تنزيل dtlspipe - تنزيل رمز المصدر dtlspipe

dtlspipe

فئات أخرى

v1.8.2

تنزيل

dtlspipe

غلاف DTLS عام لجلسات UDP. مثل stunnel ، ولكن ل udp. مناسبة لالتفاف Wireguard أو UDP OpenVPN أو أي جلسات UDP أخرى موجهة نحو الاتصال.

يتلقى "العميل" مرور UDP الأكثر تطلعًا إلى "الخادم" عبر اتصال DTLS المشفر. يستمع "Server" منفذ UDP ويقبل جلسات DTLS المشفرة ، وإعادة توجيه الرسائل من كل جلسة كاتصال UDP منفصل إلى منفذ UDP PlainText.

سمات

المنصات المتقاطعة (Windows/Mac OS/Linux/Android/*BSD)
يستخدم Crypto DTLS DTLS لنفق بيانات البيانات الآمن
التكوين البسيط: فقط مفتاح مشترك مسبقًا ، والاستماع إلى العنوان والعنوان التابع.

تثبيت

الثنائيات

الثنائيات المبنية مسبقا متوفرة هنا.

بناء من المصدر

بدلاً من ذلك ، يمكنك تثبيت DTLSpipe من المصدر. قم بتشغيل الأمر التالي ضمن دليل المصدر:

 make install

الاستخدام

حالة عامة

دعنا نفترض أن لديك الإعداد التالي: لديك خادم مع عنوان IP العام 203.0.113.11 ، تشغيل بعض خدمة UDP على المنفذ 514. تريد الوصول إلى هذه الخدمة بشكل آمن ولديك بيانات بيانات UDP بينك وبين هذه الخدمة المشفرة والمصادقة.

قم بإنشاء مفتاح مشترك مسبقًا باستخدام Command dtlspipe genpsk
قم بتشغيل dtlspipe -server على جهاز الخادم: dtlspipe -psk xxxxxxxxxxxx server 0.0.0.0:2815 127.0.0.1:514
قم بتشغيل dtlspipe -client على جهازك: dtlspipe -psk xxxxxxxxxxxx client 127.0.0.1:2816 203.0.113.11:2815
استخدم العنوان 127.0.0.1:2816 بدلاً من 203.0.113.11:514 للتواصل مع الخدمة.

ملاحظات قليلة:

يمكنك استخدام أي منافذ بدلاً من 2815 و 2816.
يعد استخدام عنوان المضيف المحلي 127.0.0.1 لربط المنفذ اختياريًا أيضًا ويستخدم في المثال لتقييد الوصول إلى المنفذ من مضيف محلي فقط. استخدم 0.0.0.0 للسماح بالوصول إلى الشبكة من الخارج.
يمكن أيضًا تحديد PSK عبر متغير بيئة DTLSPIPE_PSK .

Wireguard

يمكن إجراء إعداد DTLSpipe باستخدام مثال للحالة العامة ، ولكن بشكل أكثر تحديداً ، يجب أن يشير خادم DTLSpipe إلى منفذ Server Wireguard ويجب على عميل Wireguard التواصل مع Port of DTLSpipe Client.

تحتاج إلى إجراء تعديلات التالية على تكوين عميل Wireguard:

استخدم عنوان ربط عميل DTLSpipe كنقطة نهاية لاتصال العميل Wireguard.
استخدم MTU الأصغر لنفق Wireguard ، أضف MTU = 1280 إلى قسم [Peer] من Conferguard Client و Server Tunnel Config.
استبعاد عنوان خادم DTLSpipe من AllowedIPs في تكوين عميل الأسلاك. قد تساعدك هذه الآلة الحاسبة. مثال على عنوان الخادم 203.0.113.11 :

 AllowedIPs = 0.0.0.0/1, 128.0.0.0/2, 192.0.0.0/5, 200.0.0.0/7, 202.0.0.0/8, 203.0.0.0/18, 203.0.64.0/19, 203.0.96.0/20, 203.0.112.0/24, 203.0.113.0/29, 203.0.113.8/31, 203.0.113.10/32, 203.0.113.12/30, 203.0.113.16/28, 203.0.113.32/27, 203.0.113.64/26, 203.0.113.128/25, 203.0.114.0/23, 203.0.116.0/22, 203.0.120.0/21, 203.0.128.0/17, 203.1.0.0/16, 203.2.0.0/15, 203.4.0.0/14, 203.8.0.0/13, 203.16.0.0/12, 203.32.0.0/11, 203.64.0.0/10, 203.128.0.0/9, 204.0.0.0/6, 208.0.0.0/4, 224.0.0.0/3, ::/0

ملاحظات إضافية

يتخطى DTLSpipe Server رسالة Helloverify بشكل افتراضي من أجل حل بعض أنظمة DPI. يرتبط ببعض المخاطر الأمنية DOS. يرجى إضافة خيار الخادم- -skip-hello-verify=false إذا كان هذا السلوك غير مرغوب فيه. بدلاً من ذلك ، قد يتم تخفيف مثل هذه المخاطر مع جدار الحماية ، مما يقيد عددًا من الجلسات على منفذ الخادم.

ملخص

 $ dtlspipe -h
Usage:

dtlspipe [OPTION]... server <BIND ADDRESS> <REMOTE ADDRESS>

  Run server listening on BIND ADDRESS for DTLS datagrams and forwarding decrypted UDP datagrams to REMOTE ADDRESS.

dtlspipe [OPTION]... client <BIND ADDRESS> <REMOTE ADDRESS>

  Run client listening on BIND ADDRESS for UDP datagrams and forwarding encrypted DTLS datagrams to REMOTE ADDRESS.

dtlspipe [OPTION]... hoppingclient <BIND ADDRESS> <ENDPOINT GROUP> [ENDPOINT GROUP]...

  Run client listening on BIND ADDRESS for UDP datagrams and forwarding encrypted DTLS datagrams to a random chosen endpoints.

  Endpoints are specified by a list of one or more ENDPOINT GROUP. ENDPOINT GROUP syntax is defined by following ABNF:

    ENDPOINT-GROUP = address-term *( "," address-term ) ":" Port
    address-term = Domain / IP-range / IP-prefix / IP-address
    Domain = <Defined in Section 4.1.2 of [RFC5321]>
    IP-range = ( IPv4address ".." IPv4address ) / ( IPv6address ".." IPv6address )
    IP-prefix = IP-address "/" 1*DIGIT
    IP-address = IPv6address / IPv4address
    IPv4address = <Defined in Section 4.1 of [RFC5954]>
    IPv6address = <Defined in Section 4.1 of [RFC5954]>

  Endpoint is chosen randomly as follows.
  First, random ENDPOINT GROUP is chosen with equal probability.
  Next, address is chosen from address sets specified by that group, with probability
  proportional to size of that set. Domain names and single addresses condidered 
  as sets having size 1, ranges and prefixes have size as count of addresses in it.

  Example: 'example.org:20000-50000' '192.168.0.0/16,10.0.0.0/8,172.16.0.0-172.31.255.255:50000-60000'

dtlspipe [OPTION]... genpsk

  Generate and output PSK.

dtlspipe ciphers

  Print list of supported ciphers and exit.

dtlspipe curves

  Print list of supported elliptic curves and exit.

dtlspipe version

  Print program version and exit.

Options:
  -cid
    	enable connection_id extension (default true)
  -ciphers value
    	colon-separated list of ciphers to use
  -cpuprofile string
    	write cpu profile to file
  -curves value
    	colon-separated list of curves to use
  -identity string
    	client identity sent to server
  -idle-time duration
    	max idle time for UDP session (default 30s)
  -key-length uint
    	generate key with specified length (default 16)
  -mtu int
    	MTU used for DTLS fragments (default 1400)
  -psk string
    	hex-encoded pre-shared key. Can be generated with genpsk subcommand
  -rate-limit value
    	limit for incoming connections rate. Format: <limit>/<time duration> or empty string to disable (default 20/1m0s)
  -skip-hello-verify
    	(server only) skip hello verify request. Useful to workaround DPI (default true)
  -stale-mode value
    	which stale side of connection makes whole session stale (both, either, left, right) (default either)
  -time-limit duration
    	limit for each session duration. Use single value X for fixed limit or range X-Y for randomized limit
  -timeout duration
    	network operation timeout (default 10s)