🥇 د بلاک کولو څخه د بای پاس کولو لپاره د BGP تنظیم کول، یا "څنګه ما د ډاریدو مخه ونیوله او د RKN سره مینه لرم"

ښه، ښه، د "مینه" په اړه مبالغه ده. بلکه، "د دې توان درلود چې یوځای پاتې شي."

لکه څنګه چې تاسو ټول پوهیږئ، د اپریل له 16، 2018 راهیسې، Roskomnadzor په خورا پراخه توګه په انټرنیټ کې سرچینو ته د لاسرسي مخه نیسي، "د ډومین نومونو متحد راجستر، په انټرنیټ کې د سایټونو پاڼې شاخصونه او د شبکې پتې چې د سایټونو پیژندلو اجازه ورکوي" اضافه کړي. په انټرنیټ" کې د معلوماتو ویشل چې د روسیې په فدراسیون کې منع دي" (په متن کې - یوازې یو راجستر) د /10 ځینې وختونه. د پایلې په توګه، د روسیې د فدراسیون اتباع او سوداګر زیانمن شوي، په بشپړ ډول قانوني سرچینو ته چې دوی ورته اړتیا لري له لاسه ورکړي.

وروسته له هغه چې ما د هابرې یوې مقالې ته په تبصرو کې وویل چې زه د بای پاس سکیم په جوړولو کې د قربانیانو سره مرستې ته چمتو یم، څو خلک ما ته راغلل چې د مرستې غوښتنه یې وکړه. کله چې هر څه د دوی لپاره کار کاوه، یو له دوی څخه په یوه مقاله کې د تخنیک تشریح کولو وړاندیز وکړ. د یو څه فکر کولو وروسته ، ما پریکړه وکړه چې په سایټ کې خپله چوپتیا ماته کړم او د یو ځل لپاره هڅه وکړم چې د پروژې او فیسبوک پوسټ ترمینځ مینځګړیتوب ولیکم ، د بیلګې په توګه. habrapost. پایله ستاسو په مخ کې ده.

دادعا

څرنګه چې دا خورا قانوني نه ده چې د روسیې فدراسیون په خاوره کې منع شوي معلوماتو ته د لاسرسي بندولو مخه ونیسي ، د دې مقالې هدف به د یوې میتود په اړه وغږیږي چې تاسو ته اجازه درکوي په اتوماتیک ډول سرچینو ته لاسرسی ومومئ چې اجازه لري. د روسیې د فدراسیون ساحه، مګر د بل چا د کړنو له امله مستقیم ستاسو د چمتو کونکي له لارې د لاسرسي وړ ندي. او د مقالې څخه د عملونو په پایله کې ترلاسه شوي نورو سرچینو ته لاسرسی بدبختانه اړخ اغیزه ده او په هیڅ ډول د مقالې هدف نه دی.

همچنان ، ځکه چې زه په اصل کې د مسلک ، مسلک او ژوند لاره له مخې د شبکې معمار یم ، برنامه کول او لینکس زما قوي ټکي ندي. له همدې امله، البته، سکریپټونه ښه لیکل کیدی شي، په VPS کې امنیتي مسلې په ژوره توګه کار کیدی شي، او نور. ستاسو وړاندیزونه به په مننې سره ومنل شي، که دوی کافي تفصيلي وي - زه به خوښ شم چې د مقالې متن کې یې اضافه کړم.

د تمديد؛ DR

موږ ستاسو د موجوده تونل له لارې سرچینو ته لاسرسی د راجسټری او BGP پروتوکول کاپي په کارولو سره اتومات کوو. هدف دا دی چې په تونل کې بند شوي سرچینو ته په ګوته شوي ټول ترافیک لرې کړي. لږترلږه توضیحات، ډیری وختونه ګام په ګام لارښوونې.

تاسو د دې لپاره څه ته اړتیا لرئ؟

له بده مرغه، دا پوسټ د هرچا لپاره نه دی. د دې تخنیک کارولو لپاره، تاسو اړتیا لرئ څو عناصر یوځای کړئ:

تاسو باید د بلاک کولو ساحې څخه بهر د لینکس سرور ولرئ. یا لږترلږه د داسې سرور درلودلو هیله - خوشبختانه دا اوس د $ 9 / کال څخه لګښت لري، او ممکن لږ. میتود هم مناسب دی که تاسو جلا VPN تونل ولرئ ، نو سرور د بلاک کولو ساحې دننه موقعیت کیدی شي.
ستاسو روټر باید دومره هوښیار وي چې وړتیا ولري
- هر هغه VPN پیرودونکي چې تاسو یې خوښوي (زه OpenVPN ته ترجیح ورکوم، مګر دا کیدای شي PPTP، L2TP، GRE + IPSec یا کوم بل اختیار وي چې د تونل انٹرفیس رامینځته کوي)؛
- BGPv4 پروتوکول. د دې معنی دا ده چې د SOHO لپاره دا کیدی شي مایکروټیک یا کوم روټر د OpenWRT/LEDE/ ورته دودیز فرم ویئر سره وي چې تاسو ته اجازه درکوي کواګا یا برډ نصب کړئ. د کمپیوټر روټر کارول هم منع ندي. د یوې تصدۍ په حالت کې، د خپل سرحد روټر لپاره اسنادو کې د BGP ملاتړ وګورئ.
تاسو باید د BGP پروتوکول په شمول د لینکس کارولو او شبکې ټیکنالوژیو پوهه ولرئ. یا لږ تر لږه غواړئ داسې نظر ترلاسه کړئ. څرنګه چې زه دا ځل د پراخوالي منلو ته چمتو نه یم، تاسو باید ځینې اړخونه مطالعه کړئ چې تاسو پخپله د پوهیدو وړ ندي. په هرصورت، زه به، البته، په نظرونو کې ځانګړي پوښتنو ته ځواب ووایم او زه احتمال نه لرم چې یوازینی ځواب وي، نو له دې څخه ډډه مه کوئ.

هغه څه چې په مثال کې کارول کیږي

د راجستر یوه کاپي - څخه https://github.com/zapret-info/z-i
VPS - اوبنټو 16.04
د تګ راتګ خدمت - مرغۍ 1.6.3
روټر - Mikrotik hAP ac
کاري فولډرونه - له هغه ځایه چې موږ د روټ په توګه کار کوو، ډیری هرڅه به د روټ کور فولډر کې موقعیت ولري. په ترتیب سره:
- /root/blacklist - د تالیف سکریپټ سره کاري فولډر
- /root/zi - د ګیتوب څخه د راجسټری کاپي
- /etc/bird - د الوتونکو خدماتو ترتیباتو لپاره معیاري فولډر
د روټینګ سرور سره د VPS بهرنی IP پته او د تونل پای ټکی 194.165.22.146، ASN 64998 دی؛ د روټر بهرنۍ IP پته - 81.177.103.94، ASN 64999
د تونل دننه IP پتې په ترتیب سره 172.30.1.1 او 172.30.1.2 دي.

البته، تاسو کولی شئ کوم بل روټرونه، عملیاتي سیسټمونه او سافټویر محصولات وکاروئ، د دوی منطق ته د حل حل کول.

په لنډه توګه - د حل منطق

چمتووالی عملونه
1. د VPS ترلاسه کول
2. د روټر څخه VPS ته د تونل پورته کول
موږ په منظم ډول د راجسټری کاپي ترلاسه کوو او تازه کوو
د روټینګ خدمت نصب او تنظیم کول
موږ د راجسټری پراساس د روټینګ خدمت لپاره د جامد لارو لیست رامینځته کوو
موږ روټر له خدمت سره وصل کوو او د تونل له لارې د ټولو ترافیک لیږلو ترتیب کوو.

اصلي حل

چمتووالی عملونه

په انټرنیټ کې ډیری خدمتونه شتون لري چې د خورا مناسب قیمتونو لپاره VPS چمتو کوي. تر دې دمه ما موندلی او د $ 9 / کال لپاره اختیار کاروم ، مګر حتی که تاسو ډیر ځور نه کوئ ، په هر کونج کې د 1E / میاشت لپاره ډیری اختیارونه شتون لري. د VPS غوره کولو پوښتنه د دې مقالې له ساحې څخه لرې ده ، نو که څوک پدې اړه یو څه نه پوهیږي ، په نظرونو کې یې وپوښتئ.

که تاسو نه یوازې د روټینګ خدمت لپاره VPS کاروئ ، بلکه پدې کې د تونل ختمولو لپاره هم ، تاسو اړتیا لرئ دا تونل پورته کړئ او نږدې یقینا د دې لپاره NAT تنظیم کړئ. په انټرنیټ کې د دې کړنو په اړه ډیری لارښوونې شتون لري، زه به یې دلته تکرار نه کړم. د دې ډول تونل لپاره اصلي اړتیا دا ده چې دا باید ستاسو په روټر کې یو جلا انٹرفیس رامینځته کړي چې د VPS په لور تونل ملاتړ کوي. ډیری کارول شوي VPN ټیکنالوژي دا اړتیا پوره کوي - د مثال په توګه ، په تون حالت کې OpenVPN کامل دی.

د راجستری کاپي ترلاسه کول

لکه څنګه چې جبرائیل وویل: "څوک چې زموږ مخه نیسي هغه به زموږ سره مرسته وکړي." څرنګه چې RKN د منع شوي سرچینو راجستر رامینځته کوي، نو دا به ګناه وي چې دا راجستر زموږ د ستونزې د حل لپاره ونه کارول شي. موږ به د ګیتوب څخه د راجسټری یوه کاپي ترلاسه کړو.

موږ ستاسو د لینکس سرور ته ځو ، د ریښې شرایطو ته راځو (sudo su -) او git نصب کړئ که چیرې دا دمخه نصب شوی نه وي.

apt install git

د خپل کور لارښود ته لاړ شئ او د راجسټری یوه کاپي وباسئ.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i

موږ د کرون تازه معلومات تنظیم کړل (زه دا په هرو 20 دقیقو کې یو ځل ترسره کوم، مګر تاسو کولی شئ هر هغه وقفه وټاکئ چې ستاسو سره علاقه لري). د دې کولو لپاره موږ پیل کوو crontab -e او لاندې کرښه دې ته اضافه کړئ:

*/20 * * * * cd ~/z-i && git pull && git gc

موږ یو هک وصل کوو چې د راجسټری تازه کولو وروسته به د روټینګ خدمت لپاره فایلونه رامینځته کړي. د دې کولو لپاره، یو فایل جوړ کړئ /root/zi/.git/hooks/post-merge د لاندې منځپانګې سره:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

او دا مه هیروئ چې د اجرا وړ یې کړئ

chmod +x /root/z-i/.git/hooks/post-merge

موږ به د makebgp سکریپټ جوړ کړو چې هک لږ وروسته ورته اشاره کوي.

د روټینګ خدمت نصب او تنظیم کول

مرغۍ نصب کړئ. له بده مرغه، د مرغۍ نسخه چې اوس مهال د اوبنټو ذخیره کې ځړول شوي د آرکیوپټریکس فیز سره په تازه کولو کې د پرتلې وړ ده، نو موږ باید لومړی په سیسټم کې د سافټویر پراختیا کونکو رسمي PPA اضافه کړو.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

له دې وروسته، موږ سمدلاسه د IPv6 لپاره مرغۍ غیر فعال کوو - موږ به پدې نصب کې ورته اړتیا ونلرو.

systemctl stop bird6
systemctl disable bird6

لاندې د لږ تر لږه الوتونکو خدماتو ترتیب کولو فایل دی (/etc/bird/bird.conf)، کوم چې زموږ لپاره کافي دی (او زه یوځل بیا تاسو ته یادونه کوم چې هیڅوک ستاسو د اړتیاو سره سم د نظر رامینځته کولو او تنظیم کولو مخه نه نیسي)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

د روټر id - د روټر پیژندونکی ، کوم چې په لید کې د IPv4 پته په څیر ښکاري ، مګر یو ندی. زموږ په قضیه کې، دا د IPv32 پتې بڼه کې هر ډول 4-bit شمیره کیدی شي، مګر دا ښه بڼه ده چې ستاسو د وسیلې IPv4 پته په سمه توګه په ګوته کړئ (په دې حالت کې، VPS).

پروتوکول مستقیم تعریفوي چې کوم انٹرفیس به د روټینګ پروسې سره کار وکړي. مثال د یو څو مثالونو نومونه ورکوي، تاسو کولی شئ نور اضافه کړئ. تاسو کولی شئ په ساده ډول لاین حذف کړئ؛ پدې حالت کې ، سرور به د IPv4 پتې سره ټول موجود انٹرفیسونه واوري.

د پروتوکول جامد زموږ جادو دی چې د راتلونکي اعلان لپاره د فایلونو څخه د مخکینیو او IP پتې لیستونه (کوم چې واقعیا / 32 مخکیني دي) باروي. دا لیستونه له کوم ځای څخه راځي لاندې به بحث وشي. مهرباني وکړئ په یاد ولرئ چې د IP پتې بار کول د ډیفالټ لخوا تبصره کیږي ، د دې لامل د اپلوډ کولو لوی مقدار دی. د پرتله کولو لپاره، د لیکلو په وخت کې، د مخکینیو په لیست کې 78 لینونه شتون لري، او د IP پتې په لیست کې 85898. زه په کلکه وړاندیز کوم چې یوازې د مخکینیو په لیست کې پیل او ډیبګ کول، او ایا په کې د IP بار کولو فعالول یا نه. راتلونکی تاسو پورې اړه لري چې ستاسو د روټر تجربه کولو وروسته پریکړه وکړئ. د دوی هر یو نشي کولی په اسانۍ سره د روټینګ جدول کې 85 زره ننوتل هضم کړي.

پروتوکول bgp، په حقیقت کې، ستاسو د روټر سره bgp پییر کول تنظیموي. IP پته د روټر د بهرني انٹرفیس پته ده (یا د روټر اړخ کې د تونل انٹرفیس پته) ، 64998 او 64999 د خپلواکو سیسټمونو شمیرې دي. په دې حالت کې، دوی د هر ډول 16-bit شمیرو په بڼه ټاکل کیدی شي، مګر دا ښه عمل دی چې د خصوصي حد څخه د AS شمیرو څخه کار واخلئ چې د RFC6996 - 64512-65534 لخوا تعریف شوي (د 32-bit ASNs لپاره بڼه شتون لري، مګر زموږ په قضیه کې دا یقینا ډیر زیان دی). تشریح شوی ترتیب د eBGP پییرنګ کاروي، په کوم کې چې د روټینګ خدمت او روټر د خپلواکو سیسټمونو شمیر باید توپیر ولري.

لکه څنګه چې تاسو لیدلی شئ، خدمت اړتیا لري چې د روټر IP پته وپیژني، نو که تاسو یو متحرک یا غیر روټر وړ شخصي (RFC1918) یا شریک شوی (RFC6598) پته لرئ، نو تاسو په بهر کې د پییر کولو لوړولو اختیار نلرئ. انٹرفیس، مګر خدمت به لاهم د تونل دننه کار وکړي.

دا هم خورا روښانه ده چې د یو خدمت څخه تاسو کولی شئ څو مختلف روټرونو ته لارې چمتو کړئ - یوازې د پروتوکول bgp برخې کاپي کولو او د ګاونډي IP پتې بدلولو سره د دوی لپاره تنظیمات نقل کړئ. له همدې امله مثال د تونل څخه بهر د لیدو لپاره تنظیمات ښیې ، د خورا نړیوال په توګه. د دې مطابق تنظیماتو کې د IP پتې بدلولو سره تونل ته د دوی لرې کول اسانه دي.

د روټینګ خدمت لپاره د راجسټری پروسس کول

اوس موږ اړتیا لرو، په حقیقت کې، د مخکینیو او IP پتې لیستونه جوړ کړو، کوم چې په مخکینۍ مرحله کې د پروتوکول جامد کې ذکر شوي. د دې کولو لپاره، موږ د راجستر فایل اخلو او هغه فایلونه چې موږ ورته اړتیا لرو د لاندې سکریپټ په کارولو سره جوړوو، /root/blacklist/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

مه هیروئ چې د اجرا وړ یې کړئ

chmod +x /root/blacklist/makebgp

اوس تاسو کولی شئ دا په لاسي ډول چل کړئ او په /etc/bird کې د فایلونو ظاهري بڼه وګورئ.

ډیری احتمال، په دې شیبه کې مرغۍ ستاسو لپاره کار نه کوي، ځکه چې په تیر پړاو کې تاسو له دې څخه وغوښتل چې هغه فایلونه وپلټئ چې تراوسه شتون نلري. له همدې امله، موږ دا پیل کوو او وګورو چې دا پیل شوی:

systemctl start bird
birdc show route

د دوهم کمانډ محصول باید شاوخوا 80 ریکارډونه وښیې (دا د اوس لپاره دی ، مګر کله چې تاسو یې تنظیم کړئ ، هرڅه به د بلاک کولو شبکې کې د RKN په لیوالتیا پورې اړه ولري) یو څه داسې:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

ټیم

birdc show protocol

په خدمت کې به د پروتوکولونو حالت وښیې. تر هغه چې تاسو روټر تنظیم کړی نه وي (راتلونکی ټکی وګورئ)، زموږ د روټر پروتوکول به په پیل حالت کې وي (وصل یا فعاله مرحله)، او د بریالي پیوستون وروسته به پورته حالت ته لاړ شي (تاسیس شوی مرحله). د مثال په توګه، زما په سیسټم کې د دې کمانډ محصول داسې ښکاري:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

د روټر سره نښلول

هرڅوک شاید د دې فوټ کلاټ لوستلو څخه ستړي وي ، مګر زړه واخلئ - پای نږدې دی. سربیره پردې ، پدې برخه کې به زه ونشو کولی ګام په ګام لارښوونې ورکړم - دا به د هر تولید کونکي لپاره توپیر ولري.

په هرصورت، زه کولی شم تاسو ته یو څو مثالونه وښیم. اصلي منطق دا دی چې د BGP پییرنګ پورته کړئ او ټولو ترلاسه شوي مخکینو ته Nexthop وټاکئ، زموږ تونل ته اشاره کوي (که موږ د p2p انٹرفیس له لارې ترافیک لیږلو ته اړتیا ولرو) یا د nexthop IP پته که چیرې ترافیک ایترنیټ ته لاړ شي).

د مثال په توګه، په RouterOS کې Mikrotik دا په لاندې ډول حل کیږي

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

او په سیسکو IOS کې - دا ډول

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

که ورته تونل دواړه د BGP پییر کولو او د ګټور ترافیک لیږد لپاره کارول کیږي ، نو اړینه نده چې Nexthop تنظیم کړئ؛ دا به د پروتوکول په کارولو سره سم تنظیم شي. مګر که تاسو دا په لاسي ډول تنظیم کړئ ، نو دا به هم خراب نه کړي.

په نورو پلیټ فارمونو کې ، تاسو باید پخپله تشکیلات ومومئ ، مګر که تاسو کومه ستونزه لرئ ، په نظرونو کې ولیکئ ، زه به د مرستې هڅه وکړم.

وروسته له دې چې ستاسو د BGP ناسته پیل شوه ، لویو شبکو ته لارې رسیدلي او په میز کې نصب شوي ، ترافیک له دوی څخه ادرسونو ته رسیدلی او خوښي نږدې ده ، تاسو کولی شئ د الوتونکو خدماتو ته بیرته راستون شئ او هڅه وکړئ هلته د ننوتلو مخه ونیسئ کوم چې سره نښلوي. د IP پتې لیست، وروسته اجرا کړئ

systemctl reload bird

او وګورئ چې ستاسو روټر دا 85 زره لارې څنګه لیږدولي. د خلاصولو لپاره چمتو اوسئ او فکر وکړئ چې د دې سره څه وکړي :)

ټول

په خالص نظري توګه، د پورته بیان شوي ګامونو بشپړولو وروسته، تاسو اوس یو خدمت لرئ چې په اتوماتيک ډول د فلټر کولو سیسټم څخه وروسته د روسیې فدراسیون کې منع شوي IP پتې ته ټرافیک لیږدوي.

دا، البته، ښه کیدی شي. د مثال په توګه، د پرل یا پیتون حلونو په کارولو سره د IP پتې لیست لنډیز کول خورا اسانه دي. یو ساده پرل سکریپټ د Net::CIDR::Lite په کارولو سره دا کار کوي 85 زره مخابرات په 60 (زره نه) بدلوي، مګر البته، د بند شوي پتې په پرتله خورا لوی سلسله پوښي.

څرنګه چې خدمت د ISO/OSI ماډل په دریمه کچه کار کوي، نو دا به تاسو د سایټ/پاڼې د بندولو څخه ونه سپموي که چیرې دا په راجستر کې ثبت شوي غلط پته حل کړي. مګر د راجسټری سره ، فایل nxdomain.txt د ګیتوب څخه راځي ، کوم چې د سکریپټ یو څو سټروکس سره په اسانۍ سره د پتې سرچینې بدلیږي ، د مثال په توګه ، په کروم کې د سویچی اومیګا پلگ ان.

دا هم اړینه ده چې یادونه وکړو چې حل اضافي اصالحاتو ته اړتیا لري که تاسو یوازې د انټرنیټ کاروونکي نه یاست، بلکې ځینې سرچینې هم په خپل ځان کې خپروي (د مثال په توګه، ویب پاڼه یا د میل سرور په دې ارتباط چلیږي). د روټر د وسیلو په کارولو سره، دا اړینه ده چې د دې خدمت څخه بهر ته تلونکي ټرافيک ستاسو عامه پتې ته په کلکه وتړئ، که نه نو تاسو به د هغو سرچینو سره اړیکه له لاسه ورکړئ چې د روټر لخوا ترلاسه شوي مخکینیو لیست پوښل شوي.

که تاسو کومه پوښتنه لرئ، پوښتنه وکړئ، زه چمتو یم چې ځواب ووایم.

UPD. له تاسو مننه navion и TerAnYu د git لپاره د پیرامیټونو لپاره چې د ډاونلوډ حجم کمولو ته اجازه ورکوي.

UPD2. همکارانو ، داسې ښکاري چې ما مقالې ته د VPS او روټر ترمینځ د تونل تنظیم کولو لپاره لارښوونې نه اضافه کولو سره غلطي کړې. له دې سره ډیرې پوښتنې راپورته کیږي.
یوازې په هغه حالت کې ، زه به یوځل بیا یادونه وکړم چې د دې لارښود پیل کولو دمخه ، تاسو دمخه د VPN تونل په هغه لار کې تنظیم کړی چې تاسو ورته اړتیا لرئ او د هغې فعالیت یې چیک کړی (د مثال په توګه ، د ډیفالټ یا سټیټیټ له لارې د ترافیک بدلولو سره). که تاسو دا مرحله تراوسه نه ده بشپړه کړې، نو دا په مقاله کې د ګامونو تعقیب لپاره ډیر معنی نلري. زه لاهم پدې اړه خپل متن نلرم ، مګر که تاسو ګوګل وکړئ "د OpenVPN سرور تنظیم کول" په VPS کې نصب شوي عملیاتي سیسټم نوم سره ، او ستاسو د روټر نوم سره "د OpenVPN پیرودونکي تنظیم کول" ، تاسو به ډیر احتمال په دې موضوع کې یو شمیر مقالې ومومئ ، پشمول د Habré په اړه.

UPD3. بې کفایته ما یو کوډ لیکلی چې dump.csv د مرغیو لپاره په پایله کې فایل بدلوي چې د IP پتې اختیاري لنډیز سره. له همدې امله ، د "روټینګ خدمت لپاره د راجسټری پروسس کول" برخه د دې برنامې په زنګ وهلو سره بدلیدلی شي. https://habr.com/post/354282/#comment_10782712

UPD4. په غلطیو لږ کار (ما دوی په متن کې نه دي اضافه کړي):
1) پرځای systemctl reload bird دا د کمانډ کارولو لپاره معنی لري birdc ترتیب.
2) په مایکروټیک روټر کې ، د دې پرځای چې د تونل دوهم اړخ IP ته Next شاپ بدل کړئ /روټینګ فلټر اضافه عمل = قبول زنځیر= متحرک-ان پروتوکول=bgp تبصره=»نیک شاپ تنظیم کړئ» په راتلونکي کې تنظیم کړئ=172.30.1.1 دا معنی لري چې مستقیم د تونل انٹرفیس ته لاره مشخص کړئ، پرته له پته /روټینګ فلټر اضافه عمل = قبول زنځیر = متحرک-ان پروتوکول = bgp تبصره = »Set Nexthop» set-in-nexthop-direct=<د انٹرفیس نوم>

UPD5. یو نوی خدمت څرګند شو https://antifilter.download، له هغه ځایه تاسو کولی شئ د IP پتې چمتو شوي لیستونه واخلئ. په هر نیم ساعت کې تازه کیږي. د پیرودونکي اړخ کې، ټول هغه څه چې پاتې دي د اړونده "لار... رد" سره ریکارډونه چوکاټ کول دي.
او پدې مرحله کې ، شاید ، دا کافي ده چې ستاسو انا وخورئ او مقاله تازه کړئ.

UPD6. د هغو کسانو لپاره د مقالې اصلاح شوې نسخه چې نه غواړي دا معلومه کړي، مګر غواړي پیل کړي - دلته.

سرچینه: www.habr.com

د بای پاس بلاک کولو لپاره د BGP تنظیم کول ، یا "څنګه ما ویره پریښوده او د RKN سره مینه لرم"