dtlspipe
v1.8.2
Wrapper genérico DTLS para sessões UDP. Como stunnel , mas para UDP. Adequado para embrulhar Wireguard ou UDP OpenVPN ou outras sessões UDP orientadas para a conexão.
O "Cliente" recebe o tráfego UDP do Relester e o encaminha para o "servidor" via conexão DTLS criptografada. "Servidor" escuta a porta UDP e aceita sessões DTLS criptografadas, encaminhando mensagens de cada sessão como uma conexão UDP separada para a porta UDP de texto simples.
Os binários pré-criados estão disponíveis aqui.
Como alternativa, você pode instalar o dtlspipe da fonte. Execute o seguinte comando no diretório de origem:
make install
Vamos supor que você tenha a seguinte configuração: Você tem servidor com endereço IP público 203.0.113.11, executando algum serviço UDP na porta 514. Você deseja acessar este serviço com segurança e ter dados de dados UDP entre você e este serviço criptografado e autenticado.
dtlspipe genpskdtlspipe -psk xxxxxxxxxxxx server 0.0.0.0:2815 127.0.0.1:514dtlspipe -psk xxxxxxxxxxxx client 127.0.0.1:2816 203.0.113.11:2815127.0.0.1:2816 em vez de 203.0.113.11:514 para comunicação com o serviço.Poucas notas:
127.0.0.1 para a ligação da porta também é opcional e usado no exemplo para restringir o acesso à porta apenas do host local. Use 0.0.0.0 para permitir o acesso à rede de fora.DTLSPIPE_PSK .A configuração do dtlspipe pode ser feita usando o exemplo para o caso genérico, mas, mais especificamente, o servidor DTLSPIPE deve apontar para a porta do servidor WireGuard e o cliente do Wireguard deve se comunicar com o cliente da porta do dtlspipe.
Você precisa fazer os seguintes ajustes na configuração do cliente Wireguard:
MTU = 1280 à seção [Peer] da Configuração do Túnel do Cliente e do Servidor de Wireguard.AllowedIPs na configuração do cliente Wireguard. Esta calculadora pode ajudá -lo. Exemplo para o endereço do servidor 203.0.113.11 : AllowedIPs = 0.0.0.0/1, 128.0.0.0/2, 192.0.0.0/5, 200.0.0.0/7, 202.0.0.0/8, 203.0.0.0/18, 203.0.64.0/19, 203.0.96.0/20, 203.0.112.0/24, 203.0.113.0/29, 203.0.113.8/31, 203.0.113.10/32, 203.0.113.12/30, 203.0.113.16/28, 203.0.113.32/27, 203.0.113.64/26, 203.0.113.128/25, 203.0.114.0/23, 203.0.116.0/22, 203.0.120.0/21, 203.0.128.0/17, 203.1.0.0/16, 203.2.0.0/15, 203.4.0.0/14, 203.8.0.0/13, 203.16.0.0/12, 203.32.0.0/11, 203.64.0.0/10, 203.128.0.0/9, 204.0.0.0/6, 208.0.0.0/4, 224.0.0.0/3, ::/0
O servidor DTLSPIPE ignora a mensagem Helloverify por padrão para alternar alguns sistemas DPI. Está associado a alguns riscos de segurança do DOS. Adicione a opção do servidor -skip-hello-verify=false se esse comportamento for indesejável. Como alternativa, esses riscos podem ser atenuados com o firewall, restringindo as sessões da contagem da porta do servidor.
$ dtlspipe -h
Usage:
dtlspipe [OPTION]... server <BIND ADDRESS> <REMOTE ADDRESS>
Run server listening on BIND ADDRESS for DTLS datagrams and forwarding decrypted UDP datagrams to REMOTE ADDRESS.
dtlspipe [OPTION]... client <BIND ADDRESS> <REMOTE ADDRESS>
Run client listening on BIND ADDRESS for UDP datagrams and forwarding encrypted DTLS datagrams to REMOTE ADDRESS.
dtlspipe [OPTION]... hoppingclient <BIND ADDRESS> <ENDPOINT GROUP> [ENDPOINT GROUP]...
Run client listening on BIND ADDRESS for UDP datagrams and forwarding encrypted DTLS datagrams to a random chosen endpoints.
Endpoints are specified by a list of one or more ENDPOINT GROUP. ENDPOINT GROUP syntax is defined by following ABNF:
ENDPOINT-GROUP = address-term *( "," address-term ) ":" Port
address-term = Domain / IP-range / IP-prefix / IP-address
Domain = <Defined in Section 4.1.2 of [RFC5321]>
IP-range = ( IPv4address ".." IPv4address ) / ( IPv6address ".." IPv6address )
IP-prefix = IP-address "/" 1*DIGIT
IP-address = IPv6address / IPv4address
IPv4address = <Defined in Section 4.1 of [RFC5954]>
IPv6address = <Defined in Section 4.1 of [RFC5954]>
Endpoint is chosen randomly as follows.
First, random ENDPOINT GROUP is chosen with equal probability.
Next, address is chosen from address sets specified by that group, with probability
proportional to size of that set. Domain names and single addresses condidered
as sets having size 1, ranges and prefixes have size as count of addresses in it.
Example: 'example.org:20000-50000' '192.168.0.0/16,10.0.0.0/8,172.16.0.0-172.31.255.255:50000-60000'
dtlspipe [OPTION]... genpsk
Generate and output PSK.
dtlspipe ciphers
Print list of supported ciphers and exit.
dtlspipe curves
Print list of supported elliptic curves and exit.
dtlspipe version
Print program version and exit.
Options:
-cid
enable connection_id extension (default true)
-ciphers value
colon-separated list of ciphers to use
-cpuprofile string
write cpu profile to file
-curves value
colon-separated list of curves to use
-identity string
client identity sent to server
-idle-time duration
max idle time for UDP session (default 30s)
-key-length uint
generate key with specified length (default 16)
-mtu int
MTU used for DTLS fragments (default 1400)
-psk string
hex-encoded pre-shared key. Can be generated with genpsk subcommand
-rate-limit value
limit for incoming connections rate. Format: <limit>/<time duration> or empty string to disable (default 20/1m0s)
-skip-hello-verify
(server only) skip hello verify request. Useful to workaround DPI (default true)
-stale-mode value
which stale side of connection makes whole session stale (both, either, left, right) (default either)
-time-limit duration
limit for each session duration. Use single value X for fixed limit or range X-Y for randomized limit
-timeout duration
network operation timeout (default 10s)
