ProHoster > blog > Gweinyddiaeth > Sefydlu BGP i osgoi blocio, neu "Sut wnes i roi'r gorau i fod ofn a syrthio mewn cariad ag RKN"

Sefydlu BGP i osgoi blocio, neu "Sut wnes i roi'r gorau i fod ofn a syrthio mewn cariad ag RKN"

Wel, iawn, mae “syrthiodd mewn cariad” yn or-ddweud. Yn hytrach "gallai gydfodoli â".

Fel y gwyddoch i gyd, ers Ebrill 16, 2018, mae Roskomnadzor wedi bod yn rhwystro mynediad at adnoddau ar y rhwydwaith gyda strôc eang iawn, gan ychwanegu at y Gofrestrfa Unedig o enwau parth, awgrymiadau at dudalennau gwefannau ar y Rhyngrwyd a chyfeiriadau rhwydwaith sy'n caniatáu ichi nodi safleoedd ar y Rhyngrwyd, sy'n cynnwys gwybodaeth, y gwaherddir ei lledaenu yn Ffederasiwn Rwsia" (yn y testun - dim ond cofrestr) /10 weithiau. O ganlyniad, mae dinasyddion Ffederasiwn Rwsia a busnesau yn dioddef, ar ôl colli mynediad at yr adnoddau cwbl gyfreithiol sydd eu hangen arnynt.

Ar ôl i mi ddweud yn y sylwadau i un o'r erthyglau ar Habré fy mod yn barod i helpu'r dioddefwyr i sefydlu cynllun ffordd osgoi, cysylltodd sawl person â mi yn gofyn am gymorth o'r fath. Pan oedd popeth yn gweithio iddynt, argymhellodd un ohonynt ddisgrifio'r dechneg mewn erthygl. Wrth fyfyrio, penderfynais dorri fy nhawelwch ar y safle a cheisio am unwaith i ysgrifennu rhywbeth canolradd rhwng prosiect a phost ar Facebook, h.y. habrapost. Mae'r canlyniad o'ch blaen.

Ymwadiad

Gan nad yw'n gyfreithiol iawn cyhoeddi ffyrdd o osgoi rhwystro mynediad at wybodaeth a waherddir ar diriogaeth Ffederasiwn Rwsia, pwrpas yr erthygl hon fydd siarad am ddull sy'n eich galluogi i awtomeiddio mynediad at adnoddau a ganiateir ar y diriogaeth. Ffederasiwn Rwsia, ond oherwydd gweithredoedd rhywun anhygyrch yn uniongyrchol trwy eich darparwr. Ac mae mynediad at adnoddau eraill, a geir o ganlyniad i gamau gweithredu o'r erthygl, yn sgîl-effaith anffodus ac nid dyna ddiben yr erthygl o bell ffordd.

Hefyd, gan fy mod yn bensaer rhwydwaith yn bennaf yn ôl proffesiwn, nid gyrfa a llwybr bywyd, rhaglennu a Linux yw fy nghryfderau. Felly, wrth gwrs, gellir ysgrifennu sgriptiau yn well, gellir gweithio allan materion diogelwch yn VPS yn ddyfnach, ac ati. Derbynnir eich awgrymiadau yn ddiolchgar, os ydynt yn ddigon manwl - byddaf yn hapus i'w hychwanegu at destun yr erthygl.

TL; DR

Rydym yn awtomeiddio mynediad i adnoddau trwy eich twnnel presennol gan ddefnyddio copi o'r gofrestrfa a'r protocol BGP. Y nod yw cael gwared ar yr holl draffig sydd wedi'i gyfeirio at adnoddau sydd wedi'u blocio i'r twnnel. Esboniad lleiaf, cyfarwyddiadau cam wrth gam yn bennaf.

Beth sydd ei angen arnoch chi ar gyfer hyn

Yn anffodus, nid yw'r swydd hon at ddant pawb. Er mwyn defnyddio'r dechneg hon, bydd angen i chi lunio ychydig o elfennau:

  1. Rhaid bod gennych weinydd linux rhywle y tu allan i'r maes blocio. Neu o leiaf yr awydd i gychwyn gweinydd o'r fath - gan ei fod bellach yn costio o $ 9 / blwyddyn, ac o bosibl yn llai. Mae'r dull hefyd yn addas os oes gennych dwnnel VPN ar wahân, yna gellir lleoli'r gweinydd y tu mewn i'r maes bloc.
  2. Rhaid i'ch llwybrydd fod yn ddigon craff i allu
    • unrhyw gleient VPN rydych chi'n ei hoffi (mae'n well gen i OpenVPN, ond gall fod yn PPTP, L2TP, GRE + IPSec, ac unrhyw opsiwn arall sy'n creu rhyngwyneb twnnel);
    • Protocol BGPv4. Sy'n golygu ar gyfer SOHO gall fod yn Mikrotik neu unrhyw lwybrydd gyda OpenWRT / LEDE / firmware arfer tebyg sy'n eich galluogi i osod Quagga neu Bird. Nid yw defnyddio llwybrydd PC hefyd wedi'i wahardd. Ar gyfer menter, gweler y ddogfennaeth ar gyfer eich llwybrydd ffin ar gyfer cymorth BGP.
  3. Dylech fod yn gyfarwydd â defnyddio Linux a thechnolegau rhwydwaith, gan gynnwys BGP. Neu o leiaf eisiau cael y syniad hwnnw. Gan nad wyf yn barod i gofleidio'r anferthedd y tro hwn, bydd yn rhaid ichi astudio rhai pwyntiau sy'n annealladwy i chi ar eich pen eich hun. Fodd bynnag, byddaf, wrth gwrs, yn ateb cwestiynau penodol yn y sylwadau ac mae’n annhebygol mai fi yw’r unig un sy’n ateb, felly mae croeso i chi ofyn.

Yr hyn a ddefnyddir yn yr enghraifft

  • Copi o'r gofrestr https://github.com/zapret-info/z-i 
  • VPS - Ubuntu 16.04
  • Gwasanaeth llwybro - aderyn 1.6.3   
  • Llwybrydd - Mikrotik hAP c
  • Ffolderi gweithio - gan ein bod yn gweithio fel gwraidd, bydd y rhan fwyaf o bopeth yn cael ei roi yn y ffolder cartref gwraidd. Yn y drefn honno:
    • /root/blacklist - ffolder gweithio gyda sgript llunio
    • /root/zi - copi o'r gofrestrfa o github
    • /etc/bird - ffolder gosodiadau gwasanaeth adar safonol
  • Rydym yn derbyn 194.165.22.146, ASN 64998 fel cyfeiriad IP allanol y VPS gyda'r gweinydd llwybro a'r pwynt terfynu twnnel; cyfeiriad IP allanol y llwybrydd - 81.177.103.94, ASN 64999
  • Y cyfeiriadau IP y tu mewn i'r twnnel yw 172.30.1.1 a 172.30.1.2, yn y drefn honno.

Sefydlu BGP i osgoi blocio, neu "Sut wnes i roi'r gorau i fod ofn a syrthio mewn cariad ag RKN"

Wrth gwrs, gallwch chi ddefnyddio unrhyw lwybryddion, systemau gweithredu a chynhyrchion meddalwedd eraill, gan addasu'r datrysiad i gyd-fynd â'u rhesymeg.

Yn fyr - rhesymeg y penderfyniad

  1. camau gweithredu paratoadol
    1. Cael VPS
    2. Rydyn ni'n codi'r twnnel o'r llwybrydd i'r VPS
  2. Cael a diweddaru copi o'r gofrestr yn rheolaidd
  3. Gosod a ffurfweddu'r gwasanaeth llwybro
  4. Creu rhestr o lwybrau sefydlog ar gyfer y gwasanaeth llwybro yn seiliedig ar y gofrestrfa
  5. Rydyn ni'n cysylltu'r llwybrydd â'r gwasanaeth ac yn sefydlu anfon yr holl draffig trwy'r twnnel.

Y penderfyniad gwirioneddol

camau gweithredu paratoadol

Yn ehangder y rhwydwaith mae yna lawer o wasanaethau sy'n darparu VPS am arian hynod resymol. Hyd yn hyn, rwyf wedi dod o hyd i'r opsiwn a'i ddefnyddio am $9 y flwyddyn, ond hyd yn oed os nad ydych chi'n trafferthu mewn gwirionedd, mae yna lawer o opsiynau ar gyfer 1E / mis ar bob cornel. Mae'r cwestiwn o ddewis VPS ymhell y tu hwnt i gwmpas yr erthygl hon, felly os nad yw rhywbeth yn glir i rywun am hyn, gofynnwch yn y sylwadau.

Os ydych chi'n defnyddio VPS nid yn unig ar gyfer y gwasanaeth llwybro, ond hefyd ar gyfer terfynu twnnel arno, mae angen i chi godi'r twnnel hwn a, bron yn ddiamwys, ffurfweddu NAT ar ei gyfer. Mae yna nifer fawr o gyfarwyddiadau ar y rhwydwaith ar gyfer y camau hyn, ni fyddaf yn eu hailadrodd yma. Y prif ofyniad ar gyfer twnnel o'r fath yw bod yn rhaid iddo greu rhyngwyneb ar wahân ar eich llwybrydd sy'n cefnogi'r twnnel tuag at y VPS. Mae'r rhan fwyaf o dechnolegau VPN a ddefnyddir yn bodloni'r gofyniad hwn - er enghraifft, mae OpenVPN yn y modd tiwn yn iawn.

Mynnwch gopi o'r gofrestrfa

Fel y dywedodd Jabrayil, "Bydd yr hwn sy'n ein rhwystro ni yn ein helpu ni." Gan fod yr RKN yn creu cofrestrfa o adnoddau gwaharddedig, byddai'n bechod peidio â defnyddio'r gofrestrfa hon i ddatrys ein problem. Byddwn yn derbyn copi o'r gofrestr gan github.

Rydyn ni'n mynd at eich gweinydd Linux, yn disgyn i gyd-destun root'a (sudo su-) a gosod git os nad yw wedi'i osod yn barod.

apt install git

Ewch i'ch cyfeiriadur cartref a thynnwch gopi o'r gofrestrfa.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i 

Sefydlu diweddariad cron (mae gen i bob 20 munud, ond gallwch chi ddewis unrhyw egwyl sydd o ddiddordeb i chi). I wneud hyn, rydym yn rhedeg crontab -e ac ychwanegwch y llinell ganlynol ato:

*/20 * * * * cd ~/z-i && git pull && git gc

Rydym yn cysylltu bachyn a fydd yn creu ffeiliau ar gyfer y gwasanaeth llwybro ar ôl diweddaru'r gofrestrfa. I wneud hyn, rydym yn creu ffeil /root/zi/.git/bachau/post-merge gyda'r cynnwys canlynol:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

a pheidiwch ag anghofio ei wneud yn weithredadwy

chmod +x /root/z-i/.git/hooks/post-merge

Bydd y sgript makebgp y mae'r bachyn yn cyfeirio ati yn cael ei chreu yn nes ymlaen.

Gosod a ffurfweddu'r gwasanaeth llwybro

Gosod aderyn. Yn anffodus, mae'r fersiwn a gyhoeddir ar hyn o bryd o adar yn ystorfeydd Ubuntu yn debyg o ran ffresni i feces Archeopteryx, felly mae angen inni ychwanegu PPA swyddogol y datblygwyr meddalwedd i'r system yn gyntaf.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

Ar ôl hynny, rydym yn analluogi adar ar gyfer IPv6 ar unwaith - ni fydd ei angen arnom yn y gosodiad hwn.

systemctl stop bird6
systemctl disable bird6

Isod mae ffeil ffurfweddu finimalaidd ar gyfer y gwasanaeth adar (/etc/bird/bird.conf), sy'n ddigon i ni (ac unwaith eto fe'ch atgoffaf nad oes neb yn gwahardd datblygu a thiwnio'r syniad i weddu i'ch anghenion chi)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

id llwybrydd - dynodwr llwybrydd, yn edrych fel cyfeiriad IPv4 yn weledol, ond nid yw. Yn ein hachos ni, gall fod yn unrhyw rif 32-bit yn y fformat cyfeiriad IPv4, ond mae'n arfer da nodi cyfeiriad IPv4 eich dyfais (yn yr achos hwn, VPS) yno.

protocol uniongyrchol sy'n pennu pa ryngwynebau fydd yn gweithio gyda'r broses llwybro. Mae'r enghraifft yn rhoi cwpl o enghreifftiau o enwau, gallwch ychwanegu mwy. Gallwch hefyd ddileu'r llinell yn syml, ac os felly bydd y gweinydd yn gwrando ar yr holl ryngwynebau sydd ar gael gyda chyfeiriad IPv4.

protocol static yw ein hud sy'n llwytho rhestrau o rhagddodiaid a chyfeiriadau ip (sydd, wrth gwrs, yn rhagddodiaid /32) o ffeiliau i'w cyhoeddi'n ddiweddarach. Bydd o ble y daw'r rhestrau hyn yn cael eu trafod isod. Sylwch fod llwytho cyfeiriadau ip yn cael ei wneud sylwadau yn ddiofyn, y rheswm am hyn yw'r swm mawr o uwchlwytho. Er mwyn cymharu, ar adeg ysgrifennu'r erthygl, mae 78 llinell yn y rhestr o rhagddodiaid, a 85898 yn y rhestr o gyfeiriadau ip. Rwy'n argymell yn gryf eich bod yn dechrau a dadfygio yn unig ar y rhestr o rhagddodiaid, a phenderfynu ai peidio i alluogi llwytho ip yn y dyfodol ar ôl arbrofi gyda'ch llwybrydd. Nid yw pob un ohonynt yn gallu treulio 85 mil o gofnodion yn y tabl llwybro yn hawdd.

protocol bgp mewn gwirionedd yn sefydlu bgp sbecian gyda'ch llwybrydd. ip-cyfeiriad yw cyfeiriad rhyngwyneb allanol y llwybrydd (neu gyfeiriad rhyngwyneb y twnnel o ochr y llwybrydd), 64998 a 64999 yw niferoedd y systemau ymreolaethol. Yn yr achos hwn, gellir eu neilltuo ar ffurf unrhyw rifau 16-did, ond mae'n arfer da defnyddio rhifau UG o'r ystod breifat a ddiffinnir gan RFC6996 - 64512-65534 yn gynwysedig (mae fformat ASN 32-bit, ond yn ein hachos ni mae hyn yn bendant yn ormod). Mae'r ffurfwedd a ddisgrifir yn defnyddio sbecian eBGP, lle mae'n rhaid i rifau system ymreolaethol y gwasanaeth llwybro a'r llwybrydd fod yn wahanol.

Fel y gallwch weld, mae angen i'r gwasanaeth wybod cyfeiriad IP y llwybrydd, felly os oes gennych gyfeiriad preifat deinamig neu an-llwybradwy (RFC1918) neu a rennir (RFC6598), nid oes gennych unrhyw opsiwn i godi golwg ar y rhyngwyneb allanol, ond bydd y gwasanaeth yn dal i weithio y tu mewn i'r twnnel.

Mae hefyd yn eithaf tryloyw y gallwch chi ddarparu llwybrau o un gwasanaeth i sawl llwybrydd gwahanol - dim ond dyblygu'r gosodiadau ar eu cyfer trwy gopïo'r adran protocol bgp gyda newid cyfeiriad IP y cymydog. Dyna pam mae'r enghraifft yn dangos y gosodiadau ar gyfer edrych y tu allan i'r twnnel fel y rhai mwyaf cyffredinol. Nid yw'n anodd eu tynnu i mewn i'r twnnel trwy newid y cyfeiriadau IP yn y gosodiadau yn unol â hynny.

Prosesu'r Gofrestrfa ar gyfer y Gwasanaeth Llwybro

Nawr mae angen i ni, mewn gwirionedd, greu rhestrau o rhagddodiaid a chyfeiriadau ip, a grybwyllir yn y cam blaenorol yn y protocol statig. I wneud hyn, rydym yn cymryd ffeil y gofrestrfa ac yn gwneud y ffeiliau sydd eu hangen arnom allan ohoni gyda'r sgript ganlynol, wedi'i lleoli ynddi /root/rhestr ddu/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

Peidiwch ag anghofio ei wneud yn weithredadwy

chmod +x /root/blacklist/makebgp

Nawr gallwch chi ei redeg â llaw ac arsylwi ymddangosiad ffeiliau yn /etc/bird.

Yn fwyaf tebygol, ar hyn o bryd nid yw aderyn yn gweithio i chi, oherwydd yn y cam blaenorol fe wnaethoch chi awgrymu ei fod yn chwilio am ffeiliau nad oeddent yn bodoli eto. Felly, rydym yn ei lansio ac yn rheoli ei fod yn dechrau:

systemctl start bird
birdc show route

Dylai allbwn yr ail orchymyn ddangos tua 80 o gofnodion (mae hyn ar hyn o bryd, a phan fyddwch chi'n ei osod, bydd popeth yn dibynnu ar frwdfrydedd yr ILV wrth rwystro rhwydweithiau) fel hyn:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

Tîm

birdc show protocol

yn dangos statws y protocolau o fewn y gwasanaeth. Hyd nes i chi ffurfweddu'r llwybrydd (gweler y paragraff nesaf), bydd protocol OurRouter yn y cyflwr cychwyn (cyfnodau Cyswllt neu Actif), ac ar ôl cysylltiad llwyddiannus, bydd yn mynd i'r cyflwr i fyny (cyfnod sefydledig). Er enghraifft, ar fy system, mae allbwn y gorchymyn hwn yn edrych fel hyn:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

Cysylltu llwybrydd

Mae'n debyg bod pawb eisoes wedi blino darllen y lliain traed hwn, ond cymerwch galon - mae'r diwedd yn agos. Ar ben hynny, yn yr adran hon ni fyddaf yn gallu rhoi cyfarwyddiadau cam wrth gam - bydd yn wahanol i bob gwneuthurwr.

Fodd bynnag, gallaf ddangos cwpl o enghreifftiau ichi. Y prif resymeg yw codi BGP sbecian ac atodi nexthop i bob rhagddodiad a dderbyniwyd, gan bwyntio at ein twnnel (os oes angen i chi allbynnu traffig drwy'r rhyngwyneb p2p) neu nexthop cyfeiriad ip os yw'r traffig yn mynd i ether-rwyd).

Er enghraifft, ar Mikrotik yn RouterOS, caiff hyn ei ddatrys fel a ganlyn

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

ac yn Cisco IOS - fel hyn

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

Os bydd yr un twnnel yn cael ei ddefnyddio ar gyfer sbecian BGP ac ar gyfer trosglwyddo traffig defnyddiol, nid oes angen gosod nexthop, caiff ei osod yn gywir trwy'r protocol. Ond os ydych chi'n ei osod â llaw, ni fydd yn gwaethygu chwaith.

Ar lwyfannau eraill, bydd yn rhaid i chi ddarganfod y cyfluniad eich hun, ond os oes gennych unrhyw anawsterau, ysgrifennwch y sylwadau, byddaf yn ceisio helpu.

Ar ôl i'ch sesiwn BGP godi, mae llwybrau i rwydweithiau mawr wedi cyrraedd ac wedi'u gosod yn y bwrdd, mae traffig i'r cyfeiriadau oddi wrthynt wedi mynd ac mae hapusrwydd yn agos, gallwch ddychwelyd i'r gwasanaeth adar a cheisio dadwneud y cofnod yno sy'n cysylltu'r rhestr o gyfeiriadau ip, gweithredu ar ôl hynny

systemctl reload bird

a gweld sut y trosglwyddodd eich llwybrydd y llwybrau 85 mil hyn. Paratowch i'w ddiffodd a meddwl beth i'w wneud ag ef 🙂

Yn gyfan gwbl

Yn ddamcaniaethol yn unig, ar ôl cyflawni'r camau uchod, mae gennych wasanaeth sy'n ailgyfeirio traffig yn awtomatig i gyfeiriadau IP a waharddwyd yn Ffederasiwn Rwsia heibio'r system hidlo.

Wrth gwrs, gellir ei wella. Er enghraifft, mae'n ddigon hawdd crynhoi rhestr o gyfeiriadau ip trwy ddatrysiadau perl neu python. Mae sgript perl syml yn gwneud hyn gyda Net ::CIDR::Lite yn troi 85 mil o rhagddodiaid yn 60 (nid mil), ond yn naturiol mae'n cwmpasu ystod llawer mwy o gyfeiriadau nag sy'n cael ei rwystro.

Gan fod y gwasanaeth yn gweithredu ar drydedd lefel y model ISO / OSI, ni fydd yn eich arbed rhag blocio gwefan / tudalen os na fydd yn datrys i'r cyfeiriad a gofnodwyd yn y gofrestrfa. Ond ynghyd â'r gofrestrfa o github, mae'r ffeil nxdomain.txt yn cyrraedd, sydd ag ychydig o strôc o'r sgript yn hawdd yn troi'n ffynhonnell cyfeiriadau ar gyfer, er enghraifft, yr ategyn SwitchyOmega yn Chrome.

Dylid nodi hefyd bod angen miniogi ychwanegol ar yr ateb os nad ydych chi'n ddefnyddiwr Rhyngrwyd yn unig, ond hefyd yn cyhoeddi rhai adnoddau gennych chi'ch hun (er enghraifft, mae gwefan neu weinydd post yn rhedeg ar y cysylltiad hwn). Trwy'r llwybrydd, mae angen i chi rwymo traffig sy'n mynd allan o'r gwasanaeth hwn i'ch cyfeiriad cyhoeddus yn galed, fel arall byddwch yn colli cysylltedd â'r adnoddau hynny sydd wedi'u cynnwys yn y rhestr o rhagddodiaid a dderbynnir gan y llwybrydd.

Os oes gennych unrhyw gwestiynau - gofynnwch, yn barod i ateb.

UPD. Diolch llynges и TerAnYu ar gyfer opsiynau ar gyfer git i leihau nifer y llwytho i lawr.

UPD2. Cydweithwyr, mae'n ymddangos fy mod wedi gwneud camgymeriad trwy beidio ag ychwanegu cyfarwyddiadau ar gyfer sefydlu twnnel rhwng y VPS a'r llwybrydd i'r erthygl. Achosir llawer o gwestiynau gan hyn.
Rhag ofn, nodaf eto - rhagdybir, cyn dechrau'r camau yn y canllaw hwn, eich bod eisoes wedi ffurfweddu'r twnnel VPN i'r cyfeiriad sydd ei angen arnoch ac wedi gwirio ei berfformiad (er enghraifft, lapio traffig yno yn ddiofyn neu'n statig). Os nad ydych wedi cwblhau'r cam hwn eto, nid yw'n gwneud synnwyr mewn gwirionedd i ddilyn y camau o'r erthygl. Nid oes gennyf fy nhestun fy hun ar hyn eto, ond os ydych chi'n google “gosod gweinydd OpenVPN” ynghyd ag enw'r system weithredu sydd wedi'i gosod ar y VPS, a “gosodiad cleient OpenVPN” gydag enw eich llwybrydd, mae'n debyg mai chi yn dod o hyd i nifer o erthyglau ar y pwnc hwn , gan gynnwys ar Habré.

UPD3. Anaberth ysgrifennodd god sy'n gwneud y ffeil canlyniadol ar gyfer aderyn o dump.csv gyda chrynhoad dewisol o gyfeiriadau ip. Felly, gellir disodli'r adran "Prosesu'r gofrestrfa ar gyfer y gwasanaeth llwybro" gyda galwad i'w raglen. https://habr.com/post/354282/#comment_10782712

UPD4. Ychydig o waith ar y gwallau (ddim wedi cyfrannu yn y testun):
1) yn lle hynny aderyn ail-lwytho systemctl mae'n gwneud synnwyr i ddefnyddio'r gorchymyn ffurfweddiad birdc.
2) yn y llwybrydd Mikrotik, yn lle newid yr hop nesaf i IP ail ochr y twnnel hidlydd llwybro ychwanegu gweithredu=derbyn cadwyn=protocol deinamig-mewn=bgp sylw="Gosod nexthop" set-in-nexthop=172.30.1.1 mae'n gwneud synnwyr i nodi'r llwybr yn uniongyrchol i'r rhyngwyneb twnnel, heb y cyfeiriad hidlydd llwybro ychwanegu action=derbyn cadwyn=protocol deinamig-mewn=bgp comment="Gosod nexthop" set-in-nexthop-direct=<enw rhyngwyneb>

UPD5. Mae gwasanaeth newydd wedi cyrraedd https://antifilter.download, o ble gallwch chi gymryd rhestrau parod o gyfeiriadau ip. Yn cael ei ddiweddaru bob hanner awr. Ar ochr y cleient, y cyfan sydd ar ôl yw fframio'r cofnodion gyda'r “llwybr ... gwrthod” cyfatebol.
Ac mae'n debyg bod hynny'n ddigon i ysgwyd fy nain a diweddaru'r erthygl.

UPD6. Fersiwn ddiwygiedig o'r erthygl ar gyfer y rhai nad ydynt am ddeall, ond sydd am ddechrau - yma.

Ffynhonnell: hab.com

Ychwanegu sylw