Sunday, January 13, 2013

利用obfsproxy+OpenVPN进行翻墙

前言


不久前,GFW升级导致OpenVPN、SSH Tunnel等一系列老牌翻墙方式纷纷阵亡,现在的翻墙手段已经开始从单纯的加密向流量混淆发展,这里介绍一种利用obfsproxy+OpenVPN进行翻墙的方式,目前情况下相当稳定快速。



obfsproxy 是 Tor Project 的一个附属项目,采用流量混淆的方式专门用于突破互联网封锁。对用户的表现形式是一个TCP端口转发隧道,和 ssh -L 的功能完全一致。



除了介绍obfsproxy+OpenVPN翻墙以外,本文还介绍了如何使用 Raspberry Pi 搭设翻墙网关实现无缝翻墙的方法。下文中B和C部分属于平行关系,任选其一配置即可。


有任何建议和问题欢迎在Twitter上和我讨论: @blankwonder


本文目标读者为有一定Linux和网络知识基础的用户,并没有把所有命令全部傻瓜话的列出,如果是小白请先准备技术支持老师一枚(别找我啊……)


A. 服务器端配置


OpenVPN配置


首先,我们需要先安装配置OpenVPN,如果你不需要IPv6的话,直接用包管理安装就行。否则请到官网下载2.3版本的源码自行编译安装。(目前最新版本是2.3 RC2)


Debian编译OpenVPN所需要的包有libssl-dev, libpam0g-dev, liblzo2-dev



注:若是自行编译的OpenVPN,会缺少easy-rsa和init.d脚本,easy-rsa可以从OpenVPN官方的Github获得。init.d 脚本可以从各发行版的源码获得:



如果你没有修改安装prefix的话,OpenVPN会被安装到/usr/local/sbin/openvpn上,记得修改init.d脚本的相应内容。



接下来,按照标准的OpenVPN部署流程,生成各种密钥和证书(CA, server, client)。Linode 的官方文档写的非常好,这里不再阐述。


我使用的服务端配置(/etc/openvpn/openvpn.conf)如下:



local 127.0.0.1
port 40059
proto tcp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 172.16.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
duplicate-cn
keepalive 10 120
comp-lzo
persist-key
persist-tun
status openvpn-status.log
log-append /var/log/openvpn.log
verb 3
mute 10


由于我们需要使用obfsproxy进行二次混淆,所以这里让OpenVPN监听在127.0.0.1上。市面上的路由器默认的IPv4子网一般是 192.168.X.X或者10.X.X.X,这里为了避免和原有网络冲突,我选择了172.16.0.0/24作为VPN的子网。


接下来设置iptables进行NAT转换,这里省略了Linode文档中的安全部分(DROP),需要可自行补上。



sudo iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -o eth0 -j MASQUERADE


为了保证服务器重启后自动配置iptables,请需要将这条命令加入启动脚本



  • Debian/Ubuntu 用户:启动脚本的路径为 /etc/rc.local

  • Gentoo 用户:需要在/etc/local.d目录中创建一个后缀为.start的文件(如openvpn_iptables.start),将命令写在里面,同时记得使用chmod a+x。


接下来启动内核的IPv4转发



sudo sysctl -w net.ipv4.ip_forward=1


为了保证重启后不需要人工干预,在/etc/sysctl.conf中加入net.ipv4.ip_forward=1,这样重新启动后就不再需要sysctl -w了。


现在可以把OpenVPN跑起来了,命令如下



sudo /etc/init.d/openvpn start


obfsproxy配置


现在开始编译安装obfsproxy,官方指导文档在这 https://www.torproject.org/projects/obfsproxy-instructions.html.en



注:Gentoo用户在emerge libevent时请注意添加USE标记ssl。



Debian/Ubuntu用户可以直接使用包管理安装



sudo apt-get install obfsproxy


安装配置完毕后,启动obfsproxy,命令如下:



obfsproxy obfs2 --dest=127.0.0.1:40059 server 0.0.0.0:9132


请记得使用screen,nohup或daemon的方式运行obfsproxy。daemon当然最好,我比较懒就直接跑在screen里面了。


至此,服务端配置完毕。


B. 客户端配置


obfsproxy配置


首先编译安装obfsproxy,文档同上。



Mac用户可以用使用homebrew安装,请参照这里 https://github.com/mtigas/homebrew-tor/blob/master/README.md



由于我们需要将所有流量重定向到OpenVPN,而由于使用了obfsproxy,OpenVPN不知道服务器IP是多少没办法对到OpenVPN 服务器的流量进行特殊处理,所以我们需要手动将到服务器的路由固定下来,假设你的服务器IP为12.34.56.78,当前网络的网关地址是 192.168.1.1:(路由修改的命令请根据自己的操作系统自行调整,此处以Mac OS X为例)



sudo route add 12.34.56.78 192.168.1.1


完成了之后,开始运行obfsproxy



obfsproxy obfs2 --dest=12.34.56.78:9132 client 127.0.0.1:50443


如果是Mac用户,可以使用我的脚本,稍微简便一些(需要sudo)



#!/bin/bash

SERVER_IP="12.34.56.78"
GATEWAY=`netstat -nr | grep '^default' | grep -v 'tun' | sed 's/default *\([0-9\.]*\) .*/\1/'`

/sbin/route add $SERVER_IP $GATEWAY
/usr/local/bin/obfsproxy obfs2 --dest=${SERVER_IP}:9132 client 127.0.0.1:50443
# Below line won't be excuted until obfsproxy exit
/sbin/route delete $SERVER_IP $GATEWAY


OpenVPN配置


接下来选择你喜爱的OpenVPN客户端软件进行连接就可以了,我的配置式样例如下:



remote 127.0.0.1 50443 tcp-client
pull
tls-client
ns-cert-type server
persist-key
ca ca.crt
redirect-gateway def1
nobind
persist-tun
cert cert.crt
comp-lzo adaptive
dev tun
key key.key
dhcp-option DNS 8.8.8.8
resolv-retry infinite
log-append /var/log/openvpn.log


好的,现在你又可以尽情享受OpenVPN的全局翻墙了,如有需要可以结合 chnroutes 区分国内外流量进行选择性翻墙。


C. Raspberry Pi 翻墙网关配置


整个网络结构图如下


image


使用 Raspberry Pi 作为翻墙网关有很多好处,一是不用再每次都手动连接VPN,二是一次配置所有设备通用,更奇妙的是结合chnroutes使用,客户端和 RPi 之间会自动使用ICMP Redirect修改客户端路由,下次再访问同一国内IP就不会再经过 RPi 了。


警告:修改网络配置极有可能使得RPi无法联网,请在保证可以直接控制RPi的情况下操作。


Raspberry Pi 使用 Debian wheezy 作为操作系统,其他操作系统也大同小异。


首先,在RPi上安装OpenVPN和obfsproxy,同样,如果需要IPv6还是得自行编译安装OpenVPN。编译方法参照之前服务器部署部分,obfsproxy可以直接使用包管理安装。


同样,我们还是需要启动内核的IPv4转发



sudo sysctl -w net.ipv4.ip_forward=1


记得同时修改/etc/sysctl.conf保证重启也有效。


接下来我们需要让RPi的IP固定下来,修改/etc/network/interfaces文件,将eth0的相关部分改成这样,请参照自己的网络情况修改



auto eth0
iface eth0 inet static
address 192.168.1.2
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 8.8.8.8


为了让interfaces文件可以设置DNS服务器,也就是让dns-nameservers 8.8.8.8这句话生效,我们需要再额外安装一个包



sudo apt-get install resolvconf


使用以下命令使得配置生效,直接重启也行



sudo /etc/init.d/networking restart


接下来,使用 chnroute 生成路由脚本,(这步可以在电脑上执行,然后将生成好的文件拷贝过来)



python chnroutes.py -p linux


得到两个文件ip-pre-up和ip-down,其中ip-pre-up开头如下,



/bin/bash
export PATH="/bin:/sbin:/usr/sbin:/usr/bin"

OLDGW=`ip route show | grep '^default' | sed -e 's/default via \\([^ ]*\\).*/\\1/'`

if [ $OLDGW == '' ]; then
exit 0
fi

if [ ! -e /tmp/vpn_oldgw ]; then
echo $OLDGW > /tmp/vpn_oldgw
fi

route add -net 1.0.1.0 netmask 255.255.255.0 gw $OLDGW
...


其中获得网关的命令我自己测试发现有问题不成功,修改为这样



OLDGW=`ip route show | grep eth0 | grep '^default' | sed -e 's/default via \([^ ]\+\) dev eth0/\1/'`


动态获得网关IP的方法有时会不太可靠,如果网络情况不常变化,可以考虑直接把网关IP写进去



OLDGW="192.168.1.1"


在RPi上执行sudo bash ./ip-pre-up,将国内IP的路由固定下来(没有必要等到OpenVPN链接后再固定,也不需要每次断开后就删除,除非网关地址变了,否则一直放着就好)。注意这个脚本可能要运行一段时间才能完成。


和客户端部分一样,连接之前我们也需要先将到服务器的路由固定下来,一体化脚本如下(记得修改服务器IP)



#!/bin/bash

SERVER_IP="12.34.56.78"
GATEWAY=`ip route show | grep eth0 | grep '^default' | sed -e 's/default via \([^ ]\+\) dev eth0/\1/'`

/sbin/route add -host $SERVER_IP gw $GATEWAY

/usr/local/bin/obfsproxy obfs2 --dest=${SERVER_IP}:9132 client 0.0.0.0:50443

#/sbin/route delete -host $SERVER_IP gw $GATEWAY


使用screen,nohup或daemon的方式将这个脚本运行起来(需要root权限),就可以开始进行OpenVPN的配置了


将所需要的证书和密钥放到/etc/openvpn/目录下。配置文件和上文B部分一致,命名为openvpn.conf。启动openvpn:



sudo /etc/init.d/openvpn start


可以查看一下OpenVPN的日志,看看链接是否成功



sudo tail /var/log/openvpn.log


当看到“Initialization Sequence Completed”后,就表示我们已经基本上大功告成了。接下来测试一下。



[root@blankwonder-rpi]openvpn # ping twitter.com
PING twitter.com (199.59.149.230) 56(84) bytes of data.
64 bytes from www4.twitter.com (199.59.149.230): icmp_req=1 ttl=247 time=631 ms
64 bytes from www4.twitter.com (199.59.149.230): icmp_req=2 ttl=247 time=328 ms
64 bytes from www4.twitter.com (199.59.149.230): icmp_req=3 ttl=247 time=477 ms
64 bytes from www4.twitter.com (199.59.149.230): icmp_req=4 ttl=247 time=326 ms
^C
--- twitter.com ping statistics ---
5 packets transmitted, 4 received, 20% packet loss, time 4025ms
rtt min/avg/max/mdev = 326.018/440.823/631.233/125.840 ms


OK,RPi目前已处于翻墙状态了。接下来,让我们的设备也能翻墙。


在RPi中启动iptables的NAT转换



sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE


将需要翻墙的设备的IP地址设为手动,将网关地址设为RPi的地址(本文中为192.168.1.2),DNS服务器地址设为8.8.8.8,打开浏览器试一下,你是不是已经畅通无阻了?


接下来为了使得以后使用不用再手动修改路由,到路由器上修改DHCP设置,将网关地址设置为RPi的地址,DNS改为8.8.8.8。如果你的路由 不支持手动设置DHCP路由地址(比如我的Time Capsule……),那就把他的DHCP直接关了,在RPi上直接自建一个DHCP服务器(比如dnsmasq)。


同样的原理我们还可以利用RPi为子网下所有设备提供原生的IPv6支持。但配置略微有些繁琐,请待下回分解……


Version 1


原文https://dl.dropbox.com/u/6129727/obfsproxy%2Bopenvpn.html






via iGFW http://igfw.net/archives/12877

No comments:

Post a Comment