ProHoster > Blog > fitantanan-draharaha > Mametraka BGP mba hialana amin'ny fanakanana, na "Ahoana no nitsaharako tsy natahotra sy nitiavako RKN"

Mametraka BGP mba hialana amin'ny fanakanana, na "Ahoana no nitsaharako tsy natahotra sy nitiavako RKN"

Eny ary, ny momba ny "tia" dia manitatra. “Afaka niara-niaina” kosa.

Araka ny efa fantatrareo, nanomboka tamin'ny 16 Aprily 2018, Roskomnadzor dia nanakana ny fidirana amin'ny loharanon-karena amin'ny Internet amin'ny fomba midadasika be, manampy amin'ny "Rejistra mitambatra amin'ny anaran'ny sehatra, fanondroan'ny pejin'ny tranokala ao amin'ny Internet sy ny adiresin'ny tambajotra izay ahafahana mamantatra ireo tranonkala. amin'ny Internet,” misy fampahalalana izay voarara ny fizarana azy ao amin'ny Federasiona Rosiana” (ao amin'ny lahatsoratra - rejisitra fotsiny) amin'ny /10 indraindray. Vokatr'izany, mijaly ny olom-pirenena ao amin'ny Federasiona Rosiana sy ny orinasa, very ny fidirana amin'ny loharano ara-dalàna ilainy.

Rehefa avy nilaza aho tao amin'ny fanehoan-kevitra tao amin'ny lahatsoratra iray momba ny Habré fa vonona ny hanampy ireo niharam-boina amin'ny fananganana teti-dratsy aho, dia nisy olona maromaro tonga nanatona ahy nangataka fanampiana toy izany. Rehefa niasa ho azy ireo ny zava-drehetra, ny iray tamin'izy ireo dia nanoro hevitra ny hamaritana ny teknika amin'ny lahatsoratra. Taorian'ny eritreritra sasany dia nanapa-kevitra ny hanapaka ny fahanginana tao amin'ny tranokala aho ary nanandrana indray mandeha manoratra zavatra manelanelana eo amin'ny tetikasa iray sy ny lahatsoratra Facebook, i.e. habrapost. Eo anoloanao ny vokatra.

Disclaimer

Koa satria tsy dia ara-dalàna loatra ny famoahana fomba hialana amin'ny fanakanana ny fidirana amin'ny fampahalalana voarara ao amin'ny faritanin'ny Federasiona Rosiana, ny tanjon'ity lahatsoratra ity dia ny hiresaka momba ny fomba ahafahanao manara-maso ny fahazoana miditra amin'ny loharanon-karena avela amin'ny faritanin'ny Federasiona Rosiana, fa noho ny fihetsiky ny olon-kafa dia tsy azo idirana mivantana amin'ny alalan'ny mpamatsy anao. Ary ny fidirana amin'ny loharanon-karena hafa azo vokatry ny hetsika avy amin'ny lahatsoratra dia voka-dratsy mampalahelo ary tsy izany mihitsy no tanjon'ny lahatsoratra.

Ary koa, satria mpanao mari-trano amin'ny tambajotra amin'ny asa, asa ary lalan'ny fiainana aho, ny fandaharana sy ny Linux dia tsy heriko. Noho izany, mazava ho azy, ny script dia azo soratana tsara kokoa, ny olana momba ny fiarovana ao amin'ny VPS dia azo atao tsara kokoa, sns. Ny soso-kevitrao dia horaisina amim-pankasitrahana, raha ampy ny antsipiriany - dia ho faly aho hanampy azy ireo amin'ny lahatsoratry ny lahatsoratra.

TL, DR

Izahay dia manao automatique ny fidirana amin'ny loharanon-karena amin'ny alàlan'ny tonelina misy anao amin'ny alàlan'ny dika mitovy amin'ny rejisitra sy ny protocole BGP. Ny tanjona dia ny hanesorana ny fifamoivoizana rehetra mitodika amin'ny loharano voasakana ao anaty tonelina. Fanazavana faran'izay kely indrindra, toromarika tsikelikely.

Inona no ilainao amin'izany?

Indrisy fa tsy natao ho an'ny rehetra ity lahatsoratra ity. Mba hampiasana ity teknika ity dia mila manambatra singa maromaro ianao:

  1. Tsy maintsy manana mpizara linux any ivelan'ny saha fanakanana ianao. Na farafaharatsiny ny faniriana hanana mpizara toy izany - soa ihany fa manomboka amin'ny $9/taona ny vidiny, ary mety ho latsaka. Ny fomba dia mety ihany koa raha manana tonelina VPN misaraka ianao, dia azo jerena ao anatin'ny saha fanakanana ny mpizara.
  2. Ny router-nao dia tokony ho marani-tsaina mba ho afaka
    • izay mpanjifa VPN tianao (Tiako ny OpenVPN, fa mety ho PPTP, L2TP, GRE+IPSec na safidy hafa izay mamorona interface tsara tonelina);
    • Ny protocol BGPv4. Midika izany fa ho an'ny SOHO dia mety ho Mikrotik na router misy OpenWRT/LEDE/mitovitovy amin'ny firmware mahazatra izay ahafahanao mametraka Quagga na Bird. Tsy voarara koa ny fampiasana ny router PC. Raha misy orinasa iray, tadiavo ny fanohanan'ny BGP ao amin'ny antontan-taratasy momba ny router sisintany.
  3. Tokony hanana fahatakarana ny fampiasana Linux sy ny teknolojian'ny tambajotra ianao, anisan'izany ny protocol BGP. Na farafaharatsiny te hahazo hevitra toy izany. Koa satria tsy vonona ny handray ny fahamaroana aho amin'ity indray mitoraka ity, dia tsy maintsy mandalina ny lafiny sasany izay tsy takatry ny sainao samirery ianao. Na izany aza, mazava ho azy fa hamaly fanontaniana manokana ao amin'ny fanehoan-kevitra aho ary tsy azo inoana fa izaho irery no mamaly, koa aza misalasala manontany.

Inona no ampiasaina amin'ny ohatra

  • Dika mitovy amin'ny rejisitra - avy amin'ny https://github.com/zapret-info/z-i 
  • VPS - Ubuntu 16.04
  • Serivisy lalana - vorona 1.6.3   
  • Ny router- Mikrotik hAP ac
  • Lahatahiry miasa - satria miasa toy ny faka isika, ny ankamaroan'ny zava-drehetra dia ho hita ao amin'ny lahatahiry an-trano. tsirairay avy:
    • /root/blacklist - lahatahiry miasa miaraka amin'ny script compilation
    • /root/zi - dika mitovy amin'ny rejisitra avy amin'ny github
    • /etc/bird - lahatahiry mahazatra ho an'ny firafitry ny serivisy vorona
  • Ny adiresy IP ivelany an'ny VPS miaraka amin'ny mpizara zotra sy ny teboka famaranana tonelina dia 194.165.22.146, ASN 64998; adiresy IP ivelany an'ny router - 81.177.103.94, ASN 64999
  • Ny adiresy IP ao anatin'ny tonelina dia 172.30.1.1 sy 172.30.1.2.

Mametraka BGP mba hialana amin'ny fanakanana, na "Ahoana no nitsaharako tsy natahotra sy nitiavako RKN"

Mazava ho azy, azonao atao ny mampiasa router hafa, rafitra miasa ary vokatra rindrambaiko, manitsy ny vahaolana amin'ny lojikany.

Fohy - ny lojika ny vahaolana

  1. Hetsika fanomanana
    1. Mahazo VPS
    2. Manangana tonelina avy amin'ny router mankany amin'ny VPS
  2. Mahazo sy manavao tsy tapaka ny dika mitovy amin'ny rejisitra izahay
  3. Fametrahana sy fanamboarana ny serivisy zotra
  4. Mamorona lisitr'ireo lalana static ho an'ny serivisy zotra mifototra amin'ny rejisitra izahay
  5. Mampifandray ny router amin'ny serivisy izahay ary manamboatra ny fandefasana ny fifamoivoizana rehetra amin'ny alàlan'ny tonelina.

Ny tena vahaolana

Hetsika fanomanana

Misy serivisy maro amin'ny Internet izay manome VPS amin'ny vidiny mirary. Hatreto aho dia nahita ary mampiasa ny safidy ho an'ny $ 9 / taona, fa na dia tsy manelingelina loatra aza ianao, dia misy safidy maro ho an'ny 1E / volana isaky ny zorony. Ny fanontaniana momba ny fisafidianana VPS dia lavitra lavitra an'ity lahatsoratra ity, ka raha misy olona tsy mahatakatra zavatra momba izany dia manontania ao amin'ny fanehoan-kevitra.

Raha mampiasa VPS ianao tsy ho an'ny serivisy zotra ihany, fa koa hampitsahatra ny tonelina eo aminy, dia mila manangana ity tonelina ity ianao ary azo antoka fa amboary ny NAT ho azy. Betsaka ny toromarika momba ireo hetsika ireo amin'ny Internet, tsy haveriko eto. Ny fepetra fototra ho an'ny tonelina toy izany dia ny tsy maintsy mamorona interface misaraka amin'ny router-nao izay manohana ny tonelina mankany amin'ny VPS. Ny ankamaroan'ny teknolojia VPN ampiasaina dia mahafeno io fepetra io - ohatra, ny OpenVPN amin'ny fomba tun dia tonga lafatra.

Mahazo dika mitovy amin'ny rejisitra

Araka ny nolazain’i Jabrail hoe: “Izay misakana antsika dia hanampy antsika”. Koa satria ny RKN dia mamorona rejisitry ny loharanon-karena voarara, dia fahotana ny tsy fampiasana io rejisitra io hamahana ny olanay. Hahazo dika mitovy amin'ny rejisitra avy amin'ny github izahay.

Mandehana any amin'ny mpizara Linux-nao izahay, latsaka ao anatin'ny fotony fototra (sudo su -) ary apetraho git raha tsy efa napetraka.

apt install git

Mandehana any amin'ny lahatahiry an-tranonao ary esory ny dika mitovy amin'ny rejisitra.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i 

Nanangana fanavaozana cron izahay (manao indray mandeha isaky ny 20 minitra aho, fa afaka misafidy izay elanelana mahaliana anao ianao). Mba hanaovana izany dia manomboka crontab -e ary ampio ity andalana manaraka ity:

*/20 * * * * cd ~/z-i && git pull && git gc

Ampifandraiso amin'ny hook iray izay hamorona rakitra ho an'ny serivisy zotra aorian'ny fanavaozana ny rejisitra. Mba hanaovana izany, mamorona rakitra /root/zi/.git/hooks/post-merge miaraka amin'ireto votoaty manaraka ireto:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

ary aza adino ny manao azy ho executable

chmod +x /root/z-i/.git/hooks/post-merge

Hamorona ny script makebgp izay tondroin'ny hook indray izahay.

Fametrahana sy fanefena serivisy zotra

Mametraka vorona. Indrisy anefa fa ny dikan'ny vorona navoaka amin'izao fotoana izao ao amin'ny tahiry Ubuntu dia azo ampitahaina amin'ny freshness amin'ny Archaeopteryx feces, noho izany dia mila ampiana aloha ny PPA ofisialin'ny mpamorona rindrambaiko amin'ny rafitra.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

Aorian'izany dia manafoana avy hatrany ny vorona ho an'ny IPv6 - tsy mila izany amin'ity fametrahana ity izahay.

systemctl stop bird6
systemctl disable bird6

Ity ambany ity ny rakitra fanamafisana serivisy vorona minimalistic (/etc/bird/bird.conf), izay ampy ho antsika (ary mampahatsiahy anao indray aho fa tsy misy mandrara ny fampivoarana sy ny fanitsiana ny hevitra hifanaraka amin'ny filanao manokana)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

ny router id - ny router identifier, izay hita maso toy ny adiresy IPv4, fa tsy iray. Amin'ny tranga misy antsika dia mety ho isa 32-bit amin'ny endrika adiresy IPv4 izany, saingy endrika tsara ny manondro ny adiresy IPv4 amin'ny fitaovanao (amin'ity tranga ity, VPS).

Ny protocol direct dia mamaritra hoe iza amin'ireo interface no hiasa amin'ny fizotran'ny zotra. Ny ohatra dia manome anarana ohatra roa, azonao ampiana hafa. Azonao atao ny mamafa tsotra izao ny tsipika; amin'ity tranga ity, ny mpizara dia hihaino ny interface rehetra misy miaraka amin'ny adiresy IPv4.

protocol static dia majika izay mameno lisitry ny prefix sy adiresy IP (izay prefixes /32, mazava ho azy) avy amin'ny rakitra ho an'ny fanambarana manaraka. Avy aiza ireo lisitra ireo no horesahina etsy ambany. Azafady, mariho fa ny fandefasana adiresy IP dia aseho amin'ny alàlan'ny default, ny anton'izany dia ny habetsahan'ny fandefasana. Ho fampitahana, amin'ny fotoana anoratana, dia misy andalana 78 ao amin'ny lisitry ny prefix, ary 85898 ao amin'ny lisitry ny adiresy IP. Manoro hevitra mafy aho hanomboka sy debugging amin'ny lisitry ny prefix ihany, ary raha azo atao na tsia ny fampidirana IP anjaranao ny manapa-kevitra ny ho avy rehefa avy nanandrana ny router-nao. Tsy ny tsirairay amin'izy ireo no afaka mandevona mora foana ny fidirana 85 arivo ao amin'ny tabilao routing.

protocol bgp, raha ny marina, dia mametraka bgp peering amin'ny router-nao. Ny adiresy IP dia ny adiresin'ny interface ivelany ny router (na ny adiresin'ny tonelina interface tsara eo amin'ny lafiny router), 64998 sy 64999 no isan'ny rafitra tsy miankina. Amin'ity tranga ity dia azo omena amin'ny endrika isa 16-bit izy ireo, saingy fanao tsara ny mampiasa isa AS avy amin'ny sehatra manokana voafaritry ny RFC6996 - 64512-65534 (misy endrika ho an'ny ASN 32-bit, fa amin'ny tranga misy antsika dia tena tafahoatra izany). Ny fanamafisam-peo nofaritana dia mampiasa eBGP peering, izay tsy maintsy hafa ny isan'ny rafitra tsy miankina amin'ny serivisy zotra sy ny router.

Araka ny hitanao dia mila mahafantatra ny adiresy IP an'ny router ny serivisy, ka raha manana adiresy manokana (RFC1918) na zaraina (RFC6598) ianao, dia tsy manana safidy hampiakatra ny peering amin'ny ivelany. interface tsara, fa ny serivisy dia mbola hiasa ao anaty tonelina.

Mazava ho azy fa avy amin'ny serivisy iray dia afaka manome lalana mankany amin'ny router maro samihafa ianao - avereno fotsiny ny fanovana ho azy ireo amin'ny alàlan'ny kopia ny fizarana bgp protocol ary manova ny adiresy IP an'ny mpifanolo-bodirindrina. Izany no mahatonga ny ohatra mampiseho ny toe-javatra amin'ny fijerena ivelan'ny tonelina, ho toy ny mahazatra indrindra. Mora ny manala azy ireo ao anaty tonelina amin'ny alàlan'ny fanovana ny adiresy IP amin'ny toe-javatra mifanaraka amin'izany.

Fanodinana ny rejisitra ho an'ny serivisy zotra

Ankehitriny dia mila mamorona lisitry ny prefix sy adiresy IP isika, izay voalaza ao amin'ny protocol static tamin'ny dingana teo aloha. Mba hanaovana izany, maka ny fichier rejistra isika ary manao ireo rakitra ilaintsika amin'ny fampiasana ity script manaraka ity, napetraka ao /root/blacklist/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

Aza adino ny manao azy ho executable

chmod +x /root/blacklist/makebgp

Ankehitriny dia azonao atao ny mampandeha azy amin'ny tanana ary mijery ny fisehon'ny rakitra ao amin'ny /etc/bird.

Azo inoana fa tsy miasa ho anao ny vorona amin'izao fotoana izao, satria tamin'ny dingana teo aloha dia nangataka azy ianao hitady ireo rakitra mbola tsy nisy. Noho izany, manomboka izany izahay ary manamarina fa nanomboka:

systemctl start bird
birdc show route

Ny famoahana ny baiko faharoa dia tokony hampiseho rakitra 80 eo ho eo (izao aloha, fa rehefa apetrakao dia miankina amin'ny zotom-pon'ny RKN amin'ny fanakanana tambajotra) zavatra toy izao:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

ekipa

birdc show protocol

dia hampiseho ny satan'ny protocols ao anatin'ny serivisy. Mandra-panamboaranao ny router (jereo ny teboka manaraka), ny protocol OurRouter dia ho ao amin'ny fanjakana fanombohana (Connect na Active phase), ary aorian'ny fifandraisana mahomby dia mankany amin'ny fanjakana ambony (Established phase). Ohatra, ao amin'ny rafitra misy ahy dia toy izao ny fivoahan'ity baiko ity:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

Mampifandray ny router

Reraky ny rehetra angamba ny mamaky ity lamban-tongotra ity, fa matokia fa efa akaiky ny farany. Ankoatr'izay, amin'ity fizarana ity dia tsy ho afaka hanome torolàlana amin'ny dingana aho - ho samy hafa ho an'ny mpanamboatra tsirairay izany.

Na izany aza, afaka mampiseho ohatra roa aho. Ny lojika lehibe dia ny manangana ny BGP peering ary manendry nexthop amin'ny prefix voaray rehetra, manondro ny tonelinay (raha mila mandefa fifamoivoizana amin'ny alàlan'ny interface p2p) na ny adiresy IP nexthop raha mankany amin'ny ethernet ny fifamoivoizana).

Ohatra, amin'ny Mikrotik ao amin'ny RouterOS dia voavaha toy izao manaraka izao

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

ary ao amin'ny Cisco IOS - tahaka izao

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

Raha io tonelina io ihany no ampiasaina amin'ny fijerena BGP sy amin'ny fampitana fifamoivoizana mahasoa, dia tsy ilaina ny mametraka nexthop fa apetraka tsara amin'ny alàlan'ny protocol. Saingy raha apetrakao amin'ny tanana izany dia tsy hanaratsy azy koa izany.

Amin'ny sehatra hafa dia tsy maintsy mamantatra ny fanamafisana ny tenanao ianao, fa raha manana olana ianao dia manorata ao amin'ny fanehoan-kevitra, hiezaka hanampy aho.

Rehefa nanomboka ny fivoriana BGP-nao, dia tonga ny lalana mankany amin'ny tambajotra lehibe ary napetraka eo amin'ny latabatra, nikoriana nankany amin'ny adiresin'izy ireo ny fifamoivoizana ary efa akaiky ny fahasambarana, afaka miverina amin'ny serivisy vorona ianao ary manandrana manafoana ny fidirana ao izay mampifandray ny lisitry ny adiresy IP, tanteraho aorian'izay

systemctl reload bird

ary jereo ny fomba namindran'ny router-nao ireo lalana 85 arivo ireo. Miomàna hanala ny plug ary eritrereto izay tokony hatao :)

Итого

Ara-teorika tsotra izao, rehefa vita ny dingana voalaza etsy ambony, dia manana serivisy ianao izay mamindra ho azy ny fifamoivoizana mankany amin'ny adiresy IP voarara ao amin'ny Federasiona Rosiana mihoatra ny rafitra sivana.

Mazava ho azy fa azo hatsaraina izany. Ohatra, mora ny mamintina ny lisitry ny adiresy IP amin'ny alàlan'ny vahaolana perl na python. Ny script Perl tsotra manao izany amin'ny fampiasana Net::CIDR::Lite dia mamadika ny prefix 85 arivo ho 60 (fa tsy arivo), fa mazava ho azy, mandrakotra adiresy maromaro kokoa noho ny voasakana.

Koa satria ny serivisy dia miasa amin'ny ambaratonga fahatelo amin'ny maodely ISO/OSI, dia tsy hamonjy anao amin'ny fanakanana tranokala/pejy raha toa ka mamaha ny adiresy diso araka ny voarakitra ao amin'ny rejisitra. Saingy miaraka amin'ny rejisitra, ny rakitra nxdomain.txt dia tonga avy amin'ny github, izay miaraka amin'ny kapoka vitsivitsy amin'ny script dia mora mivadika ho loharanon'ny adiresy, ohatra, ny SwitchyOmega plugin ao amin'ny Chrome.

Ilaina ihany koa ny milaza fa ny vahaolana dia mitaky fanatsarana fanampiny raha tsy mpampiasa Internet fotsiny ianao, fa mamoaka loharanon-karena sasany ho anao manokana (ohatra, tranonkala na mpizara mailaka mandeha amin'ity fifandraisana ity). Amin'ny fampiasana ny fomba fiasan'ny router dia ilaina ny mamatotra mafy ny fifamoivoizana mivoaka avy amin'ity serivisy ity amin'ny adiresinao ho an'ny daholobe, raha tsy izany dia ho very ny fifandraisana amin'ireo loharano voarakotry ny lisitry ny prefix noraisin'ny router.

Raha manana fanontaniana ianao dia manontania fa vonona hamaly aho.

UPD. Misaotra anao navion и TerAnYu ho an'ny paramètre ho an'ny git izay mamela ny fampihenana ny habetsaky ny fampidinana.

UPD2. Ry mpiara-miasa, toa nanao hadisoana aho tamin'ny tsy fampidirana torolàlana momba ny fametrahana tonelina eo anelanelan'ny VPS sy ny router amin'ny lahatsoratra. Betsaka ny fanontaniana mipetraka amin'izany.
Raha sanatria, ho marihiko indray fa alohan'ny hanombohan'ity torolàlana ity dia efa nanamboatra tonelina VPN amin'ny lalana ilainao ianao ary nanamarina ny fampiasany (ohatra, amin'ny alàlan'ny fanodinana ny fifamoivoizana any amin'ny alàlan'ny default na statically). Raha mbola tsy nahavita an'io dingana io ianao, dia tsy dia misy dikany loatra ny manaraka ny dingana ao amin'ny lahatsoratra. Mbola tsy manana lahatsoratra manokana momba an'io aho, fa raha google ianao dia "manorina mpizara OpenVPN" miaraka amin'ny anaran'ny rafitra miasa napetraka ao amin'ny VPS, ary "manorina mpanjifa OpenVPN" miaraka amin'ny anaran'ny router-nao. , mety hahita lahatsoratra maromaro momba ity lohahevitra ity ianao, anisan'izany ny Habré.

UPD3. Tsy natao sorona Nanoratra kaody aho izay mamadika ny dump.csv ho rakitra vokarina ho an'ny vorona miaraka amin'ny famintinana azo atao ny adiresy IP. Noho izany, ny fizarana "Fikarakarana ny rejisitra ho an'ny serivisy zotra" dia azo soloina amin'ny fiantsoana ny programany. https://habr.com/post/354282/#comment_10782712

UPD4. Asa kely momba ny hadisoana (tsy nampidiriko tamin'ny lahatsoratra izy ireo):
1) kosa systemctl reload bird misy dikany ny mampiasa ny baiko birdc configure.
2) ao amin'ny router Mikrotik, fa tsy manova ny nexthop amin'ny IP amin'ny lafiny faharoa amin'ny tonelina /routing filter add action=accept chain=dynamic-in protocol=bgp comment=»Set nexthop»set-in-nexthop=172.30.1.1 misy dikany ny mamaritra mivantana ny lalana mankany amin'ny tonelina, tsy misy adiresy /routing filter add action=accept chain=dynamic-in protocol=bgp comment=»Set nexthop»set-in-nexthop-direct=<anaran'ny interface>

UPD5. Nisy serivisy vaovao niseho https://antifilter.download, izay ahafahanao maka lisitry ny adiresy IP efa vonona. Havaozina isaky ny antsasak'adiny. Eo amin'ny lafiny mpanjifa, ny hany sisa tavela dia ny fametrahana ny firaketana miaraka amin'ny "lalana ... mandà".
Ary amin'izao fotoana izao, angamba, dia ampy ny manosotra ny renibenao sy manavao ny lahatsoratra.

UPD6. Dikan-dahatsoratra nohavaozina ho an'ireo izay tsy te hahalala izany, fa te hanomboka - eto.

Source: www.habr.com

Add a comment