ブロッキングをバイパスするための BGP の設定、または「私がどのようにして恐怖を感じなくなり、RKN と恋に落ちたか」

まあ、「愛されている」というのは言い過ぎです。 むしろ「共存できた」。

皆さんご存知のとおり、ロスコムナゾールは、16 年 2018 月 10 日以来、インターネット上のリソースへのアクセスを非常に広範にブロックし、「ドメイン名、インターネット上のサイトのページ インデックス、およびサイトを識別できるネットワーク アドレスの統一登録」を追加しました。インターネット上で、「ロシア連邦で配布が禁止されている情報を含む」（本文では単なる登録）/XNUMX によって時々公開されます。 その結果、ロシア連邦国民と企業は、必要な完全に合法的なリソースへのアクセスを失い、苦しんでいます。

私がハブレに関する記事の XNUMX つへのコメントで、被害者がバイパス計画を立てるのを手伝う用意があると述べた後、数人が私のところに来て、そのような支援を求めてきました。 すべてうまくいったとき、そのうちの XNUMX 人が、そのテクニックを記事で説明することを勧めました。 少し考えた結果、サイト上での沈黙を破り、プロジェクトと Facebook の投稿の中間のようなもの、つまり、一度だけ書いてみることにしました。 ハブラポスト。 結果は目の前にあります。

免責事項

ロシア連邦の領域で禁止されている情報へのアクセスのブロックを回避する方法を公開することはあまり合法ではないため、この記事の目的は、ロシア連邦の領域で許可されているリソースへのアクセスを自動化できる方法について説明することです。ロシア連邦の領土にありますが、誰かの行為により、プロバイダーを通じて直接アクセスできなくなりました。 また、記事からのアクションの結果として得られる他のリソースへのアクセスは、残念な副作用であり、記事の目的では決してありません。

また、私は職業、職業、人生において主にネットワーク アーキテクトであるため、プログラミングと Linux は私の得意分野ではありません。 したがって、当然のことながら、スクリプトをより適切に作成でき、VPS のセキュリティ問題をより深く解決できるようになります。 あなたの提案が十分に詳細であれば、感謝の意を持って受け入れられます。記事の本文に喜んで追加させていただきます。

TL; DR

レジストリのコピーと BGP プロトコルを使用して、既存のトンネルを介したリソースへのアクセスを自動化します。 目標は、ブロックされたリソースに宛てられたすべてのトラフィックをトンネルから削除することです。 最小限の説明、ほとんどが段階的な説明です。

そのためには何が必要ですか?

残念ながら、この投稿はすべての人に向けたものではありません。 この手法を使用するには、いくつかの要素を組み合わせる必要があります。

1. ブロッキング フィールドの外側のどこかに Linux サーバーが必要です。 少なくともそのようなサーバーが欲しいという願望 - 幸いなことに、現在では年間 9 ドルから、おそらくはそれ以下の費用がかかります。 この方法は、別の VPN トンネルがある場合にも適しており、サーバーをブロッキング フィールド内に配置できます。
2. ルーターは、次のことができるほど賢い必要があります。
   • 任意の VPN クライアント (私は OpenVPN を好みますが、PPTP、L2TP、GRE+IPSec、またはトンネル インターフェイスを作成するその他のオプションでも構いません)。
   • BGPv4 プロトコル。 つまり、SOHO の場合は、Quagga または Bird をインストールできる OpenWRT/LEDE/同様のカスタム ファームウェアを備えた Mikrotik またはルーターになる可能性があります。 PCルーターの使用も禁止されていません。 企業の場合は、境界ルーターのドキュメントで BGP サポートを探してください。
3. Linux の使用法と、BGP プロトコルを含むネットワーク テクノロジを理解している必要があります。 あるいは、少なくともそのようなアイデアを得たいと思っています。 今回はその膨大さを受け入れる準備ができていないので、理解できない部分については自分で勉強する必要があります。 ただし、もちろん、コメント内の特定の質問にはお答えします。私だけが回答するわけではありませんので、遠慮なく質問してください。

例で使用されているもの

• 登記簿のコピー - から https://github.com/zapret-info/z-i 
• VPS - Ubuntu 16.04
• ルーティングサービス - 鳥1.6.3   
• ルーター - Mikrotik hAP ac
• 作業フォルダー - 私たちはルートとして作業しているため、ほとんどのものはルートのホームフォルダーに配置されます。 それぞれ：
  • /root/blacklist - コンパイル スクリプトを含む作業フォルダー
  • /root/zi - github からのレジストリのコピー
  • /etc/bird - Bird サービス設定の標準フォルダー
• ルーティング サーバーとトンネル終端ポイントを備えた VPS の外部 IP アドレスは 194.165.22.146、ASN 64998 です。 ルーターの外部 IP アドレス - 81.177.103.94、ASN 64999
• トンネル内の IP アドレスはそれぞれ 172.30.1.1 と 172.30.1.2 です。

もちろん、他のルーター、オペレーティング システム、ソフトウェア製品を使用して、それらのロジックに合わせてソリューションを調整することもできます。

簡単に言うと、ソリューションのロジック

1. 準備行為
   1. VPSの取得
   2. ルーターから VPS へのトンネルの確立
2. 当社はレジストリのコピーを受け取り、定期的に更新します
3. ルーティング サービスのインストールと構成
4. レジストリに基づいてルーティング サービスの静的ルートのリストを作成します。
5. ルーターをサービスに接続し、すべてのトラフィックをトンネル経由で送信するように設定します。

実際の解決策

準備行為

インターネット上には、非常にリーズナブルな価格で VPS を提供するサービスが数多くあります。 これまでのところ、私は年間9ドルのオプションを見つけて使用していますが、あまり気にしなくても、月1Eのオプションがあちこちにたくさんあります。 VPS の選択に関する問題はこの記事の範囲をはるかに超えているため、これについてわからないことがありましたら、コメントで質問してください。

VPS をルーティング サービスだけでなく、トンネルの終端にも使用する場合は、このトンネルを確立し、ほぼ確実に NAT を構成する必要があります。 これらの操作に関する指示はインターネット上に多数ありますが、ここでは繰り返しません。 このようなトンネルの主な要件は、VPS へのトンネルをサポートする別のインターフェイスをルーター上に作成する必要があることです。 使用されているほとんどの VPN テクノロジーはこの要件を満たしています。たとえば、tun モードの OpenVPN は完璧です。

レジストリのコピーを取得する

ジャブライルが言ったように、「我々を妨害する者は我々を助けるだろう。」 RKN は禁止されたリソースのレジスタを作成しているため、問題を解決するためにこのレジスタを使用しないのは罪です。 github からレジストリのコピーを受け取ります。

Linux サーバーに移動し、ルート コンテキスト (須藤す —) git がまだインストールされていない場合はインストールします。

apt install git

ホーム ディレクトリに移動し、レジストリのコピーを取り出します。

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i 

cron 更新を設定します (20 分に XNUMX 回実行しますが、任意の間隔を選択できます)。 これを行うために、私たちは立ち上げます crontab -e 次の行を追加します。

*/20 * * * * cd ~/z-i && git pull && git gc

レジストリの更新後にルーティング サービス用のファイルを作成するフックを接続します。 これを行うには、ファイルを作成します /root/zi/.git/hooks/post-merge 次の内容で：

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

それを実行可能にすることを忘れないでください

chmod +x /root/z-i/.git/hooks/post-merge

フックが参照する makebgp スクリプトは後で作成します。

ルーティング サービスのインストールと構成

鳥をインストールします。 残念ながら、現在 Ubuntu リポジトリに掲載されている鳥のバージョンは、鮮度の点で始祖鳥の糞に匹敵するため、最初にソフトウェア開発者の公式 PPA をシステムに追加する必要があります。

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

この後、すぐに IPv6 の Bird を無効にします。このインストールではこれは必要ありません。

systemctl stop bird6
systemctl disable bird6

以下は、最小限の Bird サービス構成ファイル (/etc/bird/bird.conf）、これで十分です（そして、自分のニーズに合わせてアイデアを開発したり調整したりすることを誰も禁じていないことをもう一度思い出してください）

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

ルーター ID - ルーター ID。視覚的には IPv4 アドレスのように見えますが、IPv32 アドレスではありません。 この例では、IPv4 アドレス形式の任意の 4 ビット数値を使用できますが、デバイス (この場合は VPS) の IPvXNUMX アドレスを正確に示すのに適した形式です。

プロトコル ダイレクトは、どのインターフェイスがルーティング プロセスで動作するかを定義します。 この例では、いくつかの名前の例を示していますが、他の名前を追加することもできます。 この行は単純に削除できます。この場合、サーバーは IPv4 アドレスを持つすべての使用可能なインターフェイスをリッスンします。

静的プロトコルは、その後のアナウンスのためにファイルからプレフィックスと IP アドレス (もちろん、実際には /32 プレフィックス) のリストをロードする魔法です。 これらのリストの出所については以下で説明します。 IP アドレスの読み込みはデフォルトでコメントアウトされていることに注意してください。これは大量のアップロードが原因です。 比較のために、この記事の執筆時点では、プレフィックスのリストには 78 行、IP アドレスのリストには 85898 行があります。プレフィックスのリストのみで開始およびデバッグし、IP ロードを有効にするかどうかを強くお勧めします。ルーターを試してみた後、将来を決めるのはあなた次第です。 それらのすべてが、ルーティング テーブル内の 85 のエントリを簡単に消化できるわけではありません。

実際、protocol bgp はルーターとの bgp ピアリングを設定します。 IP アドレスはルータの外部インターフェイスのアドレス (またはルータ側のトンネル インターフェイスのアドレス) で、64998 と 64999 は自律システムの番号です。 この場合、任意の 16 ビット数値の形式で割り当てることができますが、RFC6996 ～ 64512 ～ 65534 で定義されたプライベート範囲の AS 番号を使用することをお勧めします (32 ビット ASN 用の形式があります。しかし、私たちの場合、これは明らかにやりすぎです）。 説明されている設定では eBGP ピアリングが使用されており、ルーティング サービスとルーターの自律システムの番号は異なる必要があります。

ご覧のとおり、サービスはルーターの IP アドレスを知る必要があるため、動的またはルーティング不可能なプライベート (RFC1918) アドレスまたは共有 (RFC6598) アドレスがある場合、外部サーバーでピアリングを確立するオプションはありません。ただし、サービスはトンネル内でも動作します。

また、XNUMX つのサービスから複数の異なるルーターにルートを提供できることも明らかです。プロトコルの bgp セクションをコピーし、近隣ルーターの IP アドレスを変更することで、それらの設定を複製するだけです。 このため、この例では、最も汎用的なトンネル外部のピアリングの設定を示しています。 設定の IP アドレスを変更することで、それらをトンネルに簡単に削除できます。

ルーティング サービスのレジストリの処理

ここで、実際には、前の段階で静的なプロトコルで言及したプレフィックスと IP アドレスのリストを作成する必要があります。 これを行うには、レジストリ ファイルを取得し、次のスクリプトを使用してそこから必要なファイルを作成します。 /root/ブラックリスト/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

実行可能にすることを忘れないでください

chmod +x /root/blacklist/makebgp

これで、手動で実行して、/etc/bird 内のファイルの外観を観察できるようになります。

おそらく、前の段階でまだ存在しないファイルを検索するように指示したため、現時点では Bird が機能していません。 したがって、それを起動して、開始されたことを確認します。

systemctl start bird
birdc show route

80 番目のコマンドの出力には、次のような約 XNUMX レコードが表示されます (これは現時点ではありますが、セットアップするときは、すべてがネットワークのブロックにおける RKN の熱心さによって異なります)。

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

チーム

birdc show protocol

サービス内のプロトコルのステータスが表示されます。 ルーターを構成するまで (次のポイントを参照)、OurRouter プロトコルは開始状態 (接続またはアクティブフェーズ) になり、接続が成功するとアップ状態 (確立フェーズ) になります。 たとえば、私のシステムでは、このコマンドの出力は次のようになります。

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

ルーターの接続

誰もがこの足布を読むのにうんざりしているでしょうが、元気を出してください-終わりは近づいています。 さらに、このセクションでは詳しい手順を説明することはできません。手順はメーカーごとに異なります。

ただし、いくつかの例をお見せします。 主なロジックは、BGP ピアリングを確立し、受信したすべてのプレフィックスにネクストホップを割り当て、トンネル (p2p インターフェイス経由でトラフィックを送信する必要がある場合) またはトラフィックがイーサネットに送信される場合のネクストホップ IP アドレスを指すようにすることです。

たとえば、RouterOS の Mikrotik では、これは次のように解決されます。

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

そしてCisco IOSでは - このように

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

同じトンネルが BGP ピアリングと有用なトラフィックの送信の両方に使用される場合、ネクストホップを設定する必要はなく、プロトコルを使用して正しく設定されます。 ただし、手動で設定しても状況が悪化することはありません。

他のプラットフォームでは、自分で設定を理解する必要がありますが、問題がある場合はコメントに書いてください。私がお手伝いします。

BGP セッションが開始され、大規模ネットワークへのルートが到着してテーブルにインストールされ、トラフィックがそこからのアドレスに流れ、幸福が近づいたら、bird サービスに戻って、そこに接続しているエントリのコメントを解除してみてください。 IP アドレスのリスト、その後に実行

systemctl reload bird

ルーターがこれら 85 のルートをどのように転送したかを確認してください。 プラグを抜く準備をして、それをどうするかを考えてください:)

合計で

純粋に理論的には、上記の手順を完了すると、フィルタリング システムを通過してロシア連邦で禁止されている IP アドレスにトラフィックを自動的にリダイレクトするサービスが得られます。

もちろん、改善することも可能です。 たとえば、Perl または Python ソリューションを使用して IP アドレスのリストを要約するのは非常に簡単です。 Net::CIDR::Lite を使用してこれを行う単純な Perl スクリプトは、85 のプレフィックスを 60 (XNUMX ではない) に変換しますが、もちろん、ブロックされるアドレスよりもはるかに広い範囲のアドレスをカバーします。

このサービスは ISO/OSI モデルの第 XNUMX レベルで動作するため、レジストリに記録されている間違ったアドレスに解決された場合、サイト/ページのブロックを回避できません。 ただし、レジストリとともに、nxdomain.txt ファイルが github から到着します。このファイルは、スクリプトを数回実行するだけで、たとえば Chrome の SwitchyOmega プラグインのアドレス ソースに簡単に変わります。

また、インターネット ユーザーだけでなく、自分でリソースを公開する場合 (たとえば、Web サイトやメール サーバーがこの接続で実行されている場合)、ソリューションをさらに改良する必要があることにも言及する必要があります。 ルーターの手段を使用して、このサービスからの発信トラフィックをパブリック アドレスに厳密にバインドする必要があります。そうしないと、ルーターが受信するプレフィックスのリストに含まれるリソースとの接続が失われます。

ご質問がございましたら、いつでもお答えいたします。

更新。 ありがとう ナビオン и テルアンユ ダウンロード量を減らすことができる git のパラメータについては。

UPD2。 同僚の皆さん、VPS とルーターの間にトンネルを設定する手順を記事に追加しなかったのは間違いだったようです。 これによって多くの疑問が生じます。
念のため、このガイドを開始する前に、必要な方向に VPN トンネルをすでに設定し、その機能を確認していることをもう一度明記しておきます (たとえば、デフォルトまたは静的にトラフィックをそこに向けることによって)。 このフェーズをまだ完了していない場合は、この記事の手順に従うことはあまり意味がありません。 これに関する独自のテキストはまだありませんが、Google で「OpenVPN サーバーのセットアップ」と VPS にインストールされているオペレーティング システムの名前を入力し、「OpenVPN クライアントのセットアップ」とルーターの名前を入力して検索してみてください。を参照すると、ハブレに関する記事を含め、このテーマに関する記事が数多く見つかるでしょう。

UPD3。 犠牲にされていない 私は、dump.csv を、オプションで IP アドレスの要約を含む、bird の結果ファイルに変換するコードを書きました。 したがって、「ルーティング サービスのレジストリの処理」セクションは、そのプログラムを呼び出すことで置き換えることができます。 https://habr.com/post/354282/#comment_10782712

UPD4。 エラーを少し修正します (本文には追加しませんでした):
1) 代わりに systemctl リロードバード コマンドを使用するのは理にかなっています バードック設定.
2) Mikrotik ルーター内で、ネクストホップをトンネルの XNUMX 番目の側の IP に変更する代わりに /ルーティングフィルター追加アクション=受け入れチェーン=動的-インプロトコル=bgpコメント=»ネクストホップを設定» set-in-nexthop=172.30.1.1 アドレスを指定せずに、トンネル インターフェイスへのルートを直接指定するのが合理的です。 /routing filter add action=acceptchain=dynamic-inprotocol=bgp comment=»ネクストホップの設定» set-in-nexthop-direct=<インターフェース名>

UPD5。 新しいサービスが登場しました https://antifilter.download, ここから、既製の IP アドレスのリストを取得できます。 XNUMX分ごとに更新されます。 クライアント側で残っているのは、対応する「ルート...拒否」を使用してレコードを構成することだけです。
そしておそらくこの時点では、祖母を怒らせて記事を更新するだけで十分です。

UPD6。 理解したくないが、始めたい人向けの記事の改訂版 - ここで.

出所： habr.com