Por que tudo isso é feito em princípio e como é organizado logicamente é descrito no primeiro e no segundo artigo.
Após a publicação, recebi várias perguntas de pessoas que usam VPN de recursos que não pertencem a elas (por exemplo, a compra de um serviço VPN comercial). Anteriormente, eu aconselhava essas pessoas a obter um VPS para implantar um serviço BGP ou acessar um servidor no Linux.
Mas a partir de hoje, para eles (e para todos os outros), existe uma opção mais conveniente - no serviço antifilter.download gratuito, tornou - se possível configurar automaticamente uma sessão BGP com seu roteador.
Para usá-lo, você só precisa ter:
endereço IP roteável fixo (chamado “branco”. Ele pode ser alocado dinamicamente, mas sempre deve ser o mesmo); UPD Não importa mais, veja o texto abaixo.- um roteador com suporte ao protocolo BGP (no artigo, tradicionalmente, o exemplo é construído com base nos roteadores RouterOS Mikrotik);
- já configurado no túnel VPN deste roteador.
Padrões no texto do artigo
- O nome da interface do túnel no roteador é gre-tunnel1
- o número do sistema autônomo da sua parte é 64512 (escolha você mesmo de acordo com a RFC6996 - do intervalo 64512-65534 inclusive).
- o endereço IP externo do seu roteador é 81.117.103.94
A sequência de ações, se você deseja gerenciar o serviço e você tem um endereço IP roteado fixo
Faça uma vez
vamos da sua rede (isso é importante) para o site antifilter.download , vá até a seção BGP, clique em "Ativar gerenciamento de BGP".
Faça dois
verificamos se o site mostra nosso IP, inserimos o número selecionado do seu sistema autônomo, marcamos as caixas de seleção, quais rotas dar, confirme o captcha, clique em "Criar peering". Depois disso, o site mostrará que existem configurações para o seu endereço. O tempo para aplicar as configurações no serviço não é superior a 5 minutos.
Faça três
vá para o seu roteador Mikrotik e configure o BGP peering com o serviço:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64512 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
Não se esqueça de alterar o AS, IP e nome da interface padrão para o seu. Quatro substituições devem ser feitas nos comandos acima - nem mais nem menos.
... e tudo funciona
Se passaram mais de 5 minutos desde o momento em que você clicou no botão "Criar peering" e configurou tudo corretamente, tudo já funciona para você.
Se você deseja alterar a lista de prefixos enviados para o seu lado - isso é feito excluindo as configurações da página da web e criando-as novamente, felizmente - das configurações, há um número e três marcas de seleção.
Os prefixos de serviço são marcados com a comunidade apropriada; portanto, se você deseja criar regras de processamento mais complexas, tudo está em suas mãos.
Eu não recomendo conectar uma lista de IPs únicos - mesmo os principais roteadores Mikrotik SOHO não são muito bons, e os médios, como o hAP lite, se comportam de maneira extremamente imprevisível.
UPD A sequência de ações se você não tiver um IP fixo ou estiver satisfeito com as configurações padrão
Faça uma vez
vá para o seu roteador Mikrotik e configure o BGP peering com o serviço:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
Não se esqueça de alterar o ID do roteador e o nome da interface padrão para o seu. Nos comandos acima, três substituições devem ser feitas - nem mais nem menos. Como um ID de roteador, você pode escrever em princípio qualquer número de trinta e dois bits no formato de um endereço IP, mas para não causar efeitos especiais quando ele corresponder, eu recomendaria o uso do seu endereço IP externo atual. Com suas alterações, não será necessário alterá-lo.
Nesse caso, o número AS é fixo, 64999 , bem como o conjunto de prefixos anunciados (ipsum + sub-rede); se alguém tiver muito disso, você sempre pode filtrar por comunidade ou receber anúncios de outras maneiras.
... e tudo funciona
Se, após ativar as configurações do seu roteador, mais de 5 minutos se passaram e você configurou tudo corretamente - tudo já funciona para você.
Ao alterar o endereço IP, a sessão será restaurada aproximadamente em 5 minutos.
Conclusão
Sim, entendo que já é uma "panela, não cozinhe" e espero que, para mim, o tópico de ignorar bloqueios esteja encerrado.
Responderei às perguntas dos comentários; tradicionalmente, ajudarei com a configuração.