南ことりの小窝 - 记录我的日常

上海电信 IPTV 组播转单播

最近搞了一套NAS，搭建了在家里的影音库EMBY，发现可以支持播放电视节目，正好家里的IPTV机顶盒坏了，于是就折腾了一下 UDPXY 来实现单播任意设备观看IPTV。

秉承在多年IDC行业工作的经验，网络架构尽可能简单，不要使用各种二层Bridge。因此本篇文章会使用 ROSv7 新特性 Docker来实现目标。

准备材料：

Mikrotik RouterOSv7 (开启Container)
udpxy 的包
上海电信节目单

开始操作：

桥接 VLAN85

我这边是用 RouterOS进行拨号的，在IPTV光猫中把VLAN85继承给LAN口1

在ROS上配置 VLAN85

配置Docker，veth

将 veth 加入到 Bridge 中

配置 IP 在 Bridge上

新建Docker

开启 IGMP Proxy

在 Routing -> IGMP Proxy 下新建两个 Interface

vlan85的 Alternative Subnets 需要填写 0.0.0.0/0

运行 Docker 后，查看 udpxy 的status

下载上海电信的 M3U 替换成单播地址

格式如下：

http://单播地址:4022/udp/组播地址

举例说明：

#EXTINF: -1 tvg-id="cctv-1" tvg-name="CCTV-1(综合)" group-title="央视频道", CCTV-综合「高清」
rtp://239.45.3.145:5140

转换成

#EXTINF: -1 tvg-id="cctv-1" tvg-name="CCTV-1(综合)" group-title="央视频道", CCTV-综合「高清」
http://192.168.201.2:4022/udp/239.45.3.145:5140

这个时候就可以用内网中任意一台设备观看上海电信 IPTV 了

Daily, Technology 没有评论

Bird 构建自己的 Anycast 网络

首先你需要：

一家可以让你跑 BGP 的服务商，这边推荐这两家 Vultr，Misaka
一段有RPKI+IRR的 IPv4 , IPv6我建议你别跑Anycast了，调起来头大
一个自己的ASN

安装bird：

系统我推荐使用debian 10，安装bird 只需要

apt install bird -y

设置开机自启动

systemctl enable bird

修改bird 配置：

这边贴一个配置文件供参考

#定义 router ID
router id 100.127.70.25; 
#定义自有网络，这是filter policy
function is_own_network() {
  return net ~ [
    10.0.0.0/22{22,24}     # Anycast DNS
  ];
}

# The Kernel protocol is not a real routing protocol. Instead of communicating
# with other routers in the network, it performs synchronization of BIRD's
# routing tables with the OS kernel.
protocol kernel {
        scan time 60;
        import none;
#       export all;   # Actually insert routes into the kernel routing table
}

# The Device protocol is not a real routing protocol. It doesn't generate any
# routes and it only serves as a module for getting information about network
# interfaces from the kernel. 
protocol device {
        scan time 60;
}

protocol static static4 {
  route 10.0.0.0/24 reject;
}

protocol bgp vultr
{
    # substitute with your AS or Vultr's private AS
    local as xxxx;
    import all;
    export filter {
    if is_own_network() && source ~ [RTS_STATIC, RTS_BGP] then {
      accept;
    }
    reject;
    };
    graceful restart on;
    multihop 2;
    neighbor 169.254.169.254 as 64515;
    password "";
}

上面的配置文件我简单讲一下几个点，Vultr官方给出的配置文件是export all，其实这种对于网络架构来说非常不负责任，你这样100%会导致路由侧漏从而引起BGP Session被掐断。所以我写了一个定义来确保不会漏别人的路由给上游。

如果你想要使用一些community（其实在Anycast中是必须要的）来修改路径的话，你可以在 protocol static static4 下改，可以参考下图：

route 10.0.0.0/24 reject {
    bgp_community.add((48024,666));
    bgp_community.add((48024,6666));

注意一下，一行一个，并且和cisco不一样的地方是他是用,而不是:的。

community也可以定义，可以自己去研究下

Technology 1个评论

[Cisco]从零开始设计运营商级community （上）

首先，我对网络这块完全是从网上自学的，如果有不对的地方，还请您谅解。
其次，这篇文章是根据小狼大佬的文章而改写的，原文在这里。
我只是在 Cisco/FRRouting 平台上再一次实现了这些东西，本质思路都是小狼大佬交给我的。
因此本篇文章将大量引用小狼大佬的原文，他的解释比我更通俗易懂。

我们都知道 IDC 需要使用 BGP 协议来与上游交换路由表和发送自己的 IP Prefix，而且可以通过 BGP 来对路由属性对自己和客户的网段进行修改以达到控制路径的效果。但是有多少人知道其实 BGP 可以使用 community 来实现非常方便的路由路径调整呢？这篇文章将讲述如何使用 community 来打造适合机房的路由控制方案。

要想知道如何使用 BGP community，我们则先需要了解一下 BGP 的属性。

BGP 的属性分以下几种类型，分别是公认必遵，公认自决，可选可过渡，可选不可过渡。而这些属性又有属于他们不同的特点。

公认必遵（Well-Known Mandatory）是所有路由器都必须识别的属性，且这些属性必须出现在路由描述中并传递给 BGP 邻居。公认必遵的属性有以下几个：

ORIGIN（起源）：这个属性说明了源路由是怎样放到 BGP 表中的。在路由选择的时候，ORIGIN中，IGP优于EGP，EGP优于INCOMPLETE。
AS_PATH（AS路径）：指出包含在 UPDATE 报文中的路由信息所经过的自治系统的序列。
Next_HOP (下一跳)声明路由器所获得的BGP路由的下一跳，对 eBGP 会话来说，下一跳就是通告该路由的邻居路由器的源地址。

公认自决（Well-Known Discretionary）也是所有路由器必须识别的属性，但是可以让路由器自己决定该属性需不需要传递，以及出不出现在路由描述中。公认自决的属性有以下几个：

LOCAL_PREF (本地优先级)：仅在IBGP对等体之间交换，不通告给其他AS。当BGP的路由器通过不同的IBGP对等体得到目的地址相同但下一跳不同的多条路由时，将优先选择LOCAL_PREF属性值较高的路由。
ATOMIC_AGGREGATE (原子聚合)：原子聚合属性指出已被丢失了的信息。

可选可过渡（Optional Transitive） 与 可选不可过渡（Optional Nontransitive）并不要求所有运行BGP协议的系统都识别。如果属性是可选过渡的，那么，即使运行BGP的系统不能识别该属性，也要接受该属性并将其转发给它的对等体。而如果属性是可选不可过渡的，运行BGP的系统可以忽略包含该属性的消息并且不向它的对等体转发。这两种类型的属性分别有以下几个：

COMMUNITY(团体) 是一组共享相同属性的目的地集合，用来简化路由策略的应用和降低维护管理的难度，没有物理上的边界，与其所在的AS无关。
AGGREGATOR(聚合者) 该属性补充了路由信息在哪里丢失——它包含了发起路由聚合的AS号码和形成聚合路由的BGP发布者的IP地址。
MULTI_EXIT_DISC(多出口区分)被用来区分同一个邻接AS的多个接口。
ORIGINATOR_ID(起源ID) 用于标识路由反射器，防止引入路由反射器之后出现环路，增加ORIGINATOR_ID这个属性来标识，反射器在发布路由时加入ORIGINATOR_ID，当反射器收到的路由信息中的ORIGINATOR_ID就是自己的ROUTER_ID时，就可以发现路由环路的出现，将该路由丢弃，不再转发。
CLUSTER_LIST(簇列表) 用于标识路由反射器组，也是用来防止环路，在路由经过路由反射器时路由反射器会将自己的CLUSTER_ID添加到路由携带的CLUSTER_LIST中，当路由反射器发现接收的路由的CLUSTER_LIST中包含有自己的CLUSTER_ID，则将该路由丢弃，不再转发。

那么我们很清楚的看到了，公认属性已经被定义好了该属性所应发挥的作用，我们无法对其进行个性化修改来实现自己想要的效果。而可选属性大部分都是在多出口选路用以及网络内存在路由反射器 (Route reflector) 对其进行标识以起到防环的作用。而唯一的可自定义的属性则是 COMMUNITY（团体）属性了。要使用 COMMUNITY 来对路由路径进行控制，我们得先了解下该属性的定义。

团体属性可以添加在每一个路由前缀中，由RFC1997定义，是一个transitive optional属性。包含有团体属性的路由，表示该路由是一个路由团体中的一员，该路由团体具有某种或多种相同的特征。根据这些特征区分不同的路由，可以大大简化路由策略的配置工作，同时也增强路由策略的能力。
ref: 新华三技术官网

我们可以预先定义 community 来标识路由并管理路由。但是在这之前，我们需要一个 BGP 网络来进行操作。那么我们就先开始搭建一个数据中心的网络吧！

以上是原文，希望到这里你能理解我们要干什么，接着看下去。

设计一个网络，我建议你是老老实实画一张拓扑图，然后跟着这个拓扑图来构建网络。我太懒了不想操作，这里就脑内生成一张拓扑，直接做community-list的构建表。

我们有7个主要的数据中心，分别是香港，新加坡，东京，首尔，西雅图，阿什本以及法兰克福。

其中，香港，新加坡，东京，首尔均为Cisco平台，而西雅图，阿什本和法兰克福则是FRRouting平台，语法其实差不了多少。

路由类型	控制标识	功能描述	备注
HKIX 禁播	48024:30010	不要将路由发送给 HKIX
HKIX 禁播	48024:30020	不要将路由发送给 HKIX ALIYUN
HKIX 禁播	48024:30030	不要将路由发送给 HKIX TENCENT
Transit 禁播	48024:4001x	操控发送给 HE 的路由	x=0 禁播 1,2,3 为prepend次数
Transit 禁播	48024:4002x	操控发送给 CDN77 的路由	x=0 禁播 1,2,3 为prepend次数

上游Transit 禁播	48024:6001x	特殊 community，操控Level3	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6002x	特殊 community，操控GTT	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6003x		x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6004x	特殊 community，操控CoreBackbone	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6005x	特殊 community，操控Cogent	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6006x	特殊 community，操控NTT	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6007x	特殊 community，操控TATA	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6008x	特殊 community，操控RETN	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6009x	特殊 community，操控UPC	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6010x	特殊 community，操控Sparkle	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6011x	特殊 community，操控Telia	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6012x	特殊 community，操控Comcast	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6013x
上游Transit 禁播	48024:6014x
上游Transit 禁播	48024:6015x
上游Transit 禁播	48024:6016x	特殊 community，操控NME	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6017x
上游Transit 禁播	48024:6018x
上游Transit 禁播	48024:6019x	特殊 community，操控Telefonica	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6020x	特殊 community，操控Vodafone	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6021x	特殊 community，操控PCCW	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6022x
上游Transit 禁播	48024:6023x
上游Transit 禁播	48024:6024x	特殊 community，操控Coloau	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6025x	特殊 community，操控Serversaustralia	x=0 禁播 1,2,3 为prepend次数
上游Transit 禁播	48024:6026x	特殊 community，操控Orange	x=0 禁播 1,2,3 为prepend次数

内部用 community	48024:999	匹配上该 community，则向上游发送路由
内部用 community	48024:666	匹配上该 community，则向上游发送黑洞	网内禁播 /32 only
内部用 community	48024:1000	匹配上该 community，则禁播	no-export
内部用 community	48024:1001	匹配上该 community，则prepend 1次	as-path prepend 48024
内部用 community	48024:1002	匹配上该 community，则prepend 2次	as-path prepend 48024 48024
内部用 community	48024:1003	匹配上该 community，则prepend 3次	as-path prepend 48024 48024 48024
内部用 community	48024:2100	匹配上该 community，则香港禁播
内部用 community	48024:2101	匹配上该 community，则香港prepend 1次
内部用 community	48024:2102	匹配上该 community，则香港prepend 2次
内部用 community	48024:2103	匹配上该 community，则香港prepend 3次
内部用 community	48024:2200	匹配上该 community，则新加坡禁播
内部用 community	48024:2201	匹配上该 community，则新加坡prepend 1次
内部用 community	48024:2202	匹配上该 community，则新加坡prepend 2次
内部用 community	48024:2203	匹配上该 community，则新加坡prepend 3次
内部用 community	48024:2300	匹配上该 community，则东京禁播
内部用 community	48024:2301	匹配上该 community，则东京prepend 1次
内部用 community	48024:2302	匹配上该 community，则东京prepend 2次
内部用 community	48024:2303	匹配上该 community，则东京prepend 3次
内部用 community	48024:2600	匹配上该 community，则首尔禁播
内部用 community	48024:2601	匹配上该 community，则首尔prepend 1次
内部用 community	48024:2602	匹配上该 community，则首尔prepend 2次
内部用 community	48024:2603	匹配上该 community，则首尔prepend 3次
内部用 community	48024:3300	匹配上该 community，则西雅图禁播
内部用 community	48024:3301	匹配上该 community，则西雅图prepend 1次
内部用 community	48024:3302	匹配上该 community，则西雅图prepend 2次
内部用 community	48024:3303	匹配上该 community，则西雅图prepend 3次
内部用 community	48024:3900	匹配上该 community，则阿什本禁播
内部用 community	48024:3901	匹配上该 community，则阿什本prepend 1次
内部用 community	48024:3902	匹配上该 community，则阿什本prepend 2次
内部用 community	48024:3903	匹配上该 community，则阿什本prepend 3次
内部用 community	48024:4100	匹配上该 community，则法兰克福禁播
内部用 community	48024:4101	匹配上该 community，则法兰克福prepend 1次
内部用 community	48024:4102	匹配上该 community，则法兰克福prepend 2次
内部用 community	48024:4103	匹配上该 community，则法兰克福prepend 3次

在一番复制粘贴后，我的community-list构建好了。这里解释一下，我们香港有自己拉的HKIX和HE，其他Transit则是cdn77提供的，而cdn77有很多内部用的community，而我又不想提供给客户这些参数，于是就自己造community然后翻译成cdn77的community发出去。

Cisco 平台这些 community-list 的命令如下

ip community-list standard no-export-hkix permit 48024:30010
ip community-list standard no-export-hkix-aliyun permit 48024:30020
ip community-list standard no-export-hkix-aliyun permit 48024:30030
ip community-list standard no-export-he permit 48024:40010
ip community-list standard prepend1x-he permit 48024:40011
ip community-list standard prepend2x-he permit 48024:40012
ip community-list standard prepend3x-he permit 48024:40013
ip community-list standard no-export-cdn77 permit 48024:40020
ip community-list standard prepend1x-cdn77 permit 48024:40021
ip community-list standard prepend2x-cdn77 permit 48024:40022
ip community-list standard prepend3x-cdn77 permit 48024:40023
ip community-list standard no-export-cdn77-level3 permit 48024:60010
ip community-list standard no-export-cdn77-gtt permit 48024:60020
ip community-list standard no-export-cdn77-corebackbone permit 48024:60040
ip community-list standard no-export-cdn77-cogent permit 48024:60050
ip community-list standard no-export-cdn77-ntt permit 48024:60060
ip community-list standard no-export-cdn77-tata permit 48024:60070
ip community-list standard no-export-cdn77-retn permit 48024:60080
ip community-list standard no-export-cdn77-upc permit 48024:60090
ip community-list standard no-export-cdn77-sparkle permit 48024:60100
ip community-list standard no-export-cdn77-telia permit 48024:60110
ip community-list standard no-export-cdn77-comcast permit 48024:60120
ip community-list standard no-export-cdn77-nme permit 48024:60160
ip community-list standard no-export-cdn77-telefonica permit 48024:60190
ip community-list standard no-export-cdn77-vodafone permit 48024:60200
ip community-list standard no-export-cdn77-pccw permit 48024:60210
ip community-list standard no-export-cdn77-coloau permit 48024:60240
ip community-list standard no-export-cdn77-serversaustralia permit 48024:60250
ip community-list standard no-export-cdn77-orange permit 48024:60260
ip community-list standard nerocloud-rtbh permit 48024:666
ip community-list standard no-export permit 48024:1000
ip community-list standard prepend1x-nerocloud permit 48024:1001
ip community-list standard prepend2x-nerocloud permit 48024:1002
ip community-list standard prepend3x-nerocloud permit 48024:1003

这里因为偷懒，我把cdn77的prepend参数给忽略了。

做到这里，你已经基本上成功一半了，接下来就是写route-map来匹配上这些community然后执行动作。

具体的一个流程大概如下：

客户发送NeroCloud内部的communities，我们的Router收到了，然后匹配，再将匹配到的community做相应的动作，最后发给上游。

因此我们的community转接操作是在内部的import上做的，这里先写一个rtbh黑洞来做示范。

route-map nerocloud-import permit 10 
 match community nerocloud-rtbh
 set ip next-hop xx.xx.xx.xx
 set community 3491:999 4635:666 6939:666 additive
 continue 20
route-map nerocloud-import permit 20 

ip route xx.xx.xx.xx 255.255.255.255 Null0

解释一下：

我们的rtbh是 48024:666，当客户发这个community时，我们网内应该将被攻击的IP封禁，set ip next-hop xx.xx.xx.xx 就是将被攻击的 IP丢到下一跳（并不真实存在的）然后再把这个网关加到NULL0上，就能在网内屏蔽这个/32 IP。

但是如果仅仅是网内封禁是不够的，因为流量还是会通过我们的路由器，造成网内拥塞。因此我们需要拿到上游运营商的rtbh，将/32 blackhole发送至骨干网上，这样就不会有问题了。

我们的上游 PCCW，HKIX和HE，他们的rtbh分别是 3491:999 4635:666 6939:666，因此我们需要一个action就是 set community 3491:999 4635:666 6939:666 additive。这么做可以将我们的路由带上这些community并发送给上游。

验证一下配置：

在没有发送 48024:666 的时候

都是正常可达的，我们在日本的路由器上发送内部rtbh指令，看看会发生什么。

Technology 没有评论

使用 Mikrotik 解锁本地限定流媒体/网站

目前来看，这套方案整体稳定性不佳，我目前只用来解锁AbemaTV的流视频，而其他的流媒体或者网站类似 DMM，Netflix之类的因为封锁不算非常严格，因此可以通过购买一些特殊的服务器来解决。

在操作之前，请先确保你对 Mikrotik RouterOS这个系统有一定了解，并且需要精通 Linux 系统中路由表这一块。

阅读全文→

Daily, Technology 没有评论

MacBook Pro 16inch (2019) 入手体验及配件心得

我之前的一台 MacBook Pro 是 2015 年的 13 inch 的顶配 512 GB SSD，但是只有8G 内存，而且没有独立显卡。五年过去了，那台老 MacBook Pro 已经完全不能胜任我的日常需求了。这次寒假在家里待的时间有点久，先买了台2019款的iMac 27inch 5k，但是总觉得一定要买一台 MacBook Pro才行。于是在半个月后，我入手了 MacBook Pro 16inch。

我的 MacBook Pro的配置是MVVK2这个型号，2.3Ghz的i9-9880H，16GB 内存，AMD Radeon Pro 5500M 4 GB和1TB SSD。

在买之前我是看过很多评测的，我根据自己的需要选择了i9这款而不i7这款，因为我不想重蹈之前New MacBook的覆辙，我的预算对于这两款配置的乞丐版都是充足的，所以我选择了VK2。

原本是准备通过 Apple 的教育商店下单的，但是无奈选错了配置，而他又不是实时退款的，因此只好在淘宝一家店下单买了。

店家发货很快，仅仅用了两天就送到我手上了。早上起来下楼的时候看到这个快递被物业直接丢在家门口。。我的内心其实是崩溃的。

拆机后走完苹果的激活程序，就开始体验了。首先我用 Intel 的 Power Gadget 测试了一下 CPU的睿频和散热情况。i9 单核心4.8Ghz可以稳定睿频，而全核心睿频也保持在4.0Ghz不降频。不过这都是理想状态，实际使用的时候肯定是会比这个数字低一点的。

顺便跑了一下R15，跑分有3000分，比2019的iMac 5k还高了1000分。虽然跑到后面是过热降频了，但是总体而言还是很满意的。

阅读全文→

Daily, Technology 没有评论

解决 Windows10 锁屏无法修改

如上图所示，我的 Windows 锁屏无法修改，Google了一下，发现是需要改系统组策略。

WIN+R，然后输入 gpedit.msc 打开组策略；
在左侧依次展开：计算机配置 -> 管理模版 -> 控制面板 -> 个性化
在右侧双击打开“不显示锁屏”，弹出窗口中选“未配置”，应用，确定。如果默认为“未配置”先改为“禁用”，应用，再改回“未配置”-“确定”即可。

然后重新打开这个页面，就可以修改锁屏界面了。

Technology 没有评论

2018 11-inch iPad Pro 双十一入手体验

1. iPad Pro 购买渠道及体验

避免广告嫌疑，因此所有的店铺都不会写出来，也不做推荐，我怕我买了没翻车你买翻车到时候来找我麻烦（

我入手2018版11-inch iPad Pro是在2019的11月7日，没错是9102年。。。因为现在我目前还是一个无稳定收入的穷学生，之前国庆的时候在七宝专卖店入手了一台iPhone 11 128G，又买了一块Apple Watch 5，因此只能选择了在深水宝上购买而不是去苹果专卖店选购。

周五上课的时候看了下同学的iPad 2018，他是类纸模+Apple Pencil 1代，搭配Notability记笔记，抢来试用了一下，那感觉就直接惊艳到我了，因此下定决心准备买个iPad。其实之前一直想买iPad Air3，毕竟iPad Air3 今年年初才刚更新过，更新换代可能没有那么快。查看深水宝之后发现，iPad Air3卖的价格只比官方便宜800块，而我看中的 11-inch iPad Pro 要便宜3000左右，最后我选择的是WiFi+4G版本，256G空间，奇怪的是店铺没有让我选择颜色，可能是随机发货吧，也没细问，反正肯定是要买保护套的，颜色对我而言并不是那么重要。

阅读全文→

Daily, Technology 没有评论

CentOS 使用 Quagga 实现 OSPF 组播

OSPF(Open Shortest Path First开放式最短路径优先）是一个内部网关协议(Interior Gateway Protocol，简称IGP），用于在单一自治系统（autonomous system,AS）内决策路由。是对链路状态路由协议的一种实现，隶属内部网关协议（IGP），故运作于自治系统内部。著名的迪克斯加算法(Dijkstra)被用来计算最短路径树。OSPF分为OSPFv2和OSPFv3两个版本,其中OSPFv2用在IPv4网络，OSPFv3用在IPv6网络。OSPFv2是由RFC 2328定义的，OSPFv3是由RFC 5340定义的。与RIP相比，OSPF是链路状态协议，而RIP是距离矢量协议。

本教程中，我们将连接通过Wireguard连接的路由器网络，Route A（上海）下挂载 10.200.10.0/24，而 Route B（江苏）下挂载 172.16.5.0/24。

首先，我的配置可能并不适合你，只是作一个借鉴作用，而我本人是通过这篇教程来实现的，过程并不一样，写下希望以后不要忘记。

建立 GRE 隧道

我一开始是没用使用 GRE 而直接使用 Wireguard 进行互联的，但是发现收不到 OSPF 路由，在 Allowed-IPs 已经是 0/0 的情况下，猜想可能是不支持收发广播包（240/8）。因此在Wireguard的基础上使用了 GRE Tunnel，即 GRE Over Wireguard 实现。

实现过程

vim /etc/sysconfig/network-scripts/ifcfg-tun0

贴入以下内容

DEVICE=tun0
BOOTPROTO=none
ONBOOT=no
TYPE=GRE
PEER_OUTER_IPADDR=10.200.10.1  #对端IP (wireguard)
PEER_INNER_IPADDR=192.168.200.1 
MY_INNER_IPADDR=192.168.200.2 (GRE本机IP)

然后 ifup tun0

同理在另一台机器上贴入以下内容

DEVICE=tun0
BOOTPROTO=none
ONBOOT=no
TYPE=GRE
PEER_OUTER_IPADDR=10.200.10.2  #对端IP (wireguard)
PEER_INNER_IPADDR=192.168.200.2 
MY_INNER_IPADDR=192.168.200.1 (GRE本机IP)

然后 ifup tun0

ping 对端的 GRE IP进行测试，如果通了那么这里就算完成了。

安装 Quagga

通过 yum 安装 Quagga

yum -y install quagga

关闭 SELINUX 的话可以跳过这一步

setsebool -P zebra_write_config 1

配置 Zebra

我们首先创建Zebra配置文件，并启用Zebra守护进程。

rm -f /etc/quagga/zebra.conf
cp /usr/share/doc/quagga-*/zebra.conf.sample /etc/quagga/zebra.conf
systemctl start zebra 
systemctl enable zebra

启动vtysh命令行：

vtysh

首先，我们为Zebra配置日志文件。输入下面的命令进入vtysh的全局配置模式：

site-A-RTR# configure terminal

指定日志文件位置，接着退出模式：

site-A-RTR(config)# log file /var/log/quagga/quagga.log
site-A-RTR(config)# exit

永久保存配置：

site-A-RTR# write

由于我们使用的是 GRE Tunnel，因此不需要为 Interface 重新配置 IP，直接可以进行 OSPF 的设置。如果你是通过物理线进行的连接而没有分配指定的 IP ，可以通过我之前提到的那个教程去学习。

配置OSPF

我们首先创建OSPF配置文件，并启动OSPF守护进程：

rm -f /etc/quagga/ospfd.conf
cp /usr/share/doc/quagga-*/ospfd.conf.sample /etc/quagga/ospfd.conf 
systemctl start ospfd
systemctl enable ospfd
chown quagga:quagga -R /etc/quagga/

现在启动vtysh命令行来继续OSPF配置：

vtysh

输入路由配置模式:

site-A-RTR# configure terminal
site-A-RTR(config)# router ospf

可选配置路由id:

site-A-RTR(config-router)# router-id 192.168.200.1

添加在OSPF中的网络:

site-A-RTR(config-router)# network 192.168.200.2/32 area 0
site-A-RTR(config-router)# network 10.200.10.0/24 area 0

永久保存配置:

site-A-RTR(config-router)# do write

在镇江的机器上重复和上面相似的OSPF配置:

输入路由配置模式:

site-B-RTR# configure terminal
site-B-RTR(config)# router ospf

可选配置路由id:

site-B-RTR(config-router)# router-id 192.168.200.2

site-B-RTR(config-router)# network 192.168.200.1/32 area 0
site-B-RTR(config-router)# network 172.16.5.0/24 area 0
site-B-RTR(config-router)# do write

OSPF的邻居现在应该启动了。只要ospfd在运行，通过vtysh的任何OSPF相关配置的改变都会立即生效而不必重启ospfd。

验证

1.通过ping测试

首先你应该可以从site-A ping同site-B的LAN子网。确保你的防火墙没有阻止ping的流量。

[root@site-A-RTR ~]# ping 172.16.5.1

2. 检查路由表

必要的路由应该同时出现在内核与Quagga理由表中。

[root@site-A-RTR ~]# ip route

10.200.10.0/24 dev wg-client proto kernel scope link src 10.200.10.1 
172.16.5.0/24 via 192.168.200.2 dev tun-zj proto zebra metric 20 
192.168.200.2 dev tun-zj proto kernel scope link src 192.168.200.1

[root@site-A-RTR ~]# vtysh
site-A-RTR# show ip route

Codes: K - kernel route, C - connected, S - static, R - RIP, O - OSPF,
       I - ISIS, B - BGP, > - selected route, * - FIB route

O   10.200.10.0/24 [110/10] is directly connected, wg-client, 01:03:54
O>* 172.16.5.0/24 [110/20] via 192.168.200.2, tun-zj, 01:00:20
O   192.168.200.2/32 [110/10] is directly connected, tun-zj, 01:04:11
C>* 192.168.200.2/32 is directly connected, tun-zj

3. 验证OSPF邻居和路由

在vtysh命令行中，你可以检查必要的邻居是否在线与是否已经学习了合适的路由。

[root@site-A-RTR ~]# vtysh 
site-A-RTR# show ip ospf neighbor

Technology 3个评论

CentOS 搭建CSGO服务器

最近有一些空闲的服务器要搭建 CSGO 服务器，综合一位前辈的文章，进行了一些总结和优化

CS:GO服务器架设（Windows+Linux）

由于我不会用 Windows 或者其他 Linux 系系统，因此这只写如何在 CentOS 7 64bit 上搭建 CSGO 服务器。

基础准备

CentOS 7 64bit

30G 硬盘

5Mbps+ 带宽

一个服务器令牌

下载 SteamCMD

SteamCMD 是 Valve 的一个 steam cmd 客户端，只具备一些基础功能，用来下载 CSGO 服务器。

首先我们要创建一个用户 steam，避免root的直接执行。

useradd -m steam
password steam

切换到 steam

su steam
cd ~
mkdir steamcmd
cd steamcmd

下载steamcmd 并解压

wget https://steamcdn-a.akamaihd.net/client/installer/steamcmd_linux.tar.gz
tar zxvf steamcmd_linux.tar.gz

创建一个update.txt自动下载脚本

vim update.txt

按I键开启编辑模式复制以下内容进去

@ShutdownOnFailedCommand 1 
@NoPromptForPassword 1
login anonymous
force_install_dir ../csgoserver/
app_update 740
quit

保存

下载csgo服务端

./steamcmd.sh +runscript update.txt

服务器配置

下载好了之后还需要进行插件配置（sourcemod+metamod:source）以及服务器参数设置

https://www.sourcemod.net/downloads.php

http://www.metamodsource.net/downloads.php?branch=stable

把解压得到的addons跟cfg文件夹放到/home/steam/csgoserver/csgo/下

然后设置sourcemod管理员 addons/sourcemod/configs/admins_simple.ini

格式如

"STEAMID" "权限" "管理员密码(可选)"
"STEAM_1:1:59886493" "99:z"

随便进一个服务器然后控制台打status

看到名字后面的STEAM_X:X:XXXXXX就是你的STEAMID

权限等级：

"a"//预留通道
"b"//管理员菜单的权限
"c"//踢人
"d"//BAN人
"e"//解BAN
"f"//娱乐命令（处死 火烧冰冻等）
"g"//更换服务器地图
"h"//修改服务器cvar参数
"i"//执行服务器cfg文件
"j"//发送消息
"k"//发动投票
"l"//给服务器上密码
"m"//rcon命令 远程控制服务器
"n"//修改sv_cheats参数以及使用其他作弊参数
"z" //顶级权限
"o-t" //自定义权限（warmod菜单等）

然后到csgoserver/csgo/cfg文件夹新建一个cfg文件比如autoexec.cfg 里面写入以下内容

hostname "你的服务器名称"
rcon_password "远程控制服务器的密码（与上面sourcemod里面的rcon不同）"
host_info_show 2
host_players_show 2
fps_max 1000
sv_region 4
sv_contact 你的邮箱 V社会做记录
exec banned_user.cfg
exec banned_ip.cfg
writeid
writeip

最后，如果你的服务器是需要改参数的，请新建一个文件叫 server.cfg，这样每次在加载模式后会修改参数。

脚本启动

使用脚本启动，在CSGOSever文件夹下，

vim run.sh

休闲模式

-game csgo -console -usercon +game_type 0 +game_mode 0

竞技模式

-game csgo -console -usercon +game_type 0 +game_mode 1

军备竞赛

-game csgo -console -usercon +game_type 1 +game_mode 0

爆破模式

-game csgo -console -usercon +game_type 1 +game_mode 1

死亡竞赛

-game csgo -console -usercon +game_type 1 +game_mode 2

写入以下内容

./srcds_run -console -game csgo -usercon -noipx -nohltv -steam_dir ../steamcmd -steamcmd_script ../steamcmd/update.txt -autoupdate +game_type 0 +game_mode 0 +map de_dust2

自动更新服务器

使用 crontab 设置自动更新

crontab -e

0 0 * * * /home/steam/steamcmd/steamcmd.sh +runscript update.txt

其他服务器启动项

-maxplayers_override 最大玩家数

-noipx 关闭IPX协议的支持

-nohltv 关闭gotv

-nobots 关闭bot功能！ csgo如果想开某些不需要bot的服务器要加这个参数不然有人换队bot还是会占位！

-tickrate 128 设置服务器tick为128 满十必备

-authkey 如果要使用steam web API要用到这个启动项 apikey在这里申请：http://steamcommunity.com/dev/apikey

满十服务器

Warmod 插件是满十服务器最常用的一种解决方案。

官方地址 https://forums.alliedmods.net/showthread.php?t=225474

下载地址 https://warmod.bitbucket.io/plugins/warmod.smx

安装方法

将插件放在csgo/addons/sourcemod/plugins 下，然后配置将会自动启动。

run.sh 需要修改成这样

./srcds_run -console -game csgo -usercon -noipx -nohltv -steam_dir ../steamcmd -steamcmd_script ../steamcmd/update.txt -autoupdate +game_type 0 +game_mode 1 +map de_dust2

默认启动 Dust 2 地图。

KZ服务器

下次写

死斗服务器

下次写

Technology 5个评论

CentOS 安装最新版的Wireguard

2017年，新一代VPN技术wireguard诞生。wireguard基于linux kernel内核运行，效率极高，速度很快，而且支持设备IP地址漫游功能，不仅适合服务器之间的互联，还适合在NAT环境下使用，包括家中的智能路由器，配合openwrt等路由器，可安装wireguard，实现路由器绑定wireguard代理功能。

其实我已经用Wireguard 很久了，但是一直没有时间去写如何配置，抽空写一篇博客来证明一下我自己还没死（

1. Wireguard 服务器配置

我用的是CentOS 7 64bit系统，而内核我使用的是 Linux 4.11.2-1.el7.elrepo 这个版本，因为这个版本是支持lotServer的，如果没有lotServer的授权，你也可以用nanqinglang 魔改版BBR。

首先先更新系统内核，我们执行以下命令

sudo yum update -y 
sudo rpm -ivh http://mirror.rc.usf.edu/compute_lock/elrepo/kernel/el7/x86_64/RPMS/kernel-ml-4.11.2-1.el7.elrepo.x86_64.rpm --force
sudo rpm -ivh http://mirror.rc.usf.edu/compute_lock/elrepo/kernel/el7/x86_64/RPMS/kernel-ml-devel-4.11.2-1.el7.elrepo.x86_64.rpm --force
sudo rpm -ivh http://mirror.rc.usf.edu/compute_lock/elrepo/kernel/el7/x86_64/RPMS/kernel-ml-headers-4.11.2-1.el7.elrepo.x86_64.rpm --force

设置 grub 来使使用新内核默认启动

sudo grub2-set-default 0
sudo grub2-mkconfig

启动完毕后我们加入 Wireguard 的 yum 源

sudo curl -Lo /etc/yum.repos.d/wireguard.repo https://copr.fedorainfracloud.org/coprs/jdoss/wireguard/repo/epel-7/jdoss-wireguard-epel-7.repo
sudo yum install epel-release -y
sudo yum install wireguard-dkms wireguard-tools -y

记得开启IPv4的转发

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
sysctl -p

随后，使用命令创建Publickey和PrivateKey

mkdir /etc/wireguard
cd /etc/wireguard
wg genkey | tee privatekey | wg pubkey > publickey
chmod 777 -R /etc/wireguard
vim /etc/wireguard/wg0.conf

服务器端需要以下内容

[Interface]
Address = 10.0.0.1/24
ListenPort = 56660
PrivateKey = <Private Key>
PostUp = iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE
SaveConfig = true

PrivateKey则是你刚生成的PrivateKey，需要填入进去。PostUP和PostDown是开启和关闭时分别执行的命令，你需要根据需求自行修改。

创建服务器端的自动启动

systemctl enable wg-quick@wg0

启动服务器端

wg-quick up wg0

至此，服务器端已经配置完毕，我们需要配置客户端

2.客户端配置

安装过程与服务器一直，但是配置文件是不一样的，具体的需要看你的需求。

假设我们需要将两台服务器互联，以便访问其内网中设备。我们的配置将如下：

[Interface]
Address = 10.0.0.2/24
ListenPort = 56660
PrivateKey = <Private Key>
PostUp = bash /etc/route-add 
PostDown = bash /etc/route-del
SaveConfig = true
 
[Peer]
PublicKey = <服务器端的Public Key>
AllowedIPs = 10.0.0.1/32
Endpoint = 服务器端的公网IP:56660

然后，这边需要注意的是AllowedIPs 如果你写了0.0.0.0/0，你可能会被全部reroute，从而导致连不上服务器。因此我这边推荐你设置为两边的IP先测试完毕再调全局。

随后一样的，启动wireguard。

在服务器端设置以下内容

wg set wg0 peer <客户端的Public Key> allowed-ips 10.0.0.1/32

然后你会发现两个内网IP可以互通，

ping -c 10 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=28.5 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=28.4 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=28.5 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=28.5 ms
64 bytes from 10.0.0.1: icmp_seq=5 ttl=64 time=28.5 ms
64 bytes from 10.0.0.1: icmp_seq=6 ttl=64 time=28.3 ms
64 bytes from 10.0.0.1: icmp_seq=7 ttl=64 time=28.6 ms
64 bytes from 10.0.0.1: icmp_seq=8 ttl=64 time=28.6 ms
64 bytes from 10.0.0.1: icmp_seq=9 ttl=64 time=28.3 ms
64 bytes from 10.0.0.1: icmp_seq=10 ttl=64 time=28.5 ms

--- 10.0.0.1 ping statistics ---
10 packets transmitted, 10 received, 0% packet loss, time 9012ms
rtt min/avg/max/mdev = 28.360/28.522/28.688/0.207 ms

那么，我们的wireguard就算是通了，现在要仔细来调整这个路由让他来符合我们的需求。

就拿刚刚所说，如果是为了访问互相的内网，你需要把内网IP加入到 AllowedIPs 里面，用逗号区分。

比如说如下

[Interface]
Address = 10.0.0.2/24
ListenPort = 56660
PrivateKey = <Private Key>
PostUp = bash /etc/route-add 
PostDown = bash /etc/route-del
SaveConfig = true
 
[Peer]
PublicKey = <服务器端的Public Key>
AllowedIPs = 10.0.0.1/32, 192.168.0.0/16
Endpoint = 服务器端的公网IP:56660

在你启动wireguard后，你能访问到服务器端的192.168.0.0/16这个段，哦当然，这种可以认为是对等互联，所以不存在服务器或者客户端这种说法。

而另外一种做法，是在路由器上部署的，实现翻墙功能，这种配置应该是这么写的

[Interface]
Address = 10.0.0.2/24
ListenPort = 56660
PrivateKey = <Private Key>
PostUp = bash /etc/route-add 
PostDown = bash /etc/route-del
SaveConfig = true
 
[Peer]
PublicKey = <服务器端的Public Key>
AllowedIPs = 0.0.0.0/0
Endpoint = 服务器端的公网IP:56660
PersistentKeepalive = 25

另外一点，你需要编辑一下 /etc/route-add 来确保你的服务器IP不走wireguard，否则可能会连不上。

启动后，默认会将你所有流量都通过wg0这个接口到你的服务器上，实现翻墙。

3. Wireguard 的进阶玩法

这个以后再写，涉及到我目前做的一个项目，主要是给客户做游戏加速用，据说他们效果还不错。

具体就是开了一台机器作为他们的接入点，然后我们通过专线将流量导入到日本端，实现全天候稳定的游戏加速服务。

Wireguard只需要一个端口，只需要支持UDP并且内核支持，即可对接无数台VPS。

那么，聪明的人应该能想到一些东西了吧（这边先不公开了，等我玩腻了再说具体实现方案。

Technology 12个评论

我很可爱请给我钱

1. iPad Pro 购买渠道及体验

建立 GRE 隧道

实现过程

安装 Quagga

配置 Zebra

配置OSPF

验证

1.通过ping测试

2. 检查路由表

3. 验证OSPF邻居和路由

基础准备

下载 SteamCMD

服务器配置

脚本启动

自动更新服务器

其他服务器启动项

满十服务器

KZ服务器

死斗服务器

1. Wireguard 服务器配置

2.客户端配置

3. Wireguard 的进阶玩法