🥇차단을 우회하도록 BGP 설정 또는 "내가 어떻게 두려움을 멈추고 RKN과 사랑에 빠졌는지"

글쎄, "사랑에 빠졌다"는 말은 과장된 것입니다. 오히려 "공존할 수 있다".

여러분 모두 아시다시피, 16년 2018월 10일부터 Roskomnadzor는 도메인 이름의 통합 레지스트리, 인터넷 사이트 페이지에 대한 포인터 및 다음을 허용하는 네트워크 주소를 추가하여 네트워크의 리소스에 대한 액세스를 매우 광범위하게 차단해 왔습니다. 러시아 연방에서 유포가 금지된 정보가 포함된 인터넷 사이트를 식별합니다."(텍스트에서 - 등록만) /XNUMX 때때로. 결과적으로 러시아 시민과 기업은 필요한 완전한 법적 자원에 대한 접근권을 상실하여 고통을 겪고 있습니다.

Habré의 기사 중 하나에 대한 댓글에서 우회 계획을 세우는 데 피해자들을 도울 준비가 되었다고 말한 후 몇몇 사람들이 나에게 연락하여 도움을 요청했습니다. 모든 것이 효과가 있었을 때 그들 중 한 명이 기사에서 기술을 설명하는 것이 좋습니다. 반성하면서 나는 사이트에서 침묵을 깨고 프로젝트와 페이스북 게시물 사이의 중간 내용을 한 번 작성해 보기로 결정했습니다. 하브라포스트. 결과가 당신 앞에 있습니다.

책임 부인

러시아 연방 영토에서 금지된 정보에 대한 액세스 차단을 우회하는 방법을 게시하는 것은 합법적이지 않기 때문에 이 기사의 목적은 해당 영토에서 허용되는 리소스에 대한 액세스를 자동화할 수 있는 방법에 대해 이야기하는 것입니다. 그러나 누군가의 행동으로 인해 귀하의 서비스 제공자를 통해 직접 접근할 수 없습니다. 그리고 기사의 조치로 인해 얻은 다른 리소스에 대한 액세스는 불행한 부작용이며 결코 기사의 목적이 아닙니다.

또한 저는 주로 직업, 직업, 생활 경로에 따라 네트워크 설계자이기 때문에 프로그래밍과 Linux는 저의 강점이 아닙니다. 따라서 물론 스크립트를 더 잘 작성할 수 있고 VPS의 보안 문제를 더 깊이 있게 해결할 수 있습니다. 귀하의 제안이 충분히 자세하다면 감사의 마음으로 받아들여질 것입니다. 기사 텍스트에 해당 제안을 추가해 드리겠습니다.

TL; DR

레지스트리 복사본과 BGP 프로토콜을 사용하여 기존 터널을 통해 리소스에 대한 액세스를 자동화합니다. 목표는 차단된 리소스로 향하는 모든 트래픽을 터널로 제거하는 것입니다. 최소한의 설명, 대부분 단계별 지침.

이를 위해 무엇이 필요합니까?

불행히도 이 게시물은 모든 사람을 위한 것이 아닙니다. 이 기술을 사용하려면 다음과 같은 몇 가지 요소를 조합해야 합니다.

차단 필드 외부 어딘가에 Linux 서버가 있어야 합니다. 또는 적어도 그러한 서버를 시작하려는 욕구 - 현재 비용은 연간 $ 9이며 아마도 그 이하일 수도 있습니다. 이 방법은 별도의 VPN 터널이 있는 경우에도 적합하며, 그러면 서버가 차단 필드 내부에 위치할 수 있습니다.
라우터는 다음을 수행할 수 있을 만큼 똑똑해야 합니다.
- 원하는 모든 VPN 클라이언트(저는 OpenVPN을 선호하지만 PPTP, L2TP, GRE+IPSec 및 터널 인터페이스를 생성하는 기타 옵션이 될 수 있습니다)
- BGPv4 프로토콜. 이는 SOHO의 경우 Mikrotik 또는 Quagga 또는 Bird를 설치할 수 있는 OpenWRT/LEDE/유사한 사용자 정의 펌웨어가 있는 라우터일 수 있음을 의미합니다. PC 라우터 사용도 금지되지 않습니다. 기업의 경우 BGP 지원에 대해서는 경계 라우터 설명서를 참조하세요.
BGP를 포함한 Linux 사용 및 네트워크 기술에 대해 잘 알고 있어야 합니다. 아니면 적어도 그 아이디어를 얻고 싶습니다. 이번에는 그 광대함을 받아들일 준비가 되지 않았기 때문에, 당신이 이해할 수 없는 몇 가지 사항을 스스로 공부해야 할 것입니다. 하지만 물론 구체적인 질문은 댓글로 답변해드릴 예정이며, 저 혼자만 답변을 드릴 가능성은 낮으니 편하게 질문해 주세요.

예제에 사용된 내용

등록부 사본 https://github.com/zapret-info/z-i
VPS-우분투 16.04
라우팅 서비스 - 새 1.6.3
라우터 - 미크로틱 햅 ac
작업 폴더 - 루트로 작업하고 있으므로 대부분의 모든 항목은 루트 홈 폴더에 저장됩니다. 각기:
- /root/blacklist - 컴파일 스크립트가 있는 작업 폴더
- /root/zi - github의 레지스트리 복사본
- /etc/bird - 표준 조류 서비스 설정 폴더
라우팅 서버 및 터널 종료 지점이 있는 VPS의 외부 IP 주소로 194.165.22.146, ASN 64998을 허용합니다. 라우터의 외부 IP 주소 - 81.177.103.94, ASN 64999
터널 내부의 IP 주소는 각각 172.30.1.1 및 172.30.1.2입니다.

물론 다른 라우터, 운영 체제 및 소프트웨어 제품을 사용하여 해당 논리에 맞게 솔루션을 조정할 수 있습니다.

간단히 - 솔루션의 논리

준비 조치
1. VPS 받기
2. 라우터에서 VPS까지 터널을 올립니다.
레지스트리 사본 확보 및 정기적 업데이트
라우팅 서비스 설치 및 구성
레지스트리를 기반으로 라우팅 서비스에 대한 고정 경로 목록을 만듭니다.
라우터를 서비스에 연결하고 터널을 통해 모든 트래픽을 전송하도록 설정합니다.

실제 결정

준비 조치

방대한 네트워크에는 매우 합리적인 비용으로 VPS를 제공하는 많은 서비스가 있습니다. 지금까지 9달러/년 옵션을 찾아서 사용하고 있는데 굳이 신경쓰지 않더라도 구석구석 1E/월 옵션이 많이 있습니다. VPS를 선택하는 문제는 이 기사의 범위를 훨씬 벗어나므로 이에 대해 누군가에게 명확하지 않은 내용이 있으면 의견을 통해 문의하십시오.

라우팅 서비스뿐만 아니라 터널 종료에도 VPS를 사용하는 경우 이 터널을 높이고 거의 명백하게 이에 대해 NAT를 구성해야 합니다. 네트워크에는 이러한 작업에 대한 많은 지침이 있으므로 여기서는 반복하지 않겠습니다. 이러한 터널의 주요 요구 사항은 VPS를 향한 터널을 지원하는 별도의 인터페이스를 라우터에 생성해야 한다는 것입니다. 대부분의 사용되는 VPN 기술은 이 요구 사항을 충족합니다. 예를 들어 tun 모드의 OpenVPN은 괜찮습니다.

레지스트리 사본 받기

Jabrayil이 말했듯이 "우리를 방해하는 사람은 우리를 도울 것입니다." RKN은 금지된 리소스의 레지스트리를 생성하고 있으므로 문제를 해결하기 위해 이 레지스트리를 사용하지 않는 것은 죄악입니다. 우리는 github에서 레지스트리 사본을 받게 됩니다.

우리는 Linux 서버로 이동하여 root'a(sudo su-) 아직 설치되지 않은 경우 git을 설치합니다.

apt install git

홈 디렉토리로 이동하여 레지스트리 사본을 꺼내십시오.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i

크론 업데이트를 설정합니다(20분마다 업데이트하지만 관심 있는 간격을 선택할 수 있습니다). 이를 위해 우리는 crontab을 -e 그리고 다음 줄을 추가하세요:

*/20 * * * * cd ~/z-i && git pull && git gc

레지스트리를 업데이트한 후 라우팅 서비스용 파일을 생성할 후크를 연결합니다. 이를 위해 파일을 만듭니다. /root/zi/.git/hooks/post-merge 다음 내용으로:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

실행 가능하게 만드는 것을 잊지 마세요

chmod +x /root/z-i/.git/hooks/post-merge

후크에서 참조하는 makebgp 스크립트는 나중에 생성됩니다.

라우팅 서비스 설치 및 구성

새를 설치합니다. 불행하게도 현재 우분투 저장소에 출시된 새 버전은 시조새 배설물과 신선도가 비슷하므로 먼저 소프트웨어 개발자의 공식 PPA를 시스템에 추가해야 합니다.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

그런 다음 IPv6용 새를 즉시 비활성화합니다. 이 설치에서는 필요하지 않습니다.

systemctl stop bird6
systemctl disable bird6

다음은 새 서비스에 대한 최소한의 구성 파일입니다(/etc/bird/bird.conf), 이는 우리에게 충분합니다. (그리고 다시 한 번 자신의 필요에 맞게 아이디어를 개발하고 조정하는 것을 금지하는 사람은 없다는 점을 다시 한 번 상기시켜드립니다.)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

라우터 ID - 시각적으로 IPv4 주소처럼 보이지만 그렇지 않은 라우터 식별자입니다. 우리의 경우 IPv32 주소 형식의 4비트 숫자일 수 있지만 장치의 IPv4 주소(이 경우 VPS)를 거기에 지정하는 것이 좋습니다.

프로토콜 직접은 라우팅 프로세스와 함께 작동할 인터페이스를 결정합니다. 이 예에서는 이름에 대한 몇 가지 예를 제공하며 더 추가할 수 있습니다. 간단히 줄을 삭제할 수도 있습니다. 이 경우 서버는 IPv4 주소를 사용하여 사용 가능한 모든 인터페이스를 수신합니다.

프로토콜 정적은 나중에 발표하기 위해 파일에서 접두사 및 IP 주소(물론 /32 접두사) 목록을 로드하는 마법입니다. 이 목록의 출처는 아래에서 논의됩니다. IP 주소 로딩은 기본적으로 주석 처리되어 있는데, 그 이유는 업로드량이 많기 때문입니다. 비교를 위해 기사 작성 당시에는 접두사 목록에 78줄, IP 주소 목록에 85898줄이 있는데 접두사 목록에서만 시작하고 디버그하고 여부를 결정하는 것이 좋습니다. 라우터를 실험한 후 나중에 IP 로딩을 활성화하려면 그들 모두가 라우팅 테이블의 85개 항목을 쉽게 소화할 수 있는 것은 아닙니다.

프로토콜 bgp는 실제로 라우터와 bgp 피어링을 설정합니다. ip-address는 라우터의 외부 인터페이스 주소(또는 라우터 측의 터널 인터페이스 주소)이고, 64998 및 64999는 자율 시스템의 번호입니다. 이 경우 16비트 숫자 형식으로 할당할 수 있지만 RFC6996 - 64512-65534에 정의된 개인 범위의 AS 번호를 사용하는 것이 좋습니다(32비트 ASN 형식이 있지만 우리의 경우 이는 확실히 과잉입니다). 설명된 구성에서는 라우팅 서비스와 라우터의 자율 시스템 번호가 달라야 하는 eBGP 피어링을 사용합니다.

보시다시피 서비스는 라우터의 IP 주소를 알아야 하므로 동적이거나 라우팅할 수 없는 개인(RFC1918) 또는 공유(RFC6598) 주소가 있는 경우 외부 인터페이스에서 피어링을 올릴 수 있는 옵션이 없습니다. 하지만 서비스는 터널 내부에서도 계속 작동합니다.

또한 하나의 서비스로부터의 경로가 포함된 여러 다른 라우터를 제공할 수 있다는 것도 매우 투명합니다. 이웃의 IP 주소를 변경하면서 프로토콜 bgp 섹션을 복사하여 설정을 복제하기만 하면 됩니다. 이것이 바로 예시에서 가장 보편적인 터널 외부 피어링 설정을 보여주는 이유입니다. 그에 따라 설정에서 IP 주소를 변경하여 터널로 제거하는 것은 어렵지 않습니다.

라우팅 서비스에 대한 레지스트리 처리

이제 실제로 프로토콜 정적의 이전 단계에서 언급한 접두사 및 IP 주소 목록을 생성해야 합니다. 이를 위해 레지스트리 파일을 가져와 다음 스크립트를 사용하여 필요한 파일을 만듭니다. /루트/블랙리스트/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

실행 가능하게 만드는 것을 잊지 마세요

chmod +x /root/blacklist/makebgp

이제 수동으로 실행하고 /etc/bird에서 파일의 모양을 관찰할 수 있습니다.

이전 단계에서 아직 존재하지 않는 파일을 검색하도록 제안했기 때문에 현재로서는 Bird가 작동하지 않을 가능성이 높습니다. 따라서 이를 실행하고 시작을 제어합니다.

systemctl start bird
birdc show route

두 번째 명령의 출력에는 다음과 같이 약 80개의 항목이 표시되어야 합니다(이는 현재로서는 설정 시 모든 것이 차단 네트워크에서 ILV의 열정에 따라 달라집니다).

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

팀

birdc show protocol

서비스 내의 프로토콜 상태를 표시합니다. 라우터를 구성할 때까지(다음 단락 참조) OurRouter 프로토콜은 시작 상태(연결 또는 활성 단계)에 있으며, 성공적으로 연결되면 작동 상태(설정 단계)로 전환됩니다. 예를 들어 내 시스템에서 이 명령의 출력은 다음과 같습니다.

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

라우터 연결

모두가 이미 이 신발을 읽는 데 지쳤을 것입니다. 하지만 힘을 내십시오. 끝이 가까웠습니다. 또한 이 섹션에서는 단계별 지침을 제공할 수 없습니다. 이는 제조업체마다 다를 수 있습니다.

하지만 몇 가지 예를 보여 드릴 수 있습니다. 주요 논리는 BGP 피어링을 높이고 수신된 모든 접두사에 nexthop을 연결하여 터널(p2p 인터페이스를 통해 트래픽을 출력해야 하는 경우) 또는 트래픽이 이더넷으로 이동하는 경우 nexthop IP 주소를 가리키는 것입니다.

예를 들어 RouterOS의 Mikrotik에서는 다음과 같이 해결됩니다.

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

Cisco IOS에서는 이렇게 합니다.

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

BGP 피어링과 유용한 트래픽 전송에 동일한 터널이 사용되는 경우 넥스트홉을 설정할 필요가 없으며 프로토콜을 통해 올바르게 설정됩니다. 하지만 수동으로 설정해도 상황이 더 악화되지는 않습니다.

다른 플랫폼에서는 구성을 직접 파악해야 하지만, 어려움이 있는 경우 댓글을 작성해 주시면 도와드리겠습니다.

BGP 세션이 활성화되고 대규모 네트워크에 대한 경로가 도착하여 테이블에 설치되고 해당 주소로의 트래픽이 사라지고 행복이 가까워지면 새 서비스로 돌아가서 연결하는 항목의 주석 처리를 제거할 수 있습니다. IP 주소 목록, 그 후에 실행

systemctl reload bird

라우터가 85개의 경로를 어떻게 전송했는지 확인하세요. 전원을 끌 준비를 하고 어떻게 해야 할지 생각해 보세요 🙂

전체로

순전히 이론적으로 위의 단계를 수행하면 필터링 시스템을 거쳐 러시아 연방에서 금지된 IP 주소로 트래픽을 자동으로 리디렉션하는 서비스가 있습니다.

물론 개선될 수도 있습니다. 예를 들어, Perl 또는 Python 솔루션을 통해 IP 주소 목록을 요약하는 것은 충분히 쉽습니다. Net::CIDR::Lite를 사용하여 이 작업을 수행하는 간단한 Perl 스크립트는 85개의 접두사를 60(XNUMX개가 아님)으로 바꾸지만 자연스럽게 차단된 것보다 훨씬 더 넓은 범위의 주소를 포함합니다.

서비스는 ISO/OSI 모델의 세 번째 수준에서 작동하므로 레지스트리에 기록된 주소로 확인되지 않으면 사이트/페이지 차단으로부터 보호되지 않습니다. 그러나 github의 레지스트리와 함께 nxdomain.txt 파일이 도착합니다. 이 파일은 몇 번의 스크립트 스트로크만으로 Chrome의 SwitchyOmega 플러그인과 같은 주소 소스로 쉽게 전환됩니다.

또한 인터넷 사용자일 뿐만 아니라 자신의 일부 리소스를 게시하는 경우(예: 웹 사이트 또는 메일 서버가 이 연결에서 실행되는 경우) 솔루션에 추가 선명화가 필요하다는 점도 언급해야 합니다. 라우터를 사용하면 이 서비스에서 공개 주소로 나가는 트래픽을 하드 바인딩해야 합니다. 그렇지 않으면 라우터에서 수신한 접두사 목록에 포함된 리소스와의 연결이 끊어집니다.

질문이 있으면 질문하고 답변할 준비를 하세요.

UPD. 감사합니다 항해 и TerAnYu 다운로드 볼륨을 줄이기 위한 git 옵션

UPD2. 동료 여러분, VPS와 라우터 사이의 터널 설정에 대한 지침을 기사에 추가하지 않아 실수를 한 것 같습니다. 이로 인해 많은 질문이 발생합니다.
만약을 대비해 다시 한 번 말씀드리지만, 이 가이드의 단계를 시작하기 전에 이미 필요한 방향으로 VPN 터널을 구성하고 성능을 확인했다고 가정합니다(예: 기본적으로 트래픽을 래핑하거나 정적으로 래핑). 아직 이 단계를 완료하지 않았다면 기사의 단계를 따르는 것이 실제로 의미가 없습니다. 아직 이에 대한 텍스트는 없지만 VPS에 설치된 운영 체제 이름과 함께 "OpenVPN 서버 설정"을 검색하고 라우터 이름과 함께 "OpenVPN 클라이언트 설정"을 Google에 검색하면 아마도 Habré를 포함하여 이 주제에 관한 여러 기사를 찾을 수 있습니다.

UPD3. 희생되지 않은 선택적으로 IP 주소를 합산하여 dump.csv에서 Bird에 대한 결과 파일을 만드는 코드를 작성했습니다. 따라서 "라우팅 서비스에 대한 레지스트리 처리" 섹션은 해당 프로그램 호출로 대체될 수 있습니다. https://habr.com/post/354282/#comment_10782712

UPD4. 오류에 대한 약간의 작업(본문에는 기여하지 않음):
1) 대신 systemctl 새로고침 새 명령을 사용하는 것이 합리적입니다 새 구성.
2) Mikrotik 라우터에서 다음 홉을 터널 두 번째 측면의 IP로 변경하는 대신 /라우팅 필터 추가 작업=accept chain=dynamic-in 프로토콜=bgp comment="다음 홉 설정" set-in-nexthop=172.30.1.1 주소 없이 터널 인터페이스에 직접 경로를 지정하는 것이 합리적입니다. /라우팅 필터 추가 작업=accept chain=dynamic-in 프로토콜=bgp comment="다음 홉 설정" set-in-nexthop-direct=<인터페이스 이름>

UPD5. 새로운 서비스가 나왔습니다 https://antifilter.download, 여기에서 기성 IP 주소 목록을 가져올 수 있습니다. XNUMX분마다 업데이트됩니다. 클라이언트 측에서 남은 것은 해당 "경로 ... 거부"로 항목을 구성하는 것뿐입니다.
그리고 이것에 대해서는 아마도 할머니를 흔들고 기사를 업데이트하는 것으로 충분할 것입니다.

UPD6. 이해하고 싶지 않지만 시작하고 싶은 사람들을 위한 기사의 개정판- 여기에.

출처 : habr.com

차단을 우회하도록 BGP 설정 또는 "두려움을 멈추고 RKN과 사랑에 빠진 방법"