menu E4b9a6's blog
rss_feed
E4b9a6's blog
有善始者实繁,能克终者盖寡。

使用Gost实现简单而高效的局域网方案

作者:E4b9a6, 创建:2020-03-04, 字数:5531, 已阅:40, 最后更新:2020-03-04

这篇文章更新于 1724 天前,文中部分信息可能失效,请自行甄别无效内容。

在公司想要使用家里的网络时,Frp和Ngrok是不错的选择,然而,这两者的更新配置相对繁琐,并且只能实现点到点的穿透功能

相比于Frp和Ngrok,虚拟组网具有以下优势:

  • 点对点的网络连接(P2P)
  • 随时访问局域网内的所有设备
  • 更安全的传输协议

有许多工具可以实现VPN虚拟组网,例如Zeroiter、Tailscale和WireGuard等,它们都是非常出色的选择

对于我来说,我只需要实现公司/家庭的联网,因为我拥有公网服务器,所以对NAT穿透没有需求

在这种情况下,Gost是满足我需求的理想选择

如果需要NAT穿透功能,建议考虑Zeroiter、Tailscale等工具

以下是我基于Gost实现虚拟组网的实践记录

1. 实践

1.1. 网络信息

以下是我的基础网络情况

  • 家庭PC的IP:192.168.100.100
  • 公司PC的IP:192.168.200.200
  • 私人的公网服务器IP:1.2.3.4

我希望在公司的PC上访问家庭内的所有媒体服务,如

  • 家庭路由器:192.168.100.1
  • 家庭NAS服务:192.168.100.2

在什么都不做的情况下,我在公司PC上ping一下家庭路由器

Bash
~❯ ping 192.168.100.1
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
^C
--- 192.168.100.1 ping statistics 39 packets transmitted, 0 received, 100% packet loss, time 38511ms

显然目前是不可行的,但通过Gost组网将可以实现上面的网络PING通

1.2. Gost服务端

在服务器1.2.3.4上面下载Gost

解压后目录如下

Bash
chancel@Tencent-Lighthouse ~/apps/gost$ tree                          
.
├── gost_3.0.0-rc8_linux_amd64v3.tar.gz
├── gost
├── LICENSE
├── README_en.md
└── README.md

在目录下创建config.yml配置文件

YAML
services:

- name: tls-tun
  addr: :28443 # 监听端口(客户端连接端口)
  handler:
    type: relay # 转发协议
  listener:
    type: tls # 加密数据通道

- name: tun
  addr: 127.0.0.1:18421 # 绑定本地端口(不暴露此端口)
  handler:
    type: tun
    auther: tun
  listener:
    type: tun
    metadata:
      net: 172.16.16.1/24
      routes:
      - "192.168.100.0/24 172.16.16.100" # PC-A所在网络
      - "192.168.200.0/24 172.16.16.200" # PC-B所在网络

这个配置文件监听了2个端口,1个是对外的端口:28443,1个是我们的tun设备监听端口127.0.0.1:18421

无论是家里的PC还是公司的PC,都会通过访问28443来转而访问18421,这样做的原因是可以实现tls加密,如果直连18421也是可以的,但那样将是明文传输所有数据

因创建tun设备需要root权限,使用sudo运行此配置,并检查对应日志输出,没有看到error信息即可

Bash
sudo gost -C config.yml

检查网卡信息,检查tun0设备信息,如下

Bash
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    ...
8: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1350 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none 
    inet 172.16.16.1/24 brd 172.16.16.255 scope global tun0
       valid_lft forever preferred_lft forever
    inet6 fe80::dc8:d8db:4086:9b3b/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever

到这里服务器部署完成了

1.3. Gost客户端

紧接着,我们在家庭的PC(192.168.100.100)上也下载Gost程序

解压后目录如下

Bash
chancel@Tencent-Lighthouse ~/apps/gost$ tree
.
├── gost_3.0.0-rc8_linux_amd64v3.tar.gz
├── gost
├── LICENSE
├── README_en.md
└── README.md

同样在目录下创建config.yml配置文件,内容如下

YAML
services:
- name: tun
  addr: :0
  handler:
    type: tun
    chain: chain-tls-tun # 对应chains中的 chain-tls-tun 节点
    metadata:
      keepAlive: true
      ttl: 10s
  listener:
    type: tun
    metadata:
      net: 172.16.16.100/24 # 对应服务器配置中的 metadata 配置
      route: 192.168.200.0/24 # 需要访问的网络,所以这里填PC-B的网段,如果有多个网段,则写成数组形式
  forwarder:
    nodes:
    - name: target-0
      addr: ":18421"

chains:
- name: chain-tls-tun
  hops:
  - name: hop-0
    nodes:
    - name: node-0
      addr: 1.2.3.4:28443 # 对应服务器配置的tls+relay监听端口
      connector:
        type: relay
      dialer:
        type: tls

这个配置文件services中的tun部分是连接18421端口,但没有写明ip,是因为服务器上的18421端口并不对外开放,需要通过配置文件下面的chains中的chain-tls-tun部分来访问28443来转而访问18421

创建tun设备需要root权限,运行此配置,并检查输出,没有看到error信息即可

Bash
sudo gost -C config.yml

同样的,公司的PC(192.168.200.200)下载Gost并在目录下创建config.yml配置文件,内容如下

YAML
services:
- name: tun
  addr: :0
  handler:
    type: tun
    chain: chain-tls-tun # 对应chains中的 chain-tls-tun 节点
    metadata:
      keepAlive: true
      ttl: 10s
  listener:
    type: tun
    metadata:
      net: 172.16.16.200/24  # 对应服务器配置中的 metadata 配置
      route: 192.168.100.0/24 # 需要访问的网络,所以这里填PC-A的网段,如果有多个网段,则写成数组形式
  forwarder:
    nodes:
    - name: target-0
      addr: ":18421"

chains:
- name: chain-tls-tun
  hops:
  - name: hop-0
    nodes:
    - name: node-0
      addr: 1.2.3.4:28443 # 对应服务器配置的tls+relay监听端口
      connector:
        type: relay
      dialer:
        type: tls

因创建tun设备需要root权限,使用sudo运行此配置,并检查输出,没有看到error信息即可

Bash
sudo gost -C config.yml

以上设置完毕后,在公司PC(192.168.200.200)上尝试访问家里PC(192.168.100.100)

Bash
chancel@nuc8i5 ~$ ping 192.168.100.100  
PING 192.168.100.100(192.168.100.100) 56(84) bytes of data.
64 bytes from 192.168.100.100: icmp_seq=1 ttl=63 time=13.8 ms
64 bytes from 192.168.100.100: icmp_seq=2 ttl=63 time=12.3 ms
64 bytes from 192.168.100.100: icmp_seq=3 ttl=63 time=12.5 ms
...

查看一下公司PC的当前路由规则,可以看到192.168.100.0的数据包默认发送到设备tun0

Bash
default via 192.168.31.1 dev wlp3s0 proto dhcp src 192.168.31.50 metric 600 
172.16.16.0/24 dev tun0 proto kernel scope link src 172.16.16.3 
172.17.0.0/16 dev docker0 proto kernel scope link src 172.17.0.1 linkdown 
192.168.100.0/24 dev tun0

2. iptables设置

到上一步组网就完成了,但我们在PC(192.168.200.200)上尝试一下Ping网络A的路由器,发现无法连接

Bash
chancel@nuc8i5 ~$ ping 192.168.100.1
PING 192.168.100.1 (192.168.100.1) 56(84) bytes of data.
--- 192.168.100.1 ping statistics 13 packets transmitted, 0 received, 100% packet loss, time 12282ms

这是因为数据包虽然被家里PC(192.168.100.100)接收了,但私有网络的数据包无法正常转发到其他设备上,需要在家里PC上添加NAT规则才能转发数据包出去

Bash
sudo iptables -t nat -A POSTROUTING -s 172.16.16.0/24 ! -o tun0 -j MASQUERADE

3. 结束

到这里虚拟组网的设置就结束了,相较于原作者的博文补充了一些实践上的信息,关于更多信息如认证、采用tcp连接可以参考作者的博文

参考资料


[[replyMessage== null?"发表评论":"发表评论 @ " + replyMessage.m_author]]

account_circle
email
web_asset
textsms

评论列表([[messageResponse.total]])

还没有可以显示的留言...
gravatar
[[messageItem.m_author]] [[messageItem.m_author]]
[[messageItem.create_time]]
[[getEnviron(messageItem.m_environ)]]
[[subMessage.m_author]] [[subMessage.m_author]] @ [[subMessage.parent_message.m_author]] [[subMessage.parent_message.m_author]]
[[subMessage.create_time]]
[[getEnviron(messageItem.m_environ)]]