Por qué todo esto se hace en principio y cómo se organiza lógicamente se describe en el primer y segundo artículo.
Después de su publicación, recibí varias preguntas de personas que usan VPN de recursos que no les pertenecen (por ejemplo, comprar un servicio VPN comercial). Anteriormente les aconsejé a estas personas que obtuvieran un VPS para implementar un servicio BGP o acceder a un servidor en Linux.
Pero a partir de hoy, para ellos (y para todos los demás) hay una opción más conveniente: en el servicio gratuito antifilter.download , fue posible configurar automáticamente una sesión BGP con su enrutador.
Para usarlo solo necesitas tener:
dirección IP enrutable fija (llamada "blanca". Se puede asignar dinámicamente, pero siempre debe ser la misma); UPD Ya no importa, ver abajo el texto.- un enrutador compatible con el protocolo BGP (en el artículo, tradicionalmente, el ejemplo se basa en los enrutadores RouterOS Mikrotik);
- Túnel VPN ya configurado desde este enrutador.
Valores predeterminados en el texto del artículo.
- El nombre de la interfaz del túnel en el enrutador es gre-tunnel1
- el número de sistema autónomo de su parte es 64512 (elija usted mismo de acuerdo con RFC6996, del rango 64512-65534 inclusive).
- la dirección IP externa de su enrutador es 81.117.103.94
La secuencia de acciones si desea administrar el servicio y tiene una dirección IP enrutable fija
Hazlo una vez
pasamos de su red (esto es importante) al sitio web antifilter.download , vaya a la sección BGP, haga clic en "Activar la administración de BGP".
Hacer dos
comprobamos que el sitio muestre nuestra IP, ingrese el número seleccionado de su sistema autónomo, marque las casillas de verificación, qué rutas dar, confirme el captcha, haga clic en "Crear emparejamiento". Después de eso, el sitio mostrará que hay configuraciones para su dirección. El tiempo para aplicar la configuración en el servicio no es más de 5 minutos.
Hacer tres
vaya a su enrutador Mikrotik y configure el emparejamiento BGP con el servicio en él:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64512 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
No olvide cambiar el nombre predeterminado de AS, IP y la interfaz a la suya. Se deben realizar cuatro reemplazos en los comandos anteriores: ni más ni menos.
... y todo funciona
Si han pasado más de 5 minutos desde el momento en que hizo clic en el botón "Crear emparejamiento" y configuró todo correctamente, todo ya funciona para usted.
Si desea cambiar la lista de prefijos cargados a su lado, esto se hace eliminando la configuración de la página web y volviéndola a crear, afortunadamente, de la configuración hay un número y tres marcas de verificación.
Los prefijos de servicio están marcados con la comunidad adecuada, por lo que si desea crear reglas de procesamiento más complejas, todo está en sus manos.
No recomiendo conectar una lista de direcciones IP individuales, incluso los mejores enrutadores Mikrotik SOHO no son muy buenos, y los medios, por ejemplo hAP lite, se comportan de manera extremadamente impredecible.
UPD La secuencia de acciones si no tiene una IP fija o si está satisfecho con la configuración predeterminada
Hazlo una vez
vaya a su enrutador Mikrotik y configure el emparejamiento BGP con el servicio en él:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
No olvide cambiar el id. De enrutador predeterminado y el nombre de la interfaz a los suyos. En los comandos anteriores, se deben realizar tres reemplazos, ni más ni menos. Como id de enrutador, puede escribir en principio cualquier número de treinta y dos bits en el formato de una dirección IP, pero para no causar efectos especiales cuando coincida, recomendaría usar su dirección IP externa actual. Con sus cambios, no será necesario cambiarlo.
El número AS en este caso es fijo, 64999 , así como el conjunto de prefijos anunciados (ipsum + subred), si alguien tiene demasiado de esto, siempre puede filtrar por comunidad o recibir anuncios de otras maneras.
... y todo funciona
Si después de activar la configuración en su enrutador han pasado más de 5 minutos y configuró todo correctamente, todo ya funciona para usted.
Al cambiar la dirección IP, la sesión se restaurará aproximadamente en 5 minutos.
Conclusión
Sí, entiendo que ya es una "olla, no cocine", y espero que para mí el tema de evitar las cerraduras esté cerrado.
Contestaré las preguntas en los comentarios, tradicionalmente, ayudaré con la configuración.