OSPF配置参考

mantouboji

运行wireguard隧道
隧道一端在本地RouterOS 路由器上，这里是hAP AX3，RouterOS 7.9

VPS在大洋彼岸，Ubuntu 20.04, 同时有IPv4和IPv6地址。

假设隧道本地这侧地址是 10.28.6.30, VPS那一端是10.28.6.1



VPS上运行bird2 ，用nchnroutes 生成配套的routes4.conf 和 routes6.conf

VPS那边的设置：（ /etc/bird/bird.conf )

1. #
   
2. # Yao Fei feiyao@me.com
   
3. #
   
4. #  2022-08-15
   
5. #
   
6. log syslog all;
   
7. #debug protocols all;
   
8. 
   
9. router id 10.28.6.1;
   
10. protocol device {
    
11. }
    
12. 
    
13. # IPv4
    
14. protocol static {
    
15.         ipv4;
    
16.         include "routes4.conf";
    
17. }
    
18. 
    
19. protocol ospf v2 wg {
    
20.         ipv4 {
    
21.                 export all;
    
22.                 import none;
    
23.         };
    
24.         area 0.0.0.0 {
    
25.                 interface "wg*" {
    
26.                         type ptp;
    
27.                         hello 10;
    
28.                         dead 40;
    
29.                 };
    
30.         };
    
31. }
    
32. 
    
33. #IPv6
    
34. protocol static {
    
35.         ipv6;
    
36.         include "routes6.conf";
    
37. }
    
38. 
    
39. # must assign a fe80:: address to wg0
    
40. protocol ospf v3 wg6  {
    
41.         ipv6 {
    
42.                 export all;
    
43.                 import none;
    
44.         };
    
45.         area 0.0.0.0 {
    
46.                 interface "wg*" {
    
47.                         type ptp;
    
48.                         hello 10;
    
49.                         dead 40;
    
50.                 };
    
51.         };
    
52. }

复制代码

RouterOS这一侧的设置：

1. # may/18/2023 22:23:29 by RouterOS 7.9
   
2. #
   
3. # model = C53UiG+5HPaxD2HPaxD
   
4. /routing ospf instance
   
5. add comment="VPS OSPF IPv4" disabled=no name=ospf-instance-1 router-id=\
   
6.     10.28.6.30
   
7. add comment="VPS OSPF IPv6" disabled=no name=ospf-instance-2 router-id=\
   
8.     10.28.6.30 version=3
   
9. /routing ospf area
   
10. add comment="VPS IPv4" disabled=no instance=ospf-instance-1 name=ospf-area-1
    
11. add comment="VPS IPv6" disabled=no instance=ospf-instance-2 name=ospf-area-2
    
12. /routing ospf interface-template
    
13. add area=ospf-area-1 comment="VPS IPv4" disabled=no interfaces=wg1 type=ptp
    
14. add area=ospf-area-2 comment="VPS IPv6" disabled=no interfaces=wg1 type=ptp

复制代码

仅供参考

mantouboji

玩这个的重点，是境外VPS那一段的wireguard设备上一定要配置一个fe80开头的局部IPv6地址，因为OSPFv3只在fe80地址之间交换信息。

RouterOS这一侧本身就会为wg设备随机分配一个fe80地址，所以只要对方有fe80，两者就能相互发现交换路由。

为了代理IPv6流量，两端wg设备还需要再叠加分配一个fd开头的内部IPv6地址，具体数值你自己设置就好，比如我在VPS那一侧是fd80:1234:5678::1, RouterOS 这一侧是fd80:1234:5678::20。OSPFv3会把国外IP流量自动导向这个wg连接。所以你还需要在ipv6/firewall/nat里给这个wg出口的流量做个src-nat

mantouboji

garrickchen

大佬求问一个问题，当ROS用IP分流或者OSPF分流都会出现某些APP不能登录，请问这是DNS解释还是别的问题？

mantouboji

garrickchen 发表于 2023-6-25 16:11
大佬求问一个问题，当ROS用IP分流或者OSPF分流都会出现某些APP不能登录，请问这是DNS解释还是别的问题？ ...

我的经验：
1、DNS问题，拿到了国内被污染的DNS
2、IPv6 没有配置
3、MTU不匹配，没有clamp to pmtu

分流必须要做好DNS防污染，中国境内的DNS都不能信任。有大仙推荐我在VPS上跑AdGuard Home，但用下来我还是觉得自己小盒子跑china-dns-ng效果好一点。

garrickchen

mantouboji 发表于 2023-6-25 17:06
我的经验：
1、DNS问题，拿到了国内被污染的DNS
2、IPv6 没有配置

1.装了2个ADGUARDHOME做DNS缓存服务器，但没有做DNS分流，不确定是不是这个原因
2.IPV6也不确定，如果关了能用就真打脸了
3.MTU已经匹配了
感谢大佬回复，希望能成

mantouboji

连接了三个VPS做热冗余，通过OSPF控制路由分流。之前为每个VPS设置了单独的OSPF area，经过深入思考发现这样是不对的，全部设成同一个area 0.0.0.0才对。
以前的各种麻烦现在想来，主要是因为MTU的问题。倒霉的上海国际精品网，PPPoE链路MTU才1442，对应的wireguard MTU应该不超过1442-60=1382 才对。

每个接口的cost设置似乎没什么用。

1. 
   
2. 
   
3. /routing ospf instance add comment="OSPF v2" disabled=no name=default-v2 router-id=192.168.20.1
   
4. /routing ospf instance add comment="OSPF v3" disabled=no name=default-v3 router-id=192.168.20.1 version=3
   
5. /routing ospf area add disabled=no instance=default-v2 name=backbone-v2
   
6. /routing ospf area add disabled=no instance=default-v3 name=backbone-v3
   
7. /ip firewall filter add action=accept chain=input comment="accept OSPF" protocol=ospf
   
8. /ipv6 firewall filter add action=accept chain=input comment="accept OSPF" protocol=ospf
   
9. /routing ospf interface-template add area=backbone-v2 disabled=no interfaces=bridge1
   
10. /routing ospf interface-template add area=backbone-v3 disabled=no interfaces=bridge1
    
11. /routing ospf interface-template add area=backbone-v2 cost=10 disabled=no interfaces=wg1 type=ptp
    
12. /routing ospf interface-template add area=backbone-v3 cost=10 disabled=no interfaces=wg1 type=ptp
    
13. /routing ospf interface-template add area=backbone-v2 cost=11 disabled=no interfaces=wg2 type=ptp
    
14. /routing ospf interface-template add area=backbone-v3 cost=11 disabled=no interfaces=wg2 type=ptp
    
15. /routing ospf interface-template add area=backbone-v2 cost=12 disabled=no interfaces=wg3 type=ptp
    
16. 
    

复制代码

恩山蜡笔

大佬，折腾一下BGP吧

恩山蜡笔

BGP分流是动态的，更新最全最及时

mantouboji

恩山蜡笔 发表于 2023-8-10 08:40
BGP分流是动态的，更新最全最及时

好，安排一下思考进度

恩山蜡笔

mantouboji 发表于 2023-8-10 09:37
好，安排一下思考进度

我目前是这么做的：
1.通过vultr的BGP收了V4的全表：
2.配置了配置WireGuard，打通了家里与vultr的通道
3.安装了bird2，配置文件在/etc/bird这么写：
router id 我的vultrIP;

include "asn_cn.conf";

include "us.conf";

protocol device {}

protocol static {
        ipv4 {};
}

protocol bgp vultr
{
        local as 我vultr的AS;
        neighbor vultr上面邻居IP asvultr上面邻居AS;
        password "BGP密码";
        source address 我vultr的IP;

  ipv4 {
                import all;
                export none;
  };
        graceful restart on;
        multihop 2;

}

protocol bgp home  #这是去我家的配置
{
        local as 65533;
        neighbor 10.88.88.2 as 65532;
        source address 10.88.88.1;

  ipv4 {
                import none;
                export filter {
                        #if bgp_path ~ [4134, 4809, 36678, 4837, 9929, 9808, 9394, 4538, 23910] then accept; else reject;
                        if bgp_path ~ china_asn then accept; else reject;
                        if bgp_path ~ us then accept; else reject;
                };
  };
}

其中asn_cn.conf文件，通过脚本自动更新了中国区的AS号。  us.config是自己把奈飞等要上网海淘的AS号加进去了

ROS里面配置BGP：ROS---Routing---Filters 这么写了
if (protocol bgp) {set gw pppoe-out1;accept}
if (bgp-as-path 15169$|32934$|14907$|13414$|15133$|13335$|16625$|62041$|59930$|40027$|2906$|55095$| 16509$) {set gw 192.168.100.2;accept}

这样是实现了所有中国区AS号过滤来的IP通过PPPOE-out1出去了，但是国外的路由不能走隧道192.168.100.2出去，上网海淘深造不了。

请问要这么写才能实现bgp分流，解决上网海淘深造问题呢。

恩山蜡笔

asn_cn.conf  里面都是中国区的AS号
自动更新中国asn的python脚本：

1. asn_cn.conf  里面都是中国区的AS号
   
2. 自动更新中国asn的python脚本：

复制代码

恩山蜡笔

asn_cn.conf  里面都是中国区的AS号
自动更新中国asn的python脚本：

1. # version :Python 3.7.3
   
2. import os
   
3. import re
   
4. import urllib.request
   
5. 
   
6. 
   
7. # 读出文件最后一行
   
8. # 参考大神代码https://blog.csdn.net/weixin_30632899/article/details/97566294
   
9. def getEndLing(name):
   
10.     with open(name, 'rb') as f:
    
11.         file_size = os.path.getsize(name)
    
12.         offset = -100
    
13.         # 文件字节大小为0则返回none
    
14.         if file_size == 0:
    
15.             return ''
    
16.         while True:
    
17.             # 判断offset是否大于文件字节数,是则读取所有行，并返回最后一行
    
18.             if abs(offset) >= file_size:
    
19.                 f.seek(-file_size, 2)
    
20.                 data1 = f.readlines()
    
21.                 return data1[-1]
    
22.             # 游标移动倒数的字节数位置
    
23.             f.seek(offset, 2)
    
24.             data1 = f.readlines()
    
25.             # 判断读取到的行数，如果大于1则返回最后一行，否则扩大offset
    
26.             if len(data1) > 1:
    
27.                 return data1[-1]
    
28.             else:
    
29.                 offset *= 2
    
30. 
    
31. 
    
32. file_name = 'asn_cn.conf'
    
33. str1 = 'define china_asn = ['
    
34. str5 = '];'
    
35. datas_source = 'https://whois.ipip.net/countries/CN'
    
36. 
    
37. response = urllib.request.urlopen(datas_source)
    
38. 
    
39. html = response.read().decode('utf-8')
    
40. 
    
41. with open(file_name, 'a') as file:
    
42.     file.write(str1 + "\n")
    
43. print("step 1.添加文件第一行字符串!")
    
44. 
    
45. results = re.findall(', CN">AS(.*?)</a> </td>', html, re.S)
    
46. for result in results:
    
47.     with open(file_name, 'a') as file_object:
    
48.         str2 = result.strip() + ',' + '\n'
    
49.         file_object.write(str2)
    
50. print("step 2.采集ASN号数据!")
    
51. 
    
52. data2 = getEndLing(file_name)
    
53. if data2:
    
54.     str3 = data2.decode('utf-8').strip()
    
55. 
    
56. 
    
57. with open(file_name,"r",encoding="utf-8") as f:
    
58.     lines = f.readlines()
    
59.     #print(lines)
    
60. with open(file_name,"w",encoding="utf-8") as f_w:
    
61.     for line in lines:
    
62.         if str3 in line:
    
63.             continue
    
64.         f_w.write(line)
    
65. print("step 3.提取数据完成!")
    
66. 
    
67. str4 = str3[:-1]
    
68. with open(file_name, 'a') as file:
    
69.     file.write(str4 + "\n")
    
70.     file.write(str5)
    
71. 
    
72. print("step 4.生成中国区ASN成功!")
    

复制代码

mantouboji

评估了一下，觉得弄BGP不值得，没啥意思。我OSPF的方案现在是每周更新一次路由表，大不了每3天更新，反正就是crontab里写个数自动操作，足够了。

恩山蜡笔

mantouboji 发表于 2023-8-10 16:15
评估了一下，觉得弄BGP不值得，没啥意思。我OSPF的方案现在是每周更新一次路由表，大不了每3天更新，反正就 ...

嗯，0 0 * * * make -C /root/nchnroutes每天更新