ProHoster > Blog > Rianachd > A 'stèidheachadh BGP gus casg a chur air bacadh, no "Mar a sguir mi a bhith fo eagal agus a thuit mi ann an gaol le RKN"

A 'stèidheachadh BGP gus casg a chur air bacadh, no "Mar a sguir mi a bhith fo eagal agus a thuit mi ann an gaol le RKN"

Uill, ceart gu leòr, tha “tuiteam ann an gaol” na àibheiseachd. An àite sin dh’ fhaodadh “co-bhith ri”.

Mar a tha fios agad, bho 16 Giblean, 2018, tha Roskomnadzor air a bhith a’ cur casg air ruigsinneachd air goireasan air an lìonra le stròcan air leth farsaing, a’ cur ris a’ Chlàr Aonaichte de dh’ ainmean fearainn, comharran gu duilleagan làraich air an eadar-lìn agus seòlaidhean lìonra a leigeas leat. làraich a chomharrachadh air an eadar-lìon, anns a bheil fiosrachadh, a tha toirmisgte a sgaoileadh ann an Russian Federation" (ann an teacsa - dìreach clàr) /10 uaireannan. Mar thoradh air an sin, tha saoranaich Caidreachas na Ruis agus gnìomhachasan a’ fulang, às deidh dhaibh cothrom air na goireasan laghail a tha a dhìth orra a chall.

Às deidh dhomh a ràdh anns na beachdan gu aon de na h-artaigilean air Habré gu robh mi deiseil gus an luchd-fulaing a chuideachadh le bhith a’ stèidheachadh sgeama seach-rathad, chuir grunn dhaoine fios thugam ag iarraidh a leithid de chuideachadh. Nuair a dh'obraich a h-uile càil dhaibh, mhol fear dhiubh cunntas a thoirt air an dòigh-obrach ann an artaigil. Às deidh dhomh smaoineachadh, chuir mi romham mo shàmhchair a bhriseadh air an làrach agus feuchainn airson aon uair rudeigin eadar-mheadhanach a sgrìobhadh eadar pròiseact agus post air Facebook, i.e. habrapost. Tha an toradh air beulaibh thu.

Àicheadh

Leis nach eil e gu math laghail dòighean fhoillseachadh gus casg a chuir air ruigsinneachd air fiosrachadh toirmisgte air fearann ​​​​Caidreachas na Ruis, is e adhbhar an artaigil seo bruidhinn mu dhòigh-obrach a leigeas leat ruigsinneachd gu goireasan a tha ceadaichte air an fhearann ​​​​a dhèanamh fèin-ghluasadach. de Chaidreachas na Ruis, ach air sgàth gnìomhan cuideigin nach fhaighear gu dìreach tron ​​​​t-solaraiche agad. Agus tha ruigsinneachd air goireasan eile, a gheibhear mar thoradh air gnìomhan bhon artaigil, na taobh mì-fhortanach agus chan e adhbhar an artaigil idir.

Cuideachd, leis gur e ailtire lìonra a th’ annam sa mhòr-chuid a rèir dreuchd, dreuchd agus slighe beatha, chan e prògramadh agus Linux mo neartan. Mar sin, gu dearbh, faodar sgriobtaichean a sgrìobhadh nas fheàrr, faodar cùisean tèarainteachd ann an VPS obrachadh a-mach nas doimhne, msaa. Thèid gabhail ris na molaidhean agad le taing, ma tha iad mionaideach gu leòr - bidh mi toilichte an cur ri teacsa an artaigil.

TL; DR

Bidh sinn gu fèin-ghluasadach a’ faighinn cothrom air goireasan tron ​​tunail a th’ agad mu thràth a’ cleachdadh leth-bhreac den chlàr agus protocol BGP. Is e an t-amas a bhith a’ toirt air falbh a h-uile trafaic a thèid a chuir gu goireasan dùinte a-steach don tunail. Mìneachadh as ìsle, stiùireadh ceum air cheum sa mhòr-chuid.

Dè tha a dhìth ort airson seo

Gu mì-fhortanach, chan eil an dreuchd seo airson a h-uile duine. Gus an dòigh seo a chleachdadh, feumaidh tu grunn eileamaidean a chur ri chèile:

  1. Feumaidh frithealaiche linux a bhith agad am badeigin taobh a-muigh an raon bacaidh. No co-dhiù am miann a bhith a 'tòiseachadh air a leithid de fhrithealaiche - bhon a tha e a-nis a' cosg bho $ 9 / bliadhna, agus 's dòcha nas lugha. Tha an dòigh cuideachd freagarrach ma tha tunail VPN air leth agad, faodaidh an frithealaiche a bhith suidhichte taobh a-staigh an raon bloca.
  2. Feumaidh an router agad a bhith glic gu leòr airson a bhith comasach
    • neach-dèiligidh VPN sam bith as toil leat (is fheàrr leam OpenVPN, ach faodaidh e a bhith PPTP, L2TP, GRE + IPSec, agus roghainn sam bith eile a chruthaicheas eadar-aghaidh tunail);
    • Pròtacal BGPv4. A tha a’ ciallachadh airson SOHO faodaidh e a bhith Mikrotik no router sam bith le OpenWRT / LEDE / firmware àbhaisteach coltach ris a leigeas leat Quagga no Bird a chuir a-steach. Chan eilear a’ toirmeasg cleachdadh router PC cuideachd. Airson iomairt, faic na sgrìobhainnean airson an router crìche agad airson taic BGP.
  3. Bu chòir dhut a bhith eòlach air cleachdadh Linux agus teicneòlasan lìonra, BGP nam measg. No co-dhiù ag iarraidh am beachd sin fhaighinn. Leis nach eil mi deiseil airson gabhail ris an t-uamhas an turas seo, feumaidh tu cuid de phuingean a sgrùdadh a tha do-thuigsinn dhut leat fhèin. Ach, freagraidh mi, gu dearbh, ceistean sònraichte anns na beachdan agus chan eil coltas gur e mise an aon fhear a tha a’ freagairt, agus mar sin na bi leisg faighneachd.

Dè tha air a chleachdadh san eisimpleir

  • Leth-bhreac den chlàr https://github.com/zapret-info/z-i 
  • VPS - Ubuntu 16.04
  • Seirbheis seòlaidh - eun 1.6.3   
  • Router - Mikrotik HAP ac
  • Pasganan obrach - leis gu bheil sinn ag obair mar fhreumh, thèid a’ mhòr-chuid de gach nì a chuir ann am pasgan dachaigh root. fa leth:
    • / root / blacklist - pasgan obrach le sgriobt cruinneachaidh
    • / root/zi - leth-bhreac den chlàradh bho github
    • /etc/bird - pasgan roghainnean seirbheis eòin àbhaisteach
  • Gabhaidh sinn ri 194.165.22.146, ASN 64998 mar sheòladh IP taobh a-muigh an VPS leis an t-seirbheisiche slighe agus puing crìochnachaidh an tunail; seòladh IP taobh a-muigh an router - 81.177.103.94, ASN 64999
  • Is e na seòlaidhean IP taobh a-staigh an tunail 172.30.1.1 agus 172.30.1.2, fa leth.

A 'stèidheachadh BGP gus casg a chur air bacadh, no "Mar a sguir mi a bhith fo eagal agus a thuit mi ann an gaol le RKN"

Gu dearbh, faodaidh tu routers, siostaman obrachaidh agus bathar-bog sam bith eile a chleachdadh, ag atharrachadh am fuasgladh a rèir an loidsig.

Ann goirid - loidsig an fhuasglaidh

  1. Gnìomhan ullachaidh
    1. A 'faighinn VPS
    2. Bidh sinn a’ togail an tunail bhon router chun VPS
  2. A’ faighinn agus ag ùrachadh leth-bhreac den chlàr gu cunbhalach
  3. A 'stàladh agus a' rèiteachadh an t-seirbheis slighe
  4. Cruthaich liosta de shlighean statach airson an t-seirbheis slighe stèidhichte air a’ chlàr
  5. Bidh sinn a ’ceangal an router ris an t-seirbheis agus a’ stèidheachadh a bhith a ’cur a h-uile trafaic tron ​​​​tunail.

An fhìor cho-dhùnadh

Gnìomhan ullachaidh

Ann am farsaingeachd an lìonra tha mòran sheirbheisean a bheir seachad VPS airson airgead air leth reusanta. Gu ruige seo, tha mi air an roghainn $ 9 / bliadhna a lorg agus a chleachdadh, ach eadhon mura dèan thu dragh dha-rìribh, tha tòrr roghainnean ann airson 1E / mìos air gach oisean. Tha a 'cheist mu bhith a' taghadh VPS fada nas fhaide na raon an artaigil seo, mar sin mura h-eil rudeigin soilleir do chuideigin mu dheidhinn seo, faighnich anns na beachdan.

Ma chleachdas tu VPS chan ann a-mhàin airson an t-seirbheis slighe, ach cuideachd airson tunail a thoirt gu crìch air, feumaidh tu an tunail seo a thogail agus, cha mhòr gun teagamh, NAT a rèiteachadh air a shon. Tha àireamh mhòr de stiùiridhean air an lìonra airson na gnìomhan sin, cha dèan mi a-rithist iad an seo. Is e am prìomh riatanas airson a leithid de thunail gum feum e eadar-aghaidh air leth a chruthachadh air an router agad a bheir taic don tunail a dh’ ionnsaigh an VPS. Bidh a’ mhòr-chuid de theicneòlasan VPN air an cleachdadh a’ coinneachadh ris an riatanas seo - mar eisimpleir, tha OpenVPN ann am modh tun ceart gu leòr.

Faigh lethbhreac dhen registry

Mar a thuirt Jabrayil, "An neach a chuireas bacadh oirnn cuidichidh e sinn." Leis gu bheil an RKN a’ cruthachadh clàr de ghoireasan toirmisgte, bhiodh e na pheacadh gun a bhith a’ cleachdadh a’ chlàr seo gus ar duilgheadas fhuasgladh. Gheibh sinn leth-bhreac den chlàr bho github.

Thèid sinn chun t-seirbheisiche Linux agad, thig sinn a-steach do cho-theacs root'a (sudo su-) agus stàlaich git mura h-eil e air a stàladh mu thràth.

apt install git

Rach don eòlaire dachaigh agad agus tarraing a-mach leth-bhreac den chlàr.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i 

Stèidhich ùrachadh cron (tha e agam a h-uile 20 mionaid, ach faodaidh tu eadar-ama sam bith a tha inntinneach dhut a thaghadh). Gus seo a dhèanamh, bidh sinn a 'ruith crontab -e agus cuir an loidhne a leanas ris:

*/20 * * * * cd ~/z-i && git pull && git gc

Bidh sinn a’ ceangal dubhan a chruthaicheas faidhlichean airson an t-seirbheis slighe às deidh dhuinn an clàr ùrachadh. Gus seo a dhèanamh, bidh sinn a 'cruthachadh faidhle /root/zi/.git/dubhan/post-merge leis an t-susbaint a leanas:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

agus na dìochuimhnich a dhèanamh so-ghnìomhaichte

chmod +x /root/z-i/.git/hooks/post-merge

Thèid an sgriobt makebgp air a bheil an dubhan a’ toirt iomradh a chruthachadh nas fhaide air adhart.

A 'stàladh agus a' rèiteachadh an t-seirbheis slighe

Stàlaich eun. Gu mì-fhortanach, tha an dreach de dh'eun a tha air a leigeil ma sgaoil an-dràsta ann an stòran Ubuntu an coimeas ri fionnas Archeopteryx feces, agus mar sin feumaidh sinn an-toiseach PPA oifigeil luchd-leasachaidh bathar-bog a chur ris an t-siostam.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

Às deidh seo, bidh sinn a’ cuir à comas eun airson IPv6 sa bhad - cha bhith feum againn air san stàladh seo.

systemctl stop bird6
systemctl disable bird6

Gu h-ìosal tha faidhle rèiteachaidh minimalistic airson seirbheis nan eun (/etc/bird/bird.conf), a tha gu leòr dhuinne (agus a-rithist tha mi gad chuimhneachadh nach eil duine a’ toirmeasg a’ bheachd a leasachadh agus a ghleusadh gus freagairt air na feumalachdan agad fhèin)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

id router - aithnichear router, a’ coimhead coltach ri seòladh IPv4, ach chan eil. Anns a 'chùis againn, faodaidh e a bhith na àireamh 32-bit sam bith ann an cruth seòladh IPv4, ach tha e na dheagh chleachdadh seòladh IPv4 an uidheim agad (sa chùis seo, VPS) a shònrachadh an sin.

bidh protocol direct a’ dearbhadh dè an eadar-aghaidh a bhios ag obair leis a’ phròiseas slighe. Tha an eisimpleir a 'toirt seachad eisimpleirean no dhà de dh'ainmean, faodaidh tu barrachd a chur ris. Faodaidh tu cuideachd an loidhne a dhubhadh às, agus mar sin èistidh am frithealaiche air a h-uile eadar-aghaidh a tha ri fhaighinn le seòladh IPv4.

Is e protocol static an draoidheachd againn a bhios a’ luchdachadh liostaichean de ro-leasachain agus seòlaidhean ip (a tha, gu dearbh, /32 ro-leasachan) bho fhaidhlichean airson an ainmeachadh nas fhaide air adhart. Bithear a’ bruidhinn gu h-ìosal cò às a tha na liostaichean sin a’ tighinn. Thoir an aire gu bheilear a’ toirt iomradh air luchdachadh sheòlaidhean ip gu bunaiteach, is e an adhbhar airson seo an ìre mhòr de luchdachadh suas. Airson coimeas a dhèanamh, aig àm sgrìobhaidh an artaigil, tha 78 loidhnichean anns an liosta ro-leasachain, agus 85898 anns an liosta de sheòlaidhean ip. gus luchdachadh ip a chomasachadh san àm ri teachd às deidh dhut feuchainn air an router agad. Chan urrainn dha a h-uile duine 85 mìle inntrigeadh a chuairteachadh gu furasta air a’ chlàr slighe.

bidh protocol bgp gu dearbh a’ stèidheachadh bgp a’ coimhead leis an router agad. Is e seòladh ip seòladh eadar-aghaidh taobh a-muigh an router (no seòladh an eadar-aghaidh tunail bho thaobh an router), is e 64998 agus 64999 na h-àireamhan de shiostaman fèin-riaghailteach. Anns a ’chùis seo, faodar an sònrachadh ann an cruth àireamhan 16-bit sam bith, ach tha e na dheagh chleachdadh àireamhan AS a chleachdadh bhon raon phrìobhaideach a tha air a mhìneachadh le RFC6996 - 64512-65534 in-ghabhalach (tha cruth ASN 32-bit ann, ach anns a’ chùis againn tha seo gu cinnteach cus). Bidh an rèiteachadh a chaidh a mhìneachadh a’ cleachdadh eBGP peering, anns am feum àireamhan siostam fèin-riaghailteach na seirbheis slighe agus an router a bhith eadar-dhealaichte.

Mar a chì thu, feumaidh fios a bhith aig an t-seirbheis air seòladh IP an router, mar sin ma tha seòladh prìobhaideach fiùghantach no neo-ghluasadach (RFC1918) no co-roinnte (RFC6598) agad, chan eil roghainn agad sùil a thoirt air an eadar-aghaidh a-muigh, ach bidh an t-seirbheis fhathast ag obair taobh a-staigh an tunail.

Tha e cuideachd gu math follaiseach gun urrainn dhut grunn routers eadar-dhealaichte a thoirt seachad le slighean bho aon sheirbheis - dìreach dùblaich na roghainnean dhaibh le bhith a’ dèanamh lethbhreac den roinn protocol bgp le bhith ag atharrachadh seòladh IP an nàbaidh. Sin as coireach gu bheil an eisimpleir a 'sealltainn nan suidheachaidhean airson a bhith a' coimhead taobh a-muigh an tunail, mar an fheadhainn as cruinne. Chan eil e doirbh an toirt a-steach don tunail le bhith ag atharrachadh nan seòlaidhean IP anns na roghainnean a rèir sin.

Pròiseas Clàraidh airson an t-Seirbheis Routing

A-nis feumaidh sinn, gu dearbh, liostaichean de ro-leasachain agus seòlaidhean ip a chruthachadh, a tha air an ainmeachadh anns a 'cheum roimhe ann am protocol static. Gus seo a dhèanamh, gabhaidh sinn am faidhle clàraidh agus nì sinn na faidhlichean a dh’ fheumas sinn a-mach às leis an sgriobt a leanas, suidhichte ann /root/liosta dhubh/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

Na dì-chuimhnich a dhèanamh comasach

chmod +x /root/blacklist/makebgp

A-nis faodaidh tu a ruith le làimh agus coimhead air coltas fhaidhlichean ann an /etc/bird.

As dualtaiche, aig an àm seo chan eil eun ag obair dhut, oir aig an ìre roimhe sin mhol thu gun lorg e faidhlichean nach robh ann fhathast. Mar sin, bidh sinn ga chuir air bhog agus smachd againn gu bheil e a’ tòiseachadh:

systemctl start bird
birdc show route

Bu chòir do thoradh an dàrna àithne sealltainn mu 80 inntrigeadh (tha seo an-dràsta, agus nuair a shuidhicheas tu e, bidh a h-uile càil an urra ri dìlseachd an ILV ann a bhith a’ bacadh lìonraidhean) mar seo:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

sgioba

birdc show protocol

seallaidh e inbhe nam pròtacalan taobh a-staigh na seirbheis. Gus an rèitich thu an router (faic an ath pharagraf), bidh am protocol OurRouter anns an stàit tòiseachaidh (ìrean Ceangail no Gnìomhach), agus às deidh ceangal soirbheachail, thèid e a-steach don staid suas (ìre stèidhichte). Mar eisimpleir, air an t-siostam agam, tha coltas an àithne seo mar seo:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

A 'ceangal router

Is dòcha gu bheil a h-uile duine mu thràth sgìth de bhith a’ leughadh an aodach-coise seo, ach gabh do chridhe - tha an deireadh faisg. A bharrachd air an sin, anns an earrainn seo chan urrainn dhomh stiùireadh ceum air cheum a thoirt seachad - bidh e eadar-dhealaichte airson gach neach-dèanamh.

Ach, is urrainn dhomh eisimpleir no dhà a shealltainn dhut. Is e am prìomh reusanachadh BGP peering a thogail agus nexthop a cheangal ris a h-uile ro-leasachan a gheibhear, a’ comharrachadh an tunail againn (ma dh’ fheumas tu trafaic a chuir a-mach tron ​​​​eadar-aghaidh p2p) no nexthop seòladh ip ma thèid an trafaic gu ethernet).

Mar eisimpleir, air Mikrotik ann an RouterOS, tha seo air fhuasgladh mar a leanas

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

agus ann an Cisco IOS - mar seo

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

Ma thèid an aon tunail a chleachdadh an dà chuid airson sùil a thoirt air BGP agus airson trafaic feumail a tharraing, chan fheumar nexthop a shuidheachadh, thèid a shuidheachadh gu ceart leis a’ phròtacal. Ach ma shuidhicheas tu e le làimh, chan fhàs e nas miosa nas motha.

Air àrd-ùrlaran eile, feumaidh tu an rèiteachadh obrachadh a-mach thu fhèin, ach ma tha duilgheadas sam bith agad, sgrìobh na beachdan, feuchaidh mi ri do chuideachadh.

Às deidh do sheisean BGP èirigh, tha slighean gu lìonraidhean mòra air ruighinn agus air an cur a-steach don chlàr, tha trafaic gu na seòlaidhean bhuapa air falbh agus tha an toileachas faisg, faodaidh tu tilleadh gu seirbheis nan eun agus feuchainn ris an inntrigeadh an sin a tha a’ ceangal an liosta de sheòlaidhean ip, cuir an gnìomh às deidh sin

systemctl reload bird

agus faic mar a ghluais an router agad na 85 mìle slighe sin. Dèan deiseil airson a chuir dheth agus smaoinich air dè a nì thu leis 🙂

Iomlan

Gu fìrinneach, gu teòiridheach, às deidh dhut na ceumannan gu h-àrd a choileanadh, tha seirbheis agad a bhios gu fèin-ghluasadach ag ath-stiùireadh trafaic gu seòlaidhean IP a chaidh a thoirmeasg ann an Caidreachas na Ruis seachad air an t-siostam sìolaidh.

Faodar, gu dearbh, a leasachadh. Mar eisimpleir, tha e furasta gu leòr liosta de sheòlaidhean ip a chruinneachadh tro fhuasglaidhean perl no python. Sgriobt perl sìmplidh a’ dèanamh seo le Net :: CIDR :: Bidh Lite a’ tionndadh 85 mìle ro-leasachan gu 60 (chan e mìle), ach gu nàdarra a’ còmhdach raon mòran nas motha de sheòlaidhean na tha air a bhacadh.

Leis gu bheil an t-seirbheis ag obair aig an treas ìre den mhodail ISO / OSI, cha shàbhail e thu bho bhacadh làrach / duilleag mura rèitich e chun t-seòladh a tha clàraichte sa chlàr. Ach còmhla ris a ’chlàradh bho github, ruigidh am faidhle nxdomain.txt, a bhios le beagan stròcan den sgriobt gu furasta a’ tionndadh gu bhith na stòr seòlaidhean airson, mar eisimpleir, am plugan SwitchyOmega ann an Chrome.

Bu chòir a thoirt fa-near cuideachd gu bheil feum aig an fhuasgladh air tuilleadh gheurachadh mura h-eil thu dìreach nad neach-cleachdaidh eadar-lìn, ach cuideachd gum foillsich thu cuid de ghoireasan bhuat fhèin (mar eisimpleir, bidh làrach-lìn no frithealaiche puist a ’ruith air a’ cheangal seo). Leis an router, feumaidh tu trafaic a-mach bhon t-seirbheis seo a cheangal gu cruaidh chun t-seòladh poblach agad, air neo caillidh tu ceangal leis na goireasan sin a tha còmhdaichte leis an liosta de ro-leasachain a gheibh an router.

Ma tha ceist sam bith agad - faighnich, deiseil airson freagairt.

UPD. Tapadh leat nèibhi и TerAnYu airson roghainnean airson git gus meud luchdachadh sìos a lughdachadh.

UPD2. Co-obraichean, tha e coltach gun do rinn mi mearachd le bhith gun a bhith a’ cur stiùireadh a-steach airson tunail a stèidheachadh eadar an VPS agus an router don artaigil. Tha tòrr cheistean air adhbhrachadh le seo.
Dìreach air eagal, tha mi a ’toirt fa-near a-rithist - thathas a’ gabhail ris, mus tòisich thu air na ceumannan san stiùireadh seo, gu bheil thu mu thràth air an tunail VPN a dhealbhadh san taobh a dh ’fheumas tu agus air a choileanadh a sgrùdadh (mar eisimpleir, a’ pasgadh trafaic an sin gu bunaiteach no statach). Mura h-eil thu air an ìre seo a chrìochnachadh fhathast, chan eil e dha-rìribh a’ dèanamh ciall na ceumannan bhon artaigil a leantainn. Chan eil an teacsa agam fhèin air seo fhathast, ach ma nì thu google “OpenVPN server setup” còmhla ri ainm an t-siostam obrachaidh a chaidh a chuir a-steach air an VPS, agus “OpenVPN client setup” le ainm an router agad, is dòcha gu bheil thu Lorgaidh tu grunn artaigilean air a’ chuspair seo, nam measg air Habré.

UPD3. Gun ìobairt sgrìobh còd a nì am faidhle a thig às airson eun bho dump.csv le cruinneachadh roghainneil de sheòlaidhean ip. Mar sin, faodar gairm chun phrògram aige a chuir an àite an roinn “Giullachd chlàraidh airson an t-seirbheis slighe”. https://habr.com/post/354282/#comment_10782712

UPD4. Beagan obrach air na mearachdan (cha do chuir e ris an teacsa):
1) an àite sin systemctl ath-luchdaich an t-eun tha e ciallach an àithne a chleachdadh rèiteachadh birdc.
2) anns an router Mikrotik, an àite an ath-hop atharrachadh gu IP dàrna taobh an tunail / criathrag slighe cuir gnìomh = gabh ri slabhraidh = protocol dynamic-in = beachd bgp = "Suidhich nexthop" set-in-nexthop = 172.30.1.1 tha e ciallach an t-slighe a shònrachadh gu dìreach gu eadar-aghaidh an tunail, gun an seòladh / criathrag slighe cuir gnìomh = gabh ri slabhraidh = protocol dynamic-in = beachd bgp = "Suidhich nexthop" set-in-nexthop-direct = <ainm eadar-aghaidh>

UPD 5. Tha seirbheis ùr air tighinn https://antifilter.download, às an urrainn dhut liostaichean deiseil de sheòlaidhean ip a ghabhail. Air ùrachadh gach leth uair a thìde. Air taobh an neach-dèiligidh, chan eil air fhàgail ach na h-inntrigidhean a dhealbhadh leis an “slighe ... diùlt”.
Agus is dòcha gu bheil sin gu leòr airson mo sheanmhair a chrathadh agus an artaigil ùrachadh.

UPD 6. Tionndadh ath-sgrùdaichte den artaigil dhaibhsan nach eil airson a thuigsinn, ach a tha airson tòiseachadh - an seo.

Source: www.habr.com

Cuir beachd ann