|||
|
option name 'WG-VPS'
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
Что тут было сделано :
|
|||
|
*) Настроен интерфейс wireguard. Указан собственный приватный ключ.
|
|||
|
*) Настроен пир-партнер с указанием его публичнго ключа и endpoint (ip:port нашего сервера)
|
|||
|
такая настройка заставит периодически долбиться на сервер по указанному ip
|
|||
|
route_allowed_ip '0' запрещает автоматическое создание маршрута
|
|||
|
allowed_ips '0.0.0.0/0' разрешает пакеты с любым адресом источника.
|
|||
|
ведь мы собираемся подключаться к любым ip в инете
|
|||
|
persistent_keepalive '20' помогает исключить дропание mapping на nat-е, если мы сидим за ним,
|
|||
|
да и вообще полезная вещь, чтобы не было подвисших пиров
|
|||
|
*) Статическая конфигурация ip интерфейса wgvps.
|
|||
|
*) Маршрут default route на wgvps в отдельной таблице маршрутизации с номером 100. Аналог команды ip route add .. table 100
|
|||
|
*) Правило использовать таблицу 100 при выставлении в mark бита 0x800. Аналог команды ip rule.
|
|||
|
*) Отдельная зона фаервола для VPN - 'tunvps'. В принципе ее можно не создавать, можете приписать интерфейс к зоне wan.
|
|||
|
Но в случае с отдельной зоной можно настроить особые правила на подключения с vpn сервера в сторону клиента.
|
|||
|
*) Разрешение форвардинга между локалкой за роутером и wgvps.
|
|||
|
*) Разрешение принимать icmp от vpn сервера, включая пинги. ICMP жизненно важны для правильного функционирования ip сети !
|
|||
|
*) И желательно проткнуть дырку в фаерволе, чтобы принимать пакеты wireguard со стороны инетовского ip vpn сервера.
|
|||
|
Конечно, оно скорее всего заработает и так, потому что первый пакет пойдет от клиента к серверу и тем самым создаст
|
|||
|
запись в conntrack. Все дальнейшие пакеты в обе стороны подпадут под состояние ESTABLISHED и будут пропущены.
|
|||
|
Запись будет поддерживаться за счет периодических запросов keep alive. Но если вы вдруг уберете keep alive или
|
|||
|
выставите таймаут, превышающий udp таймаут в conntrack, то могут начаться ошибки, висы и переподключения.
|
|||
|
Если же в фаерволе проткнута дырка, то пакеты от сервера не будут заблокированы ни при каких обстоятельствах.
|
|||
|
|
|||
|
# /etc/init.d/firewall restart
|
|||
|
# ifup wgvps
|
|||
|
# ifconfig wgvps
|
|||
|
# ping 192.168.254.1
|
|||
|
|
|||
|
Если все хорошо, должны ходить пинги.
|
|||
|
С сервера не помешает :
|
|||
|
# ping 192.168.254.3
|
|||
|
|
|||
|
|
|||
|
--- Подготовка zapret ---
|
|||
|
|
|||
|
Выполните install_easy.sh. Он настроит режим обхода DPI. Если обход DPI не нужен - выберите MODE=filter.
|
|||
|
Так же инсталятор заресолвит домены из ipset/zapret-hosts-user-ipban.txt и внесет крон-джоб для периодического обновления ip.
|
|||
|
|
|||
|
Если вы используете в своих правилах ipset zapret, то он ресолвится и обновляется только, если выбран режим фильтрации обхода DPI по ipset.
|
|||
|
По сути он вам нужен исключительно, если обход DPI не помогает. Например, удается как-то пробить http, но не удается пробить https.
|
|||
|
И при этом вы хотите, чтобы на VPN направлялись только ip из скачанного ip листа, в добавок к заресолвленному ipset/zapret-hosts-user.txt.
|
|||
|
Именно этот случай и рассмотрен в данном примере. Если это не так, то убирайте правила с портом 443 из нижеприведенных правил iptables/nftables.
|
|||
|
Если не хотите ограничиваться листом, и хотите направлять все на порт 443, то уберите фильтры из правил iptables/nftables,
|
|||
|
связанные с ipset/nfset "zapret".
|
|||
|
|
|||
|
Фильтрация по именам доменов (MODE_FILTER=hostlist) невозможна средствами iptables/nftables. Она производится исключительно в tpws и nfqws
|
|||
|
по результатам анализа протокола прикладного уровня, иногда достаточно сложного, связанного с дешифровкой пакета (QUIC).
|
|||
|
Скачиваются листы с именами доменов, не ip адресами. ipset/zapret-hosts-user.txt не ресолвится, а используется как hostlist.
|
|||
|
Потому вам нельзя расчитывать на ipset zapret.
|
|||
|
Тем не менее при выборе этого режима фильтрации , либо вовсе при ее отсутствии (MODE_FILTER=none), ipset/zapret-hosts-user-ipban.txt
|
|||
|
все равно ресолвится. Вы всегда можете расчитывать на ipset/nfset "ipban", "nozapret".
|
|||
|
|
|||
|
"nozapret" - это ipset/nfset, связанный с системой исключения ip. Сюда загоняется все из ipset/zapret-hosts-user-exclude.txt после ресолвинга.
|
|||
|
Его учет крайне желателен, чтобы вдруг из скачанного листа не просочились записи, например, 192.168.0.0/16 и не заставили лезть туда через VPN.
|
|||
|
Хотя скрипты получения листов и пытаются отсечь IP локалок, но так будет намного надежнее.
|
|||
|
|
|||
|
--- Маркировка трафика ---
|
|||
|
|
|||
|
Завернем на vpn все из ipset zapret на tcp:443 и все из ipban.
|
|||
|
OUTPUT относится к исходящим с роутера пакетам, PREROUTING - ко всем остальным.
|
|||
|
Если с самого роутера ничего заруливать не надо, можно опустить часть, отвечающую за OUTPUT.
|
|||
|
|
|||
|
--/etc/firewall.user----------------------------
|
|||
|
. /opt/zapret/init.d/openwrt/functions
|
|||
|
|
|||
|
create_ipset no-update
|
|||
|
|
|||
|
network_find_wan4_all wan_iface
|
|||
|
for ext_iface in $wan_iface; do
|
|||
|
network_get_device DEVICE $ext_iface
|
|||
|
ipt OUTPUT -t mangle -o $DEVICE -p tcp --dport 443 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
|
|||
|
ipt OUTPUT -t mangle -o $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
|
|||
|
done
|
|||
|
|
|||
|
network_get_device DEVICE lan
|
|||
|
ipt PREROUTING -t mangle -i $DEVICE -p tcp --dport 443 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
|
|||
|
ipt PREROUTING -t mangle -i $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
# /etc/init.d/firewall restart
|
|||
|
|
|||
|
--- Маркировка трафика nftables ---
|
|||
|
|
|||
|
В новых openwrt по умолчанию установлен nftables, iptables отсутствует.
|
|||
|
Есть вариант снести nftables + fw4 и заменить их на iptables + fw3.
|
|||
|
Веб интерфейс luci понимает прозрачно и fw3, и fw4. Однако, при установке iptables и fw3 новые пакеты
|
|||
|
будут устанавливаться без сжатия squashfs. Убедитесь, что у вас достаточно места.
|
|||
|
Либо сразу настраивайте образ через image builder.
|
|||
|
|
|||
|
Фаервол fw4 работает в одноименной nftable - "inet fw4". "inet" означает, что таблица принимает и ipv4, и ipv6.
|
|||
|
Поскольку для маркировки трафика используется nfset, принадлежащий таблице zapret, цепочки необходимо помещать в ту же таблицу.
|
|||
|
Для синхронизации лучше всего использовать хук
|
|||
|
INIT_FW_POST_UP_HOOK="/etc/firewall.zapret.hook.post_up"
|
|||
|
Параметр нужно раскоментировать в /opt/zapret/config. Далее надо создать указанный файл и дать ему chmod 755.
|
|||
|
|
|||
|
--/etc/firewall.zapret.hook.post_up----------------------------
|
|||
|
#!/bin/sh
|
|||
|
|
|||
|
ZAPRET_NFT_TABLE=zapret
|
|||
|
|
|||
|
cat << EOF | nft -f - 2>/dev/null
|
|||
|
delete chain inet $ZAPRET_NFT_TABLE my_output
|
|||
|
delete chain inet $ZAPRET_NFT_TABLE my_prerouting
|
|||
|
EOF
|
|||
|
|
|||
|
cat << EOF | nft -f -
|
|||
|
add chain inet $ZAPRET_NFT_TABLE my_output { type route hook output priority mangle; }
|
|||
|
flush chain inet $ZAPRET_NFT_TABLE my_output
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_output oifname @wanif ip daddr @ipban ip daddr != @nozapret meta mark set mark or 0x800
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_output oifname @wanif tcp dport 443 ip daddr @zapret ip daddr != @nozapret meta mark set mark or 0x800
|
|||
|
|
|||
|
add chain inet $ZAPRET_NFT_TABLE my_prerouting { type filter hook prerouting priority mangle; }
|
|||
|
flush chain inet $ZAPRET_NFT_TABLE my_prerouting
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_prerouting iifname @lanif ip daddr @ipban ip daddr != @nozapret meta mark set mark or 0x800
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_prerouting iifname @lanif tcp dport 443 ip daddr @zapret ip daddr != @nozapret meta mark set mark or 0x800
|
|||
|
EOF
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
# /etc/init.d/zapret restart_fw
|
|||
|
|
|||
|
Проверка правил :
|
|||
|
# /etc/init.d/zapret list_table
|
|||
|
или
|
|||
|
# nft -t list table inet zapret
|
|||
|
|
|||
|
Должны быть цепочки my_prerouting и my_output.
|
|||
|
|
|||
|
Проверка заполнения nfsets :
|
|||
|
# nft list set inet zapret zapret
|
|||
|
# nft list set inet zapret ipban
|
|||
|
# nft list set inet zapret nozapret
|
|||
|
|
|||
|
Проверка заполнения множеств lanif, wanif, wanif6, link_local :
|
|||
|
# /etc/init.d/zapret list_ifsets
|
|||
|
|
|||
|
Должны присутствовать имена интерфейсов во множествах lanif, wanif.
|
|||
|
wanif6 заполняется только при включении ipv6.
|
|||
|
link_local нужен только для tpws при включении ipv6.
|
|||
|
|
|||
|
--- По поводу двойного NAT ---
|
|||
|
|
|||
|
В описанной конфигурации nat выполняется дважды : на роутере-клиенте происходит замена адреса источника из LAN
|
|||
|
на 192.168.254.3 и на сервере замена 192.168.254.3 на внешний адрес сервера в инете.
|
|||
|
Зачем так делать ? Исключительно для простоты настройки. Или на случай, если сервер wireguard не находится под вашим контролем.
|
|||
|
Делать для вас нижеописанные настройки никто не будет с вероятностью, близкой к 100%.
|
|||
|
Если сервер wireguard - ваш, и вы готовы чуток еще поднапрячься и не хотите двойного nat,
|
|||
|
то можете вписать в /etc/config/firewall "masq '0'", на сервер дописать маршрут до вашей подсети lan.
|
|||
|
Чтобы не делать это для каждого клиента, можно отвести под всех клиентов диапазон 192.168.0.0-192.168.127.255
|
|||
|
и прописать его одним маршрутом.
|
|||
|
|
|||
|
--/etc/network/interfaces.d/wgvps-------------
|
|||
|
post-up ip route add dev $IFACE 192.168.0.0/17
|
|||
|
post-down ip route del dev $IFACE 192.168.0.0/17
|
|||
|
----------------------------------------------
|
|||
|
|
|||
|
Так же необходимо указать wireguard дополнительные разрешенные ip для peer :
|
|||
|
|
|||
|
--/etc/wireguard/wgvps.conf-------------------
|
|||
|
[Peer]
|
|||
|
PublicKey = bCdDaPYSTBZVO1HTmKD+Tztuf3PbOWGDWfz7Lb1E6C4=
|
|||
|
AllowedIPs = 192.168.254.3, 192.168.2.0/24
|
|||
|
----------------------------------------------
|
|||
|
|
|||
|
Всем клиентам придется назначать различные диапазоны адресов в lan и индивидуально прописывать AllowedIPs
|
|||
|
для каждого peer.
|
|||
|
|
|||
|
# ifdown wgvps ; ifup wgvps
|
|||
|
|
|||
|
На клиенте разрешим форвард icmp, чтобы работал пинг и корректно определялось mtu.
|
|||
|
|
|||
|
--/etc/config/firewall--------------------------
|
|||
|
config rule
|
|||
|
option name 'Allow-ICMP-tunvps'
|
|||
|
option src 'tunvps'
|
|||
|
option dest 'lan'
|
|||
|
option proto 'icmp'
|
|||
|
option target 'ACCEPT'
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
Существуют еще два неочевидных нюанса.
|
|||
|
|
|||
|
Первый из них касается пакетов с самого роутера (цепочка OUTPUT).
|
|||
|
Адрес источника выбирается по особому алгоритму, если программа явно его не задала, еще до этапа iptables.
|
|||
|
Он берется с интерфейса, куда бы пошел пакет при нормальном раскладе.
|
|||
|
Обратная маршрутизация с VPN станет невозможной, да и wireguard такие пакеты порежет, поскольку они не вписываются в AllowedIPs.
|
|||
|
Никаким мистическим образом автоматом source address не поменяется.
|
|||
|
В прошлом варианте настройки проблема решалось через маскарад. Сейчас же маскарада нет.
|
|||
|
Потому все же придется его делать в случае, когда пакет изначально направился бы через wan,
|
|||
|
а мы его завертываем на VPN. Помечаем такие пакеты марком 0x1000.
|
|||
|
Если вам не актуальны исходящие с самого роутера, то можно ничего не менять.
|
|||
|
|
|||
|
Другой нюанс связан с обработкой проброшенных на vps портов, соединения по которым приходят как входящие с интерфейса wgvps.
|
|||
|
Представьте себе, что вы пробросили порт 2222. Кто-то подключается с адреса 1.2.3.4. Вам приходит пакет SYN 1.2.3.4:51723=>192.168.2.2:2222.
|
|||
|
По правилам маршрутизации он пойдет в локалку. 192.168.2.2 его обработает, ответит пакетом ACK 192.168.2.2:2222=>1.2.3.4:51723.
|
|||
|
Этот пакет придет на роутер. И куда он дальше пойдет ? Если он не занесен в ipban, то согласно правилам машрутизации
|
|||
|
он пойдет по WAN интерфейсу, а не по исходному wgvps.
|
|||
|
Чтобы решить эту проблему, необходимо воспользоваться CONNMARK. Существуют 2 отдельных марка : fwmark и connmark.
|
|||
|
connmark относится к соединению, fwmark - к пакету. Трэкингом соединений занимается conntrack.
|
|||
|
Посмотреть его таблицу можно командой "conntrack -L". Там же найдете connmark : mark=xxxx.
|
|||
|
Как только видим приходящий с wgvps пакет с новым соединением, отмечаем его connmark как 0x800/0x800.
|
|||
|
При этом fwmark не меняется, иначе бы пакет тут же бы завернулся обратно на wgvps согласно ip rule.
|
|||
|
Если к нам приходит пакет с какого-то другого интерфейса, то восстанавливаем его connmark в fwmark по маске 0x800.
|
|||
|
И теперь он подпадает под правило ip rule, заворачиваясь на wgvps, что и требовалось.
|
|||
|
|
|||
|
Альтернативное решение - использовать на VPSке для проброса портов не только DNAT, но и SNAT/MASQUERADE. Тогда source address
|
|||
|
будет заменен на 192.168.254.1. Он по таблице маршрутизации пойдет на wgvps. Но в этом случае клиентские программы,
|
|||
|
на которые осуществляется проброс портов, не будут видеть реальный IP подключенца.
|
|||
|
|
|||
|
--/etc/firewall.user----------------------------
|
|||
|
. /opt/zapret/init.d/openwrt/functions
|
|||
|
|
|||
|
create_ipset no-update
|
|||
|
|
|||
|
network_find_wan4_all wan_iface
|
|||
|
for ext_iface in $wan_iface; do
|
|||
|
network_get_device DEVICE $ext_iface
|
|||
|
ipt OUTPUT -t mangle -o $DEVICE -p tcp --dport 443 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
|
|||
|
ipt OUTPUT -t mangle -o $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
|
|||
|
ipt OUTPUT -t mangle -o $DEVICE -j MARK --set-mark 0x1000/0x1000
|
|||
|
done
|
|||
|
|
|||
|
network_get_device DEVICE lan
|
|||
|
ipt PREROUTING -t mangle -i $DEVICE -p tcp --dport 443 -m set --match-set zapret dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
|
|||
|
ipt PREROUTING -t mangle -i $DEVICE -m set --match-set ipban dst -m set ! --match-set nozapret dst -j MARK --set-mark 0x800/0x800
|
|||
|
|
|||
|
# do masquerade for OUTPUT to ensure correct outgoing address
|
|||
|
ipt postrouting_tunvps_rule -t nat -m mark --mark 0x1000/0x1000 -j MASQUERADE
|
|||
|
|
|||
|
# incoming from wgvps
|
|||
|
network_get_device DEVICE wgvps
|
|||
|
ipt PREROUTING -t mangle ! -i $DEVICE -j CONNMARK --restore-mark --nfmask 0x800 --ctmask 0x800
|
|||
|
ipt PREROUTING -t mangle -i $DEVICE -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x800/0x800
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
# /etc/init.d/firewall restart
|
|||
|
|
|||
|
Вариант nftables :
|
|||
|
|
|||
|
--/etc/firewall.zapret.hook.post_up----------------------------
|
|||
|
#!/bin/sh
|
|||
|
|
|||
|
ZAPRET_NFT_TABLE=zapret
|
|||
|
DEVICE=wgvps
|
|||
|
|
|||
|
cat << EOF | nft -f - 2>/dev/null
|
|||
|
delete chain inet $ZAPRET_NFT_TABLE my_output
|
|||
|
delete chain inet $ZAPRET_NFT_TABLE my_prerouting
|
|||
|
delete chain inet $ZAPRET_NFT_TABLE my_nat
|
|||
|
EOF
|
|||
|
|
|||
|
cat << EOF | nft -f -
|
|||
|
add chain inet $ZAPRET_NFT_TABLE my_output { type route hook output priority mangle; }
|
|||
|
flush chain inet $ZAPRET_NFT_TABLE my_output
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_output oifname @wanif ip daddr @ipban ip daddr != @nozapret meta mark set mark or 0x800
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_output oifname @wanif tcp dport 443 ip daddr @zapret ip daddr != @nozapret meta mark set mark or 0x800
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_output oifname @wanif meta mark set mark or 0x1000
|
|||
|
|
|||
|
add chain inet $ZAPRET_NFT_TABLE my_prerouting { type filter hook prerouting priority mangle; }
|
|||
|
flush chain inet $ZAPRET_NFT_TABLE my_prerouting
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_prerouting iifname $DEVICE ct state new ct mark set ct mark or 0x800
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_prerouting iifname != $DEVICE meta mark set ct mark and 0x800
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_prerouting iifname @lanif ip daddr @ipban ip daddr != @nozapret meta mark set mark or 0x800
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_prerouting iifname @lanif tcp dport 443 ip daddr @zapret ip daddr != @nozapret meta mark set mark or 0x800
|
|||
|
|
|||
|
add chain inet $ZAPRET_NFT_TABLE my_nat { type nat hook postrouting priority 100 ; }
|
|||
|
flush chain inet $ZAPRET_NFT_TABLE my_nat
|
|||
|
add rule inet $ZAPRET_NFT_TABLE my_nat oifname $DEVICE mark and 0x1000 == 0x1000 masquerade
|
|||
|
EOF
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
# /etc/init.d/zapret restart_fw
|
|||
|
|
|||
|
К сожалению, здесь возможности nftables немного хромают. Полноценного эквивалента CONNMARK --restore-mark --nfmask
|
|||
|
не существует. Оригинал iptables предполагал копирование одного бита 0x800 из connmark в mark.
|
|||
|
Лучшее, что можно сделать в nftables, это копирование одного бита с занулением всех остальных.
|
|||
|
Сложные выражения типа "meta mark set mark and ~0x800 or (ct mark and 0x800)" nft не понимает.
|
|||
|
Об этом же говорит попытка перевода через iptables-translate.
|
|||
|
|
|||
|
Сейчас уже можно с vpn сервера пингануть ip адрес внутри локалки клиента. Пинги должны ходить.
|
|||
|
|
|||
|
Отсутствие двойного NAT значительно облегчает проброс портов с внешнего IP vpn сервера в локалку какого-либо клиента.
|
|||
|
Для этого надо выполнить 2 действия : добавить разрешение в фаервол на клиенте и сделать dnat на сервере.
|
|||
|
Пример форварда портов 5001 и 5201 на 192.168.2.2 :
|
|||
|
|
|||
|
--/etc/config/firewall--------------------------
|
|||
|
config rule
|
|||
|
option target 'ACCEPT'
|
|||
|
option src 'tunvps'
|
|||
|
option dest 'lan'
|
|||
|
option proto 'tcp udp'
|
|||
|
option dest_port '5001 5201'
|
|||
|
option dest_ip '192.168.2.2'
|
|||
|
option name 'IPERF'
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
# /etc/init.d/firewall restart
|
|||
|
# /etc/init.d/zapret restart_fw
|
|||
|
|
|||
|
--/etc/network/interfaces.d/wgvps-------------
|
|||
|
post-up iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dports 5001,5201 -j DNAT --to-destination 192.168.2.2
|
|||
|
post-up iptables -t nat -A PREROUTING -i eth0 -p udp -m multiport --dports 5001,5201 -j DNAT --to-destination 192.168.2.2
|
|||
|
post-down iptables -t nat -D PREROUTING -i eth0 -p tcp -m multiport --dports 5001,5201 -j DNAT --to-destination 192.168.2.2
|
|||
|
post-down iptables -t nat -D PREROUTING -i eth0 -p udp -m multiport --dports 5001,5201 -j DNAT --to-destination 192.168.2.2
|
|||
|
----------------------------------------------
|
|||
|
|
|||
|
# ifdown wgvps ; ifup wgvps
|
|||
|
|
|||
|
Пример приведен для iperf и iperf3, чтобы показать как пробрасывать несколько портов tcp+udp с минимальным количеством команд.
|
|||
|
Проброс tcp и udp порта так же необходим для полноценной работы bittorrent клиента, чтобы работали входящие.
|
|||
|
|
|||
|
--- Как мне отправлять на vpn весь трафик с bittorrent ? ---
|
|||
|
|
|||
|
Можно поступить так : посмотрите порт в настройках torrent клиента, убедитесь, что не поставлено "случайный порт",
|
|||
|
добавьте на роутер правило маркировки по порту источника.
|
|||
|
Но мне предпочтительно иное решение. На windows есть замечательная возможность
|
|||
|
прописать правило установки поля качества обслуживания в заголовках ip пакетов в зависимости от процесса-источника.
|
|||
|
Для windows 7/2008R2 необходимо будет установить ключик реестра и перезагрузить комп :
|
|||
|
# reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\QoS /v "Do not use NLA" /t REG_SZ /d "1"
|
|||
|
Редактировать политику можно в : gpedit.msc -> Computer Configuration -> Windows Settings -> Policy-based QoS
|
|||
|
На win 10 ключик реестра больше не работает, правила qos в gpedit применяются только для профиля домена.
|
|||
|
Необходимо пользоваться командой powershell New-NetQosPolicy. Гуглите хелп по ней. Пример :
|
|||
|
# powershell New-NetQosPolicy -Name "torrent" -AppPathNameMatchCondition "qbittorrent.exe" -DSCPAction 1
|
|||
|
Однозначно требуется проверка в wireshark или netmon успешности установки поля dscp. Если там по-прежнему 0x00,
|
|||
|
значит что-то не сработало. 0x04 означает DSCP=1 (dscp находится в старших 6 битах).
|
|||
|
|
|||
|
На роутере в фаер прописываем правило :
|
|||
|
|
|||
|
--/etc/config/firewall--------------------------
|
|||
|
config rule
|
|||
|
option target 'MARK'
|
|||
|
option src 'lan'
|
|||
|
option proto 'all'
|
|||
|
option extra '-m dscp --dscp 1'
|
|||
|
option name 'route-dscp-1'
|
|||
|
option set_mark '0x0800/0x0800'
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
# /etc/init.d/firewall restart
|
|||
|
|
|||
|
Теперь все с полем dscp "1" идет на vpn. Клиент сам решает какой трафик ему нужно забрасывать
|
|||
|
на vpn, перенастраивать роутер не нужно.
|
|||
|
На linux клиенте проще всего будет выставлять dscp в iptables по номеру порта источника :
|
|||
|
|
|||
|
--/etc/rc.local---------------------------------
|
|||
|
iptables -A OUTPUT -t mangle -p tcp --sport 23444 -j DSCP --set-dscp 1
|
|||
|
iptables -A OUTPUT -t mangle -p udp --sport 23444 -j DSCP --set-dscp 1
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
можно привязываться к pid процесса, но тогда нужно перенастраивать iptables при каждом перезапуске
|
|||
|
торент клиента, это требует рута, и все становится очень неудобно.
|
|||
|
|
|||
|
|
|||
|
--- Автоматизация проброса портов через miniupnd ---
|
|||
|
|
|||
|
Да, его тоже можно использовать на vps. Только как всегда есть нюансы.
|
|||
|
|
|||
|
miniupnpd поддерживает 3 протокола IGD : upnp,nat-pmp и pcp.
|
|||
|
upnp и pcp работают через мультикаст, который не пройдет через wgvps.
|
|||
|
nat-pmp работает через посылку специальных сообщений на udp:5351 на default gateway.
|
|||
|
Обычно их обслуживает miniupnpd на роутере. При создании lease miniupnpd добавляет
|
|||
|
правила для проброса портов в цепочку iptables MINIUPNPD, при потери lease - убирает.
|
|||
|
|
|||
|
udp:5351 можно перенаправить на vpn сервер через DNAT, чтобы их обрабатывал miniupnpd там.
|
|||
|
Но вы должны иметь однозначный критерий перенаправления.
|
|||
|
Если вы решили завернуть на vpn все, то проблем нет. Пробрасываем udp:5351 безусловно.
|
|||
|
Если у вас идет перенаправление только с торрент, то необходимо к условию перенаправления
|
|||
|
добавить условия, выделяющие torrent трафик из прочего. Или по dscp, или по sport.
|
|||
|
Чтобы запросы от остальных программ обрабатывались miniupnpd на роутере.
|
|||
|
Если какая-то программа создаст lease не там, где нужно, то входящий трафик до нее не дойдет.
|
|||
|
|
|||
|
На роутере стоит запретить протокол upnp, чтобы торрент клиент не удовлетворился запросом,
|
|||
|
обслуженным по upnp на роутере, и пытался использовать nat-pmp.
|
|||
|
|
|||
|
--/etc/config/upnp--------------------------
|
|||
|
config upnpd 'config'
|
|||
|
.....
|
|||
|
option enable_upnp '0'
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
/etc/init.d/miniupnpd restart
|
|||
|
|
|||
|
Делаем проброс порта на роутере.
|
|||
|
Для простоты изложения будем считать, что на vpn у нас завернут весь трафик.
|
|||
|
Если это не так, то следует добавить фильтр в "config redirect".
|
|||
|
Заодно выделяем диапазон портов для торрент клиентов.
|
|||
|
Порт в торент клиенте следует прописать какой-то из этого диапазона.
|
|||
|
|
|||
|
------------------------------------------------
|
|||
|
config redirect
|
|||
|
option enabled '1'
|
|||
|
option target 'DNAT'
|
|||
|
option src 'lan'
|
|||
|
option dest 'tunvps'
|
|||
|
option proto 'udp'
|
|||
|
option src_dport '5351'
|
|||
|
option dest_ip '192.168.254.1'
|
|||
|
option dest_port '5351'
|
|||
|
option name 'NAT-PMP'
|
|||
|
option reflection '0'
|
|||
|
config rule
|
|||
|
option enabled '1'
|
|||
|
option target 'ACCEPT'
|
|||
|
option src 'tunvps'
|
|||
|
option dest 'lan'
|
|||
|
option name 'tunvps-torrent'
|
|||
|
option dest_port '28000-28009'
|
|||
|
------------------------------------------------
|
|||
|
|
|||
|
/etc/init.d/firewall reload
|
|||
|
|
|||
|
|
|||
|
На сервере :
|
|||
|
|
|||
|
apt install miniupnpd
|
|||
|
|
|||
|
--- /etc/miniupnpd/miniupnpd.conf --------
|
|||
|
enable_natpmp=yes
|
|||
|
enable_upnp=no
|
|||
|
lease_file=/var/log/upnp.leases
|
|||
|
system_uptime=yes
|
|||
|
clean_ruleset_threshold=10
|
|||
|
clean_ruleset_interval=600
|
|||
|
force_igd_desc_v1=no
|
|||
|
listening_ip=192.168.254.1/16
|
|||
|
ext_ifname=eth0
|
|||
|
------------------------------------------
|
|||
|
|
|||
|
systemctl restart miniupnpd
|
|||
|
|
|||
|
listening_ip прописан именно таким образом, чтобы обозначить диапазон разрешенных IP.
|
|||
|
С других IP он не будет обрабатывать запросы на редирект.
|
|||
|
В ext_ifname впишите название inet интерфейса на сервере.
|
|||
|
|
|||
|
Запускаем торрент клиент. Попутно смотрим в tcpdump весь путь udp:5351 до сервера и обратно.
|
|||
|
Смотрим syslog сервера на ругань от miniupnpd.
|
|||
|
Если все ок, то можем проверить редиректы : iptables -t nat -nL MINIUPNPD
|
|||
|
С какого-нибудь другого хоста (не vpn сервер, не ваше подключение) можно попробовать telnet-нуться на проброшенный порт.
|
|||
|
Должно установиться соединение. Или качайте торент и смотрите в пирах флаг "I" (incoming).
|
|||
|
Если "I" есть и по ним идет закачка, значит все в порядке.
|
|||
|
|
|||
|
ОСОБЕННОСТЬ НОВЫХ DEBIAN : по умолчанию используются iptables-nft. miniupnpd работает с iptables-legacy.
|
|||
|
ЛЕЧЕНИЕ : update-alternatives --set iptables /usr/sbin/iptables-legacy
|