-
一直都有自己搭建一个vpn的想法,但是由于种种原因一直没有付诸实践。前几天刷微博看到@左耳朵耗子发的一条关于如何用一条命令搭建vpn的微博,搭建vpn的念头再次萌生。正好手头上有一个国外的vps,于是立刻去vps上实验了一下。
登录vps,在控制台输入如下的命令,
- 启动wireshark
- 使用客户端连接vpn
- 包分析
- 再次使用客户端连接vpn并且抓包
- 修改启动命令重新启动vpn
- 再次使用客户端连接
docker run -d -p 500:500/udp -p 4500:4500/udp -p 1701:1701/tcp -e PSK=xxxx -e USERNAME=yyyy -e PASSWORD=xxxx siomiz/softethervpn这条命令的作用是: 从docker hub上下载镜像siomiz/softethervpn,并且运行vpn。同时对外启动端口udp端口500, udp端口4500,以及tcp端口1701, 并且设置相应的用户名以及密码。 运行完毕后,我尝试使用windows自带的客户端去连接vpn,但是始终不成功。具体的现象就是客户端一直提示在连接vpn,一段时间后出现如下的错误,
期初怀疑是windows客户端有问题,于是又使用手机连接,同样不成功。。。由于对vpn建立的整个过程不是很清楚,加上错误提示十分笼统无法直接定位问题,一下子陷入了迷茫。由于最近正好在看<<Wireshark网络分析就这么简单>>, 突然意识到可以通过抓包看看到底为什么报错。
ip.addr == 107.191.60.68对抓取的包进行过滤。上面指令的主要作用是告诉wireshark: 把ip层的源地址或者目标地址是107.191.60.68的ip包展示出来。这样做的好处是排除其他数据包对我们的干扰。
客户端发送了L2TP的请求后,服务器回了一个icmp告诉客户端目标不可达(主机管理员禁止访问)。难道是1701端口启动失败了?在服务器上运行netstat -anop | grep 1701发现1701端口正常启动,那么问题就不应该出现在这。结合icmp给出的提示以及上面windows给出的错误,于是我猜想是不是服务器的防火墙有什么策略?为了验证这个猜想,在服务器上运行如下命令,
iptables -L可以看到如下的数据,
红线标出的两条规则分别作用于filter表的input和forward链,当这两条规则之前的所有规则都不满足的时候会走到这两条规则,而这两条规则会拒绝大多数的请求,并且返回icp-host-prohibited,这与我们抓包的时候看到的icmp包十分吻合,基本上可以确定之前的问题就是这两条过滤规则导致的。
于是通过下面两条命令把这两条规则去掉了。
iptables -t filter -D INPUT -j REJECT --reject-with icmp-host-prohibited iptables -t filter -D FORWARD -j REJECT --reject-with icmp-host-prohibited
之前问题没有了,但是发现了新的问题,服务器仍然返回了icmp,只是提示信息变化了。这一次服务器告诉我们端口不可达。。明明端口1701已经启动了,但是为什么会提示这个呢?仔细排查这几个包后发现L2TP的包是通过udp发送出去的,
而我们启动的1701是通过tcp启动的。tcp的连接需要三次握手,不能够直接发送数据,所以给客户端返回了这个信息
docker run -d -p 500:500/udp -p 4500:4500/udp -p 1701:1701/udp -e PSK=xxxx -e USERNAME=yyyy -e PASSWORD=xxxx siomiz/softethervpn