Pourquoi tout cela est fait en principe et comment il est organisé logiquement est décrit dans les premier et deuxième articles.
Après leur publication, j'ai reçu plusieurs questions de personnes qui utilisent un VPN à partir de ressources qui ne leur appartiennent pas (par exemple, l'achat d'un service VPN commercial). J'ai précédemment conseillé à ces personnes d'obtenir un VPS pour déployer un service BGP ou autrement accéder à un serveur sous Linux.
Mais à partir d'aujourd'hui, pour eux (et pour tout le monde), il existe une option plus pratique - sur le service gratuit antifilter.download , il est devenu possible de configurer automatiquement une session BGP avec votre routeur.
Pour l'utiliser, il vous suffit d'avoir:
adresse IP routable fixe (dite «blanche». Elle peut être allouée dynamiquement, mais doit toujours être la même); UPD Cela n'a plus d'importance, voir ci-dessous pour le texte.- un routeur prenant en charge le protocole BGP (dans l'article, traditionnellement, l'exemple est construit sur la base des routeurs RouterOS Mikrotik);
- tunnel VPN déjà configuré à partir de ce routeur.
Valeurs par défaut dans le texte de l'article
- Le nom de l'interface de tunnel sur le routeur est gre-tunnel1
- le numéro de système autonome de votre part est 64512 (choisissez vous-même conformément à la RFC6996 - dans la gamme 64512-65534 inclus).
- l'adresse IP externe de votre routeur est 81.117.103.94
La séquence d'actions si vous souhaitez gérer le service et que vous avez une adresse IP routable fixe
Faites-le une fois
nous allons de votre réseau (c'est important) au site Web antifilter.download , faites défiler jusqu'à la section BGP, cliquez sur "Activer la gestion BGP".
Faites deux
nous vérifions que le site affiche notre IP, entrez le numéro sélectionné de votre système autonome, cochez les cases, les routes à donner, confirmez le captcha, cliquez sur "Créer un peering". Après cela, le site montrera qu'il existe des paramètres pour votre adresse. Le temps d'application des paramètres dans le service ne dépasse pas 5 minutes.
Faites trois
accédez à votre routeur Mikrotik et configurez l'homologation BGP avec le service qu'il contient:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64512 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
N'oubliez pas de remplacer le nom AS, IP et d'interface par défaut par le vôtre. Quatre remplacements doivent être effectués dans les commandes ci-dessus - ni plus ni moins.
... et tout fonctionne
Si plus de 5 minutes se sont écoulées depuis le moment où vous avez cliqué sur le bouton "Créer un peering" et que vous avez tout configuré correctement, tout fonctionne déjà pour vous.
Si vous souhaitez modifier la liste des préfixes téléchargés de votre côté - cela se fait en supprimant les paramètres sur la page Web et en les recréant, heureusement - des paramètres, il y a un numéro et trois coches.
Les préfixes de service sont marqués avec la communauté appropriée, donc si vous voulez construire des règles de traitement plus complexes, tout est entre vos mains.
Je déconseille fortement de connecter une liste d'adresses IP uniques - même les meilleurs routeurs Mikrotik SOHO ne sont pas très bons, et ceux moyens, par exemple hAP lite, se comportent de manière extrêmement imprévisible.
UPD La séquence d'actions si vous n'avez pas d'adresse IP fixe ou si vous êtes satisfait des paramètres par défaut
Faites-le une fois
accédez à votre routeur Mikrotik et configurez l'homologation BGP avec le service qu'il contient:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
N'oubliez pas de changer l'ID de routeur et le nom d'interface par défaut en les vôtres. Dans les commandes ci-dessus, trois remplacements doivent être effectués - ni plus ni moins. En tant qu'ID de routeur, vous pouvez écrire en principe n'importe quel nombre de trente-deux bits au format d'une adresse IP, mais afin de ne pas provoquer d'effets spéciaux lorsqu'ils correspondent, je vous recommande d'utiliser votre adresse IP externe actuelle. Avec ses changements, il ne sera pas nécessaire de le changer.
Le numéro AS dans ce cas est fixe, 64999 , ainsi que l'ensemble des préfixes annoncés (ipsum + sous-réseau), si quelqu'un en a trop, vous pouvez toujours filtrer par communauté ou recevoir des annonces par d'autres moyens.
... et tout fonctionne
Si après avoir activé les paramètres de votre routeur, plus de 5 minutes se sont écoulées et que vous avez tout configuré correctement - tout fonctionne déjà pour vous.
Lorsque vous modifiez l'adresse IP, la session sera restaurée dans les 5 minutes environ.
Conclusion
Oui, je comprends que c’est déjà un "pot, ne cuisinez pas", et j’espère que pour moi le sujet du contournement des verrous est clos là-dessus.
Je répondrai aux questions dans les commentaires, traditionnellement, j'aiderai au réglage.