Prohoster > Blog > quản lý > Thiết lập BGP để vượt qua việc chặn hoặc "Làm thế nào tôi hết sợ hãi và yêu RKN"

Thiết lập BGP để vượt qua việc chặn hoặc "Làm thế nào tôi hết sợ hãi và yêu RKN"

Được rồi, nói “đã yêu” là cường điệu quá. Đúng hơn là "có thể cùng tồn tại với".

Như các bạn đã biết, kể từ ngày 16/2018/10, Roskomnadzor đã chặn truy cập vào các tài nguyên trên mạng với những chiêu trò cực kỳ rộng, thêm vào Unified Register các tên miền, con trỏ tới các trang của các trang trên Internet và các địa chỉ mạng cho phép bạn truy cập xác định các trang web trên Internet có chứa thông tin bị cấm phổ biến ở Liên bang Nga” (trong văn bản - chỉ là một sổ đăng ký) /XNUMX đôi khi. Kết quả là người dân Liên bang Nga và các doanh nghiệp phải gánh chịu thiệt hại khi mất khả năng tiếp cận các nguồn lực hoàn toàn hợp pháp mà họ cần.

Sau khi tôi nói trong phần bình luận cho một trong những bài báo trên Habré rằng tôi sẵn sàng giúp đỡ các nạn nhân thiết lập một kế hoạch bỏ qua, một số người đã đến gặp tôi để yêu cầu sự giúp đỡ như vậy. Khi mọi thứ đều hiệu quả với họ, một trong số họ đề xuất mô tả kỹ thuật này trong một bài báo. Sau một hồi suy nghĩ, tôi quyết định phá vỡ sự im lặng của mình trên trang web và thử viết một cái gì đó trung gian giữa một dự án và một bài đăng trên Facebook, tức là một lần. habrapost. Kết quả là ở phía trước của bạn.

Từ chối trách nhiệm

Vì việc công bố các cách vượt qua việc chặn quyền truy cập vào thông tin bị cấm trên lãnh thổ Liên bang Nga là không hợp pháp, nên mục đích của bài viết này sẽ là nói về một phương pháp cho phép bạn tự động hóa quyền truy cập vào các tài nguyên được phép trên lãnh thổ của Liên bang Nga, nhưng do hành động của ai đó nên không thể truy cập trực tiếp thông qua nhà cung cấp của bạn. Và quyền truy cập vào các tài nguyên khác có được nhờ các hành động từ bài viết, là một tác dụng phụ đáng tiếc và hoàn toàn không phải là mục đích của bài viết.

Ngoài ra, vì tôi chủ yếu là kiến ​​trúc sư mạng theo nghề nghiệp, nghề nghiệp và đường đời nên lập trình và Linux không phải là thế mạnh của tôi. Vì vậy, tất nhiên, các tập lệnh có thể được viết tốt hơn, các vấn đề bảo mật trong VPS có thể được giải quyết sâu hơn, v.v. Đề xuất của bạn sẽ được chấp nhận với lòng biết ơn nếu chúng đủ chi tiết - tôi sẽ vui lòng thêm chúng vào văn bản của bài viết.

TL; DR

Chúng tôi tự động hóa quyền truy cập vào tài nguyên thông qua đường hầm hiện có của bạn bằng cách sử dụng bản sao sổ đăng ký và giao thức BGP. Mục tiêu là loại bỏ tất cả lưu lượng truy cập có địa chỉ đến các tài nguyên bị chặn vào đường hầm. Giải thích tối thiểu, chủ yếu là hướng dẫn từng bước.

Bạn cần gì cho việc này

Thật không may, bài đăng này không dành cho tất cả mọi người. Để sử dụng kỹ thuật này, bạn sẽ cần kết hợp một số yếu tố:

  1. Bạn phải có máy chủ linux ở đâu đó bên ngoài trường chặn. Hoặc ít nhất là mong muốn có một máy chủ như vậy - may mắn thay nó hiện có giá từ $9/năm và có thể thấp hơn. Phương pháp này cũng phù hợp nếu bạn có đường hầm VPN riêng thì máy chủ có thể được đặt bên trong trường chặn.
  2. Bộ định tuyến của bạn phải đủ thông minh để có thể
    • bất kỳ máy khách VPN nào bạn thích (tôi thích OpenVPN hơn, nhưng nó có thể là PPTP, L2TP, GRE+IPSec và bất kỳ tùy chọn nào khác tạo giao diện đường hầm);
    • Giao thức BGPv4. Điều đó có nghĩa là đối với SOHO, đó có thể là Mikrotik hoặc bất kỳ bộ định tuyến nào có OpenWRT/LEDE/phần sụn tùy chỉnh tương tự cho phép bạn cài đặt Quagga hoặc Bird. Việc sử dụng bộ định tuyến PC cũng không bị cấm. Trong trường hợp là doanh nghiệp, hãy tìm hỗ trợ BGP trong tài liệu dành cho bộ định tuyến biên giới của bạn.
  3. Bạn nên làm quen với cách sử dụng Linux và các công nghệ mạng, bao gồm cả BGP. Hoặc ít nhất muốn có được ý tưởng đó. Vì lần này tôi chưa sẵn sàng đón nhận sự bao la nên bạn sẽ phải tự mình nghiên cứu một số điểm mà bạn chưa hiểu. Tuy nhiên, tất nhiên, tôi sẽ trả lời các câu hỏi cụ thể trong phần nhận xét và tôi không chắc là người duy nhất trả lời, vì vậy hãy thoải mái hỏi.

Những gì được sử dụng trong ví dụ

  • Một bản sao của sổ đăng ký - từ https://github.com/zapret-info/z-i 
  • VPS - Ubuntu 16.04
  • Dịch vụ định tuyến - chim 1.6.3   
  • Bộ định tuyến - Mikrotik hAP ac
  • Thư mục làm việc - vì chúng ta đang làm việc với quyền root nên hầu hết mọi thứ sẽ nằm trong thư mục gốc của thư mục gốc. Tương ứng:
    • /root/blacklist - thư mục làm việc với tập lệnh biên dịch
    • /root/zi - bản sao sổ đăng ký từ github
    • /etc/bird - thư mục chuẩn cho cài đặt dịch vụ chim
  • Chúng tôi chấp nhận 194.165.22.146, ASN 64998 làm địa chỉ IP bên ngoài của VPS với máy chủ định tuyến và điểm cuối đường hầm; địa chỉ IP bên ngoài của bộ định tuyến - 81.177.103.94, ASN 64999
  • Địa chỉ IP bên trong đường hầm lần lượt là 172.30.1.1 và 172.30.1.2.

Thiết lập BGP để vượt qua việc chặn hoặc "Làm thế nào tôi hết sợ hãi và yêu RKN"

Tất nhiên, bạn có thể sử dụng bất kỳ bộ định tuyến, hệ điều hành và sản phẩm phần mềm nào khác, điều chỉnh giải pháp theo logic của chúng.

Tóm lại - logic của quyết định

  1. Các hành động chuẩn bị
    1. Nhận VPS
    2. Nâng một đường hầm từ bộ định tuyến đến VPS
  2. Chúng tôi nhận và cập nhật thường xuyên bản sao của sổ đăng ký
  3. Cài đặt và cấu hình dịch vụ định tuyến
  4. Chúng tôi tạo danh sách các tuyến tĩnh cho dịch vụ định tuyến dựa trên sổ đăng ký
  5. Chúng tôi kết nối bộ định tuyến với dịch vụ và thiết lập gửi tất cả lưu lượng truy cập qua đường hầm.

Quyết định thực tế

Các hành động chuẩn bị

Trên Internet có rất nhiều dịch vụ cung cấp VPS với giá cực kỳ hợp lý. Cho đến nay tôi đã tìm thấy và đang sử dụng tùy chọn với giá 9 đô la/năm, nhưng ngay cả khi bạn không bận tâm quá nhiều, vẫn có rất nhiều tùy chọn với giá 1E/tháng ở mọi góc. Câu hỏi về việc chọn VPS nằm ngoài phạm vi của bài viết này, vì vậy nếu ai đó không hiểu điều gì đó về vấn đề này, hãy hỏi trong phần bình luận.

Nếu bạn sử dụng VPS không chỉ cho dịch vụ định tuyến mà còn để kết thúc một đường hầm trên đó, bạn cần phải nâng đường hầm này lên và gần như chắc chắn là phải định cấu hình NAT cho nó. Có rất nhiều hướng dẫn về những hành động này trên Internet, tôi sẽ không nhắc lại ở đây. Yêu cầu chính đối với một đường hầm như vậy là nó phải tạo một giao diện riêng trên bộ định tuyến của bạn để hỗ trợ đường hầm hướng tới VPS. Hầu hết các công nghệ VPN được sử dụng đều đáp ứng yêu cầu này - ví dụ: OpenVPN ở chế độ điều chỉnh là hoàn hảo.

Lấy một bản sao của sổ đăng ký

Như Jabrayil đã nói: “Ai cản trở chúng ta sẽ giúp đỡ chúng ta”. Vì RKN đang tạo một sổ đăng ký các tài nguyên bị cấm nên sẽ thật tội lỗi nếu không sử dụng sổ đăng ký này để giải quyết vấn đề của chúng ta. Chúng tôi sẽ nhận được một bản sao đăng ký từ github.

Chúng tôi truy cập máy chủ Linux của bạn, rơi vào bối cảnh root'a (sudo su-) và cài đặt git nếu nó chưa được cài đặt.

apt install git

Đi tới thư mục chính của bạn và lấy ra một bản sao của sổ đăng ký.

cd ~ && git clone --depth=1 https://github.com/zapret-info/z-i 

Chúng tôi thiết lập cập nhật cron (tôi thực hiện việc này 20 phút một lần, nhưng bạn có thể chọn bất kỳ khoảng thời gian nào mà bạn quan tâm). Để làm điều này chúng tôi khởi động -e crontab và thêm dòng sau vào nó:

*/20 * * * * cd ~/z-i && git pull && git gc

Chúng tôi kết nối một hook sẽ tạo các tệp cho dịch vụ định tuyến sau khi cập nhật sổ đăng ký. Để làm điều này, chúng tôi tạo một tập tin /root/zi/.git/hooks/post-merge với nội dung như sau:

#!/usr/bin/env bash
changed_files="$(git diff-tree -r --name-only --no-commit-id ORIG_HEAD HEAD)"
check_run() {
    echo "$changed_files" | grep --quiet "$1" && eval "$2"
}
check_run dump.csv "/root/blacklist/makebgp"

và đừng quên làm cho nó có thể thực thi được

chmod +x /root/z-i/.git/hooks/post-merge

Tập lệnh makebgp được tham chiếu bởi hook sẽ được tạo sau.

Cài đặt và cấu hình dịch vụ định tuyến

Cài đặt chim. Thật không may, phiên bản chim hiện được xuất bản trong kho Ubuntu có độ mới tương đương với phân của Archaeopteryx, vì vậy trước tiên chúng tôi cần thêm PPA chính thức của các nhà phát triển phần mềm vào hệ thống.

add-apt-repository ppa:cz.nic-labs/bird
apt update
apt install bird

Sau đó, chúng tôi vô hiệu hóa ngay lập tức bird đối với IPv6 - trong quá trình cài đặt này, chúng tôi sẽ không cần đến nó.

systemctl stop bird6
systemctl disable bird6

Dưới đây là tệp cấu hình dịch vụ chim tối giản (/etc/bird/bird.conf), đối với chúng tôi như vậy là khá đủ (và tôi nhắc bạn một lần nữa rằng không ai cấm phát triển và điều chỉnh ý tưởng cho phù hợp với nhu cầu của riêng bạn)

log syslog all;
router id 172.30.1.1;

protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

protocol device {
        scan time 60;
}

protocol direct {
        interface "venet*", "tun*"; # Restrict network interfaces it works with
}

protocol static static_bgp {
        import all;
        include "pfxlist.txt";
        #include "iplist.txt";
}

protocol bgp OurRouter {
        description "Our Router";
        neighbor 81.177.103.94 as 64999;
        import none;
        export where proto = "static_bgp";
        local as 64998;
        passive off;
        multihop;
}

id bộ định tuyến - mã định danh bộ định tuyến, trông giống như một địa chỉ IPv4 nhưng không phải là một địa chỉ. Trong trường hợp của chúng tôi, nó có thể là bất kỳ số 32 bit nào ở định dạng địa chỉ IPv4, nhưng đây là hình thức tốt để chỉ ra chính xác địa chỉ IPv4 của thiết bị của bạn (trong trường hợp này là VPS).

giao thức trực tiếp xác định giao diện nào sẽ hoạt động với quá trình định tuyến. Ví dụ đưa ra một số ví dụ về tên, bạn có thể bổ sung thêm. Bạn cũng có thể chỉ cần xóa đường truyền, trong trường hợp đó máy chủ sẽ lắng nghe trên tất cả các giao diện có sẵn có địa chỉ IPv4.

giao thức tĩnh là phép thuật của chúng tôi tải danh sách các tiền tố và địa chỉ IP (tất nhiên thực tế là tiền tố /32) từ các tệp để thông báo tiếp theo. Những danh sách này đến từ đâu sẽ được thảo luận dưới đây. Xin lưu ý rằng việc tải địa chỉ IP được nhận xét theo mặc định, lý do cho việc này là do số lượng tải lên lớn. Để so sánh, tại thời điểm viết bài, có 78 dòng trong danh sách tiền tố và 85898 trong danh sách địa chỉ IP. Tôi thực sự khuyên bạn chỉ nên bắt đầu và gỡ lỗi trên danh sách tiền tố và quyết định xem có để bật tải ip trong tương lai sau khi thử nghiệm với bộ định tuyến của bạn. Không phải ai trong số họ cũng có thể dễ dàng xử lý 85 nghìn mục trong bảng định tuyến.

giao thức bgp thực sự thiết lập bgp ngang hàng với bộ định tuyến của bạn. địa chỉ ip là địa chỉ giao diện bên ngoài của bộ định tuyến (hoặc địa chỉ của giao diện đường hầm từ phía bên của bộ định tuyến), 64998 và 64999 là số của hệ thống tự trị. Trong trường hợp này, chúng có thể được chỉ định ở dạng số 16 bit bất kỳ, nhưng cách tốt nhất là sử dụng số AS từ phạm vi riêng được xác định bởi RFC6996 - bao gồm 64512-65534 (có định dạng ASN 32 bit, nhưng trong trường hợp của chúng tôi, điều này chắc chắn là quá mức cần thiết). Cấu hình được mô tả sử dụng eBGP ngang hàng, trong đó số hệ thống tự trị của dịch vụ định tuyến và bộ định tuyến phải khác nhau.

Như bạn có thể thấy, dịch vụ cần biết địa chỉ IP của bộ định tuyến, vì vậy nếu bạn có địa chỉ riêng tư (RFC1918) hoặc chia sẻ (RFC6598) động hoặc không thể định tuyến, bạn không có tùy chọn nào để nâng cao khả năng tiên phong trên giao diện bên ngoài, nhưng dịch vụ vẫn sẽ hoạt động bên trong đường hầm.

Cũng khá rõ ràng rằng bạn có thể cung cấp các tuyến đường từ một dịch vụ cho một số bộ định tuyến khác nhau - chỉ cần sao chép cài đặt cho chúng bằng cách sao chép phần bgp giao thức bằng cách thay đổi địa chỉ IP của hàng xóm. Đó là lý do tại sao ví dụ này hiển thị các cài đặt nhìn ra bên ngoài đường hầm là phổ biến nhất. Không khó để loại bỏ chúng vào đường hầm bằng cách thay đổi địa chỉ IP trong cài đặt cho phù hợp.

Xử lý đăng ký cho dịch vụ định tuyến

Trên thực tế, bây giờ chúng ta cần tạo danh sách tiền tố và địa chỉ IP, được đề cập ở bước trước trong giao thức tĩnh. Để thực hiện việc này, chúng tôi lấy tệp đăng ký và tạo các tệp chúng tôi cần từ đó bằng tập lệnh sau, nằm ở /root/danh sách đen/makebgp

#!/bin/bash
cut -d";" -f1 /root/z-i/dump.csv| tr '|' 'n' |  tr -d ' ' > /root/blacklist/tmpaddr.txt
cat /root/blacklist/tmpaddr.txt | grep / | sed 's_.*_route & reject;_' > /etc/bird/pfxlist.txt
cat /root/blacklist/tmpaddr.txt | sort | uniq | grep -Eo "([0-9]{1,3}[.]){3}[0-9]{1,3}" | sed 's_.*_route &/32 reject;_' > /etc/bird/iplist.txt
/etc/init.d/bird reload
logger 'bgp list compiled'

Đừng quên làm cho nó có thể thực thi được

chmod +x /root/blacklist/makebgp

Bây giờ bạn có thể chạy nó theo cách thủ công và quan sát sự xuất hiện của các tệp trong /etc/bird.

Rất có thể, tại thời điểm này, bird không phù hợp với bạn vì ở giai đoạn trước bạn đã đề xuất nó tìm kiếm các tệp chưa tồn tại. Do đó, chúng tôi khởi chạy nó và kiểm soát rằng nó khởi động:

systemctl start bird
birdc show route

Đầu ra của lệnh thứ hai sẽ hiển thị khoảng 80 mục (đây là thời điểm hiện tại và khi bạn thiết lập nó, mọi thứ sẽ phụ thuộc vào mức độ nhiệt tình của ILV trong việc chặn các mạng) như thế này:

54.160.0.0/12      unreachable [static_bgp 2018-04-19] * (200)

Đội

birdc show protocol

sẽ hiển thị trạng thái của các giao thức trong dịch vụ. Cho đến khi bạn định cấu hình bộ định tuyến (xem đoạn tiếp theo), giao thức OurRouter sẽ ở trạng thái bắt đầu (Giai đoạn Kết nối hoặc Hoạt động) và sau khi kết nối thành công, nó sẽ chuyển sang trạng thái hoạt động (Giai đoạn Đã thiết lập). Ví dụ: trên hệ thống của tôi, đầu ra của lệnh này trông như thế này:

BIRD 1.6.3 ready.
name     proto    table    state  since       info
kernel1  Kernel   master   up     2018-04-19
device1  Device   master   up     2018-04-19
static_bgp Static   master   up     2018-04-19
direct1  Direct   master   up     2018-04-19
RXXXXXx1 BGP      master   up     13:10:22    Established
RXXXXXx2 BGP      master   up     2018-04-24  Established
RXXXXXx3 BGP      master   start  2018-04-22  Connect       Socket: Connection timed out
RXXXXXx4 BGP      master   up     2018-04-24  Established
RXXXXXx5 BGP      master   start  2018-04-24  Passive

Kết nối bộ định tuyến

Mọi người có lẽ đã mệt mỏi khi đọc tấm khăn trải bàn này, nhưng hãy yên tâm - cái kết đã gần kề. Hơn nữa, trong phần này tôi sẽ không thể đưa ra hướng dẫn từng bước - nó sẽ khác nhau đối với mỗi nhà sản xuất.

Tuy nhiên, tôi có thể cho bạn thấy một vài ví dụ. Logic chính là nâng cao khả năng ngang hàng của BGP và đính kèm nexthop vào tất cả các tiền tố nhận được, trỏ đến đường hầm của chúng tôi (nếu bạn cần xuất lưu lượng truy cập qua giao diện p2p) hoặc địa chỉ IP nexthop nếu lưu lượng truy cập đến ethernet).

Ví dụ: trên Mikrotik trong RouterOS, vấn đề này được giải quyết như sau

/routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=172.30.1.2
/routing bgp peer add in-filter=dynamic-in multihop=yes name=VPS remote-address=194.165.22.146 remote-as=64998 ttl=default
/routing filter add action=accept chain=dynamic-in protocol=bgp comment="Set nexthop" set-in-nexthop=172.30.1.1

và trong Cisco IOS - như thế này

router bgp 64999
  neighbor 194.165.22.146 remote-as 64998
  neighbor 194.165.22.146 route-map BGP_NEXT_HOP in
  neighbor 194.165.22.146 ebgp-multihop 250
!
route-map BGP_NEXT_HOP permit 10
  set ip next-hop 172.30.1.1

Trong trường hợp sử dụng cùng một đường hầm cho cả BGP ngang hàng và truyền lưu lượng hữu ích thì không cần thiết phải đặt nexthop, nó sẽ được đặt chính xác bằng giao thức. Nhưng nếu bạn thiết lập thủ công thì nó cũng không tệ hơn chút nào.

Trên các nền tảng khác, bạn sẽ phải tự tìm ra cấu hình, nhưng nếu gặp khó khăn gì, hãy viết bình luận, tôi sẽ cố gắng giúp đỡ.

Sau khi phiên BGP của bạn tăng lên, các tuyến đến các mạng lớn đã đến và được cài đặt trong bảng, lưu lượng truy cập đến các địa chỉ từ chúng đã biến mất và hạnh phúc đã gần kề, bạn có thể quay lại dịch vụ chim và cố gắng bỏ ghi chú mục nhập ở đó kết nối danh sách địa chỉ IP, thực hiện sau đó

systemctl reload bird

và xem bộ định tuyến của bạn đã chuyển 85 nghìn tuyến đường này như thế nào. Hãy sẵn sàng tắt nó đi và suy nghĩ xem phải làm gì với nó 🙂

trong tổng số

Về mặt lý thuyết thuần túy, sau khi thực hiện các bước trên, bạn có một dịch vụ tự động chuyển hướng lưu lượng truy cập đến các địa chỉ IP bị cấm ở Liên bang Nga qua hệ thống lọc.

Tất nhiên, nó có thể được cải thiện. Ví dụ: thật dễ dàng để tổng hợp danh sách địa chỉ IP thông qua các giải pháp Perl hoặc python. Một tập lệnh Perl đơn giản thực hiện việc này với Net::CIDR::Lite biến 85 nghìn tiền tố thành 60 (không phải nghìn), nhưng tự nhiên bao phủ phạm vi địa chỉ lớn hơn nhiều so với phạm vi địa chỉ bị chặn.

Vì dịch vụ hoạt động ở cấp độ thứ ba của mô hình ISO/OSI nên nó sẽ không giúp bạn tránh khỏi việc chặn một trang/trang nếu nó xử lý sai địa chỉ như được ghi trong sổ đăng ký. Nhưng cùng với sổ đăng ký, tệp nxdomain.txt đến từ github, chỉ cần một vài nét tập lệnh sẽ dễ dàng biến thành nguồn địa chỉ, chẳng hạn như plugin SwitchyOmega trong Chrome.

Cũng cần đề cập rằng giải pháp yêu cầu mài giũa thêm nếu bạn không chỉ là người dùng Internet mà còn xuất bản một số tài nguyên từ chính bạn (ví dụ: một trang web hoặc máy chủ thư chạy trên kết nối này). Thông qua bộ định tuyến, bạn cần liên kết cứng lưu lượng đi từ dịch vụ này đến địa chỉ công cộng của mình, nếu không, bạn sẽ mất kết nối với các tài nguyên nằm trong danh sách tiền tố mà bộ định tuyến nhận được.

Có thắc mắc gì cứ hỏi, mình sẵn sàng trả lời.

CẬP NHẬT. Cảm ơn hàng hải и TerAnYu để biết các tùy chọn cho git để giảm khối lượng tải xuống.

CẬP NHẬT2. Thưa các đồng nghiệp, có vẻ như tôi đã mắc sai lầm khi không thêm hướng dẫn thiết lập đường hầm giữa VPS và router vào bài viết. Rất nhiều câu hỏi được gây ra bởi điều này.
Để đề phòng, tôi lưu ý lại - giả định rằng trước khi bắt đầu các bước trong hướng dẫn này, bạn đã định cấu hình đường hầm VPN theo hướng bạn cần và kiểm tra hiệu suất của nó (ví dụ: gói lưu lượng truy cập ở đó theo mặc định hoặc tĩnh). Nếu bạn chưa hoàn thành giai đoạn này thì việc làm theo các bước trong bài viết sẽ không thực sự có ý nghĩa. Tôi chưa có văn bản riêng về vấn đề này, nhưng nếu bạn google “Thiết lập máy chủ OpenVPN” cùng với tên của hệ điều hành được cài đặt trên VPS và “Thiết lập máy khách OpenVPN” với tên bộ định tuyến của bạn, rất có thể bạn sẽ tìm thấy một số bài viết về chủ đề này, bao gồm cả về Habré.

CẬP NHẬT 3. không hy sinh đã viết một mã tạo tệp kết quả cho chim từ dump.csv với tổng hợp các địa chỉ IP tùy chọn. Do đó, phần "Xử lý đăng ký cho dịch vụ định tuyến" có thể được thay thế bằng lệnh gọi đến chương trình của nó. https://habr.com/post/354282/#comment_10782712

CẬP NHẬT4. Một chút công việc về các lỗi (không đóng góp trong văn bản):
1) thay vào đó systemctl tải lại chim thật hợp lý khi sử dụng lệnh cấu hình birdc.
2) trong bộ định tuyến Mikrotik, thay vì thay đổi bước nhảy tiếp theo thành IP ở phía thứ hai của đường hầm /bộ lọc định tuyến thêm hành động=chấp nhận chuỗi=dynamic-in giao thức=bgp bình luận=”Đặt nexthop” set-in-nexthop=172.30.1.1 thật hợp lý khi chỉ định tuyến trực tiếp đến giao diện đường hầm mà không cần địa chỉ /routing filter add action=accept chain=dynamic-in Protocol=bgp comment=»Đặt nexthop» set-in-nexthop-direct=<tên giao diện>

CẬP NHẬT5. Một dịch vụ mới đã xuất hiện https://antifilter.download, từ đó bạn có thể lấy danh sách địa chỉ IP được tạo sẵn. Cập nhật mỗi nửa giờ. Về phía khách hàng, tất cả những gì còn lại là đóng khung các mục có “tuyến đường ... từ chối” tương ứng.
Và đến thời điểm này, có lẽ chỉ cần quấy rầy bà bạn và cập nhật bài viết là đủ.

CẬP NHẬT6. Phiên bản sửa đổi của bài viết dành cho những ai không muốn tìm hiểu nhưng muốn bắt đầu - đây.

Nguồn: www.habr.com

Thêm một lời nhận xét