Mesh VPN ด้วย CJDNS

ทำงานมามีปัญหาหนึ่งกวนใจมานาน คือเวลา work from home แล้วพบว่าลืม push code จากเครื่องที่ออฟฟิศมา หลายๆ ทีถ้าจะเอาให้ได้งานก็จะเขียนใหม่ไปเลยแล้วไป reset ที่ทำงาน ซึ่งก็ไม่ productive เท่าไร

ทีนี้พอมี home server แล้วรู้สึกว่ามันดีมากๆ ที่เราสามารถ ssh กลับบ้านได้จากที่ทำงาน โดยเฉพาะเวลาที่ IoT หรือ Network ภายในบ้านมีปัญหาเราก็จะ troubleshoot ได้ทันทีโดยไม่ต้องพยายามบอกทางโทรศัพท์ เลยคิดว่าอยากจะ ssh กลับไปเครื่องที่ออฟฟิศบ้าง

ทีนี้จะทำยังไง?

สมัยก่อนย้ายตึก บริษัทมี Fix IP และมี dev server ภายใน ก็เคยคิดว่าจะ Jump ผ่านเครื่อง dev server แต่ก็ยังไม่เคยลองทำสักที ปัญหาหนึ่งคือ IP เครื่องเราไม่ fix และเราไม่อยากบอกรหัสให้คนอื่นเข้าไปอ่าน IP ออกมา

พอหลังจากบริษัทย้ายมา WeWork แล้วไม่น่าจะใช้วิธีนี้ได้อีก เพราะบริษัทไม่ได้ถือ Public IP ที่ออฟฟิศอีกแล้ว

ก็เลยคิดว่าต้องใช้ VPN จากบนเครื่อง วิธีง่ายที่สุดคือทำ OpenVPN server แล้วให้ทุกเครื่องต่อแบบ always on แต่ไม่ค่อยชอบ OpenVPN สักเท่าไร เลยอยากลองหาอะไรแปลกๆ ดู

Mesh VPN

ไอเดียของ VPN ที่เราอยากได้คือ VPN ที่ไม่มี server กลาง

VPN ทั่วไปจะเป็นแบบในภาพนี้

ก็คือจะมี VPN server เครื่องหนึ่ง จากนั้นทุกคนต่อเข้า Server นี้ ถ้าเครื่องนี้ตายก็คือจบ เป็น Single point of failure

ถ้าการใช้งานใน scale แบบในภาพ อาจจะเป็นไปได้ว่า Site 1, 2, 3 มี Public IP และสามารถต่อหากันตรงได้อยู่แล้ว แล้วทำไมจะต้องวิ่งผ่าน Server กลางด้วย? ส่วน Road warrior อาจจะมีสาขาที่ทำงานประจำอยู่แล้ว ก็ให้ต่อผ่าน server ของสาขาที่ประจำอยู่ด้วยโดยตรงก็ได้

บน Mesh VPN สมมุติว่าเราให้ Site 1, 2, 3 เชื่อมต่อ VPN หากันเองทั้งหมด และเชื่อมต่อหา server กลางด้วย ส่วน Road warrior ให้เชื่อมต่อกับสาขาตัวเองเท่านั้น และ Server กลาง

เมื่อทำ Topology นี้แล้วเราสามารถเชื่อมต่อหากันได้หมด เช่น Road warrior ที่ต่อกับ Site 1 สามารถคุยกับ Site 3 ได้

ที่พิเศษหน่อยคือ Mesh VPN จะอนุญาตให้เรา route package ผ่านเครื่องอื่นๆ ยังไงก็ได้ เช่น สมมุติว่า Internet ที่ Site 2 หลุดแต่ Road warrior ต่อเน็ตผ่านมือถือและยังสามารถเข้าถึง Site 2 server ได้อยู่

จากภาพนี้ ถ้า Site 1 ต้องการติดต่อ Site 2 ระบบก็ยังสามารถทำงานได้ตามปกติ โดย Route packet ผ่าน VPN server > Road warrior > Site 2

CJDNS

CJDNS เป็นโปรแกรม VPN ที่สามารถทำระบบ Mesh VPN ได้

สำหรับบน Mac ติดตั้งผ่าน homebrew ได้เลย ส่วนวิธีการติดตั้งบน Docker จะยุ่งยากเล็กน้อยแต่ก็ไม่ได้ยากเกินไป

  1. Clone Dockerfile มาจาก https://github.com/chpio/docker-cjdns
  2. Build image (docker build -t cjdns .)
  3. รันโดยใช้ docker-compose.yml ไฟล์นี้
version: '2.1'
services:
  cjdns:
    image: cjdns:latest
    restart: unless-stopped
    network_mode: host
    cap_add:
      - NET_ADMIN
    ports:
      - 10100:10100/udp
    volumes:
      - data:/data/cjdns
    devices:
      - /dev/net/tun
    sysctls:
      net.ipv6.conf.all.disable_ipv6: 0
volumes:
  data: {}

Note: Port ที่ใช้แต่ละเครื่องไม่เหมือนกัน โปรแกรมจะสุ่มให้เมื่อ Start ครั้งแรก

ที่จำเป็นต้อง build Docker เองเนื่องจากโปรแกรม compile ด้วย -march=native ซึ่งทำให้ CPU ที่มี instruction set ไม่ตรงกับเครื่องที่ build รันไม่ได้

เมื่อรันครั้งแรก โปรแกรมจะสร้าง configuration file มา ให้เราเพิ่มในส่วน interfaces.UDPInterface[0].connectTo ดังนี้

"ip:port": {
    "login": "default-login",
    "password": "",
    "publicKey": "",
    "peerName": "remote name (anything)"
}

โดยตรง ip:port ให้ระบุ Public IP ของเครื่องปลายทาง ส่วน port ให้ระบุตาม section interfaces.UDPInterface[0].bind ของเครื่องปลายทาง

ช่อง password ให้ระบุตาม authorizedPasswords[0].password ของเครื่องปลายทาง

ช่อง publicKey ให้ระบุ publicKey ของเครื่องปลายทาง ซึ่งจะปรากฏใน field publicKey บน config file ปลายทาง

เมื่อตั้งค่าเรียบร้อยแล้วให้ restart cjdns อีกครั้งหนึ่งแล้วทดลอง ping เครื่องปลายทางดู โดยจะทราบ IP ได้จากช่อง ipv6

$ ping -6 fc00:1234:5678:9012:3456:7890:1234:5678
PING fc00:1234:5678:9012:3456:7890:1234:5678 56 data bytes
64 bytes from fc00:1234:5678:9012:3456:7890:1234:5678: icmp_seq=1 ttl=42 time=4.44 ms
64 bytes from fc00:1234:5678:9012:3456:7890:1234:5678: icmp_seq=2 ttl=42 time=4.26 ms
64 bytes from fc00:1234:5678:9012:3456:7890:1234:5678: icmp_seq=3 ttl=42 time=3.96 ms
64 bytes from fc00:1234:5678:9012:3456:7890:1234:5678: icmp_seq=4 ttl=42 time=3.95 ms
64 bytes from fc00:1234:5678:9012:3456:7890:1234:5678: icmp_seq=5 ttl=42 time=4.38 ms
64 bytes from fc00:1234:5678:9012:3456:7890:1234:5678: icmp_seq=6 ttl=42 time=5.35 ms
^C
--- fc00:1234:5678:9012:3456:7890:1234:5678 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 13ms
rtt min/avg/max/mdev = 3.947/4.387/5.348/0.475 ms

ข้อน่าสังเกตคือ CJDNS ใช้ IPv6 เท่านั้น แถมเป็นเลขยาวๆ ที่ตั้งเองไม่ได้ด้วย

ที่เป็นแบบนี้เพราะ IPv6 ที่เห็นนั้นคือ SHA512 ของ Public Key ของเราแล้วตัดเหลือ 16 bytes แรก ทำให้เวลาให้ IP ใครไปเหมือนให้ key fingerprint ไปในตัว

ทั้งนี้ Public Key ที่ Valid สำหรับการใช้งานใน CJDNS จะขึ้นด้วย fc เสมอ (โปรแกรมจะ brute force ออกมาให้เวลาเปิดครั้งแรก) เนื่องจากบล็อค fc00::/7 เป็นช่วง Unique local address

เพื่อให้ใช้งานง่าย เราอาจจะเอา IP นี้ไปไว้ใน DNS (ใช้ Public DNS ทั่วๆ ไปก็ได้ที่รองรับ IPv6) จะได้ไม่ต้องจำ และคนข้างนอกที่ไม่ได้เชื่อมต่อเครือข่ายเรา ถึงจะทราบ IP แต่ก็ต่อไม่ได้อยู่ดี