Eines I2P-Reseed-Servers über einen Cloudflare Proxy erreichen

Peter-Mayer · 17. September 2021 um 14:43

Richtlinien zum Einrichten eines I2P-Reseed-Servers über Cloudflare

Basierend auf der ursprünglichen Definition von I2P Homepage , Ein Reseed-Server besteht aus einem Java-I2P-Router, einem HTTPS-Webserver und einigen Skripte, die regelmäßig Router-Informationen vom Router sammeln, bündeln und signieren sie in ein benutzerdefiniertes Dateiformat und stellen diese Dateien über HTTPS bereit.

Dieses Tutorial führt Sie durch die Einrichtung eines Reseed-Servers und Routing seines Datenverkehrs über Cloudflare. Sie fragen sich vielleicht: „Aber warum Cloudflare?“ . Tatsächlich müssen Sie Ihren Re-Seed-Traffic nicht über Cloudflare bereitstellen und können Folgen Sie einfach den ursprünglichen Richtlinien zu I2P Homepage um einen Reseed-Server einzurichten, der auf Ihrem eigenen Server läuft. Allerdings Cloudflare verwaltet ein großes Content Delivery Network (CDN), das zur Verbesserung genutzt werden kann verschiedene Aspekte Ihres Reseed-Servers. Das sind drei Hauptgründe (Meinungen), warum ich mich dafür entscheide, meinen Re-Seed-Traffic über Cloudflare zu leiten.

Erhöhte Sicherheit. Das Routing Ihres Reseed-Datenverkehrs über Cloudflare hilft Verbergen der tatsächlichen IP-Adresse(n) Ihres Reseed-Servers. So bösartig Datenverkehr, einschließlich solcher von Denial-of-Service-Angriffen, kann nicht direkt Auswirkungen auf Ihren ursprünglichen Server haben, ohne Cloudflare zu umgehen.
Verbesserte Leistung. Cloudflare mit seiner großen Datenmenge Zentren verteilt rund um den Globus, können die Lieferung des Reseed-Bundles (d. h. die su3-Datei) an I2P-Clients weltweit. Die tatsächliche Latenz von einem I2P-Client zu Ihr Reseed-Server wird fast auf die Latenz von diesem Client auf . reduziert ihr nächstgelegenes Cloudflare-Rechenzentrum.
Widerstand gegen Zensur. Indem Sie Ihren Server auf Cloudflare stellen, in den meisten Fällen wird es einen Pool von IP-Adressen mit vielen anderen Websites teilen. Alle Zensoren, die IP-basierte Blockierungen gegen Ihren Server durchführen, müssen Denken Sie zweimal über den Kollateralschaden nach, wenn Sie auch Tausende (oder sogar .) verdienen Zehntausende) von gemeinsam gehosteten Websites nicht zugänglich. Außerdem in unserem aktuelles Paper bei USENIX FOCI '19 , meine Co-Autoren und ich zeigen, dass mehrere Zensoren den Zugriff auf I2P-Dienste blockieren basierend auf der Servernamensanzeige ( SNI ), somit würde die Verschlüsselung von SNI dieses Problem beheben. Derzeit ist Cloudflare die einziger Anbieter, der Encrypted SNI . unterstützt ( ESNI ). Obwohl ESNI wurde nicht weit verbreitet, während die I2P-Router-Software nicht verwendet wurde implementiert, um ESNI in . vollständig zu unterstützen TLS1.3 dennoch glaube ich, dass die Einführung von ESNI ein notwendiger Schritt ist, um das Internet zu resistenter gegen Zensur. Daher wähle ich den Proxy für meinen Reseed-Server über Cloudflare, um sich auf eine Zukunft vorzubereiten, wenn ESNI standardisiert wird und weit verbreitet.

Zu Demonstrationszwecken entlehne ich hiermit ein Bild von Wolkenflare um einige der oben diskutierten Punkte zu veranschaulichen.

Um diesem Tutorial folgen zu können, benötigen Sie daher ein Cloudflare-Konto, in dem Ihr Domainname wird verwaltet. Als Referenz können Sie hinzufügen Ihren Domainnamen zum Cloudflare-Konto, oder Sie können vollständig Transfer es an den Cloudflare-Registrar.

0. Voraussetzungen

Dieser Abschnitt führt Sie durch die Installation der erforderlichen Software Pakete. Mein Betriebssystem für dieses Tutorial ist Ubuntu 18.04 LTS. Nach Gemäß der ursprünglichen Richtlinie ist es ideal, wenn Ihr Server über Folgendes verfügt:

die Fähigkeit, rund um die Uhr online zu sein
mindestens 2 CPUs und 2 GB RAM
eine Unix-Umgebung zum Ausführen der go-lang I2P-Reseed-Tools
ausreichend Bandbreite

0.1 I2P-Router-Software installieren

Führen Sie diese Befehle aus, um das offizielle I2P-Paket zu installieren:

sudo apt-add-repository -y ppa:i2p-maintainers/i2p; 
sudo apt-get update; 
sudo apt-get install -y i2p

Starten Sie I2P mit diesem Befehl: i2prouter start wenn es noch nicht gestartet ist. Bei Zum Zeitpunkt der Erstellung dieses Tutorials ist die aktuellste I2P-Version 0.9.42 . Wenn Sie I2P bereits über das Debian-Paket-Repository installiert haben, ist es kann aktualisiert werden mit:

sudo apt-get --only-upgrade install -y i2p

0.2 Install Go-lang

Die offizielle Download-Seite des Go-Projekts ist unter https://golang.org/dl/ .

Wenn Sie Ubuntu 16.04 LTS, 18.04 LTS oder 19.04 verwenden, können Sie die longsleep/golang-backports PPA und installieren Sie Go mit mindestens Version 1.13.

sudo add-apt-repository -y ppa:longsleep/golang-backports;
sudo apt-get update;
sudo apt-get install -y golang-go

0.3 Installieren Sie das I2P-Reseed-Tool

Die offiziellen Richtlinien weisen auf eine All-in-One-Go-Lösung von Matt . Es gibt auch einige gegabelte Versionen mit mehr Funktionen, wie z. B. Reseed über Tor und IPFS geschrieben von IDK oder RTrade-Technologien Ltd . Für die Zweck dieses Tutorials sollten alle ähnlich funktionieren, also ist es bis zu Sie können auswählen, welche installiert werden soll, je nachdem, ob Sie mehr hinzufügen möchten Funktionen später auf Ihren Reseed-Server.

export GOPATH=$HOME/go; mkdir $GOPATH; cd $GOPATH;
go get github.com/MDrollette/i2p-tools

Sie können bestätigen i2p-tools ordnungsgemäß installiert wurde, indem Sie auf die Verzeichnis, in dem die Binärdatei gespeichert ist, und führen Sie diesen Befehl aus, um anzuzeigen help Funktion.

cd $GOPATH/bin; ./i2p-tools -h

1. Cloudflare-Setup

Nehmen Sie als Nächstes an, dass Sie Ihr Cloudflare-Konto erstellt und angemeldet haben. Dieser Abschnitt zeigt Ihnen, wie Sie einen DNS-Eintrag für den Hostnamen Ihres Server neu starten und sein TLS-Zertifikat und den privaten Schlüssel abrufen.

1.0 DNS-Konfiguration

Unter dem DNS Verwaltungssitzung , klicken Sie auf Datensatz hinzufügen und konfigurieren Sie Ihre Aufzeichnung mit:

Typ : A
Name : eine beliebige Zeichenfolge Ihrer Wahl. Diese Zeichenfolge sollte jedoch nicht einen Punkt (.) enthalten, damit der Hostname Ihres Reseed-Servers lautet: einen Third-Level-Domainnamen zu Ihrer eigenen Second-Level-Domain. Zum Beispiel, wenn Ihre Domain ist np-tokumei.com , dann solltest du deinen Reseed-Server haben Hostname als reseed.mp-tokumei.com , aber nicht reseed.server.np-tokumei.com . Dies liegt daran, dass Cloudflares kostenloses TLS Zertifikat deckt derzeit nur bis zu Third-Level-Domains ab.
IPv4-Adresse : die IP-Adresse Ihres Reseed-Servers
TTL : Auto
Proxy-Status : Stellen Sie sicher, dass das Cloud-Symbol aktiviert ist orange routen Ihren Reseed-Traffic über Cloudflare CDN. Dies ist sehr wichtig, um die zu maskieren echte IP-Adresse Ihres Servers. Wenn Sie die Wolke lange genug grau lassen, aktive DNS Messungen kann die echte IP Ihres Servers ermitteln und speichern.

1.1 TLS-Zertifikat

Als nächstes unter dem SSL/TLS Sitzung, gehen Sie zu Ursprungszertifikate und klicken Sie auf Zertifikat erstellen .

Es öffnet sich ein Fenster, in dem Sie den des auswählen können Typ privaten Schlüssels und den Host Name Ihres Reseed-Servers (z. B. reseed.np-tokumei.net ).

Sie erhalten dann einen privaten Schlüssel und ein Zertifikat wie in der Bild unten. Beachten Sie, dass ich meine hier zu Demonstrationszwecken stelle, Sie sollten Geben Sie Ihren privaten Schlüssel niemals an Dritte weiter. Wie vorgeschlagen, speichere sie in zwei Teile separate Dateien mit dem Namen: <your_reseed_host_name.tld>.pem und your_reseed_host_name.tld>.key . Speichern Sie sie in einer sicheren Umgebung mit Passwortschutz für die spätere Verwendung. Sie können die herunterladen .pem Datei später von dieses Dashboard, aber NICHT der Schlüssel.

Die i2p-tools erfordern eine TLS-Zertifikatsdatei, die mit endet .crt arbeiten, also Sie müssen diesen Befehl verwenden, um Ihr . zu konvertieren .pem Datei zu a .crt Datei.

openssl x509 -outform der -in <your_domain.tld>.pem -out temporary.crt

Jetzt haben Sie ein binäres Zertifikat namens temporary.crt . NICHT versuchen öffne es mit cat aber es wird Ihr Terminal mit nicht druckbarem durcheinander bringen Zeichen. Wir müssen dann diese Binärdatei konvertieren temporary.crt zu einem base64-formatiertes Zertifikat, benannt <your_reseed_host_name.tld>.crt . In deiner Klemme, ersetzen <your_reseed_host_name.tld> Ihres Reseed-Servers und starten Sie dieser Befehl:

echo "-----BEGIN CERTIFICATE-----" >> <your_reseed_host_name.tld>.crt;
cat temporary.crt | base64 >> <your_reseed_host_name.tld>.crt;
echo "-----END CERTIFICATE-----" >> <your_reseed_host_name.tld>.crt

Beachten Sie die Anzahl der Striche (-) ist genau 5 auf jeder Seite des BEGIN und END Stichworte. KEINE neue Zeile am Ende der Datei ist erlaubt, da dies zu Syntax-Fehler. Schließlich können Sie löschen temporary.crt und lege die <your_reseed_host_name.tld>.crt und <your_reseed_host_name.tld>.key in dem dasselbe Verzeichnis, in dem Sie Ihre ausführen werden i2p-tools binär.

2. Serverkonfiguration erneut starten

Nachdem wir nun alle erforderliche Software installiert haben, können Sie zu Ihrem i2p-tools binär (normalerweise gespeichert unter $HOME/go/bin/ ) und führen Sie die folgender Befehl:

./i2p-tools reseed --signer=<your_email> \
                   --netdb=/home/ubuntu/.i2p/netDb \
                   --tlsHost=<your_reseed_host_name.tld> \
                   --tlsKey=<your_reseed_host_name.tld>.key \
                   --tlsCert=<your_reseed_host_name.tld>.crt \
                   --trustProxy

Beachten Sie das --trustProxy Flagge! Es ist wichtig für das Weiterleiten von Reseed-Verkehr über Cloudflare, da es unseren Server ermöglicht, die X-Forwarded-For Header aus Client-Anfragen, die die tatsächlichen IP-Adressen neuer gemeinsamer I2P enthalten Clients, die die Reseed-Anfrage anstelle der IP-Adressen von Cloudflare senden Arbeitskräfte. Wie die Richtlinie aus dem offiziellen I2P-Tutorial nahelegt, dass die Der reseed-Server sollte das gleiche geben su3 Datei an denselben Client (IP) innerhalb von a konfigurierbarer Zeitraum. Dies hilft zu verhindern, dass schlechte Clients ernten Informationen vieler I2P-Router im Netzwerk.

Da wir diesen Befehl zum ersten Mal ausführen, werden Sie aufgefordert:

Unable to read signing key your_email.pem
Would you like to generate a new signing key for your_email? (y or n):

Schlag y und Enter um fortzufahren und das Tool erstellt drei Dateien für Sie in das aktuelle Verzeichnis. Sie heißen: *.crl , *.crt , und *.pem , wo * ist die E-Mail-Adresse, die Sie für die Flagge angegeben haben --singer= Oben. TUN Bewahren Sie diese Dateien in einer sicheren Umgebung mit Passwortschutz auf benötige sie später für den Produktionsmodus!!

Wenn der Reseed-Server ordnungsgemäß startet, sehen Sie ähnliche Ausgaben wie diese in deine Konsole:

2019/08/20 05:52:18 Rebuilding su3 cache...
2019/08/20 05:52:18 Building 350 su3 files each containing 77 out of 2396 routerInfos.
2019/08/20 05:52:19 Done rebuilding.
2019/08/20 05:52:19 HTTPS server started on 0.0.0.0:8443

I2P-Reseed-Server läuft standardmäßig auf Port 8443 Stellen Sie also sicher, dass dieser Port ist von der Außenwelt erreichbar. Die i2p-tools bietet dir auch welche Flexibilität bei der Konfiguration dieses Ports mithilfe des Flags --port in obigem Befehl erneut aussäen. Sie sollten jedoch einen Port wählen, der von . unterstützt wird Cloudflare .

Weitere Informationen zum Ausführen des Befehls reseed im Hintergrund finden Sie unter crontab unter Neustart, bitte beachten Sie das Original Richtlinien .

2. Testen

Dies sind zwei Möglichkeiten, um zu testen, ob Ihr Reseed-Server dies kann erfolgreich das Re-Seed-Bundle bereitstellen su3 . Dazu benötigen Sie eine separate Maschine mit bereits installierter I2P-Router-Software.

2.1 Direktabruf

Führen Sie auf dem zweiten Computer diesen Befehl aus, um ein . herunterzuladen su3 Datei von deinem Server neu starten. Beachten Sie, dass der Portwert mit den Portinformationen übereinstimmen sollte hast du oben eingerichtet. In der ursprünglichen Richtlinie sehen Sie den Befehl has --no-check-certificate Flagge. Wir brauchen es in unserem Tutorial nicht, weil unsere Das TLS-Zertifikat ist das von Cloudflare bereits validierte Zertifikat Behörde. HINWEIS: Das User-Agent-Flag, da der Server nur antwortet auf --user-agent="Wget/1.11.4" .

wget --user-agent="Wget/1.11.4" -O test.su3 https://<your_reseed_host_name.tld>:8443/i2pseeds.su3

Sie sollten eine Datei namens . sehen test.su3 auf Ihren zweiten Computer heruntergeladen. Untersuchen der Datei mit dem Befehl zipinfo test.su3 sollte dir eine Liste zeigen von Dateien, deren Name die Form hat routerInfo-*.dat .

2.2 Erneutes Seeding von der I2P-Router-Konsole

Als Nächstes wollen wir testen, ob ein echter I2P-Client erfolgreich von unserem neu geseedet werden kann Server. Zuerst müssen Sie Ihr Reseed-Zertifikat kopieren (d. h. your_singer_email.crt ) erstellt durch den oben genannten reseed-Befehl auf die Sekunde Maschine. Beachten Sie, dass dies NICHT das TLS-Zertifikat ist, da das TLS Zertifikat gehört in unserem Fall zu Cloudflare, das bereits validiert ist von Zertifizierungsstellen. Kopieren Sie nur das Reseed-Zertifikat an den Standort unter:

MacOS: /Applications/i2p/certificates/reseed/
Ubuntu: /usr/share/i2p/certificates/reseed/

Öffnen Sie nun auf Ihrem zweiten Computer mit laufendem I2P einen Webbrowser und gehen Sie zu http://127.0.0.1:7657/configreseed . Unter Neuseeding-Konfiguration , lösche alle aktuellen URLs von Reseed-Servern, gib ein https://<your_reseed_host_name.tld>:8443 und klicken Sie Änderungen speichern und reseed Jetzt- Button unten auf der Seite. Wenn Sie erfolgreich reseeden könnten als auf diesem Foto angezeigt, dann wurde Ihr Reseed-Server ordnungsgemäß eingerichtet.

Wenn Sie einen Fehler haben, besuchen Sie http://127.0.0.1:7657/logs zu untersuchen weiter. Nachdem Sie überprüft haben, ob Ihr Reseed-Server ordnungsgemäß läuft, können Sie sollte die URL-Liste auf die Liste der Standard-Reseed-Server zurücksetzen.

3. Sichern Sie Ihren Reseed-Server mit `iptables` und `ip6tables`

So sichern Sie Ihren Server vor Scanner (z. B. censys, shodan) und verhindern seine echte IP die Anschrift Sie müssen Ihren Server mit Firewall-Regeln schützen. Genauer gesagt sollte es nur auf Anfragen von Cloudflare antworten. Sie können Firewallregeln erstellen, um nur Anfragen zu akzeptieren, die von . stammen Cloudflare zu Ihrem Re-Seed-Server-Port (z. B. 8443 in diesem Fall) und löschen Sie alle andere Verbindungen von Nicht-Cloudflare-IPs. Beachten Sie, dass die verwendeten IP-Adressen unten werden am 21. Februar 2019 aktualisiert. Die aktuellsten erhalten Sie unter Die Cloudflare IP-Bereiche von .

sudo iptables -A INPUT -p tcp --dport 8443 -s 173.245.48.0/20 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 103.21.244.0/22 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 103.22.200.0/22 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 103.31.4.0/22 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 141.101.64.0/18 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 108.162.192.0/18 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 190.93.240.0/20 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 188.114.96.0/20 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 197.234.240.0/22 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 198.41.128.0/17 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 162.158.0.0/15 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 104.16.0.0/13 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 104.24.0.0/14 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 172.64.0.0/13 -j ACCEPT;
sudo iptables -A INPUT -p tcp --dport 8443 -s 131.0.72.0/22 -j ACCEPT;
sudo ip6tables -A INPUT -p tcp --dport 8443 -s 2400:cb00::/32 -j ACCEPT;
sudo ip6tables -A INPUT -p tcp --dport 8443 -s 2606:4700::/32 -j ACCEPT;
sudo ip6tables -A INPUT -p tcp --dport 8443 -s 2803:f800::/32 -j ACCEPT;
sudo ip6tables -A INPUT -p tcp --dport 8443 -s 2405:b500::/32 -j ACCEPT;
sudo ip6tables -A INPUT -p tcp --dport 8443 -s 2405:8100::/32 -j ACCEPT;
sudo ip6tables -A INPUT -p tcp --dport 8443 -s 2a06:98c0::/29 -j ACCEPT;
sudo ip6tables -A INPUT -p tcp --dport 8443 -s 2c0f:f248::/32 -j ACCEPT;

Die obigen Befehle dienen dazu, Anfragen von allen IPv4 und IPv6 von Cloudflare zu akzeptieren Adressen. Die folgenden beiden Befehle müssen hinzugefügt werden nach den obigen zu alle Verbindungen von Nicht-Cloudflare-IPs trennen.

sudo iptables -A INPUT -p tcp --dport 8443 -j DROP;
sudo ip6tables -A INPUT -p tcp --dport 8443 -j DROP

So überprüfen Sie den aktuellen Status Ihrer IP-Tabellen:

sudo iptables -L;
sudo ip6tables -L

So exportieren Sie Regeln in eine Datei und laden sie nach jedem Neustart neu:

sudo iptables-save > /etc/iptables.up.rules.v4
sudo ip6tables-save > /etc/iptables.up.rules.v6

Dann füge diese Zeilen hinzu zu /etc/network/if-pre-up.d/iptables :

/usr/sbin/iptables-restore < /etc/iptables.up.rules.v4
/usr/sbin/ip6tables-restore < /etc/iptables.up.rules.v6

Ändern Sie abschließend die Datei so, dass sie ausführbar ist:

chmod +x /etc/network/if-pre-up.d/iptables

Bonus: Wenn Sie es vermasselt haben und Ihre iptables und ip6tables leeren wollten, Verwenden Sie diesen Befehl, um alle Regeln zu löschen. HINWEIS: Seien Sie vorsichtig, wenn Sie diese verwenden Befehle, da sie alle vorherigen Regeln entfernen, die Sie möglicherweise hatten.

sudo iptables -F INPUT; sudo ip6tables -F INPUT

4. Produktion

Nachdem Sie nun einen laufenden Re-Seed-Server hinter Cloudflare gesichert haben, können Sie Kontaktieren Sie den Re-Seed-Koordinator von I2P unter [email protected] oder [email protected] . Senden backup Informationen zu Ihrem Reseed-Server, wenn Sie ihn dabei haben möchten der Standardliste der Reseed-Server. Oder wenn du einfach nur einigen helfen willst Freunde, die aufgrund des nicht in das I2P-Netzwerk Re-Seed-Servers booten können blockieren , Gib ihnen einfach diese Informationen:

Domain/URL/Port Ihres Reseed-Servers
das su3-signing-Zertifikat, das die your_email_address.crt Datei
TLS-Zertifikat ( sofern selbstsigniert). Auch diese Informationen werden nicht benötigt wenn Sie diesem Tutorial folgen, weil Cloudflare sich bereits darum kümmert Zertifikatsvalidierung für uns, lesen mehr .

5. Schlussbemerkung

Wenn Sie beim Befolgen dieses Tutorials auf Probleme stoßen, wenden Sie sich bitte an Fleisch [email protected] oder DM mir auf Twitter @NP_tokumei , ICH werde mein Bestes geben, um so viel wie möglich zu helfen. Oder wenden Sie sich auch an backup über die oben angegebenen E-Mails oder stellen Sie Fragen im zzz-Forum auf I2P unter http://zzz.i 2p/topics/1893 oder http://zzz.i 2p/topics/1893.

Ich plane, den Reseed-Server ( https://reseed.np-tokumei.net:8443 ) die ich mit diesem Tutorial eingerichtet habe, so lange wie möglich für diese laufen zu lassen zensierte Benutzer, die keinen Zugriff auf die Standardliste haben, um dem beitreten zu können Netzwerk. Fühlen Sie sich also frei, die obige URL zu Ihren Re-Seed-URLs hinzuzufügen, nennen Sie my su3-signing-zertifikat als i2p.reseed_at_protonmail.com.crt , speichern Sie die folgenden TEXT an die Datei an und fügen Sie ihn hinzu ~/i2p/certificates/reseed/ Verzeichnis.