家里运行了一些服务,希望在外面也可以方便的访问它们。
旧办法是通过路由器端口映射到内网端口,但这种方式已经很难满足我的场景,因为例如hadoop服务会开放很多web页面端口,实在难以逐一映射。
于是我选择了在家里自建VPN服务器,然后只把VPN服务的端口映射到路由器,这样只要在外面连接VPN即可像在家里一样任意访问内部网络了。
搭建openconnect
openconnect是开源VPN项目,包含了服务端和客户端(PC/MAC/Android),是商业产品思科cisco anyconnect的开源版本。
为什么选择它呢?因为它能够从服务端自定义下发路由规则到客户端,这样就可以控制客户端哪些流量需要送往VPN隧道、哪些流量不需要经过VPN隧道,实现类似于同时兼顾访问家庭内网和公司内网的目的。
搭建方式参考官方手册:https://gitlab.com/openconnect/recipes,我以debian为例进行安装配置,非常方便:
apt-getupdate
apt-cache show ocserv
配置ocserv
接下来配置VPN服务端,分为2大部分:
- 自签一下SSL证书,因为这个VPN协议需要SSL加密。(自签没关系,只要客户端登录时选择信任证书即可)
- 配置ocserv.conf配置文件,主要是定义VPN如何认证用户、VPN网段、还有更高级的路由表下发。
SSL证书
首先搞证书,按官方教程来即可:https://gitlab.com/openconnect/recipes/-/blob/master/ocserv-configuration-basic.md#certificate-management-self-signed
第一步:
mkdir/root/certificates
cd/root/certificates
第二步(原样敲入即可,信息都不重要):
vim ca.tmpl
cn=”your organization’s certificate authority”
organization=”your organization”
serial=1
expiration_days=3650
ca
signing_key
cert_signing_key
crl_signing_key
第三步(原样敲入即可,信息都不重要):
vimserver.tmpl
cn=”a sever’s name, usually matches hostname”
organization=”your organization”
serial=2
expiration_days=3650
signing_key
encryption_key
tls_www_server
dns_name=”your organization’s host name”
#ip_address = “if no hostname uncomment and set the IP address here”
第四步(生成CA证书):
certtool—generate-privkey—outfile ca-key.pem
certtool—generate-self-signed—load-privkey ca-key.pem—template ca.tmpl—outfile ca-cert.pem
第五步(用CA签VPN证书):
certtool—generate-privkey—outfile server-key.pem
certtool—generate-certificate—load-privkey server-key.pem—load-ca-certificate ca-cert.pem—load-ca-privkey ca-key.pem—template server.tmpl—outfile server-cert.pemba
把VPN证书拷到ocserv配置目录下:
cpserver-cert.pemserver-key.pem/etc/ocserv/
ocserv.conf
先修改登录方式,采用linux用户密码进行登录:
| 1 2 3 |
vim /etc/ocserv/ocserv.conf auth=”pam” |
|---|---|
然后VPN监听端口有需要可以改一下:
| 1 2 |
tcp-port=443 udp-port=443 |
|---|---|
然后就是VPN网段的配置了,我家里是192.168.2.x网段,我们要让VPN使用一个不同的网段,因为VPN server要给每个连接过来的VPN client分配一个VPN网段的IP,如果这个IP和192.168.2.x网段的某个IP冲突就有问题了,所以一定是不同网段的,同样道理也不能和客户端所在的局域网段冲突。
| 1 2 |
ipv4-network=192.168.8.0 ipv4-netmask=255.255.255.0 |
|---|---|
所以我配置了192.168.8.x的一个冷门网段,足够分配254个VPN client,为什么不是255个呢?因为VPN服务端会先占1个IP。
暂时我们配置这些,现在我们启动ocserv来介绍一下VPN是如何工作的。
分析ocserv工作原理
大家自行在路由器映射VPN端口到公网,然后下载openconnect gui客户端(https://openconnect.github.io/openconnect-gui/),然后连接这样的地址:
https://公网IP:路由器映射端口
即可连接到家里内网的VPN服务端,输入任意正确的linux账号密码即可登录。
连接成功后,在客户端打开命令行查看路由表(我是windows电脑,使用route print命令),会发现2条本就存在的路由记录:
| 1 2 |
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.103 25 192.168.2.0 255.255.255.0 在链路上 192.168.2.103 281 |
|---|---|
这是因为windows电脑也在家里,所以本身就被局域网下发了默认网关路由到192.168.2.1路由器、以及192.168.2.x网段的路由记录,这台电脑的自身IP是192.168.2.103。
但是连接VPN后,则多了2条VPN网段的记录:
| 1 2 |
0.0.0.0 0.0.0.0 192.168.8.1 192.168.8.250 2 192.168.8.0 255.255.255.0 在链路上 192.168.8.250 257 |
|---|---|
又来了一条优先级更高(2)的默认网关路由,指向了192.168.8.1,也就是VPN server的IP地址,同时也多了一条192.168.8.x 这个VPN网段的路由记录,此时电脑上也出现了一张虚拟的网卡,其IP就是192.168.8.250,这是VPN server给分配的,由VPN client负责虚拟出本地网卡。
此时发往192.168.8.x网段的流量会直接从VPN网卡送出,发往其他IP的流量也会命中192.168.8.1的默认网关(同样是从VPN网卡送出),而不是电脑所在局域网原本下发的192.168.2.1的默认网关。
所以VPN网卡已经劫持了所有外出流量,经过VPN虚拟网卡封包为物理IP送往VPN server,再由VPN server拆包后得到真实IP地址,继续进行转发。
此时VPN server也多了一条该客户端的路由记录:
| 1 2 3 4 5 6 |
root@debian:/home/work# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref UseIface 0.0.0.0 192.168.2.201 0.0.0.0 UG 0 0 0ens18 192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0ens18 192.168.8.250 0.0.0.0 255.255.255.255UH 0 0 0vpns0 |
|---|---|
也就是192.168.8.250这个vpn client的流量全部送给vpns0虚拟网卡,也就是说回给该vpn client的包也需要经过vpn server的虚拟网卡封包送走。
vpn基本就是这个原理。
这点原理还不够
不要以为理解上面就万事大吉了,当VPN client请求baidu.com时,baidu的IP地址会命中默认网关发往192.168.8.1默认网关,经过封包送到VPN server的监听端口。
然后VPN server会把封包拆开,linux协议栈看到真实目标IP是baidu.com,那么显然该IP地址不是本机,需要forward给百度,此时需要linux的netfilters进行流量forward才能再次送给192.168.2.1家庭物理网关到达百度,这一步需要我们在服务端开启ipv4 forward特性:
vim /etc/sysctl.conf
net.ipv4.ip_forward=1
然后执行sysctl -p生效。
另外,VPN server拆包后看到的源IP其实是VPN client的192.168.8.x的IP,如果该包直接forward给百度的话,百度/路由器回包时就无法路由回来,所以我们需要在包离开本机时做一下snat把源IP换成物理IP:
iptables -t nat -A POSTROUTING -j MASQUERADE
为了持久化iptables规则(默认重启后就没了),所以我们需要安装一下工具:
apt install iptables-persistent
然后保存一次:
netfilter-persistent save
最后
更高级的特性就是配置ocserv.conf的路由下发,下发一些路由规则到VPNclient ,这样可以控制哪些网段的流量不要发给VPN隧道,可以兼顾客户端本地局域网和家庭局域网两路一起访问的需求,但是这个要求客户端本地局域网段、VPN网段、家庭局域网段三者不能冲突。
大家可以试一下ocserv.conf中的route和no-route配置项,比如我希望VPN client不要让公司网段走VPN,那么就可以加一条这样的配置(假设公司网段是172.26.201.x):
no-route = 172.26.201.0/255.255.255.0
这样VPN client侧的虚拟网卡就会判断目标IP是这个网段的就不发往VPN server了,而是走本地其他路由规则寻址。
如果你家里的网络是路由器/旁路由FQ或者绿色dns的话,那么可以令vpn server的默认网关指向fq路由器,同时让vpn client使用你家里的绿色dns,这样就可以让vpn客户端透明fq了。
比如我家里旁路由上有绿色DNS,所以我可以令ocserv.conf下发它的IP地址作为客户端使用的DNS服务器地址(家里的192.168.2.201运行着绿色DNS,然后vpn client可以通过隧道访问到它):
在ocserv.conf中指定dns服务器地址,下发给vpn client:
dns = 192.168.2.201
这样vpn client就会请求192.168.2.201进行域名解析,得到无污染IP。
若有收获,就点个赞吧
0 人点赞
