Настройка antifilter.download в связке с vpn сервисом cloudflare warp на mikrotik ROS v7.1

[Darkhon]

WARP — прекрасный VPN, но есть одна проблема: Роскомнадзор там обещает его скоро заблокировать. А жаль. Достойной альтернативы ему среди бесплатных VPN практически нет.

[aborouhin]

Чтобы не играть в кошки-мышки с РКНом, достойная альтернатива только одна - поднимать свой VPN. Некоторые даже бесплатно это реализуют на оракловском облаке.

[aborouhin]

У antifilter.download большой недостаток - по BGP они отдают только суммаризованные до /24 префиксы. В итоге работать отказывается часть попавших "за компанию" в VPN сайтов, которые, наоборот, отсекают зарубежные IP либо адреса VPN-сервисов и облачных провайдеров. Ну и замедляется то, что можно бы не замедлять и ходить напрямую.

Полный список префиксов отдают по BGP на antifilter.network, но там свои приколы с формированием списка, в итоге адреса LinkedIn, например, в него не попадают.

Так что я BGP-сервер тоже свой поднял, который скачивает и парсит списки с antifilter.download и отдаёт, в зависимости от настроек пира, или /32, или /24. На текущий момент, чтобы переварить полный список префиксов, достаточно 1Gb RAM на маршрутизаторе. Но на пике охоты РКН за Телеграмом и этого не хватало :(

[resetsa]

Порядка 20000 префиксов примут гораздо больше устройств, а вот все /32…
Да, часть ресурсов попадет в ВПН не смотря, на то, что открыты.
В конце концов можно отфильтровать нужный префикс на IN фильтр.
PS
У меня сейчас 20000 префиксов, меньше 64М занимают.

[aborouhin]

Ну я и написал - сейчас 1 Гб хватает на 200-300 тысяч префиксов с запасом, наверное, даже 512 Мб хватит. А когда их в своё время стало под полтора миллиона - перестало хватать.

Но если у устройства память позволяет - то смысла нет мириться с недостатками суммаризации, проще брать /32. А вот этого как раз antifilter.download по BGP сделать и не позволяет.

[mmaks17]

в рос 7.1 серьезно переработали BGP, даже ас2 со 128Мб памяти, не особо напрягаясь загрузил 200+ к маршрутов, (поадресную выгрузку РКН)

[L11R]

А есть публичный сервис, который по адресную выдает?

[ajijiadduh]

зачем использовать бета прошивку, если там уже есть стейбл?

[burzum]

/routing filter rule add chain=bgp_in rule={set gw-interface wireguard1; action accept}

а где здесь ошибка? Никак не могу это добавить?

[sirota]

add chain=bgp_in rule="set gw-interface wireguard-warp; accept"

[muzzy03]

Ошибки исправлены, спасибо коментаторам выше и пишущим в лс.

Текст актуален для ros v7.1 и выше.

[sirota]

Исправьте пожалуйста ip адрес сервера. теперь он 45.154.73.71.
И на сколько я понимаю на 13.03.2022 warp не работает, возможно что только для РФ.

[Chupakabra303]

У кого-нибудь работает сейчас wireguard туннель к WARP? Настроил все по инструкции, прописал тестовый маршрут до 8.8.8.8/32. Делаю пинг до 8.8.8.8: глухо, трафик только уходит в туннель, но ничего не возвращается.

В моем случае это wireguard2 - второй туннель на hap ac2. Первый wireguard1 (не имеющий отношение к WARP) работает.

[Tarakanator]

я настроил, заработало, через неделю проверяю-не работает. Хотя ничего не менял. Другие соединения wireguard работают. соединение с такимиже настройками с ПК работает. До этого другое соединение wireguard у меня тоже так глюкнуло. Починилось только удалением и созданием нового подключения. Подозреваю глючноват wireguard в микроте ещё. Хотя одно соединение уже полгода работает и всё ок.