Как стать автором
Обновить

Настройка динамической маршрутизации на роутере OpenWrt c помощью BGP

Уровень сложностиСредний
Время на прочтение4 мин
Количество просмотров15K

Для упрощения материала используется общедоступный peer, предоставляемый сервисом https://antifilter.download/.

Вам потребуется:

  • Уже поднятый какой-либо туннель

  • Настроенные zone и forwarding для этого туннеля

  • SSH-доступ к роутеру. Для BIRD2 нет LuCi пакетов

Поднятие туннеля и настройку zone здесь рассматривать не буду, для этого я сделал отдельные туториалы:

Плюсы подхода:

  • Малое потребление оперативной памяти. При тестах оно составило 3MB (привет nftables)

  • Простая и быстрая настройка. Если иметь рабочий конфиг и не хотеть в нём что-то изменить

Минусы:

  • Полная зависимость от сервиса. Если упадёт, то решение перестанет работать

Если вы используете это решение, что бы автоматически блокировать подсети и IP-адреса, то могут возникнуть следующие проблемы:

  • Невозможность добавить ресурсы нужные лично вам и не нужные большому количеству людей. Это сделано, чтобы список маршрутов не разрастался

  • Суммирование IP адресов в подсети. Вы можете заблокировать то, что не хотели заблокировать

  • В списках только ресурсы, которые блокируются в России. Если вы из другой страны, нужно искать другое решение

Установка

BGP в OpenWrt можно поднять с помощью BIRD2, который есть в официальном репозитории. Также сразу установим его cli, чтобы получать информацию о его работе

opkg update && opkg install bird2 bird2c

Настройка

Его конфигурация находится в /etc/bird.conf. По дефолту он содержит в себе пример конфигурации. Обнуляем этот файл

> /etc/bird.conf

И вставляем конфиг

log syslog all;
log stderr all;

router id $IP;

protocol device {
    scan time 300;
}

protocol kernel kernel_routes {
    scan time 60;
    ipv4 {
        import none;
        export all;
    };
}

protocol bgp antifilter {
    ipv4 {
        import filter {
            #gw = $IP_GW;
            ifname = "$INTERFACE";
            accept;
        };
        export none;
    };
    local as $ASN;
    neighbor 45.154.73.71 as 65432;
    multihop;
    hold time 240;
}

Здесь нужно проставить свои переменные:

  • $IP - Нужно задать какой-нибудь ваш IP-адрес. Например, если ваш роутер имеет выделенный IP-адрес, то лучше поставить его. Если IP серый, то можно и его. Либо внешний IP-адрес, который показывает ifconfig.co. Этот IP-адрес будет идентификатором вашего роутера, главное, чтоб он не пересёкся с идентификаторами других клиентов antifilter.download.

  • $INTERFACE - Интерфейс вашего туннеля. Обычно wg0 для WireGuard, tun0 для OpenVPN или Shadowsocks.

  • $IP_GW - Если по какой-то причине вам удобнее указать IP gateway VPN сервера, а не имя интерфейса. Не забудьте закоментить ifname в этом случае

  • $ASN - Это номер автономной системы. Здесь нужно проставить любое число в диапазоне 64512-65543, кроме 65432.

Дополнительно процитирую@Furriest, автора antifilter.download:

64512 - 16-битный номер автономной системы. Заменяем на любой по вашему желанию, кроме ASN сервиса (65432). В нашем конкретном случае нам не важно, какой там будет указан номер в диапазоне от 1 до 65534, но если делать все правильно - RFC6996 говорит нам, что для частного использования выделен диапазон 64512-65543.

81.117.103.94 - router ID (32 бита) в формате IPv4-адреса. В общем случае нам, опять же, не важно, какой там будет указан ID, но чтобы уменьшить вероятность пересечения с другим пользователем - лучше использовать ваш текущий внешний IP-адрес (посмотрев его на том же 2ip.ru). При его изменении менять router ID совершенно не обязательно.

После этого перезапускаем bird

service bird restart

Проверка работы

Проверим, что прилетели маршруты

birdc show protocols all antifilter

В строке Routes должны быть не нули

    Routes:         10703 imported, 0 exported, 10703 preferred

Проверим, что нужный нам IP адрес присутствует

birdc show route for 188.114.98.229
BIRD 2.13 ready.
Table master4:
188.114.96.0/22      unicast [antifilter 11:07:17.245 from 45.154.73.71] * (100) [AS65432i]
	dev wg0

Ну и финальное, делаем трассировку до ресурса из списка с клиента роутера

mtr devops.com

Если вы блокируете ресурсы, то трасировка должна остановится на роутере.

Если вы для теста перенаправялете в интерфейс, то второй адрес сверху должен принадлежать вашему VPN серверу.

Если не завелось, включаем логи и рестартуем bird в соседнем терминале

logread -f -u bird
service bird restart

Выключение

Выключить на время

После перезагрузки роутера bird стартанёт

service bird stop

Выключение на постоянке

В init скрипте bird нет disabled. Поэтому придётся вручную удалять симлинк для автозапуска

rm /etc/rc.d/S70bird

Включить автозагрузку обратно

ln -s /etc/init.d/bird /etc/rc.d/S70bird

Маршрутизация к antifilter.download через VPN

@Furriest писал, что некоторые российские провайдеры блокируют работу BGP. Да и всякое может произойти. Можем попросить OpenWrt ходить к antifilter.download через туннель.

В /etc/config/network добавляем маршрут

config route 'for_antifilter'
        option target '45.154.73.71'
        option netmask '255.255.255.255'
        option interface 'wg0'

Либо через UCI

uci set network.for_antifilter=route
uci set network.for_antifilter.target='45.154.73.71'
uci set network.for_antifilter.netmask='255.255.255.255'
uci set network.for_antifilter.interface='wg0'
uci commit

После добавления нужен рестарт сети

service network restart

Благодарности и используемые материалы

Этот туториал появился благодаря @Kenit. В далёком 2018 у меня не получилось завести BGP, и я сделал всё совсем по-другому. В апреле 2023 мне написал @Kenit, рассказавший как можно использовать bird2.

Материалы:


Все обновления и новые статьи публикую в моём телеграм-канале.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Какой способ настройки используйте на роутере для роутинга ресурсов?
18.99% BGP15
11.39% Ipset или nftables sets9
2.53% Скрипт, который сам всё настраивает2
2.53% Специальные пакеты, где всё в одном2
1.27% На моём роутере это есть из коробки1
15.19% Другой способ12
31.65% Пока не использую роутинг на роутере, но планирую25
16.46% Не использую роутинг на роутере и не планирую13
Проголосовали 79 пользователей. Воздержались 17 пользователей.
Теги:
Хабы:
Всего голосов 9: ↑9 и ↓0+9
Комментарии7

Публикации

Истории

Работа

Ближайшие события

Антиконференция X5 Future Night
Дата30 мая
Время11:00 – 23:00
Место
Онлайн
OTUS CONF: GameDev
Дата30 мая
Время19:00 – 20:30
Место
Онлайн
Конференция «IT IS CONF 2024»
Дата20 июня
Время09:00 – 19:00
Место
Екатеринбург
Summer Merge
Дата28 – 30 июня
Время11:00
Место
Ульяновская область