インターネットの完全な不在と、ログインパスワードの入力を提案する著名なWiFiホットスポット。 または、インターネットがない（お金がなくなったため）3Gが、それを提供するための提案を含むプロバイダーのページがあります。

タスク：DNSを介してトンネリングすることにより、インターネット（合法？）メソッドを取得します。

解決策：linux +ヨウ素+ルーティング+ NAT + squid。これらはすべてネットワークマネージャーによって管理されます。

記事では、ヨウ素プログラムを使用したDNSトンネルの構成の説明、形成されたトンネルを通るルーティングの構成のニュアンス、ヨウ素の自助ヘルパー、およびネットワークマネージャー。



歌詞：運命は私をキプロスの輝かしい島に連れて行きました。キプロスはそのP /パトス、フラッペ、インターネットで有名で、その後ロシアのオプソスは肉の天使のように見え始めます。 特に、インターネットへの接続の試みは、ローカルプロバイダー（yta）が慈悲を持っているとの期待で終了しましたが、このフラッペを飲んで不潔なADSL 4Mb / 768kbitをたった151ユーロ（接続）+月40ユーロ（4メガビット） ！> _ <）。 待機は引きずられて伸び（3週目がすでに過ぎたかのように）、近くには輝かしいPrimeTelがいました。彼はここで、今ではほとんど目に見えないWiFiを1時間あたり4ユーロ（172r /時間）でインターネットに満足させてくれました。 私も同意しますが、アクセスポイントはバルコニーでのみ表示され、アパートでは接続が不安定で、しばしば失われました。 したがって、PrimeTelが未登録のサブコネクタに提供するDNSサービスを無料で、つまり無料で悪用するという、隣人のWEPネットワークのハッキングに加えて、完全に犯罪的な1つのソリューションしかありませんでした。



「ハウツー」に興味のある人は、テキストの後半で解決策を見つけるでしょうが、今のところはプロセスの理論から始めましょう。

DNSトンネリング

使用可能なDNSリゾルバー（つまり、再帰が有効になっているDNSサーバー）が手元にある場合、.comのfoobar.example.comホストのIPアドレスのリクエストに進み、そこで応答するサーバーのアドレスを見つけます。 com、example.comにアクセスして、foobarの責任者を見つけ、指定されたサーバーで詳細を確認します。 IPアドレス（AおよびAAAAレコード）だけでなく、DNSに保存できるその他の情報も認識できます。 特に：

• MX-foobar.example.comにメールを送信するユーザーの説明を含む行が含まれています
• SRV-どの（新しい）サービスがどのアドレスにあるかに関する情報を含む行が含まれます-たとえば、jabberによって使用されます
• TXT-テキスト形式のランダムな情報。 ほとんどの場合、実際にはSPF（foobar.example.comドメインからメールを送信できるユーザーを説明する規則）で使用されます。

（ここでは、DNSとは何か、そしてそれがどのように機能するかについての300kbの講義は失われました）。

必要に応じて、これから簡単なことを行います。foobar.example.comから小さな情報を見つけるようにリゾルバーに依頼できます。 リゾルバーは、キャッシュを検索し、再度検索し、キャッシュから回答します。 （このゾーン内の異なる名前または異なるタイプのレコードに対して）異なるレコードを要求するたびに、リゾルバーは素直に歩いて解決します。 毎回。 プロセスを高速化するために、「誰がそのような情報にアクセスすべきか」という情報をキャッシュし、プロセスは1ホップで続行することに注意してください。



万が一、サーバーから私たちに情報を送信するためのチャネルがあります。 そして戻る？ ただし、foobar.example.comではなくexample.comから学習するように依頼することはできますが、たとえば、

 0ahb282M-J2hbM-> M-nYM-VgdM-OJM-
 CM-> M-nivlm4M-T5M-FM-p1M-t5M-
 fM-uM-IvLM-HM-NM-aM-IM-eLAM-
 BM-TM-qM-KM-UDM-NM-uM-] M-WM-
 jM-DdbM-> Mk.QVM-lM-uM-`v
 M-@3kGfM-fqFa.example.com

（これはインターネット上の1つの長いWebサイトのアドレスであり、友人との付き合いを続けるために列に記載されています）



リゾルバーはexample.comにアクセスし、このアドレスについて尋ねます。 そして、アドレスがエンコードされたメッセージである場合は？ （暗号人は動揺し始めました-名前にエンコードされたメッセージ！）

そして、もし？..はい、正確に。 名前には暗号化されたメッセージが含まれます。 サーバーに情報を送信する方法を見つけました。 DNSサーバー または、DNSサーバーになりすましたが、実際には名前で暗号化されたメッセージをリッスンし、要求に応じて暗号化されたメッセージで応答する偽のサーバー。



つまり、サーバーへのデータチャネルと、DNSリゾルバーを介してサーバーからクライアントへのデータチャネルを取得します。



ヨウ素ユーティリティはこの原理に基づいています。 現時点では、私の観察によると、これは妥当な量のカスタマイズを行う唯一の実際に機能するアプリケーションです。

ヨウ素のセットアップ

ヨウ素の設定は、3つの重要なステップになります。

ドメインゾーンを準備します。

設定でサーバーを起動します。

設定を使用してクライアントを実行します。



その後、このチャネルの使用方法を学習する必要がありますが、これは次の章です。



それでは、難しい部分から始めましょう-DNSの準備。



1つの文で設定：ドメインゾーンを将来のヨウ素サーバーに委任する必要があります。

設定の詳細：

ドメイン名を管理するためのアクセス権が必要です。 ドメインがサーバーに委任されている場合、問題ありません。サブドメインをビンに登録し、それをヨウ素サーバーに委任できます。 「プロバイダー管理者パネル」のみがある場合-問題ははるかに複雑です-何らかの方法で2つのサブドメインを登録する必要があります。そのうちの1つはNSを示し、2番目のサブドメインを示します。



混乱した？ もう一度やりましょう。 私の設定バインドの例を次に示します。

 NS
 j IN A 256.257.258.259

i.example.comにはNSとしてj.example.comサーバーがあり、そのIPアドレスは256.257.258.259です。



habrには、ドメイン名を制御せずに問題を解決する方法に関する記事があります。 しかし、実際の管理者にとっては、少なくとも一部のドメイン名を制御できないのは奇妙なことでしょうか？



2番目の部分はサーバーのセットアップです。 重要な詳細がありますが、非常に簡単です ： 通常のDNSサーバーを実行するサーバーでヨウ素を実行することはできません 。 理由は簡単です-ポート番号は53 / UDPで、変更する権利はありません。



サーバーの起動（iodined）は簡単です：



iodined 10.99.99.1/24 -c i.example.com



（「A」レコードの名前ではなく、NSを指定した名前を指定する必要があります。これが行われない場合、リゾルバーはヨウ素に到達しません）。 -cはIPチェックを無効にします。 詳細には触れませんでしたが、他の人のDNSに取り残される前に、このことを実行する方が良いです。 先頭のアドレスは、サーバーが持つトンネル（tuntap）のアドレスです。 顧客は、次のアドレス（.2、.3など）を受け取ります。



ヨウ素の打ち上げがスクリプト化されている場合でも、パスワードを追加できます： iodined -P SECRET 10.99.99.1/24 -c i.example.com



。 ヨードがトンネルを追加できるように、ルートから実行する必要があります。 原則として、rc.localに追加するか、単に名前の後に＆を付けて実行できます。



重要：ヨウ素/ヨウ素化バージョンは一致する必要があります。 厳密に。 それ以外の場合、接続はありません。 Linuxの1つのバージョンがデスクトップにあり、サーバーに別のバージョンがある場合（これは一般的です）、サーバー上のクライアントからバージョンをインストールすることをお勧めします。 リポジトリからdeb'kuをダウンロードしてインストールするだけです（利点は依存関係がないことです）。



クライアントの起動も簡単です： iodine -P SECRET i.example.com



。



接続後、リモートサーバーが使用可能なアドレス（この場合は10.99.99.1）のトンネルを取得します。



使用できます。



できます。



使用する。



そしてどうやって？

トンネルの終わりの人生

リモートサーバーに対してsshを作成する機能以外のものに興味がある場合は、他のすべてを行う必要があります。 この時点まで断食することは、マナの芸術的な説明にすぎませんでした。 しかし、結果として生じるトンネルを実際に使用するには、ゲートウェイの変更、DNSサーバーの「通常の」ルートの維持、断片化されたパケットの問題の克服に関する問題を解決する必要があります。



おおよそ、結果のトンネルを使用する方法は3つあります。

• サーバー上のルーティングとNAT
• ソックスプロキシ
• http-proxy（squid）

それらをすべて分析します（そして、それらを構成する方法について説明します）。 ルーティングの主な問題は、ネットワークを通過するパケットのMTUが1500バイト未満であることです。 はるかに少ない。 使用していないプロバイダーのDNSサーバーに応じて（否定的な意味で「使用」）、1344（理想的なシナリオ）から740バイトまでのMTUを取得します。 つまり、パケットの断片化が発生します。 そして、パケットの断片化は非常に悪いです。 これは、パッケージの末尾を失うと全体が失われるため、パッケージを失う可能性が2〜3倍になることを意味します。 プラスは、ソリューションのシンプルさと優雅さ、およびすべてのソフトウェアのゼロ構成です。 オンにして動作します。 また、一部のサイトの一部の愚かなCDN / IDCは、断片化されたパケットをブロックします。



一方、トンネルを介してリモートサーバー（ヨウ素化された）とTCPセッションを確立する機会があります。この場合、パケットはトンネルMTUサイズで送信され、断片化は発生しません。 このトンネルに他のtcp接続を多重化すると（フローレベル、つまりソケット）、私たちに合ったこのサイズの外の世界のパケットと通信できるようになります。 ただし、ここでは別のセットアップを待っています。 チャネルが悪い場合、TCPは非常に嫌われます。 これは何で表現されていますか？ 突然の損失と再試行を伴うチャネルでのTCPの実行時間が長いほど、送信が少なくなります（「輻輳が原因で」パケットが失われると仮定）。 その結果、多重化されたチャネルの速度は徐々に低下し、低下し、低下します...トンネリングがSSHを介して発生する場合、暗号化オーバーヘッドも課されます。 約10分後、DNSが不十分な場合、TCPセグメントの通過はtcpdump / wiresharkで個別に調べることができます。 別の問題は、複数のdup ackにつながる遅い応答での突然の遅延です（TCPが悪いか悪いかを言うのはあまりよくわかりません）。 しかし、セグメントをTCPに送信するためのタイムアウトを変更するためのカーネル設定を見つけることができませんでした（rawsで定義するものを除くが、dns-tunnelの下でカーネルを再構築することができませんでした-インターネットが接続され、問題を開発する興味が少し消えました） これは、リモートサーバーで大きな変更を行わない方が良い場合に使用できる唯一の方法であることに注意してください。 この場合、コマンドssh -CD 1080 10.99.99.1



を使用してサーバーに接続し、ブラウザーで127.0.0.1:1080にsocks-proxyを登録し、インターネットにアクセスします。 ブラウザから。 のみ。 残りのソフトウェアはそれに応じて構成されます。



原則として、一部のプログラムでは、tsocksユーティリティが役立ち、アプリケーションからsocks-proxyへのトラフィックを強制的にラップします。 これは次のように使用されます。正しいプロキシアドレスを/etc/tsocks.conf（127.0.0.1、ポート1080、 tsocks my_net_appication app-arguments



ます）に登録してから、 tsocks my_net_appication app-arguments



実行しtsocks my_net_appication app-arguments



。



別のより興味深い方法があります：サーバーでodidを使用してsquidを起動し、iondインターフェースで（またはトンネルアドレスでaclを使用して）リッスンし、クライアントとサーバー間の暗号化されていない接続を使用するように指示できます。 したがって、最初に断片化されていないパケットを受信し、次に、DNSサーバーの短期的な遅延による劣化がはるかに少ない多くのTCPセッションがあります。



欠点が2つあります。1つ目は圧縮がないことです（sshはトラフィックを取得できます。つまり、HTTPで送信されたヘッダーはすべて優れていることがわかります）。2つ目は、SSLが「そのまま」通過するかまったく通過しません。

トンネルの始まりの生活：ヨウ素-mn-ヘルパー

もう1つの問題は、トンネル内のデフォルトゲートウェイの構成です。 squidはhttpのみであるため、他のすべて（IMAPメール、Jabberなど）のルーティングはNATを介して行う必要があります。



問題は、デフォルトゲートウェイの構成です。 問題の本質は、DNSサーバーが与えられたセグメントにない場合（たとえば、5.10.10.10 / 24が与えられ、DNSサーバーが5.11.11.22と5.11.12.33にあった場合）、デフォルトゲートウェイを変更すると失われますDNSサーバーとの通信。



現在のDNSサーバーを見つけるのもかなり退屈です。 苦労した後、ヘルパースクリプトを作成しました： github.com/amarao/iodine-nm-helper



それは非常に不完全であり、さらなる改善を歓迎します。 しかし、DNSの問題を解決する方法がわからないヨウ素-クライアント-開始スクリプト（ヨウ素でパッケージに添付）より明らかに便利です。



このスクリプトは、NetworkMangerを使用するように設計されています。 残念ながら、DHCPリースを更新した後、スクリプトの繰り返し自己再起動をマスターしなかったため、リースが更新されるたびに、ルーティングが中断し、スクリプトを再起動する必要があります。

パフォーマンスと通話品質

景品の名誉ある恋人、私は失望することを急ぐ。 実際の条件（実験室外）でのDNSトンネルは非常に低速であり、通常のインターネットの代わりにはなりません。 tele2からのエッジでさえ、ブレーキングに関してはさらに高速です。 以下は、githubを開いたときのfirebugからの写真です。 見て、涙を流してください-これらは数分の負荷であり、すべてがまさにそれです。







速度は非常に不均一に変化します。 トンネルを介して作業しているときにtcpで何が起こっているかを調査するのに少し時間を費やしました-特定の動作のため、多くの再送信と重複するackがあります。つまり、tcpは数秒間パケットが「鈍る」場合、極端に不均一なレイテンシーに適応できません。また、数十/数百ミリ秒かかる場合があります。



最小限の「無ではなく何か」として使用できます。 たとえば、ダウンロードのピーク時（um ...サイズが1.6MBの巨大ファイル）、最大8kb / sの速度を観測しましたが、すぐにゼロに低下し、プロセスを数回再起動する必要がありました。 今後数日間で良いcytaが私を接続しない場合、この大切な「再送信タイムアウト」を見つけるために、TCPの荒野をもう少し深く掘り下げます。



dhcpの問題。 PrimeTelにはDHCPの短期リースがあります。 同時に、リースを更新すると、ルートの自動更新も行われます。つまり、デフォルトゲートウェイがPaimtelovskyに置き換えられます。 頭を悩ませた後、ネットワーク0.0.0.0/0（もう一度、ゼロで割った値）へのルートはもっとクールになると決めました。 同時に、まだ解決していないDHCPへのルートが消えるという問題が残っています（アドレスは異なるネットワークから発行され、そのようなネットワークはそれぞれ独自のゲートウェイを持っているため、釘付けされたルートは良くありませんが、別のネットワークのアドレスを取得することは非倫理的で静的であると考えました）ネットワーク使用）。



したがって、一般的に言えば、質問は未解決です。

合法性の問題

おそらく最も難しい。 正式には、これに対して多額、多額、多額のユーロを支払うことなく、受け取るべきではなかったものを手に入れます。 一方、WiFiオペレーターのホットスポットは、自発的かつ意識的にDNSサーバーへのアクセスを許可しました。 サービスをどのように使用するかはすでに私の問題です。どのような種類のハッキングも実行しないことが重要です（たとえば、パスワードの推測はすでに明らかな犯罪行為であり、コンピューターシステムへの不正アクセスです）。



私は、この問題はグレーゾーンにあると信じています（つまり、視点は裁判所の弁護士のスキルに依存します）。 実生活では、誰も気にしません。 より正確には、オペレーターは自分のDNSサーバーが壊れているかどうかは気にしないかもしれませんが、それが機能する限り問題ありません。 ヨウ素が示す素晴らしい速度に照らして、数百キロビットのトラフィックの「損失」について真剣に議論することすらできません。 原則として、この場合のオペレーターにとって最も不快なのは、DNSの負荷とwifiネットワークのスプリアストラフィックです。

設定

（チューニングする人を除く全員にとってさらに退屈です）。



サーバー上：

sysctl net.ipv4.ip_forward = 1

iptables -t nat -A POSTROUTING -s 10.99.99.0/24 -j MASQUERADE

ヨウ素化-P SECRET 10.99.99.1/24 -c i.example.com



クライアントで：

vim /etc/iodine-nm-helper.conf（設定を追加）

./iodine-nm-helper

（スクリプトはトンネルを通るルーティングを修正します）



firefoxでは、トンネルサーバーのIPを介してhttpプロキシを設定します。



イカ設定：



acl good src 10.99.99 / 24

http_accessは適切なlocalhostを許可します

http_accessすべて拒否