NAT机搭建使用VNet-Tunnel隧道

默认分类 firewall 流量转发 Vnet-Tunnel 隧道

VNetPanel的tg频道发布了一个ws隧道。此篇文章简单介绍一下基本使用方法。

Screenshot_20200207-151041397 (1).jpg

声明:此文件具体安全性未知,后门情况未知。

文件下载地址:自行搜索下载
附带的说明文档:https://evlan.cc/file/vnet.pdf

大体简介

隧道隧道,顾名思义需要两个vps链接。一个机器接收到流量加密成隧道流量发送给另一个,另一个机器接收隧道流量再解密之后发送到你指定的地址和端口,通过隧道流量过墙。

比如用S\S-r,端口和地址填a服务器的隧道接收端口和地址,a接收到流量加密一下发送给b服务器,b解密之后在把流量发到你的S\s-r服务器,等于b服务器代替你发送S\s-r流量。一般来说a在国内,b在国外。S\s-r服务器和b可以在一个服务器。

接收端设置

接收端叫server端,也就是服务端,负责接收隧道流量然后解密并转发。

连接上VPS首先下载文件,然后解压缩,之后再赋予执行权限,

wget evlan.cc/file/Tunnel.zip && unzip Tunnel.zip && chmod -R +x ./*

然后运行./server即可运行但是断开ssh链接就会停止,也可以后台运行nohup ./server >> /dev/null 2>&1 &

此时建立一个web服务,在浏览器访问VPS的IP的8081端口的地址,比如:"xxx.xxx.xxx.xxx:8081/resources/add_server.html
",会打开一个界面,点击添加按钮填写配置

如果打不开界面,可能是防火墙问题,开放8081端口或者关闭防火墙。

Screenshot_20200207-154526966 (1).jpg

第一个远端配置填写的是监听地址也就是接收隧道流量的配置,默认的不用管,然后下面那个填写转发地址,就是接收到隧道流量解密之后发送到哪里。比如这个VPS本身搭建了一个1080端口的S\s-r,就转发到本地IP127.0.0.1的1080端口。

发送端设置

发送端叫做client,也就是客户端,负责接收流量然后加密成隧道流量发送给服务端。

VPS机器

连接上VPS首先下载文件,然后解压缩,之后再赋予执行权限,

wget evlan.cc/file/Tunnel.zip && unzip Tunnel.zip && chmod -R +x ./*

然后后台运行client

nohup ./client >> /dev/null 2>&1 &

此时web访问网址,注意是8080
xxx.xxx.xxx.xxx:8080/resources/add_client.html

添加

Screenshot_20200207-164602250 (1).jpg

如图,主要修改本地配置的端口号,比如图中就是1234,然后是远端配置,这个地方填写接收隧道流量vps的IP地址,端口就填80。然后保存。此时两个机器直接的隧道就建立起来了,此时大体流程就是你把流量发送到client端的1234端口,然后client通过隧道把流量发到server端,server端接收到隧道流量,还原成你发送的流量再发送到上图中指定的IP地址127.0.0.1的1080端口。隧道不是代理,只是提供流量传输。

NAT机

NAT机共享IP,端口也不是独占所有,所以需要端口映射。

一般NAT机端口问题很好解决,一些主机上面板就能直接管理端口映射,所以此处就仅说一下直通端口的映射,也就是开出来机器,主机商直接给你固定的一些端口,这些端口和你的NAT机是直通的。

映射很简单,此处使用防火墙firewall来实现。可以参考我之前发布的firewall教程。

此处比如用22222的直通端口来实现访问8080端口的效果。

首先机器要有firewall并且开启,然后开启路由转发

echo 'net.ipv4.ip_forward = 1' >> /etc/sysctl.conf

生效路由转发

sysctl -p

开启流量伪装

firewall-cmd --zone=public --permanent --add-masquerade

开放端口

firewall-cmd --add-port=8080/tcp --permanent
firewall-cmd --add-port=22222/tcp --permanent

然后把22222端口流量转发到8080端口

firewall-cmd --add-forward-port=port=22222:proto=tcp:toaddr=192.168.1.136:toport=8080 --permanent

此处的192.168.1.136是NAT的内网IP地址,NAT都会有这个。

然后重新加载防火墙配置firewall-cmd --reload

此时我们访问22222端口,firewall会把流量发到8080端口,所以访问22222端口等同于访问8080端口。

新评论

称呼不能为空
邮箱格式不合法
网站格式不合法
内容不能为空
    天天向上
    2020-02-19 21:21

    大佬有个疑问?流量是从1234端口走的,那服务端和客户端填的80 端口是干什么的?

      Administrator
      2020-02-21 11:04

      服务端80是接收流量的端口,客户端80是发送到80端口的意思

    嘉文
    2020-03-25 12:22

    按照博主得配置 都看似没问题, 但是 SS流量就是不通, 人都快疯了。。t.me/jiawens 付费求教 几个问题。。