Warum dies alles im Prinzip geschieht und wie es logisch angeordnet ist, wird im ersten und zweiten Artikel beschrieben.
Nach ihrer Veröffentlichung erhielt ich mehrere Fragen von Personen, die VPN aus Ressourcen verwenden, die ihnen nicht gehören (z. B. Kauf eines kommerziellen VPN-Dienstes). Ich habe diesen Leuten zuvor geraten, einen VPS zu beauftragen, einen BGP-Dienst bereitzustellen oder auf andere Weise auf einen Server unter Linux zuzugreifen.
Ab heute gibt es für sie (und für alle anderen) eine bequemere Option: Mit dem kostenlosen Dienst antifilter.download konnte eine BGP-Sitzung automatisch mit Ihrem Router konfiguriert werden.
Um es zu benutzen, müssen Sie nur haben:
feste routingfähige IP-Adresse (sogenanntes "Weiß". Sie kann dynamisch zugewiesen werden, muss aber immer gleich sein); UPD Es spielt keine Rolle mehr, siehe unten für den Text.- ein Router mit Unterstützung für das BGP-Protokoll (in dem Artikel wird das Beispiel traditionell auf der Basis von RouterOS-Routern Mikrotik erstellt);
- bereits konfigurierter VPN-Tunnel von diesem Router.
Standard im Text des Artikels
- Der Name der Tunnelschnittstelle auf dem Router lautet gre-tunnel1
- Die Nummer Ihres autonomen Systems lautet 64512 (wählen Sie sich gemäß RFC6996 - aus dem Bereich 64512-65534 einschließlich).
- Die externe IP-Adresse Ihres Routers lautet 81.117.103.94
Die Reihenfolge der Aktionen, wenn Sie den Dienst verwalten möchten und eine feste routbare IP-Adresse haben
Mach es einmal
Wir gehen von Ihrem Netzwerk (dies ist wichtig) zur Website antifilter.download , scrollen zum Abschnitt BGP und klicken auf "BGP-Verwaltung aktivieren".
Mach zwei
Wir überprüfen, ob auf der Site unsere IP angezeigt wird, geben die ausgewählte Nummer unseres autonomen Systems ein, markieren die Kontrollkästchen, welche Routen angegeben werden sollen, bestätigen das Captcha und klicken auf "Peering erstellen". Danach zeigt die Site an, dass Einstellungen für Ihre Adresse vorhanden sind. Die Zeit zum Anwenden der Einstellungen im Dienst beträgt nicht mehr als 5 Minuten.
Mach drei
Gehen Sie zu Ihrem Mikrotik-Router und konfigurieren Sie BGP-Peering mit dem darauf befindlichen Dienst:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64512 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
Vergessen Sie nicht, den Standardnamen für AS, IP und Schnittstelle in Ihren zu ändern. In den obigen Befehlen müssen vier Ersetzungen vorgenommen werden - nicht mehr und nicht weniger.
... und alles funktioniert
Wenn seit dem Klicken auf die Schaltfläche "Peering erstellen" mehr als 5 Minuten vergangen sind und Sie alles richtig konfiguriert haben, funktioniert bereits alles für Sie.
Wenn Sie die Liste der auf Ihre Seite hochgeladenen Präfixe ändern möchten, müssen Sie zum Glück die Einstellungen auf der Webseite löschen und zum Glück erneut erstellen. In den Einstellungen befinden sich eine Nummer und drei Häkchen.
Servicepräfixe sind mit der entsprechenden Community gekennzeichnet. Wenn Sie also komplexere Verarbeitungsregeln erstellen möchten, liegt alles in Ihren Händen.
Ich empfehle dringend, keine Liste einzelner IPs anzuschließen - selbst die Top-SOHO-Router von Mikrotik sind nicht sehr gut, und mittlere wie hAP lite verhalten sich äußerst unvorhersehbar.
UPD Die Reihenfolge der Aktionen, wenn Sie keine feste IP haben oder mit den Standardeinstellungen zufrieden sind
Mach es einmal
Gehen Sie zu Ihrem Mikrotik-Router und konfigurieren Sie BGP-Peering mit dem darauf befindlichen Dienst:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
Vergessen Sie nicht, die Standard-Router-ID und den Schnittstellennamen in Ihre zu ändern. In den obigen Befehlen müssen drei Ersetzungen vorgenommen werden - nicht mehr und nicht weniger. Als Router-ID können Sie grundsätzlich jede 32-Bit-Nummer im Format einer IP-Adresse schreiben. Um jedoch keine Spezialeffekte zu erzielen, würde ich die Verwendung Ihrer aktuellen externen IP-Adresse empfehlen. Mit seinen Änderungen wird es nicht notwendig sein, es zu ändern.
Die AS-Nummer in diesem Fall ist fest, 64999 , sowie die angekündigten Präfixe (ipsum + Subnetz). Wenn jemand zu viel davon hat, können Sie jederzeit nach Community filtern oder Ankündigungen auf andere Weise empfangen.
... und alles funktioniert
Wenn nach dem Aktivieren der Einstellungen auf Ihrem Router mehr als 5 Minuten vergangen sind und Sie alles richtig konfiguriert haben, funktioniert alles bereits für Sie.
Wenn Sie die IP-Adresse ändern, wird die Sitzung ungefähr innerhalb von 5 Minuten wiederhergestellt.
Fazit
Ja, ich verstehe, dass es bereits ein "Topf, koche nicht" ist, und ich hoffe, dass für mich das Thema der Umgehung von Schlössern hier geschlossen ist.
Ich werde die Fragen in den Kommentaren beantworten, traditionell werde ich bei der Einstellung helfen.