Shell's Home

Feb 9, 2015 - 1 minute read - Comments

p2p vpn的部署方法

p2p vpn的基本概念

p2p vpn这个概念的提出,是因为openvpn在数据传输上的一个特性——虚拟链路都是从拨入端到服务器的。例如vpn网关在北美,上海电信的两个人要通讯,数据就要从北美绕一圈。这个特性在多节点打通上无疑很扯,于是催生了很多p2p vpn。他们的基本理念是——尽力从端到端,不成再绕。而且为了解决端到端,顺便得解决NAT问题——也就是带有STUN打洞。

tun模式的三层转发表

先说明一点,大部分p2p vpn都是tun模式。这也很正常,tunnel用的么。但是大家在配置openvpn的时候,不知是否注意过iroute这个指令。为什么会有iroute指令的存在?

tun模式是三层模式,相信大家都有数。也就是说,报文传递的时候只带有三层地址,openvpn也凭借三层地址来找到要转发给谁。这里和普通的网络就显示出区别了——普通网络使用ARP协议来自管理转发规则,而openvpn则是凭借内部写好的转发表。

例如vpn gateway的虚地址是192.168.100.1,节点1是100.5,节点2是100.10。那么节点2发送报文给节点1时,报文大约长这个样子。

192.168.100.10 -> 192.168.100.5

在普通网络中,第一步会查路由表,确定是eth0(虚拟网络是tun0)。然后在上面广播ARP请求,获得MAC地址。最后填写MAC地址,发送报文。但是在tun虚拟网络中,仔细看你的路由表,是不是整个虚网络都被交给了一个叫做100.4之类的奇怪gateway转发?甚至如果你没有打开client-to-client,整个虚网络只有一台可见,这台还是交给这个gateway转发的。

这是因为你到这个奇怪的IP之间还是走ARP过程,但是这个奇怪的IP收到你的报文后,就可以是纯三层过程了。你可以把这个IP视为本地openvpn的化身。openvpn会把你的报文发送到openvpn gateway,然后openvpn gateway再转发给正确的机器。也就是说,openvpn gateway必须知道某个目标IP需要转给哪个节点,物理地址多少,对吧?

作为纯虚网络,知道节点的IP很容易——毕竟是openvpn gateway管理的地址分配过程。但是作为tunnel和多地址打通,这里就有点困难了。例如节点1还有个网段是192.168.80.0/24,节点2还有个网段是192.168.60.0/24,那么如下一个报文从节点2中出去,你让openvpn gateway怎么办?

192.168.60.15 -> 192.168.80.15

你也许会说,我当然有配节点1的网关转给openvpn的拨入端。问题是,这个动作,openvpn的拨入端尚且不知,何况openvpn gateway?于是我们派生了route/iroute这两个指令。

route/iroute表示这个地址段归属于这个节点所有,区别在于route同时修改路由表,而iroute不修改路由表。配合push,可以由服务器端下发指令修改客户端路由表。

p2p vpn也有类似的问题。甚至,由于没有统一配置端,因此连每个节点的虚IP都不能很容易的得到。在配置中必须注意这点。

n2n

n2n的模式比较简单,也比较有局限性。基本分为两个端,supernode和edge。supernode类似于hub,把所有edge拉到一起。edge都是对等的。

supernode:

supernode -l port

edge:

edge -a [address] -c [name] -k [password] -l [supernode:port] -u [userid] -g [groupid]

解释一下。开一个supernode,不用做任何设定。反正supernode也不会持有edge别的信息。edge要设定supernode的ip和端口,然后提交name和password。name和password相同的,就进入同一个虚拟网络。然后自己的虚拟ip是address。最后的userid和groupid必须是数字。主要是因为开tun需要root权限,因此可以在获得完权限后退化成普通用户,以防权限太高。

这里好玩的就是,理论上address可以天南海北,完全不用管路由怎么走。甚至172.16.0.1可以和10.0.0.1通讯(我没实际确认)。因为大家都是看彼此的IP是否经过注册,而不是计算路由表。

但是这里就有个缺点,我看到man文档中只提到address,没提到可以提交一个网段。所以无论我怎么设定,使用三层方案做隧道的时候,n2n是转不过去的。因为他不知道这个网段归哪个节点管。

所以,n2n的p2p模式很便利,但是没法打tunnel(至少我不知道怎么玩)。

tinc

tinc和n2n一样,也是一种p2p vpn。不过好处在于,tinc允许你在一个节点上配置多个网络,因此可以打tunnel。

在配置之前,我先约定两个词。“配置名”和“节点名”。一个配置是接入同一个网络的多个节点,还有他们如何拓扑。节点名就是一个节点的名字。所以,和配置有关的有以下两个。

/etc/tinc/nets.boot: 这里写上想自动启用的配置的名字

/etc/tinc/[configname]: 配置的根路径,以下路径全是相对路径。

配置

下面就是某个配置中的一堆文件。注意这些配置都是配置自己节点的属性信息。

tinc.conf:

Name = [nodename]
Device = /dev/net/tun
ConnectTo = xxx

tinc-up:

ip link set $INTERFACE up
ip addr add [address/32] dev $INTERFACE
ip route add [network/mask] dev $INTERFACE

tinc-down:

ip route del [network/mask] dev $INTERFACE
ip addr del [address/32] dev $INTERFACE
ip link set $INTERFACE down

其中tinc-up会在tinc启动时执行,tinc-down会在tinc关闭时执行,所以两者必须是+x权限。有趣的是,tinc并不管理你的整个启动过程,tinc-up和tinc-down甚至要亲自来管理接口的up和down过程。但是这也给你足够的额权力去执行任何复杂的路由逻辑指令。

hosts

除去上部分外,还有一个很大的hosts目录。里面放满了节点群信息。

hosts/[nodename]:

Address = external ip address
Port = external port
Subnet = network/mask

其中Address和Port如果没有可以不写。Subnet可以彼此重叠,路由决定逻辑是从小子网到大子网(普通路由表逻辑)

初始化

在配置hosts的时候,我建议每个节点就配置自己的hosts/[nodename]文件,然后执行下面的指令:

tincd -n [name] -K

这个指令会在/etc/tinc/[configname]/rsa_key.priv下生成一个私钥,并且把公钥添加到hosts/[nodename]文件中。最后,在多个node间把彼此的hosts/下的文件一复制,让每个node都拥有其他node的hosts文件,整个网络就完成配置了。

如果你的配置名已经写入nets.boot文件的话,可以用/etc/init.d/tinc restart来重启启动整个网络。

openvpn的几种基本模式 FIN-WAIT-1的问题一例

comments powered by Disqus