Plik konfiguracyjny serwera ISC-DHCP znajduje się domyślnie w /etc/dhcpd.conf i ma postać:

ddns-update-style none;
log-facility local7;

subnet 10.99.10.0 netmask 255.255.255.0 {
        option routers                  10.99.10.1;
        option subnet-mask              255.255.255.0;
        option broadcast-address        10.99.10.255;
        option domain-name-servers      10.99.10.100;
        option ntp-servers              10.99.10.1;
        option netbios-name-servers     10.99.10.1;
        option netbios-node-type 2;
        default-lease-time 86400;
        max-lease-time 86400;

        host KOMPUTER_01 {hardware ethernet 28:d2:44:fa:2c:49;  fixed-address 10.99.10.11;}   #Komputer 01
        host KOMPUTER_02 {hardware ethernet 00:CC:D1:38:AC:45;  fixed-address 10.99.10.12;} #Komputer 02
        host KOMPUTER_03 {hardware ethernet 01:AC:D2:33:AA:41;  fixed-address 10.99.10.13;} #Komputer 03
        host KOMPUTER_04 {hardware ethernet 44:1E:A1:2F:62:A0;  fixed-address 10.99.10.14;} #Komputer 04
        host KOMPUTER_05 {hardware ethernet EC:F4:BB:47:0B:0D;  fixed-address 10.99.10.15;} #Komputer 05
        host KOMPUTER_06 {hardware ethernet f0:de:f1:61:c3:91;  fixed-address 10.99.10.16;} #Komputer 06
        host KOMPUTER_02 {hardware ethernet 50:7B:9D:04:CD:0D;  fixed-address 10.99.10.17;} #Komputer 07
        host KOMPUTER_02 {hardware ethernet C8:5B:76:5B:22:05;  fixed-address 10.99.10.18;} #Komputer 08
        #host KOMPUTER_02 {hardware ethernet 00:CC:D1:38:AC:45;  fixed-address 10.99.10.19;} #Komputer 09
}

subnet  10.152.187.0 netmask 255.255.255.0 {
        option routers                  10.152.187.1;
        option subnet-mask              255.255.255.0;
        option broadcast-address        10.152.187.255;
        option domain-name-servers      194.168.4.100;
        option ntp-servers              10.152.187.1;
        option netbios-name-servers     10.152.187.1;
        option netbios-node-type 2;
        default-lease-time 86400;
        max-lease-time 86400;

        host KOMPUTER_11 {hardware ethernet 00:22:AA:66:55:9B;    fixed-address 10.152.187.2;}     #Komputer 11
}

Załóżmy że z tego pliku chcemy wyciągnąć takie informacje jak:

nazwa hosta, adres MAC, adres IP oraz komentarz.

Możemy do tego celu użyć dostępnych w linuxie narzędzi do pracy z tekstem (grep, awk, cut), natomiast dużo łatwiej i szybciej możemy napisać skrypt w Pythonie wykorzystujący bibliotekę textFSM.

Skrypt realizujący to zdanie dhcp.py wygląda następująco:

#!/usr/bin/python
import textfsm

file = open("/etc/dhcpd.conf","r")    
text = file.read()
file.close()
re_table = textfsm.TextFSM(open("dhcp.textfsm"))
fsm_results = re_table.ParseText(text)

for i in fsm_results:
   i[1] = i[1].lower()
   print i[0]+','+i[1]+','+i[2]+','+i[3]

Plik dhcp.textfsm zawierający szablon z wyrażeniami regularnymi ma postać:

Value hostname (\S+)
Value mac ([^ ;]+)
Value ip ([^ ;]+)
Value description (.+)

Start
  ^\s*host\s+${hostname}\s+{hardware\s+ethernet\s+${mac}\S+\s+fixed-address\s+${ip}+\S+\s+#${description} -> Record

Wynik działania powyższego skryptu to:

root@vm01:~# ./dhcp.py

KOMPUTER_01,28:d2:44:fa:2c:49,10.99.10.11,Komputer 01

KOMPUTER_02,00:cc:d1:38:ac:45,10.99.10.12,Komputer 02

KOMPUTER_03,01:ac:d2:33:aa:41,10.99.10.13,Komputer 03

KOMPUTER_04,44:1e:a1:2f:62:a0,10.99.10.14,Komputer 04

KOMPUTER_05,ec:f4:bb:47:0b:0d,10.99.10.15,Komputer 05

KOMPUTER_06,f0:de:f1:61:c3:91,10.99.10.16,Komputer 06

KOMPUTER_02,50:7b:9d:04:cd:0d,10.99.10.17,Komputer 07

KOMPUTER_02,c8:5b:76:5b:22:05,10.99.10.18,Komputer 08

KOMPUTER_11,00:22:aa:66:55:9b,10.152.187.2,Komputer 11

Otrzymaliśmy więc to co chcieliśmy, czyli nazwę hosta, adres MAC, adres IP, oraz komentarz. W celach kosmetycznych skrypt wypisuje wyniki na ekranie oddzielone przecinkami, czyli możemy sobie takie wyniki zaimportować np. do Excela.

OMÓWIENIE SKRYPTU dhcp.py

Przejdźmy teraz do omówienia skryptu linijka po linijce.

#!/usr/bin/python —> powoduje uruchomienie pliku jako program w Pythonie

import textfsm —> import biblioteki textfsm

file=open(„/etc/dhcpd.conf”,”r”) —> do otwarcia pliku wykorzystamy wbudowaną funkcję open, plik otwieramy do odczytu “r”

text=file.read() —> funkcja read() odczytuje zawartość pliku i przypisuje całą zawartość do zmiennej text

file.close() —> funkcja zamykająca plik

re_table=textfsm.TextFSM(open(„dhcp.textfsm”)) —> otwarcie pliku szablonu dhcp.textfsm przez textfsm

fsm_results=re_table.ParseText(text) —> wykonanie parsowania tekstu ze zmiennej text i przypisanie wyniku do listy fsm_results

for i in fsm_results: –> petla for, która przetwarza każdy element z listy fsm_results, przetwarzany element jest również listą

i[1] = i[1].lower() —> dla elementu na drugiej pozycji przetwarzanej listy (w tym przypadku jest to adres MAC, który może być zarówno małymi jak i dużymi literami pisany) wykonaj funkcję lower(), czyli zamień duże na małe litery

print i[0]+’,’+i[1]+’,’+i[2]+’,’+i[3] —> wypisanie na ekranie 4 elementów listy (hostname, adres mac, adres IP, komentarz) przedzielonych przecinkami

OMÓWIENIE SZABLONU dhcp.textfsm

W przypadku braku znajomości wyrażeń regularnych tworzenie szablonu dhcp.textfsm najlepiej wykonywać z wykorzystaniem strony regex101.com. Poniżej screen z tej strony z wyrażeniem regularnych użytym w skrypcie dhcp.py:

Z powyższego screena widać, że wszystkie interesujące nas informacje zostały dopasowane prawidłowo

• Group1 – kolor zielony – hostname
• Group2 – kolor czerwony – adres MAC
• Group3 – kolor pomarańczowy  – adres IP
• Group4 – kolor fioletowy – komentarz

Jeśli weźmiemy plik dhcp.textfsm:

Value hostname (\S+) 
Value mac ([^ ;]+) 
Value ip ([^ ;]+) 
Value description (.+) 

Start
   ^\s*host\s+${hostname}\s+{hardware\s+ethernet\s+${mac}\S+\s+fixed-address\s+${ip}+\S+\s+#${description} -> Record

i podstawimy do wyrażenia regularnego występującego po słowie Start wyrażenia regularne dla odpowiednich wartości, to otrzymamy dokładnie to wyrażenie które zostało użyte w polu REGULAR EXPRESSION na stronie regex101.com:

^\s*host\s+(\S+)\s+{hardware\s+ethernet\s+([^ ;]+)\S+\s+fixed-address\s+([^ ;]+)+\S+\s+#(.+) -> Record

W powyższym wyrażeniu regularnym korzystamy właściwie tylko z kombinacji znaków które występują w każdej linijce (typu: hardware, ethernet, host, fixed-address) oraz z następujących wzorców:

\s+    spacja występująca raz lub więcej razy

\S+   dowolny znak bez spacji występujących raz lub więcej razy

.+      dowolny znak występujący raz lub więcej razy

[^ ;]+    dowolna kombinacja znaków nie zawierająca spacji oraz średnika występując raz lub więcej razy

W pliku dhcp.textfsm po wyrażeniu regularnym w sekcji Start występuje coś takiego: „-> Record”. Oznacza to tyle, że po znalezieniu dopasowania wyniki są zapisywane do tablicy i następuje analiza kolejnej linii. Dzięki temu możemy otrzymać wiele wyników, a nie tak jak we wpisie o Cisco CLI i textFSM tylko jeden.

Strona regex101.com jest bardzo pomocna w debugowaniu przyczyn błędnego wyciągania informacji przez textfsm. Jeśli nasze wyrażenie regularne po wklejeniu go na stronę oraz tekstu, na którym będzie wykonywanie to wyrażenie nie będzie dopasowywało tak jak tego oczekujemy, to tym bardziej nasz skrypt również tego nie dopasuje.

R1, czyli komputer z debianem posiada dwa interfejsy sieciowe wlan0 i eth0. Interfejs wlan0 jest podłączony do internetu, natomiast intefejs eth0 podłączony jest do hosta PC1.

Adresacja IP routera R1:

eth0 - 192.168.5.1 255.255.255.0

wlan0 - 192.168.1.1 255.255.255.0

Do skonfigurowania interfejsu eth0 należy wyedytować plik: /etc/network/interfaces i dopisać poniższą konfigurację dla interfejsu eth0:

auto eth0

iface eth0 inet static

address 192.168.5.1

netmask 255.255.255.0

Nie będę opisywał konfiguracji intefejsu wlan0, bo dla każdego połączenia internetowego będzie ono inne. Do udostępnienia internetu do interfejsu eth0 musi być skonfigurowany poprawnie dodatkowy interfejs z dostępem do internetu, nie koniecznie musi być to interfejs bezprzewodowy.

R1 będzie miał za zadanie NAT-ować połączenie, czyli udostępniać internet do PC1. Aby to osiągnąć konieczne jest uruchomienie na R1 routingu, czyli włączenie przekazywania pakietów IP między interfejsami sieciowymi. Służy do tego następujące polecenie:

root@debian-lab:~# echo "1" > /proc/sys/net/ipv4/ip_forward

Kolejnym krokiem jest konfiguracja iptables. Najprościej będzie skonfigurować tzw. Maskaradę IP.  Działa to w ten sposób, że R1, który służy jako brama sieciowa zbiera żądania od komputerów z sieci lokalnej (w moim przypadku PC1) i wysyła w świat ze swoim adresem IP. Konfigurujemy to w następujący sposób:

root@debian-lab:~# iptables -t nat -A POSTROUTING -s 192.168.5.0/24 -j MASQUERADE

Teraz zostaje tylko uruchomienie serwera DHCP, żeby PC1 otrzymał automatycznie adres IP od R1. Zainstalować serwer DHCP na debianie można wydając polecenie:

root@debian-lab:~# apt-get install isc-dhcp-server

Po instalacji musimy określić na jakim interfejsie ma działać serwer DHCP, w moim przypadku będzie to eth0. W tym celu należy wyedytować plik: /etc/default/isc-dhcp-server w następujący sposób:

Następnie konieczna jest edycja pliku konfiguracyjnego serwera dhcp: /etc/dhcp/dhcpd.conf. Najlepiej jest usunąć całą zawartość pliku dhcpd.conf i uzupełnienić go następującą zawartością:

subnet 192.168.5.0 netmask 255.255.255.0 {

range 192.168.5.100 192.168.5.200;

option domain-name-servers 8.8.8.8;

option routers 192.168.5.1;

option broadcast-address 192.168.5.255;

default-lease-time 86400;

max-lease-time 86400;

}

Po zapisaniu pliku konieczny jest restart serwera dhcp:

root@debian-lab:~# /etc/init.d/isc-dhcp-server restart

Teraz komputer PC1 otrzyma adres IP od serwera DHCP. Dzięki skonfigurowaniu puli adresów (192.168.5.100 – 192.168.5.200) możliwe jest udostępnienie wielu komputerom internetu, wystarczy w miejsce komputera PC1 umieścić switch, a następnie do niego podpiąć dowolną ilość komputerów. Każdy z nich otrzyma adres IP i każdy będzie mógł korzystać z internetu za pośrednictwem R1.

Pora przetestować czy wszytko działa. Najpierw sprawdźmy, czy host PC1 dostał adres IP. W moim przypadku hostem PC1 jest router TPLink z oprogramowaniem Gargoyle.

Jak widać na powyższym screenie PC1 dostał z DHCP adres 192.168.5.100, teraz pora przetestować łączność z internetem, np. pingując jakąś stronę. Przydatnym narzędziem do analizy ruchu przechodzącego przez R1 jest aplikacja iftop. Iftop może być przydatne w przypadku, gdy chcemy udostępnić łącze internetowe wielu urządzeniom i chcemy w czasie rzeczywistym widzieć z jakimi adresami łączą się hosty, oraz jakie pasmo zużywają.

Instalacja iftop odbywa się nastepująco:

root@debian-lab:~# apt-get install iftop

Odpalić ją można wpisując:

root@debian-lab:~# iftop -i eth0

Po uruchomieniu naszym oczom powinno się ukazać coś podobnego:

Powyższy wynik działania polecenia Iftop oznacza, że nasz router przepuszcza ruch z hosta PC1 o adresie (192.168.5.100), co oznacza żę PC1 ma łączność z internetem. Przedstawione przeze mnie udostępnianie internetu może się przydać w sytuacji, w której internet mamy podpięty bezpośrednio do komputera i chcemy go udostępnić innym urządzeniom w domu nie posiadając routera.

N2N

N2N jest programem, który umożliwia tworzenie tuneli VPN wykorzystując metodę Peer-to-Peer. N2N pozwala na połączenie komputerów znajdujących się za NAT-em oraz komputerów korzystających z sieci z zablokowanymi portami wejściowymi (np. sieć komórkowa 3G). Architektura N2N opiera się na dwóch elementach: węzłach brzegowych i węźle głównym.

Węzły brzegowe to nic innego jak urządzenia które będziemy łączyć ze sobą przy pomocy węzła głównego w sieć VPN. Węzeł główny to komputer, do którego będą się łączyły węzły brzegowe. Może być to nasz komputer (jednak musi posiadać publiczny adres IP), albo można skorzystać z dostępnych serwerów (tzw. public supernode).

N2N jest dostępny na wiele platform. Ja korzystam z niego na komputerach z Debianem, na routerze z OpenWrt (Gargoyle), na RaspberryPI z Raspbmc, oraz na telefonie z Androidem. Probowalem uruchomić N2N na komputerze z Windows 7 jednak nie udało mi się tego zrobić. Dlatego wymyśliłem proste rozwiązanie, jako że bardzo często korzystam z VirtualBoxa, to postawiłem maszynę wirtualną z Debianem, do której łączę się przez ssh (MobaXterm) i na niej zainstalowałem N2N. Na chwilę obecną mam 5 urządzeń z zainstalowanym N2N i do każdego mogę się podłączyć przez ssh. Najbardziej podoba mi się N2N na telefon z Androidem, dzieki temu mam dostęp do moich urządzeń gdziekolwiek jestem. Do poprawnego działania oprogramowania na Androida trzeba mieć zroot’owany telefon.

KONFIGURACJA

Poniżej przedstawię przykład połączenie dwóch komputerów znajdujących się za NAT’em (PC1 i PC2) w sieć VPN wykorzystując oprogramowanie N2N. Na komputerach zainstalowany jest Debian „Wheezy” 7.0. Oba komputery znajdują się za NAT’em i nie jest możliwe bezpośrednie ich połączenie ze sobą, w tym celu skorzystam z węzła głównego dostarczanego przez remoteqth.com o adresie publicznym: 78.111.124.210:82, gdzie 82 oznacza numer portu, na którym serwer nasłuchuje połączeń od węzłów brzegowych.

Schemat połączenia.

Instalacja krok po kroku:

1. Najpierw na obu komputerach należy zainstalować pakiet n2n wydając polecenie:

root@debian:~# apt-get install n2n

2. Teraz konieczne jest wybranie następujących parametrów:

• hasła, którego n2n będzie używać do szyfrowania transmisji;
• nazwa sieci (community), każdy węzeł brzegowy może należeć jednocześnie do kliku sieci VPN, ktore są określane przez nazwe sieci;
• adresy IP węzłów brzegowych, adresy IP węzłów w tej samej sieci VPN (community) muszą być z tej samej podsieci.

Ja do mojego przykładu wybralem następujące parametry:

• hasło – „abcd1234”
• community – „vpn”
• adresy IP – PC1 : 10.10.10.1 ; PC2 : 10.10.10.2

3. Uruchomienie programu:

Na PC1:

root@debian:~# N2N_KEY=abcd1234 /usr/sbin/edge -d n2n0 -a 10.10.10.1 -c vpn -f -l 78.111.124.210:82 -b

Na PC2:

root@debian:~# N2N_KEY=abcd1234 /usr/sbin/edge -d n2n0 -a 10.10.10.2 -c vpn -f -l 78.111.124.210:82 -b

Opcja -d n2n0 określa nazwę interfejsu TAP, który zostanie stworzony przez program N2N i do którego zostanie przypisany wybrany przez nas adres IP, natomiast opcja -f oznacza, że program będzie działał w tle.

Po wydaniu powyższych poleceń na PC1 i na PC2, na ekranie konsoli powinien pojawić się następujący komunikat:

oznacza on, że program poprawnie utworzył interfejs n2n0 i nadał mu odpowiedni adres IP. Teraz można zweryfikować utworzony interfejs wydając polecenie:

root@debian:~# ifconfig n2n0

Teraz można przetestować, czy między komputerami PC1 i PC2 jest łączność, w tym celu pingujemy z jednego komputera drugi:

Jeśli nie działa nam komunikacja to należy sprawdzić czy poprawnie wpisaliśmy hasło (N2N_KEY), nazwę sieci VPN (community) oraz czy adresy IP są z tej samej podsieci, w moim przypadku podsieć to 10.10.10.0/24. Szczegółowe informacje na temat ew problemów z działaniem N2N można znaleźć w syslogu:

root@debian:~# cat /var/log/syslog

4. Autostart

N2N możemy uruchomić przy starcie naszego systemu, w tym celu należy w pierwszej kolejności stworzyć plik n2n_autostart.sh o następującej zawartości:

Dla PC1:

#!/bin/bash

N2N_KEY=abcd1234 /usr/sbin/edge -d n2n0 -a 10.10.10.1 -c vpn -f -l 78.111.124.210:82 -b

Dla PC2:

#!/bin/bash

N2N_KEY=abcd1234 /usr/sbin/edge -d n2n0 -a 10.10.10.2 -c vpn -f -l 78.111.124.210:82 -b

Skryptowi należy nadać atrybut wykonywalności +x:

root@debian:~# chmod +x n2n_autostart.sh

Po utworzeniu skryptów konieczne jest dodanie poniższego wpisu do tablic crontab obu komputerów:

@reboot /root/n2n_autostart.sh >> /var/log/cron 2>&1 &

Do edycji tablicy crontab służy polecenie:

root@debian:~# crontab -e

W moim przykładzie plik n2n_autostart.sh znajduje się w katalogu /root/n2n_autostart.sh , jeśli jednak skrypt znajduje się w innym katalogu, to trzeba zmienić we wpisie crontab ścieżkę skryptu.

Poniższy wpis w crontab spowoduje, że przy każdym restarcie i uruchomieniu się komputera zostanie uruchomiony skrypt n2n_autostart.sh, a jego wynik zostanie zapisany w logu: /var/log/cron.

WYDAJNOŚĆ

Teraz pora na test wydajności połączenia pomiędzy komputerami w sieci N2N VPN. Do testowania połączenia użyłem oprogramowania iperf:

Jak widać na powyższym screenie prędkość połączenia TCP pomiędzy komputerami PC1 i PC2 wynosi ok 0,5Mb/s, co nie jest najgorszym wynikiem, a przy połączeniach terminalowych w zupełności wystarcza. Na ten wynik w głównej mierze ma wpływ korzystanie z serwera pośredniczącego jakim jest węzeł główny 78.111.124.210:82. Musimy wziąć pod uwagę, że serwer ten jest dostarczany za darmo i umożliwia nam dostęp do komputerów, które nie posiadają publicznych adresów IP (są za NAT’em i nie są dostępne z zewnątrz), więc nie ma co narzekać.