在第一篇和第二篇文章中介绍了为什么所有这些原则上都完成以及如何合理地安排。
在他们发布之后,我收到了一些使用不属于他们的资源使用VPN的人的问题(例如,购买商业VPN服务)。 我以前曾建议这些人获得VPS来部署BGP服务或以其他方式访问Linux上的服务器。
但是从今天起,对于他们(以及其他所有人)来说,还有一个更方便的选择-在免费的antifilter.download服务上,可以自动配置与路由器的BGP会话。
要使用它,您只需要具备:
固定的可路由IP地址(所谓的“白色”。可以动态分配,但必须始终相同); UPD 不再重要,请参见下文。- 支持BGP协议的路由器(在传统上,该示例是基于RouterOS路由器Mikrotik构建的);
- 已经从该路由器配置的VPN隧道。
文章文字中的默认值
- 路由器上的隧道接口的名称为gre-tunnel1
- 您的自治系统号为64512(根据RFC6996选择您自己-范围从64512-65534起)。
- 路由器的外部IP地址为81.117.103.94
如果您要管理服务并且具有固定的可路由IP地址,则操作顺序
做一次
我们从您的网络 (这很重要)转到antifilter.download网站,滚动到BGP部分,单击“激活BGP管理”。
做两个
我们检查该站点是否显示了我们的IP,输入您选择的自治系统编号,选中复选框,要提供的路由,确认验证码,然后单击“创建对等”。 之后,该站点将显示您的地址有设置。 在服务中应用设置的时间不超过5分钟。
做三个
转到您的Mikrotik路由器,并在其上配置BGP对等服务:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64512 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
不要忘记将默认的AS,IP和接口名称更改为您的名称。 在以上命令中必须进行四次替换-不多也不少。
...而且一切正常
如果自单击“创建对等”按钮以来已经过了5分钟以上,并且您已正确配置了所有内容,则说明所有内容都已对您有效。
如果您想更改上传到您身边的前缀列表-可以通过删除网页上的设置并再次创建它们来完成(幸运的是)-从设置中可以看到一个数字和三个复选标记。
服务前缀标记有适当的社区,因此,如果您要构建更复杂的处理规则,一切就在您手中。
我强烈不建议您连接单个IP列表-即使顶级Mikrotik SOHO路由器也不能很好地使用它,而且普通的路由器(例如hAP lite)的行为极其不可预测。
UPD 如果您没有固定IP或对默认设置感到满意,请采取的操作顺序
做一次
转到您的Mikrotik路由器,并在其上配置BGP对等服务:
/ip route add dst-address=163.172.210.8/32 gateway=gre-tunnel1 /routing bgp instance set default as=64999 ignore-as-path-len=yes router-id=81.117.103.94 /routing bgp peer add hold-time=4m in-filter=bgp_in keepalive-time=1m multihop=yes name=antifilter remote-address=163.172.210.8 remote-as=65432 ttl=default /routing filter add action=accept chain=bgp_in comment="Set nexthop to VPN" set-in-nexthop-direct=gre-tunnel1
不要忘记将默认的路由器ID和接口名称更改为您的名称。 在以上命令中,必须进行三个替换-不多也不少。 作为一个路由器ID,原则上可以以IP地址的格式写任何32位数字,但是为了不引起任何特殊影响,我建议您使用当前的外部IP地址。 有了它的更改,就不必更改它。
在这种情况下,AS号是固定的64999 ,以及一组已宣布的前缀(ipsum +子网),如果某人对此过多,则可以始终按社区过滤或以其他方式接收公告。
...而且一切正常
如果在激活路由器上的设置后超过5分钟并且您正确配置了所有内容-一切都已对您有效。
更改IP地址时,会话将在大约5分钟内恢复。
结论
是的,我知道这已经是个“锅,不要做饭”,我希望对我来说,绕过锁的话题已经结束。
我会在评论中回答问题,传统上,我会帮助您进行设置。