xah30
c6f0d7af9b
Three v2-hardening features in aura-cli, one pass:
- nat::NatGuard: RAII auto-config of IP forwarding + MASQUERADE on server
startup. Linux (sysctl ip_forward + iptables -t nat MASQUERADE) and
macOS (sysctl ip.forwarding + pfctl with /tmp/aura-nat.conf). dry_run
works on every platform (logs "would run: ..."). Reverts everything in
Drop. New [server.nat] {auto, egress_iface, dry_run}; absent section =
back-compat no-op. Removes v1's "manual NAT/forwarding" step.
- privdrop::drop_to_user: drop euid/gid after binding TUN + privileged
ports. Linux setresuid/setresgid, macOS setgid+setuid (permanent drop),
Windows no-op with warning. New [server] / [client] run_as = "..."
(optional). Skipped with info-log if already non-root.
- admin: split transport into cfg(unix) Unix-socket and cfg(windows) Tokio
named-pipe modules sharing one JSON-line serve/request flow over
AsyncRead/AsyncWrite. DEFAULT_SOCKET = "/tmp/aura-admin.sock" on Unix,
r"\\.\pipe\aura-admin" on Windows. Removes v1's "admin Unix-only".
Deps: nix 0.29 user feature under [target.'cfg(unix)'.dependencies] (cli-
local, not workspace). Workspace: 155 tests passed (+13), clippy -D warnings
clean, fmt clean.
Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>
Aura VPN
Aura — гибридный пост-квантовый VPN на Rust. Внутреннее рукопожатие гибридное и взаимно аутентифицированное (X25519 + ML-KEM-768 по FIPS 203 со взаимной X.509-проверкой), данные шифруются ChaCha20-Poly1305 с explicit-nonce, обфускация — паддинг датаграмм под «корзины» HTTPS-размеров.
На проводе по умолчанию идёт собственный UDP-транспорт Aura (без QUIC и без внешнего TLS на
основном пути). Если сеть режет UDP, клиент автоматически переключается на TCP/443 или QUIC
(мимикрия HTTP/3), последовательно пробуя транспорты из настраиваемого [transport] order. На
стороне клиента есть TUN-интерфейс и split-tunnel (longest-prefix matching по CIDR + правила по
доменам), которым можно управлять на лету через admin-сокет.
Крейты
| Крейт | Что внутри |
|---|---|
aura-crypto |
Гибридный KEM (X25519 + ML-KEM-768), HKDF, AEAD ChaCha20-Poly1305, helpers |
aura-pki |
Самоподписанный CA, выпуск server/client-сертификатов, проверка, плоский CRL |
aura-proto |
Рукопожатие Aura, фрейминг, датаграмный/потоковый кодек данных |
aura-transport |
Транспорты: собственный UDP, TCP/443, QUIC; единый dialer с handover |
aura-tunnel |
TUN, маршрутизатор, split-tunnel (CIDR + домены), DNS-резолв в host-маршруты |
aura-cli |
Бинарь aura: pki, server, client, route, status, bench-crypto |
Быстрый старт
Подъём сервера на удалённой машине и подключение клиента описаны в
docs/deployment.md. Это основная точка входа для развёртывания.
Документация
docs/deployment.md— руководство по развёртыванию (сервер + клиент)docs/protocol.md— wire-протокол: рукопожатие, кадры, выбор транспортаdocs/pki.md— модель PKI, командыaura pki, верификация и CRLdocs/split-tunnel.md— split-tunnel, статика и admin-сокет на летуdocs/sing-box.md— план интеграции с sing-box (для мобильных клиентов)