BGP iestatīšana, lai apietu bloķēšanu vai "Kā es pārstāju baidīties un iemīlējos RKN"

Nu, labi, par “mīlētu” ir pārspīlēts. Drīzāk "varēja sadzīvot ar".

Kā jūs visi zināt, kopš 16. gada 2018. aprīļa Roskomnadzor ārkārtīgi plašos vilcienos bloķē piekļuvi resursiem internetā, pievienojot vienotajam domēna vārdu reģistram, vietņu lapu indeksiem internetā un tīkla adresēm, kas ļauj identificēt vietnes. internetā”, kas satur informāciju, kuras izplatīšana Krievijas Federācijā ir aizliegta” (tekstā - tikai reģistrs) ar /10 reizēm. Tā rezultātā cieš Krievijas Federācijas pilsoņi un uzņēmumi, kuri zaudējuši piekļuvi tiem nepieciešamajiem pilnīgi legāliem resursiem.

Pēc tam, kad komentāros pie viena raksta par Habré teicu, ka esmu gatavs palīdzēt upuriem, izveidojot apvedceļa shēmu, pie manis vērsās vairāki cilvēki, lūdzot šādu palīdzību. Kad viņiem viss darbojās, viens no viņiem ieteica rakstā aprakstīt tehniku. Pēc nelielām pārdomām nolēmu lauzt klusumu vietnē un mēģināt kaut reizi uzrakstīt kaut ko starpposmu starp projektu un Facebook ierakstu, t.i. habraposts. Rezultāts ir jūsu priekšā.

Atbildības noraidīšana

Tā kā nav īpaši likumīgi publicēt veidus, kā apiet piekļuves bloķēšanu informācijai, kas aizliegta Krievijas Federācijas teritorijā, šī raksta mērķis būs runāt par metodi, kas ļauj automatizēt piekļuvi resursiem, kas ir atļauti Krievijas Federācijas teritorijā, bet kāda cita darbību dēļ tie nav tieši pieejami caur jūsu pakalpojumu sniedzēju. Un piekļuve citiem resursiem, kas iegūti darbību rezultātā no raksta, ir neveiksmīgs blakus efekts un nekādā gadījumā nav raksta mērķis.

Turklāt, tā kā pēc profesijas, aicinājuma un dzīves ceļa esmu galvenokārt tīkla arhitekts, programmēšana un Linux nav manas stiprās puses. Tāpēc, protams, skriptus var uzrakstīt labāk, drošības problēmas VPS var izstrādāt dziļāk utt. Jūsu ieteikumi tiks pieņemti ar pateicību, ja tie būs pietiekami detalizēti - ar prieku pievienošu raksta tekstam.

TL; DR

Mēs automatizējam piekļuvi resursiem, izmantojot jūsu esošo tuneli, izmantojot reģistra kopiju un BGP protokolu. Mērķis ir noņemt tunelī visu bloķētajiem resursiem adresēto trafiku. Paskaidrojumu minimums, galvenokārt soli pa solim sniegtas instrukcijas.

Kas jums ir vajadzīgs šim nolūkam?

Diemžēl šis ieraksts nav paredzēts visiem. Lai izmantotu šo paņēmienu, jums būs jāsaliek kopā vairāki elementi:

1. Jums ir jābūt Linux serverim kaut kur ārpus bloķēšanas lauka. Vai vismaz vēlme iegūt šādu serveri - par laimi tas tagad maksā no 9 USD/gadā, un, iespējams, mazāk. Metode ir piemērota arī tad, ja jums ir atsevišķs VPN tunelis, tad serveris var atrasties bloķēšanas laukā.
2. Jūsu maršrutētājam ir jābūt pietiekami gudram, lai tas būtu iespējams
   • jebkurš VPN klients, kas jums patīk (es dodu priekšroku OpenVPN, bet tas var būt PPTP, L2TP, GRE+IPSec vai jebkura cita opcija, kas izveido tuneļa saskarni);
   • BGPv4 protokols. Tas nozīmē, ka SOHO tas varētu būt Mikrotik vai jebkurš maršrutētājs ar OpenWRT/LEDE/līdzīgu pielāgotu programmaparatūru, kas ļauj instalēt Quagga vai Bird. Arī datora maršrutētāja izmantošana nav aizliegta. Uzņēmuma gadījumā meklējiet BGP atbalstu sava robežas maršrutētāja dokumentācijā.
3. Jums ir jābūt izpratnei par Linux lietošanu un tīkla tehnoloģijām, tostarp BGP protokolu. Vai vismaz vēlas iegūt šādu ideju. Tā kā šoreiz neesmu gatavs aptvert neizmērojamību, jums būs pašam jāizpēta daži aspekti, kas jums ir nesaprotami. Tomēr es, protams, atbildēšu uz konkrētiem jautājumiem komentāros un diez vai būšu vienīgais, kas atbildēs, tāpēc nevilcinieties jautāt.

Kas tiek izmantots piemērā

• Reģistra kopija - no https://github.com/zapret-info/z-i 
• VPS — Ubuntu 16.04
• Maršrutēšanas pakalpojums - putns 1.6.3   
• Maršrutētājs - Mikrotik hAP ac
• Darba mapes - tā kā mēs strādājam kā root, lielākā daļa no visa atradīsies saknes mājas mapē. Attiecīgi:
  • /root/blacklist — darba mape ar kompilācijas skriptu
  • /root/zi — reģistra kopija no github
  • /etc/bird - standarta mape putnu pakalpojuma iestatījumiem
• VPS ārējā IP adrese ar maršrutēšanas serveri un tuneļa beigu punktu ir 194.165.22.146, ASN 64998; maršrutētāja ārējā IP adrese - 81.177.103.94, ASN 64999
• IP adreses tunelī ir attiecīgi 172.30.1.1 un 172.30.1.2.

Protams, jūs varat izmantot jebkurus citus maršrutētājus, operētājsistēmas un programmatūras produktus, pielāgojot risinājumu to loģikai.

Īsumā - risinājuma loģika

1. Sagatavošanas aktivitātes
   1. VPS iegūšana
   2. Tuneļa pacelšana no maršrutētāja uz VPS
2. Mēs saņemam un regulāri atjauninām reģistra kopiju
3. Maršrutēšanas pakalpojuma instalēšana un konfigurēšana
4. Mēs izveidojam statisku maršrutu sarakstu maršrutēšanas pakalpojumam, pamatojoties uz reģistru
5. Mēs savienojam maršrutētāju ar pakalpojumu un konfigurējam visas trafika nosūtīšanu caur tuneli.

Faktiskais risinājums

Sagatavošanas aktivitātes

Internetā ir daudz pakalpojumu, kas nodrošina VPS par ārkārtīgi saprātīgām cenām. Līdz šim esmu atradis un izmantoju iespēju par 9 ASV dolāri gadā, taču pat tad, ja jūs pārāk neuztraucaties, ir daudz iespēju par 1 E/mēnesī uz katra stūra. Jautājums par VPS izvēli ir tālu ārpus šī raksta darbības jomas, tāpēc, ja kāds kaut ko nesaprot, jautājiet komentāros.

Ja izmantojat VPS ne tikai maršrutēšanas pakalpojumam, bet arī lai pārtrauktu tajā esošo tuneli, jums ir jāpaaugstina šis tunelis un gandrīz noteikti tam jākonfigurē NAT. Internetā ir liels skaits norādījumu par šīm darbībām, es tos šeit neatkārtošu. Galvenā prasība šādam tunelim ir tāda, ka tam maršrutētājā ir jāizveido atsevišķs interfeiss, kas atbalsta tuneli virzienā uz VPS. Lielākā daļa izmantoto VPN tehnoloģiju atbilst šai prasībai - piemēram, OpenVPN tun režīmā ir ideāls.

Reģistra kopijas iegūšana

Kā teica Džabrails: "Tas, kas mums traucē, mums palīdzēs." Tā kā RKN veido aizliegto resursu reģistru, būtu grēks neizmantot šo reģistru mūsu problēmas risināšanai. Mēs saņemsim reģistra kopiju no github.

Mēs ejam uz jūsu Linux serveri, nonākam saknes kontekstā (sudo su —) un instalējiet git, ja tas vēl nav instalēts.

apt install git

Dodieties uz savu mājas direktoriju un izvelciet reģistra kopiju.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i 

Mēs uzstādījām cron atjauninājumu (es to daru reizi 20 minūtēs, bet jūs varat izvēlēties jebkuru jums interesējošu intervālu). Lai to izdarītu, mēs palaižam crontab -e un pievienojiet tam šādu rindu:

*/20 * * * * cd ~/z-i && git pull && git gc

Mēs savienojam āķi, kas pēc reģistra atjaunināšanas izveidos failus maršrutēšanas pakalpojumam. Lai to izdarītu, izveidojiet failu /root/zi/.git/hooks/post-merge ar šādu saturu:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

un neaizmirstiet padarīt to izpildāmu

chmod +x /root/z-i/.git/hooks/post-merge

Makebgp skriptu, uz kuru atsaucas āķis, izveidosim nedaudz vēlāk.

Maršrutēšanas pakalpojuma instalēšana un konfigurēšana

Uzstādiet putnu. Diemžēl pašlaik Ubuntu krātuvēs ievietotā putna versija pēc svaiguma ir salīdzināma ar Archeopteryx izkārnījumiem, tāpēc vispirms sistēmai jāpievieno programmatūras izstrādātāju oficiālais PPA.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

Pēc tam mēs nekavējoties atspējojam putnu IPv6 — mums tas nebūs vajadzīgs šajā instalācijā.

systemctl stop bird6
systemctl disable bird6

Zemāk ir minimālistisks putnu pakalpojuma konfigurācijas fails (/etc/bird/bird.conf), ar ko mums pilnīgi pietiek (un vēlreiz atgādinu, ka neviens neaizliedz ideju attīstīt un pieskaņot savām vajadzībām)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

router id - maršrutētāja identifikators, kas vizuāli izskatās pēc IPv4 adreses, bet nav viens. Mūsu gadījumā tas var būt jebkurš 32 bitu skaitlis IPv4 adreses formātā, taču ir laba forma, lai precīzi norādītu jūsu ierīces (šajā gadījumā VPS) IPv4 adresi.

Protocol direct nosaka, kuras saskarnes darbosies maršrutēšanas procesā. Piemērā ir sniegti pāris piemēru nosaukumi, varat pievienot citus. Jūs varat vienkārši izdzēst rindu; šajā gadījumā serveris klausīsies visas pieejamās saskarnes ar IPv4 adresi.

Protocol static ir mūsu maģija, kas ielādē prefiksu un IP adrešu sarakstus (kas, protams, faktiski ir /32 prefiksi) no failiem turpmākai paziņošanai. Tālāk tiks apspriests, no kurienes nāk šie saraksti. Lūdzu, ņemiet vērā, ka IP adrešu ielāde pēc noklusējuma tiek komentēta, jo iemesls ir lielais augšupielādes apjoms. Salīdzinājumam raksta rakstīšanas laikā prefiksu sarakstā ir 78 rindas, bet IP adrešu sarakstā - 85898. Es ļoti iesaku sākt un atkļūdot tikai prefiksu sarakstā un vai iespējot IP ielādi nākotne ir jūsu ziņā pēc eksperimentēšanas ar maršrutētāju. Ne katrs no viņiem var viegli sagremot 85 tūkstošus ierakstu maršrutēšanas tabulā.

protokols bgp faktiski iestata bgp peering ar jūsu maršrutētāju. IP adrese ir maršrutētāja ārējās saskarnes adrese (vai tuneļa saskarnes adrese maršrutētāja pusē), 64998 un 64999 ir autonomo sistēmu numuri. Šajā gadījumā tos var piešķirt jebkuru 16 bitu numuru veidā, taču laba prakse ir izmantot AS numurus no privātā diapazona, ko nosaka RFC6996 - 64512-65534 ieskaitot (ir 32 bitu ASN formāts, bet mūsu gadījumā tas noteikti ir pārspīlēts). Aprakstītajā konfigurācijā tiek izmantota eBGP peering, kurā maršrutēšanas pakalpojuma un maršrutētāja autonomo sistēmu numuriem ir jābūt atšķirīgiem.

Kā redzat, pakalpojumam ir jāzina maršrutētāja IP adrese, tādēļ, ja jums ir dinamiska vai nemaršrutējama privātā (RFC1918) vai koplietojamā (RFC6598) adrese, jums nav iespējas palielināt peering ārējā tīklā. interfeisu, taču pakalpojums joprojām darbosies tunelī.

Ir arī pilnīgi skaidrs, ka no viena pakalpojuma jūs varat nodrošināt maršrutus vairākiem dažādiem maršrutētājiem - vienkārši dublējiet tiem iestatījumus, nokopējot protokola bgp sadaļu un mainot kaimiņa IP adresi. Tāpēc piemērā kā universālākie ir parādīti skatīšanās ārpus tuneļa iestatījumi. Tos ir viegli noņemt tunelī, attiecīgi mainot IP adreses iestatījumos.

Notiek reģistra apstrāde maršrutēšanas pakalpojumam

Tagad mums faktiski ir jāizveido prefiksu un IP adrešu saraksti, kas tika minēti protokola statiskā iepriekšējā posmā. Lai to izdarītu, mēs paņemam reģistra failu un izveidojam no tā nepieciešamos failus, izmantojot šādu skriptu, kas ievietots /root/blacklist/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

Neaizmirstiet padarīt to izpildāmu

chmod +x /root/blacklist/makebgp

Tagad varat to palaist manuāli un novērot failu izskatu mapē /etc/bird.

Visticamāk, putns šobrīd jums nedarbojas, jo iepriekšējā posmā jūs lūdzāt tam meklēt failus, kas vēl neeksistēja. Tāpēc mēs to palaižam un pārbaudām, vai tas ir palaists:

systemctl start bird
birdc show route

Otrās komandas izvadei vajadzētu parādīt apmēram 80 ierakstus (pagaidām tas ir, bet, kad to iestatīsit, viss būs atkarīgs no RKN dedzības bloķējot tīklus) apmēram šādi:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

Komanda

birdc show protocol

parādīs pakalpojuma protokolu statusu. Kamēr nebūsiet konfigurējis maršrutētāju (skatiet nākamo punktu), OurRouter protokols būs sākuma stāvoklī (Connect vai Active) un pēc veiksmīga savienojuma izveidošanas pāries uz augšu (Izveidotā fāze). Piemēram, manā sistēmā šīs komandas izvade izskatās šādi:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

Maršrutētāja pievienošana

Visiem droši vien ir apnicis lasīt šo kāju lupatu, bet esiet drošs - beigas ir tuvu. Turklāt šajā sadaļā es nevarēšu sniegt soli pa solim instrukcijas - katram ražotājam tas būs atšķirīgs.

Tomēr es varu jums parādīt pāris piemērus. Galvenā loģika ir palielināt BGP peering un piešķirt nexthop visiem saņemtajiem prefiksiem, norādot uz mūsu tuneli (ja mums ir jānosūta trafika caur p2p interfeisu) vai nexthop IP adresi, ja satiksme tiks novirzīta uz Ethernet).

Piemēram, Mikrotik sistēmā RouterOS tas tiek atrisināts šādi

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

un Cisco IOS - kā šis

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

Ja vienu un to pašu tuneli izmanto gan BGP peering, gan noderīgas trafika pārsūtīšanai, nav nepieciešams iestatīt nexthop, tas tiks iestatīts pareizi, izmantojot protokolu. Bet, ja to iestatīsit manuāli, tas arī nepasliktinās.

Citās platformās konfigurācija būs jāizdomā pašam, bet ja ir kādas grūtības, rakstiet komentāros, mēģināšu palīdzēt.

Kad jūsu BGP sesija ir sākusies, maršruti uz lielajiem tīkliem ir ieradušies un ir uzstādīti tabulā, satiksme no tiem ir plūdusi uz adresēm un laime ir tuvu, varat atgriezties putnu servisā un mēģināt atkomentēt ierakstu, kas savieno IP adrešu sarakstu, izpildiet pēc tam

systemctl reload bird

un skatiet, kā jūsu maršrutētājs pārsūtīja šos 85 tūkstošus maršrutu. Esiet gatavs atvienot un domāt, ko ar to darīt :)

Kopā

Tīri teorētiski pēc iepriekš aprakstīto darbību veikšanas jums tagad ir pakalpojums, kas automātiski novirza trafiku uz IP adresēm, kuras ir aizliegtas Krievijas Federācijā, pārsniedzot filtrēšanas sistēmu.

To, protams, var uzlabot. Piemēram, ir diezgan viegli apkopot IP adrešu sarakstu, izmantojot perl vai python risinājumus. Vienkāršs Perl skripts, kas to dara, izmantojot Net::CIDR::Lite, pārvērš 85 tūkstošus prefiksu par 60 (nevis tūkstošos), bet, protams, aptver daudz lielāku adrešu diapazonu, nekā tiek bloķēts.

Tā kā pakalpojums darbojas ISO/OSI modeļa trešajā līmenī, tas nepasargās jūs no vietnes/lapas bloķēšanas, ja tas atrisinās uz nepareizo adresi, kas reģistrēta reģistrā. Taču kopā ar reģistru no github atnāk fails nxdomain.txt, kas ar dažiem skripta sitieniem viegli pārvēršas par adrešu avotu, piemēram, pārlūkprogrammas Chrome spraudnim SwitchyOmega.

Jāpiemin arī tas, ka risinājums prasa papildu precizējumus, ja neesat tikai interneta lietotājs, bet arī pats publicējat dažus resursus (piemēram, uz šī savienojuma darbojas vietne vai pasta serveris). Izmantojot maršrutētāja līdzekļus, ir stingri jāsaista šī pakalpojuma izejošā trafika ar savu publisko adresi, pretējā gadījumā jūs zaudēsit savienojumu ar tiem resursiem, uz kuriem attiecas maršrutētāja saņemto prefiksu saraksts.

Ja ir kādi jautājumi, jautājiet, esmu gatavs atbildēt.

UPD. Paldies navigācija и TerAnYu git parametriem, kas ļauj samazināt lejupielādes apjomu.

UPD2. Kolēģi, izskatās, ka esmu kļūdījies, rakstam nepievienojot instrukcijas tuneļa izveidošanai starp VPS un rūteri. Tas rada daudz jautājumu.
Katram gadījumam vēlreiz atzīmēšu, ka pirms šīs rokasgrāmatas sākšanas jūs jau esat konfigurējis VPN tuneli sev vajadzīgajā virzienā un pārbaudījis tā funkcionalitāti (piemēram, pēc noklusējuma vai statiski pagriežot tur satiksmi). Ja vēl neesat pabeidzis šo posmu, nav jēgas sekot rakstā norādītajām darbībām. Man vēl nav sava teksta par šo, bet, ja jūs Google meklējat “OpenVPN servera iestatīšana” kopā ar VPS instalētās operētājsistēmas nosaukumu un “OpenVPN klienta iestatīšana” ar maršrutētāja nosaukumu , jūs, visticamāk, atradīsit vairākus rakstus par šo tēmu , tostarp par Habré.

UPD3. Neupurēts Es uzrakstīju kodu, kas pārvērš dump.csv par iegūto failu putnam ar neobligātu IP adrešu kopsavilkumu. Tāpēc sadaļu “Reģistra apstrāde maršrutēšanas pakalpojumam” var aizstāt, izsaucot tā programmu. https://habr.com/post/354282/#comment_10782712

UPD4. Nedaudz piestrādāt pie kļūdām (tekstam tās nepievienoju):
1) vietā systemctl pārlādēt putnu ir jēga izmantot komandu birdc konfigurēšana.
2) Mikrotik maršrutētājā, nevis nomainīt nexthop uz tuneļa otrās puses IP /routing filter add action=accept chain=dynamic-in protocol=bgp comment=»Iestatīt nexthop» set-in-nexthop=172.30.1.1 ir jēga norādīt maršrutu tieši tuneļa saskarnē, bez adreses /routing filter add action=accept chain=dynamic-in protocol=bgp comment=»Iestatīt nexthop» set-in-nexthop-direct=<interfeisa nosaukums>

UPD5. Ir parādījies jauns pakalpojums https://antifilter.download, no kurienes var paņemt gatavus IP adrešu sarakstus. Atjaunināts ik pēc pusstundas. Klienta pusē atliek tikai ierāmēt ierakstus ar atbilstošo “maršruts... noraidīt”.
Un šajā brīdī, iespējams, pietiek ar vecmāmiņas lupatu un raksta atjaunināšanu.

UPD6. Raksta pārskatīta versija tiem, kas nevēlas to izdomāt, bet vēlas sākt - šeit.

Avots: www.habr.com