Я уже писал когда-то про обход ограничений интернет провайдера в отеле с помощью ICMP туннеля. Вот, недавно я столкнулся с новым подобным ограничением, но в этот раз мой интернет провайдер по ошибке решил что я не уплатил за услуги. Так как был уже поздний вечер, связаться с тех поддержкой не получилось. Это подтолкнуло меня немного поисследовать провайдерскую сеть. В первую очередь проверил ICMP, но пропинговать 8.8.8.8 не получилось. Второй проверкой была попытка обратится к DNS серверу Google. Когда команды dig @8.8.8.8 google.com вернула мне адрес вернула мне IP адрес, я понял что смогу использовать технику DNS туннелирования для полноценного доступа в Интернет. Собственно об этом я и расскажу в данном посте.

Вкратце расскажу о том, как работает DNS туннелинг. Этот вид туннелинга позволяет заворачивает полезный для нас трафик (web,ssh) в UDP пакеты. Эти пакеты посылаются на управляемый нами сервер, на котором работает приложение, слушающее 53 порт. Приложение распаковывает пакеты, извелкает из них данные и дальше уже на основе этих данных, устанавливает TCP соединение с нужным сервером/сервисом. После того как наш DNS-прокси сервер получает ответы по TCP, он упаковывает эти данные обратно в UDP пакет и отвечает запрашивающей стороне. На стороне клиента происходит повторное изьятие данных из пакета. С токи зрения интернет-провайдера (если не вчитываться в содержимое пакета) все выглядит так, будто бы вы со своей клиентской машине активно пытаетесь резолвить доменные имена с одного DNS сервера.

Теперь ближе к реализации. Думаю всем понятно, что для того что б все заработало, надо либо что б все было предварительно настроено, либо воспользоваться альтернативным подключением к Интернету для настройки. Сам тунель подымается с помощью набора perl скриптов под названием OzymanDNS, с сайта dnstunnel.de. По каким-то причинам линка на скрипт на официальном сайте битая, но гугл мне помог и я нашел копию скриптов и выложил у себя.

Скачать скрипты для DNS туннелинга.

Для того что б все заработало необходимо иметь следующее:
1. Свой домен (к примеру бесплатный из org.ua зоны
2. Сервер с выделенным IP адресом и рутовыми правами на нем (для запуска серверной части и возможности работать по 53 порту), perl. Выполняет роль DNS-тунеллинг прокси сервера.
3. Клиентский компьютер, желательно по Linux. На нем нужен perl и openssh-client.

Настройка этого всего состоит из трех этапов:
1. Настройка доменной зоны
2. Настройка сервера
3. Настройка клиента

Настройка доменной зоны
На этом этапе надо заставить нашего клиента обращаться именно на наш сервер с DNS запросами. Делаеться это путем делегирования части вашего домена другому DNS серверу. В моем случае я просто зашел в админку, в которой обслуживается мой домен, и добавил следующие записи в описание зоны:
dnstun.example.com. IN NS ns3.example.com
ns3.example.com IN A 12.12.12.12
Теперь при попытке узнать адрес любого из поддоменовв зоне dnstun.example.com, запросы будут автоматически отправлятся на сервер с адресмо 12.12.12.12. Адрес должен указывать на тот сервер, где у вас будет запущена серверная часть DNS туннелинг скриптов.

Настройка сервера
Создаем директорию /opt/dnstunnel:
# mkdir -p /opt/dnstunnel
Качаем туда архив:
# cd /opt/dnstunnel
# wget http://chooselinux.org.ua/wp-content/uploads/2011/11/dnstunnel.tar.gz
# tar zxvf dnstunnel.tar.gz
# rm -f dnstunnel.tar.gz
Доставляем нужные пакеты:
# apt-get install screen libnet-dns-perl libmime-base32-perl liblwp-useragent-determined-perl
Редактируем /opt/dnstunnel/dnstunneld.wrapper, вписываем следующее:
DNSHOST="ns3.example.com" # имя моего сервера
REPLYIP="127.0.0.1" # что отвечать на реальные DNS запросы на этот сервер
OPTIONS="-l 12.12.12.12 -u nobody -g nogroup" # IP, на котором будет работать DNS туннель
Создаем симлинк в /etc/init.d для удобного запуска скрипта:
# ln -s /opt/dnstunnel/dnstunneld.init /etc/init.d/dnstunnel
Запускаем:
# /etc/init.d/dnstunnel start

Настройка клиента
Ставим необходимые пакеты:
# apt-get install libnet-dns-perl libmime-base32-perl
Качаем и ставим DNStunnel:
# cd /tmp
# wget http://chooselinux.org.ua/wp-content/uploads/2011/11/dnstunnel.tar.gz
# tar zxvf dnstunnel.tar.gz dnstunnelc
# mv dnstunnelc /usr/bin/
# rm -f dnstunnel.tar.gz

Подключеяемся:
$ ssh -C -D5500 -o ProxyCommand="dnstunnelc sshdns.dnstun.example.com" user@12.12.12.12

После ввода пароля тунель можно считать установленным. Теперь только остается прописать в настройках браузера SOCKS прокси 127.0.0.1:5500 и все.

Я попытался протестировать скорость закачки файлов при таком туннелировании и получил результат около 15-20КБайт/с. По нынешним меркам это очень мало, но тем не менее, это доказывает что такой способ туннелирования работает.

Удачи!

Итак, для подключения я пользуюсь консольной утилитой wvdial. Установка ее проста:
apt-get install wvdial

Дальше необходимо отредактировать файл настроек /etc/wvdial.conf.

Для People.net он выглядит следующим образом:
[Dialer Defaults]
Init1 = ATZ
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
Phone = #777
Modem Type = Analog Modem
Stupid Mode = 1
Baud = 9600
New PPPD = 1
Dial Command = ATD
Modem = /dev/ttyUSB0
ISDN = 0
Username = 80921111111@people.net.ua
Password = 123456


Для Utel:
[Dialer Defaults]
Init1 = ATZ
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
Init3 = AT+CGDCONT=1,"IP","3g.utel.ua"
Phone = *99#
Modem Type = USB Modem
Baud = 460800
New PPPD = yes
Modem = /dev/ttyACM21
ISDN = 0
Username = 123 ;не имеет значения
Password = 0 ;не имеет значения


После подключения модема или телефона, лучше убедится что он подключился как правильное устройство. Я выполняю wvdialconf, который опрашивает все устройства, и если модем найден, будет выведена информация о нем, а в конфиг в поле Modem подставится имя нужного устройства.

Подключения:

root@warbook:~# wvdial
--> WvDial: Internet dialer version 1.60
--> Cannot get information for serial port.
--> Initializing modem.
--> Sending: ATZ
OK
--> Sending: ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
OK
--> Modem initialized.
--> Sending: ATDT#777
--> Waiting for carrier.
ATDT#777
CONNECT
~!E` [03]W% q[11]E1Cb[01]z^x[07]_Kd77 o[11][08]d1:ad2:id20:UP2[19]7>_$uIk ,T eJ%[0c][1e]6:target20:[7B{J8B}^d+43Hv[1e]!&fehe1:q9:find_node1:t4:/[14] 1:v4:UT@v1:y1:qej4~
--> Carrier detected. Waiting for prompt.
~!E` [03]}]u v[11]y7N[0b][17]{^x[07]_[03]T77 oy'd1:ad2:id20:[(N[7f] J?qk$#4S[16]h XD[0f]I6:target20:[7@*zR*=}]s[05]x[_Z[07]=[18]Te1:q9:find_node1:t4:y" 1:v4:UTTR1:y1:qeQ[16]~
--> Don't know what to do! Starting pppd and hoping for the best.
--> Starting pppd at Thu Oct 7 18:23:30 2010
--> Pid of pppd: 2162
--> Using interface ppp0
--> pppd: 0��
--> pppd: 0��
--> pppd: 0��
--> pppd: 0��
--> pppd: 0��
--> local IP address 94.248.7.95
--> pppd: 0��
--> remote IP address 77.109.0.225
--> pppd: 0��
--> primary DNS address 77.109.1.8
--> pppd: 0��
--> secondary DNS address 77.109.1.9
--> pppd: 0��


Все, после того, как присвоен адрес подключение осуществлено.

После подключения безлимитного инитернета многие наверное задумывались о том, как бы его использовать поэффективнее, что б не было и минуты простоя =) Я к примеру искал способ как иметь возможность качать домой фильмы даже еслия нахжусь на работе, в отпуске или еще где =). Сейчас я раскажу как настроить торрент клиент в Ubuntu 8.04.1, как работать с веб-интерфейсом и как работать с ним из консоли и все с помощью transmission.

1. Введение
Transmission, не смотря на его внешнюю простоту, достаточно развитый торрент клиент.
boffin@boffin-desktop:~$ apt-cache search transmission | grep ^transmission
transmission-common - lightweight BitTorrent client (common files)
transmission-gtk - lightweight BitTorrent client (graphical interface)
transmission - lightweight BitTorrent client
transmission-cli - lightweight BitTorrent client (command line interface)
transmission-daemon - lightweight BitTorrent client (daemon)

Как видим существует несколько видом клиента:

• transmission — графический клиент
• transmission-cli — консольный клиент
• transmission-daemon — демон

На мой взгляд самый любопытный из них — transmission-daemon, потому что он предоставляет веб-интерфейс и имеет удобный «пульт управления».

2. Установка

Установка проста как и для любой другой программы в Убунте:
apt-get install transmission-daemon

Вот что оказалось у меня полсе установки:
boffin@boffin-desktop:~$ transmission-daemon -h
Transmission 1.40 (7096) http://www.transmissionbt.com/
A fast and easy BitTorrent client
...

3. Настройка
Все настройки и торрент файлы демон хранить в директории ~/.config/transmission-daemon/

~/.config/transmission-daemon/settings.json

{
"allow-hibernation-even-when-torrents-are-active": 0,
"blocklist-enabled": 0,
"debug-message-level": 2,
"download-dir": "\/mnt\/storage\/downloads",
"download-limit": 100,
"download-limit-enabled": 0,
"encryption": 1,
"inhibit-hibernation": 1,
"main-window-height": 714,
"main-window-width": 803,
"main-window-x": 0,
"main-window-y": 0,
"max-peers-global": 200,
"max-peers-per-torrent": 50,
"minimal-view": 0,
"open-dialog-dir": "\/home\/boffin",
"peer-port": 51413,
"peer-socket-tos": 8,
"pex-enabled": 1,
"port-forwarding-enabled": 1,
"prompt-before-exit": 1,
"proxy-authentication": "",
"proxy-authentication-required": 0,
"proxy-port": 80,
"proxy-server": "",
"proxy-server-enabled": 0,
"proxy-type": 0,
"proxy-username": "",
"rpc-access-control-list": "+127.0.0.1",
"rpc-authentication-required": 0,
"rpc-enabled": 0,
"rpc-password": "oR34MaC19EADEAXs",
"rpc-port": 9091,
"rpc-username": "transmission",
"rpc-whitelist": "127.0.0.1",
"show-filterbar": 1,
"show-options-window": 1,
"show-statusbar": 1,
"show-toolbar": 1,
"show-tray-icon": 1,
"sort-mode": "sort-by-name",
"sort-reversed": 0,
"start-added-torrents": 1,
"statusbar-stats": "total-ratio",
"trash-original-torrent-files": 0,
"upload-limit": 100,
"upload-limit-enabled": 0,
}


Основной интерес здесь представляют поля download-dir (директория в которую по умолчанию происходит загрузка), rpc-port (номер портя для удаленного управления). Эти настройки можно менять прямо в файле либо часть из них будет доступна через веб-интерфейс.

Запускаем демон:
transmission-daemon

4. Веб-интерфейс
Переходим в браузере на страницу http://ваш_IP:9091/ и видим следующее:

Тут все просто — 4 вкладки: все, скачиваемые, раздающиеся, приостановленные — показывают соответстующие торренты.

Слева снизу есть кнопка, по нажатию которой всплывает меню, из него можно перейти в настройки:

Настройки просты, позволяют указать огрничения скорости, директорию в которую загружать и что-то еще =)…

Для добавления файла на закачку надо нажать кнопку Open, и выбрать файл торрента, нажать Upload. Файл торрента загрузится а сервер и начнется закачка контента.
Управлять закачками можно через веб интерфейс, для каждой закачки доступно контекстное меню из которого можно остановить, запустить, удалить торрент.

5. transmission-remote

transmission-remote — позволяет управлять задачми демона transmission. Возможностей у него значительно больше чем у веб-интерфейса, я расскажу об основных.

transmission-remote -d100 -u20 — устанавливает ограничение на download 100kb/s и upload — 20kb/s
transmission-remote -D -U — снимает ограничения на скорость
transmission-remote -l — список всех торрентов, и информация о них.
transmission-remote -a one.torrent two.torrent — добавляем торренты
transmission-remote -a ~/Desktop/*torrent — добавляем все торренты из директории
transmission-remote -t1 -i получаем подробную информацию о торренде с id — 1, идентификаторы торрентов можно увидеть в списке всех торрентов
transmission-remote -t1 -f — вывести список файлов в торенте
transmission-remote -t1 -Gall -g2,4 — пометить для загрузки только 2 и 4 файлы (-Gall сначала запрещает закачивать все файлы а -g2,4 разрешает только нужные два файла)

Ну вот и все, этого вполне достаточно для повседневной работы. Удачной закачки!

LocalForward

Ситуация:
вы имеете доступ в сеть и на роутер вашей сети. Вы находитесь в подсети 192.168.1.0/24, адрес роутера — 192.168.1.1, ваш адрес — 192.168.1.13. Роутер обсулживает так-же другую подсеть 192.168.5.0/24, в которой находится прокси-сервер по адресу 192.168.5.230, и слушает на порту 3128. Роутер не маршрутизирует пакеты из вашей подсети в подсеть прокси-сервера.
Задача:
получить доступ к прокси-серверу
Решение:
Как вы уже догадались мы будем использовать локальный проброс порта. В результате нашей деятельности при обращении к порту 9999 вашей локальной машины (192.168.1.13) все пакеты будут пробрасываться на 3128 порт сервера 192.168.5.230.

Для этого в терминале делаем следующее:

ssh -L9999:192.168.5.230:3128 192.168.1.1

после авторизации на вашем локальном будет слушаться порт 9999. Проверить можно следующим образом:

root@desktop:/root/# netstat -lnp | grep 9999
tcp 0 0 127.0.0.1:9999 0.0.0.0:* LISTEN 16384/ssh

Теперь немного подробнее о параметрах:
-L — указывает что будем организовывать локальный проброс порта, то есть наш туннель будет открываться на локальной машине, то есть на локальной машине будет слушаться порт
9999 — указывает какой именно порт мы будем открывать локально
192.168.5.230:3128 — указывает на какой хост:порт мы будем пробрасывать туннель, хост который видно с сервера на который мы устанавливаем ssh соединение

В результате наших действий если поставить в браузере прокси сервер 127.0.0.1:9999 мы будем, к примеру, ходить в интернет через прокси-сервер который находится в другой подсети.

RemoteForward

Ситуация:
У вас дома/в офисе есть машина(192.168.1.15), которая ходит в интернет через NAT. Так же у вас есть ssh доступ на какой-либо хост(234.12.34.34) в интернете.

Задача:
Получить доступ на рабочую/домашнюю машину по ssh с любого компьютера в интернете.

Решение:
На рабочей/домашней машине выполняем следующее:

ssh -R2222:localhost:22 234.12.34.34

после авторизации на удаленном хосте (234.12.34.34) откроется порт 2222 на lo интерфейсе.

То есть теперь для того что б зайти на свой рабочий/домашний ПК достаточно зайти на удалённый хост (234.12.34.34) и там локально подключится к ssh который слушает на порту 2222. Вуаля, вы на домашней/рабочей машине.

Примечание: таким-же образом вы можете пробросить туннель на машину в вашей локальной сети, к примеру ssh -R2222:192.168.1.234:22 234.12.34.34

С удовольствием отвечу на все ваши вопросы и выслушаю предложения. Пишите комментарии!

Оставался нерешенным один вопрос, как узнавать IP извне.
Недолго думая было принято решение заставить компьютер сообщать свой адресс каждую минуту выделенному серверу интернет. Тоесть по крону мой компьютер дергал ссылку удалённого сервера в результате чего в логах оставалась запись адреса.
*/1 * * * * boffin curl http://domain.com/stat.php?pid=0 > /dev/null
Я пошёл немного дальше и на удалённом сервере написал скрипт который заносит значение IP адреса в базу данных, а так-же в случае правильно введённого логина/пароля выводит это значение.
Таким образом даже без статического IP я могу знать адрес своей машины

Цель: раздавать всем желающим адреса.

DHCP (англ. Dynamic Host Configuration Protocol — протокол динамической конфигурации узла) — это сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP. Для этого компьютер обращается к специальному серверу, называемому сервером DHCP. Сетевой администратор может задать диапазон адресов, распределяемых среди компьютеров. Это позволяет избежать ручной настройки компьютеров сети и уменьшает количество ошибок. Протокол DHCP используется в большинстве крупных сетей TCP/IP.
Из Википедии

Установка

От имени root в терминале устанавлиавем пакет:

apt-get isntall dhcp3-server

Далее редактируем файл конфигурации /etc/dhcp3/dhcpd.conf. Приводим его к следующему виду:

ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
#DNS сервера провайдера интернет.
option domain-name-servers 195.5.46.12, 195.5.46.10;
#описание подсети в которой будем выдавать адреса
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.100 192.168.1.240; //диапазон адресов
option routers 192.168.1.1; //адрес шлюза
}

После сохранения файла делаем:

/etc/init.d/dhcp3-server start

Вуаля, dhcp сервер запущен! Теперь при появлении в сети компьютера запрашивающего настройки он будет выдавать по порядку адреса из диапазона 192.168.1.100-192.168.1.200, выдавать DNS-сервера и адрес шлюза.