网络之NAT 和N2N VPN
N2N VPN 应用指南
N2N 是一个P2P的开源VPN项目,具有内网穿透成功率高,去中心化,流量加密,使用简单的特点, 在笔者公司内部已经有近3年的使用经验,实践证明,N2N具备较为优秀的稳定性和安全性,,具备低成本替代专线需求的能力。在笔者的实践经验中,N2N用在多IDC之间的网络互通,多IDC上容器网络的互通。 表现的都很出色。
一、 N2N通信原理
N2N 是基于P2P协议的加密2层专用网络, 使用UDP协议进行封包传输,使用UDP协议带来了高性能和便捷性,例如利用很多场景下不会封锁DNS的UDP端口来打通网络,例如UDP原生优于TCP的传输性能。在NAT条件允许的情况下, edge节点间流量直连,无需通过supernode转发。
1. NAT的原理
想要理解UDP穿透的原理,就需要先了解NAT 的原理, 都知道NAT是地址转换,哪怎么个转换法哪?
SNAT: 源地址转换,当请求本文经过NAT网关时。NAT网关会将报文中的源地址替换掉,替换成能与目标地址路由互通的地址,此时目标地址不变,所以最终报文抵达目标服务。
DNAT: 目标地址转换,当service完成处理后返回数据,返回报文时的源地址和目标地址反过来,抵达NAT网关后NAT网关根据请求出去的时候的SNAT记录做反转,将目标地址转换成内网地址,最终抵达客户端。
2. NAPT
NAPT与NAT的唯一区别就是:NAT只转换IP地址,这种方式受限于对外的地址数量,是IP到IP的转换。所以常规NAT的方式的主要应用场景现实里可类比阿里云或者各种云的EIP。而NAPT同时会对源和目标端口进行转换,这就可以实现了一个公网IP可以满足多个后端主机同时访问外部网络,NAPT的常用场景例如家庭宽带、阿里云的NAT网关等。儿N2N的生存环境中,主要的场景基本都是NAPT,NAPT也是目前应用最为广泛的NAT方案,其有如下几种模式:
锥形NAT与对称NAT的区别,锥形NAT:只要是从同一个内部地址和端口出来的包,无论目的地址是否相同,NAT 都将它转换成同一个外部地址和端口。不满足这个条件的即可称之为对称NAT。
Full Cone NAT
锥形NAT, 当发出一个外部请求时, NAT网关会打开一个端口创建一个公网映射,然后会将传入这个端口的数据全部转发给内部主机。Full Cone NAT是最宽松的NAT规则,一旦映射建立,那么只要到公网的映射端口发送数据就可以直接到达后端服务。
Address Restricted Cone NAT
受限的锥形NAT, 当发出一个外部请求时,NAT网关会打开一个端口创建一个公网映射, 同时记录外部的主机IP,然后会将已经有记录IP地址并且从这个地址传来的数据转发给内部主机,其他数据会被丢弃。Address Restricted Cone NAT只限制IP不限制端口。
Port Restricted Cone NAT
严格限制的锥形NAT,同时记录外部主机的IP和端口, 然后校验传入端口的数据报文,必须地址和端口和记录的一致才会转发到对应的内部主机,否则会丢弃。Port Restricted Cone NAT同时校验和限制IP和端口。
Symmetric NAT
又叫对称NAT,每一个来自相同内部IP与端口,到一个特定目的地地址和端口的请求,都映射到一个独特的外部IP地址和端口。同一内部IP与端口发到不同的目的地和端口的信息包,都使用不同的映射。只有曾经收到过内部主机数据包的外部主机,才能够把数据包发回。
NAT的优缺点:
优点: 解决了IPV4 公网地址不够用的问题。能够隐藏和保护内网主机的地址。方便在NAT层扩展防火墙,负载均衡功能。
缺点:NAT网关对报文进行地址转换的本质是对报文源和目标的修改,这会导致额外的延迟和开销。
3.关于内网穿透
内网穿透俗称打洞,其实就是透过NAT对外提供服务的方式。当下流行的内网穿透工具ngrok和frp本质上是通过应用层的端口映射实现。即服务端监听一个公网端口,当外部用户请求到这个公网端口时,ngrok通过与客户端建立的连接来进行请求的转发。这种工具只能做到4层或者7层的内网穿透,而N2N 实现了2层的网络穿透。
对于锥形NAT来说,supernode节点像是个中介,介绍edge互相认识后,之间的交互直接就是edge与edge的交互了。这也是N2N 最优势与其他中心化方案的地方。流量直连。避免中间转发的开销。
对于对称NAT来说, supernode就是个邮局,所有到达对端的数据报文都要由supernode中转。所以两端交互不但会产生额外的消耗,还会受限于supernode节点的带宽。
二、 N2N组件及配置
1. 基本组件
supernode: 可以视为注册中心,用来注册各接入点的信息,相当于一张地址列表,在对称型或者端口受限型NAT的情况下,edge之间无法直接交互数据,此时需要通过supernode转发流量。
edge: 边缘节点, 负责与其他edge或者supernode进行数据交互,报文解密等, 会定时跟supernode通信,获取信息。
工作流程:
edge向supernode注册,supernode记下edge的信息,包括外网ip和端口,虚拟ip、虚拟mac地址、community等信息。
edge监听虚拟网卡,获取网卡要发送的数据。
当从虚拟网卡读取到数据时,将数据包发送到supernode。
supernode提取数据包中的mac地址,并查询注册列表,并附上来源地址和端口,转发到目标edge。
目标edge收到数据包,提取来源地址和端口,并尝试udp直连
若直连成功,数据包不再走supernode中转,否则一直从supernode中转。
2. 配置
edge配置
Welcome to n2n v.2.1.0 for Linux-3.10.0-514.26.2.el7.x86_64
Built on Oct 25 2017 21:02:37
Copyright 2007-09 - http://www.ntop.org
edge -d <tun device> -a [static:|dhcp:]<tun IP address> -c <community> [-k <encrypt key> | -K <key file>] [-s <netmask>] [-u <uid> -g <gid>][-f][-m <MAC address>]
-l <supernode host:port> [-p <local port>] [-M <mtu>] [-r] [-E] [-v] [-t <mgmt port>] [-b] [-h]
# 虚拟设备名称。
-d <tun device> | tun device name
# 虚拟网卡上的虚拟IP或者指定DHCP广播
-a <mode:address> | Set interface address. For DHCP use '-r -a dhcp:0.0.0.0'
# 组名,n2n只是多个隔离网络,隔离网络会以组名来区分。
-c <community> | n2n community name the edge belongs to.
# 指定秘钥N2N 使用twofish加密算法进行数据加密。同一个网络里面的秘钥需要保持一致,supernode并不存储秘钥
-k <encrypt key> | Encryption key (ASCII) - also N2N_KEY=<encrypt key>. Not with -K.
# 秘钥文件和小写的-k选择其一即可
-K <key file> | Specify a key schedule file to load. Not with -k.
# 虚拟网络的子网掩码
-s <netmask> | Edge interface netmask in dotted decimal notation (255.255.255.0).
# supernode 的服务端地址和端口, 最多可以指定2个,做supernode的高可用
-l <supernode host:port> | Supernode IP:port
# 添加本地IP
-L <local_ip> | Add local ip to bypass between same nat problem
# 设置NAT打洞间隔,默认20秒
-i <interval> | Set the NAT hole-punch interval (default 20seconds)
#定期解析supernode的地址,如果supernode是一个域名且后端IP会产生变化的时候比较有用。
-b | Periodically resolve supernode IP
: (when supernodes are running on dynamic IPs)
-p <local port> | Fixed local UDP port.
# 设置运行用户
-u <UID> | User ID (numeric) to use when privileges are dropped.
-g <GID> | Group ID (numeric) to use when privileges are dropped.
# 设定运行方式默认情况相爱自动使用daemon的方式运行,加入-f直接运行在前台。
-f | Do not fork and run as a daemon; rather run in foreground.
# 设置虚拟网卡MAC地址
-m <MAC address> | Fix MAC address for the TAP interface (otherwise it may be random)
: eg. -m 01:02:03:04:05:06
# 设定mtu, 默认情况下是1400,不建议做改动。
-M <mtu> | Specify n2n MTU of edge interface (default 1400).
-r | Enable packet forwarding through n2n community.
# 是否接受多播MAC地址,默认不允许
-E | Accept multicast MAC addresses (default=drop).
-v | Make more verbose. Repeat as required.
# 管理UDP port 当一台主机上运行多个edge时,需要单独指定。
-t | Management UDP Port (for multiple edges on a machine).
Environment variables:
N2N_KEY | Encryption key (ASCII). Not with -K or -k.
supernode配置
supernode usage
# 指定UDP监听端口
-l <lport> Set UDP main listen port to <lport>
#设定运行方式默认情况相爱自动使用daemon的方式运行,加入-f直接运行在前台。
-f Run in foreground.
-u <UID> User ID (numeric) to use when privileges are dropped.
-g <GID> Group ID (numeric) to use when privileges are dropped.
-v Increase verbosity. Can be used multiple times.
-h This help message.
三、实战
1. 编译构建
#clone 源码
git clone https://github.com/meyerd/n2n.git
#安装依赖
yum install cmake openssl openssl-devel gcc-c++ git -y
#编译
cd n2n/n2n_v2
mkdir build
cd build
cmake ..
make && make install
# 会生成edge、supernode可执行文件。
2. 多IDC间的网络互通
场景:
有杭州、北京2个IDC机房:杭州机房网络:172.16.0.0/16、北京机房网络:172.17.0.0/16
杭州IDC 的edge节点IP: 172.16.0.1/北京IDC的edge节点IP: 172.17.0.1
办公网网络:192.168.0.0/16
外网服务器(112.112.112.112和113.113.113.113)两台部署supernode
# 在外网服务器执行以下命令即可启动supernode:
supernode -l 1024
#办公网主机上执行
edge -r -a 10.0.0.1 -l 112.112.112.112:1024 -l 113.113.113.113:1024 -d edge1 -c 网络组 -k 秘钥
#杭州IDC机房主机上执行
edge -r -a 10.0.0.2 -l 112.112.112.112:1024 -l 113.113.113.113:1024 -d edge1 -c 网络组 -k 秘钥
#北京IDC机房主机上执行
edge -r -a 10.0.0.3 -l 112.112.112.112:1024 -l 113.113.113.113:1024 -d edge1 -c 网络组 -k 秘钥
# 所有节点开启路由转发
sysctl -w net.ipv4.ip_forward=1
#=========如果IDC网关可控可维护规则==========
#办公网主机上和核心交换上添加路由表
route add -net 172.16.0.0/16 gw 10.0.0.2
route add -net 172.17.0.0/16 gw 10.0.0.3
#在杭州IDC 网关上添加路由表:
route add -net 192.168.0.0/16 gw 172.16.0.1
#在北京IDC 网关上添加路由表:
route add -net 192.168.0.0/16 gw 172.17.0.1
# 在杭州和北京的edge上维护路由表
route add -net 192.168.0.0/16 gw 10.0.0.1
#=========如果IDC网关不可维护规则==========
# 在所有的edge上添加iptables规则:
iptables -t nat -A POSTROUTING -d 172.16.0.0/16 -j MASQUERADE # 杭州
iptables -t nat -A POSTROUTING -d 172.17.0.0/16 -j MASQUERADE # 北京
这里是利用iptables做了SNAT, 做SNAT的原因是,当无法维护网关上的路由规则,外部请求过来的报文源地址是N2N 的虚拟地址,且这个虚拟地址除了edge所在的主机外其他主机均无法识别,导致无法回包,所以需要经过snat将地址转换成edge节点的主机IP。
引申思考:假设上面的场景里面还有一个kubernetes集群,我们需要在办公网直接连接kubernetes集群网络中的某一个pod,需要怎么做?答案其实非常简单,假设上例中的杭州IDC的edge节点同时是一个kubernetes的node。是不是只需要在办公网添加一条路由,把容器网络的下一跳指向到杭州edge节点的虚拟IP就行了?按照这个道理,结合实际的场景灵活应对即可。可继续关注本专栏,后面会有实际场景中的容器网络方案分享的文章。
四、注意事项
NAT 的模式直接决定流量是要通过supernode中转,所以在使用对称NAT的场景下流量使用supernode进行流量转发,需要注意supernode的带宽会成为edge间数据交互的瓶颈。
当一些场景下,网关不可控时需要通过地址伪装(SNAT)的方式保证网络的连通性,但只因为经过了地址转换,请求业务时获取到的客户端IP地址会是转换后的地址。一些针对IP的审计无法做到。
supernode 与edge间的网络通信使用UDP协议,请注意网络策略要放开。
iptables规则、本地路由表默认情况下重启会清空,需要注意持久化问题。