Edgerouter | @sskaje

另类方法劫持手机流量

By @sskaje
Link: https://sskaje.me/2017/04/hijack-mobile-phone-traffic-using-router-and-charlesproxy/

实际上看，CharlesProxy并不能100%地“劫持”到手机的https流量，说“劫持”可能不太合适，因为CharlesProxy根本都不把这个443端口的请求在请求列表里显示出来。

这次玩的是GameLoft的Asphalt Xtreme，从google play store下载下来玩后，发现游戏的免费门槛太高了，随便玩玩不消费就进行不下去。
之前玩GameLoft的游戏改数据，都是iPhone下备份数据，修改存档，因为那些游戏有存档。但是这次主要用了Android，且没有root。试过iOS的版本，文档里没看到明文数据（txt/bin都没有)。本来想找个游戏修改器试试，后来没继续下去。

具体选型上，我是在EdgeRouter Lite上跑了个redsocks。因为是临时方案，所以不考虑使用EdgeOS/VyOS的配置语法，而直接使用了iptables。
协议分析和数据劫持，使用了CharlesProxy，因为CharlesProxy支持socks代理，还自带”Rewrite”功能，可以做简单字符串替换和正则替换。

环境：
路由 EdgeRouter Lite 固件1.9.1，IP 192.168.1.1，基于debian wheezy
Redsocks，0.4+dfsg-1，下载地址 https://packages.debian.org/wheezy/redsocks

电脑 MacBook Pro macOS 12 + CharlesProxy 4.x, IP 192.168.1.20，HTTP端口8888，Socks端口8889

手机 Mate 9，IP 192.168.1.40；

路由端

ERL是mips/mips64，从debian官网下载mips版的deb，直接 dpkg -i 安装即可。如果路由上没有libevent，还得下载装一下。
安装好redsocks后，修改 /etc/default/redsocks，修改START=yes。
直接基于 /etc/redsocks.conf 修改

redsocks {
        /* `local_ip' defaults to 127.0.0.1 for security reasons,
         * use 0.0.0.0 if you want to listen on every interface.
         * `local_*' are used as port to redirect to.
         */
        local_ip = 0.0.0.0;
        local_port = 12345;

        // `ip' and `port' are IP and tcp-port of proxy-server
        // You can also use hostname instead of IP, only one (random)
        // address of multihomed host will be used.
        ip = 192.168.1.20;
        port = 8889;


        // known types: socks4, socks5, http-connect, http-relay
        type = socks5;

        // login = "foobar";
        // password = "baz";
}

redsocks {

/* `local_ip' defaults to 127.0.0.1 for security reasons,

* use 0.0.0.0 if you want to listen on every interface.

* `local_*' are used as port to redirect to.

local_ip = 0.0.0.0;

local_port = 12345;

// `ip' and `port' are IP and tcp-port of proxy-server

// You can also use hostname instead of IP, only one (random)

// address of multihomed host will be used.

ip = 192.168.1.20;

port = 8889;

// known types: socks4, socks5, http-connect, http-relay

type = socks5;

// login = "foobar";

// password = "baz";

}

改local_ip的原因是因为我iptables偷懒了。反正用完就关，无所谓。

使用 /etc/init.d/redsocks start启动服务。

iptables
只劫持了来自 192.168.1.40 的tcp 443的流量，修改到了12345端口。

iptables -t nat -N REDSOCKS
iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.40 -p tcp --dport 443  -j REDSOCKS
iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 12345

iptables -t nat -N REDSOCKS

iptables -t nat -A PREROUTING -i eth0 -s 192.168.1.40 -p tcp --dport 443 -j REDSOCKS

iptables -t nat -A REDSOCKS -p tcp -j REDIRECT --to-ports 12345

电脑

电脑

开启CharlesProxy的Socks服务
Proxy菜单 -> Proxy Settings… -> Proxies
勾选“Enable SOCKS proxy”，Port“8889”，勾选“Enable HTTP proxying over SOCKS”和“Include default HTTP ports(80,443,8080,8443)”。

由于默认状态下，CharlesProxy列表里出现的都是IP，没有域名，所以简单粗暴地对所有的443端口开启SSL proxy。
Proxy菜单 -> SSL Proxy Settings… -> SSL Proxying
直接Add一个 Host=*，Port=443的项目，并启用。用完就关掉。

接下来就是Rewrite的了，在看到流量之前就不用考虑了。
工具在 Tools菜单里就能看到。

另类方法劫持手机流量 by @sskaje: https://sskaje.me/2017/04/hijack-mobile-phone-traffic-using-router-and-charlesproxy/

EdgeRouter Policy Based Routing Using DNSMASQ IPSET

By @sskaje
Link: https://sskaje.me/2017/04/edgerouter-policy-based-routing-dnsmasq-ipset/

之前用SNIProxy按域名区分流量，着实麻烦。尤其是后期发现路由表莫名其妙出问题。

EdgeRouter的Policy Based Routing(PBR)使用的是自带配置语法的firewall modify功能。
官方有两篇教程：
EdgeRouter – Policy-based routing for destination port
EdgeRouter – Policy-based routing (source address based)

第二篇文章顺带提了network-group。之前在配置VPN时，使用过network-group，还比较过使用firewall modify + network-group 与配置一堆interface-route的区别。

而，这里的network-group的实现，使用了netfilter的ipset。Man pages可以看这里，命令在edgerouter上也附带了。

dnsmasq支持 ‘–ipset‘ 参数，把对配置域名解析的IP存入到指定的ipset。具体细节可以看dnsmasq的文档。

dnsmasq配置的语法比较简单。

--ipset=/<domain>/[domain/]<ipset>[,<ipset>]

1	--ipset=/<domain>/[domain/]<ipset>[,<ipset>]

domain 部分参考 address 的语法。例如：

ipset=/.sskaje.me/MY_SET
ipset=/test.com/MY_SET

1 2	ipset=/.sskaje.me/MY_SET ipset=/test.com/MY_SET

配置好所有自己需要的域名，重启dnsmasq即可。

ipset本身支持timeout，但是edge os的network-group不支持，所以在配置dnsmasq之前，最好创建一个新的network-group。

假定新建的ipset名叫 MY_SET，edge router的主要相关配置如下：

set firewall group network-group MY_SET

set firewall modify AUTO_VPN rule 20 action modify
set firewall modify AUTO_VPN rule 20 destination group network-group MY_SET
set firewall modify AUTO_VPN rule 20 modify table 4
set firewall modify AUTO_VPN rule 20 protocol all

set firewall group network-group MY_SET

set firewall modify AUTO_VPN rule 20 action modify

set firewall modify AUTO_VPN rule 20 destination group network-group MY_SET

set firewall modify AUTO_VPN rule 20 modify table 4

set firewall modify AUTO_VPN rule 20 protocol all

其他诸如配置 static table, interface firewall 可以参考最前边的文档。

EdgeRouter Policy Based Routing Using DNSMASQ IPSET by @sskaje: https://sskaje.me/2017/04/edgerouter-policy-based-routing-dnsmasq-ipset/

Incoming search terms:

ubnt edge OS

SNIProxy 绑定设备后连接超时

By @sskaje
Link: https://sskaje.me/2017/02/sniproxy-bind-device-connection-timeout/

edgerouter lite

我之前是tun模式的openvpn site-to-site，网络拓扑很简单，local tun <-> remote tun，简单配个ip就行，edgerouter上直接使用interface-route 跳转到local tun就行了。

后来换用了softether，tap模式，于是需要自己配置IP和路由表。我简单地把firewall modify的地址组切到新的设备上，但是之前的 google dns 和 sniproxy 都保留在openvpn侧。但是最近openvpn被查的厉害，ssh也是被盯上了，所以不得不切换设备到 softether 的 tap 上。

listen 192.168.12.2:3543 {
    proto tls
    table https_hosts
    device tap_vbr
}

listen 192.168.12.2:3543 {

proto tls

table https_hosts

device tap_vbr

}

测试，发现连接超时。测试使用的域名是 download.oracle.com，解析的ip是 106.187.61.57。

路由上tcpdump

tcpdump -n -i tap_vbr

1	tcpdump -n -i tap_vbr

看到的请求却是：

14:22:04.471223 ARP, Request who-has 106.187.61.57 tell 192.168.99.50, length 28
14:22:05.471221 ARP, Request who-has 106.187.61.57 tell 192.168.99.50, length 28
14:22:06.475322 ARP, Request who-has 106.187.61.57 tell 192.168.99.50, length 28
...

14:22:04.471223 ARP, Request who-has 106.187.61.57 tell 192.168.99.50, length 28

14:22:05.471221 ARP, Request who-has 106.187.61.57 tell 192.168.99.50, length 28

14:22:06.475322 ARP, Request who-has 106.187.61.57 tell 192.168.99.50, length 28

...

所以。。。加路由吧。

因为公司是固定IP，所以之前配的是 system gateway-address。
这个时候直接配静态路由会报错：

root@ubnt# set protocols static route 0.0.0.0/0 next-hop 192.168.99.1 distance 100
Error: can not combine system gateway and static default route

1 2	root@ubnt# set protocols static route 0.0.0.0/0 next-hop 192.168.99.1 distance 100 Error: can not combine system gateway and static default route

先删后加

root@ubnt# delete system gateway-address 
[edit]
root@ubnt# commit
[edit]
root@ubnt# set protocols static route 0.0.0.0/0 next-hop my.static.gateway.address distance 10
[edit]
root@ubnt# set protocols static route 0.0.0.0/0 next-hop 192.168.99.1 distance 100
[edit]
root@uebnt# commit
[edit]
root@ubnt# save 
Saving configuration to '/config/config.boot'...
Done

root@ubnt# delete system gateway-address

[edit]

root@ubnt# commit

[edit]

root@ubnt# set protocols static route 0.0.0.0/0 next-hop my.static.gateway.address distance 10

[edit]

root@ubnt# set protocols static route 0.0.0.0/0 next-hop 192.168.99.1 distance 100

[edit]

root@uebnt# commit

[edit]

root@ubnt# save

Saving configuration to '/config/config.boot'...

Done

注意一下，delete执行完后需要先commit，否则还会报错。

验证一下

root@ubnt# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         my.st.gw.addr   0.0.0.0         UG        0 0          0 eth1
0.0.0.0         192.168.99.1    0.0.0.0         UG        0 0          0 tap_vbr

root@ubnt# netstat -nr

Kernel IP routing table

Destination Gateway Genmask Flags MSS Window irtt Iface

0.0.0.0 my.st.gw.addr 0.0.0.0 UG 0 0 0 eth1

0.0.0.0 192.168.99.1 0.0.0.0 UG 0 0 0 tap_vbr

如果执行命令前会纠结是否生效，简单 route add 测试一下即可。无比保证vpn的metric比默认网关的大。

另，interface-route + route 的混合模式没测试。

SNIProxy 绑定设备后连接超时 by @sskaje: https://sskaje.me/2017/02/sniproxy-bind-device-connection-timeout/

EdgeRouter PPTP/L2TP Firewall Modify

By @sskaje
Link: https://sskaje.me/2017/02/edgerouter-pptpl2tp-firewall-modify/

root@ubnt:/home/ubnt# more /config/scripts/post-config.d/auto_vpn_fw_modify 
#!/bin/bash

test -z "$(iptables -t mangle -L VYATTA_FW_IN_HOOK -v |grep 'l2tp+')" && iptables -t mangle -A VYATTA_FW_IN_HOOK -i l2tp+ -j AUTO_VPN
test -z "$(iptables -t mangle -L VYATTA_FW_IN_HOOK -v |grep 'pptp+')" && iptables -t mangle -A VYATTA_FW_IN_HOOK -i pptp+ -j AUTO_VPN

root@ubnt:/home/ubnt# more /config/scripts/post-config.d/auto_vpn_fw_modify

#!/bin/bash

test -z "$(iptables -t mangle -L VYATTA_FW_IN_HOOK -v |grep 'l2tp+')" && iptables -t mangle -A VYATTA_FW_IN_HOOK -i l2tp+ -j AUTO_VPN

test -z "$(iptables -t mangle -L VYATTA_FW_IN_HOOK -v |grep 'pptp+')" && iptables -t mangle -A VYATTA_FW_IN_HOOK -i pptp+ -j AUTO_VPN

AUTO_VPN 是我的规则名称
/config/scripts/post-config.d/auto_vpn_fw_modify 需要加执行权限

EdgeRouter PPTP/L2TP Firewall Modify by @sskaje: https://sskaje.me/2017/02/edgerouter-pptpl2tp-firewall-modify/

基于SNIProxy的路由端网络流量定制分发方案

By @sskaje
Link: https://sskaje.me/2016/11/%e5%9f%ba%e4%ba%8esniproxy%e7%9a%84%e8%b7%af%e7%94%b1%e7%ab%af%e7%bd%91%e7%bb%9c%e6%b5%81%e9%87%8f%e5%ae%9a%e5%88%b6%e5%88%86%e5%8f%91%e6%96%b9%e6%a1%88/

标题感觉很高大上，其实写得乱七八糟。

前序文章：
SNIProxy Bind Outgoing Interface
Build SNIProxy Debian Package for EdgeRouter
Ubnt EdgeRouter Lite 和 EdgeRouter X 上安装使用SNIProxy

不急，上边三篇可能会在本文内提及。

首先，sniproxy不解释了，但是如标题所属，sniproxy的版本不支持我要的功能，所以我就fork然后改了。
具体思路参考上述第一个链接。

接下来，直接进入正题。

按之前的玩法，我使用路由表来控制流量。这是一个很典型，也很正确的做法；但是也是一个很不好用的玩法。
参考文章：Set up OpenVPN Site-to-Site on UBNT EdgeRouter Lite, EdgeOS PPTP VPN客户端配置
PS：我维护了一份自己的路由表，地址在 https://ip.rst.im/blocks/sskaje

为了让定制化程度高一些，我配了一个Socks代理，实际上是在vpn对端配置的，本地路由做了个DNAT，转发过去了。这样我就可以用firefox＋foxyproxy实现本地定制化规则。
参考文章：UBNT VPN + Socks5 代理和 Set up dante-server on Ubuntu

后来考虑到上述用起来麻烦，又趁着回老家的时候，在家里的ac68u merlin上实践了下WPAD，不过没有在自己家里的edgerouter上搞。
参考文章：Setup WPAD on Asus Merlin

此外，还试了一下基于源IP的firewall modify。印象中没单写blog，但是提过和用路由表的方案的优劣。
基本思路是：定义一个源地址的firewall network group；配置protocol static table；在LAN口的防火墙规则里增加modify，根据源地址组强行修改路由表。

从实际经验看，路由表不是最佳选择。
好处不必提，稳定，稳定，稳定。
坏处是，启动、更新慢慢慢。

而且现阶段，大量网站都用了诸如 cloudflare, amazon cloudfront，akamai，fastly之类的CDN服务，单纯按网段切路由，很不现实也很不灵活。
所以趁着需求，改造了一下sniproxy。
用的时间不长，所以暂时没法评估稳定性。

首先，软件部署在路由上。edgerouter lite 和 edgerouter x的包都打好了，1.9.0的固件可以直接装，下载地址在前边三个链接里有。

为了达到我要的目的，条件如下：
1 需要有本地DNS服务器（我的路由上有dnsmasq）；
2 需要有稳定的VPN设备（我的是openvpn site2site，设备名vtun0）。
我的路由LAN IP是 192.168.32.1/24，设备eth0。

首先，为当前路由添加一个新的IP（我的是192.168.32.2/24），与默认IP同网段。
这里，命令行操作的时候务必别写错了设备名。其他没什么要注意的。
大致命令如下：

configure 
set set interfaces ethernet eth0 address 192.168.32.2/24

1 2	configure set set interfaces ethernet eth0 address 192.168.32.2/24

其次，配置好dnsmasq，将需要劫持的域名解析到 192.168.32.2。解析的配置参考下列例子

# 只解析 test.sskaje.me
address=/test.sskaje.me/192.168.32.2
# 解析 sskaje.me 和 *.sskaje.me
address=/.sskaje.me/192.168.32.2

# 只解析 test.sskaje.me

address=/test.sskaje.me/192.168.32.2

# 解析 sskaje.me 和 *.sskaje.me

address=/.sskaje.me/192.168.32.2

实际的经验是，不要用 set service dns forwarding options 来设置dnsmasq，自己维护一个配置文件，放在 /config/ 下，link到/etc/dnsmasq.d。

第三步，安装配置我的版本的sniproxy，假定监听端口分别问 192.168.32.2:3080 和 192.168.32.2:3443，分别用于接收 80端口和443端口的请求。
安装步骤参考最前边的链接。
配置文件参考

root@ubnt:/tmp# more /config/etc/sniproxy.conf
#user daemon
user root

pidfile /run/sniproxy.pid
resolver {
    nameserver 8.8.8.8
    mode ipv4_first
}

error_log {
    filename /tmp/sniproxy.log
    priority error
}
access_log {
    filename /tmp/sniproxy-access.log
}

listen 192.168.32.2:3080 {
    proto http
    table http_hosts
    #source 10.99.99.1
    device vtun0
}

listen 192.168.32.2:3443 {
    proto tls
    table https_hosts
    #source 10.99.99.1
    device vtun1
}

table http_hosts {
	.* *:80
}

table https_hosts {
	.* *:443
}

table {
    .*  *
}

root@ubnt:/tmp# more /config/etc/sniproxy.conf

#user daemon

user root

pidfile /run/sniproxy.pid

resolver {

nameserver 8.8.8.8

mode ipv4_first

}

error_log {

filename /tmp/sniproxy.log

priority error

}

access_log {

filename /tmp/sniproxy-access.log

}

listen 192.168.32.2:3080 {

proto http

table http_hosts

#source 10.99.99.1

device vtun0

}

listen 192.168.32.2:3443 {

proto tls

table https_hosts

#source 10.99.99.1

device vtun1

}

table http_hosts {

.* *:80

}

table https_hosts {

.* *:443

}

table {

.* *

}

最后，配置DNAT，将192.168.32.2:80和192.168.32.2:443分别转到3080和3443，防止80和443的请求到达路由的lighttpd。

show service nat
...
 rule 4100 {
     destination {
         address 192.168.32.2
         port 80
     }
     inbound-interface eth0
     inside-address {
         address 192.168.32.2
         port 3080
     }
     protocol tcp_udp
     type destination
 }
 rule 4101 {
     destination {
         address 192.168.32.2
         port 443
     }
     inbound-interface eth0
     inside-address {
         address 192.168.32.2
         port 3443
     }
     protocol tcp_udp
     type destination
 }

show service nat

...

rule 4100 {

destination {

address 192.168.32.2

port 80

}

inbound-interface eth0

inside-address {

address 192.168.32.2

port 3080

}

protocol tcp_udp

type destination

}

rule 4101 {

destination {

address 192.168.32.2

port 443

}

inbound-interface eth0

inside-address {

address 192.168.32.2

port 3443

}

protocol tcp_udp

type destination

}

基于SNIProxy的路由端网络流量定制分发方案 by @sskaje: https://sskaje.me/2016/11/%e5%9f%ba%e4%ba%8esniproxy%e7%9a%84%e8%b7%af%e7%94%b1%e7%ab%af%e7%bd%91%e7%bb%9c%e6%b5%81%e9%87%8f%e5%ae%9a%e5%88%b6%e5%88%86%e5%8f%91%e6%96%b9%e6%a1%88/