BGP on Sisy's Blog

从零开始接入 DN42 网络 - 3: Dummy 网卡创建与保持、ROA 配置

Thu, 23 Apr 2026 00:00:00 +0000

2026-05-01 更新：配置在 dummy 网卡上的 IP 段 v4:/27 和 v6:/48 分别改为 /32 和 /128 这包括 /etc/netplan/60-dn42-dummy.yaml 中的配置，以及文中示例命令 ip addr add dev dn42-dummy <路由器IP>/<子网> 中的 <子网> 部分。如果需要配置内网，这里不应该填自己分配到的整个 IP 段，否则会导致后续配置内网 IGP 时出现问题：例如对于 IPv4，如果给网卡配置 fd24:ac8e:9e04::3/48，内网的两个节点都会通过 direct protocol 产生同一条 /48 的路由，内核会把去往 ::2 的包直接丢给 dummy 接口（本地连接路由），而不是走隧道。改为 fd24:ac8e:9e04::3/128 后，direct protocol 产生的是主机路由，每个节点通过 Babel/OSPF 等协议，只通告自己的 loopback 地址，对端就能学到一条指向隧道的具体路由。

前言

在前两篇文章里我们已经完成了 DN42 网络的注册和 Bird2 的基础配置，接下来首先必须创建一个 dummy 网卡来承载 BGP 协议的 IP 地址，之后还要配置 ROA 来让 Bird 能够正确地验证路由的合法性。

Dummy 网卡创建与保持

DN42 网络中 BGP 协议的 IP 地址是不会绑定在物理网卡上的，而是绑定在一个 dummy 网卡上，它作为虚拟的网络接口来承载这些 IP 地址，而 Bird 会监听这个接口来进行 BGP 通信。

创建 dummy 接口：

1
2


ip link add dn42-dummy type dummy
ip link set dev dn42-dummy up

为其分配此路由器的 IP 地址（对 ipv4 和 ipv6 都要执行一次）：

1

ip addr add dev dn42-dummy <路由器IP>/<子网>

需要注意这里的 IP 指的是 DN42 网络中选定的 IP 地址，而不是主机的真实公网 IP。

然而这些命令是临时生效的，重启后会丢失。如果需要维持这个 dummy 网卡的配置在重启后不变，可以把这些命令写入系统的网络配置中，例如我的 Ubuntu 24.04 默认使用 Netplan 管理网络，可以创建一个新的 Netplan 配置文件 /etc/netplan/60-dn42-dummy.yaml 来定义这个 dummy 网卡：（注意这里提到的两个地址段应当调整）

1
2
3
4
5
6
7


network:
 version: 2
 dummy-devices:
 dn42-dummy:
 addresses:
 - 172.23.15.34/27
 - fd24:ac8e:9e04::2/48

保存后执行

1
2


chmod 600 /etc/netplan/60-dn42-dummy.yaml
netplan apply

来设置安全的权限并应用配置。如果不设置 600 权限，可能会在 apply 时遇到以下 warning：

1

** (generate:924409): WARNING **: 03:49:04.343: Permissions for /etc/netplan/60-dn42-dummy.yaml are too open. Netplan configuration should NOT be accessible by others.

ROA 配置

ROA 表一般是由社区维护的一个公共资源，包含了 DN42 网络中所有合法的路由前缀和它们对应的 ASN 信息。

可以直接从注册中心生成，也可以用下面这些预构建的 BIRD ROA 表，我用的是 burble 源里列出的最后两个表：

由 dn42regsrv 生成的 ROA 文件可从 burble.dn42 获取：

URL	IPv4/IPv6	说明
https://dn42.burble.com/roa/dn42_roa_46.json	两者皆有	用于 RPKI 的 JSON 格式
https://dn42.burble.com/roa/dn42_roa_bird1_46.conf	两者皆有	Bird1 格式
https://dn42.burble.com/roa/dn42_roa_bird1_4.conf	仅 IPv4	Bird1 格式
https://dn42.burble.com/roa/dn42_roa_bird1_6.conf	仅 IPv6	Bird1 格式
https://dn42.burble.com/roa/dn42_roa_bird2_46.conf	两者皆有	Bird2 格式
https://dn42.burble.com/roa/dn42_roa_bird2_4.conf	仅 IPv4	Bird2 格式
https://dn42.burble.com/roa/dn42_roa_bird2_6.conf	仅 IPv6	Bird2 格式

由 roa_wizard 生成的 ROA 文件可从 kioubit.dn42 获取：

URL	IPv4/IPv6	说明
https://kioubit-roa.dn42.dev/?type=v4	仅 IPv4	Bird2 格式
https://kioubit-roa.dn42.dev/?type=v6	仅 IPv6	Bird2 格式
https://kioubit-roa.dn42.dev/?type=json	两者皆有	用于 RPKI 的 JSON 格式

为了即时生效，并且能定时更新到最新的 ROA 表，我们分两步走：

先简单地手动下载最新的 ROA 表到本地，并放到 Bird 的配置目录下，以便直接跑通 Bird 服务。

1
2


wget -4 -O /tmp/roa_dn42.conf https://dn42.burble.com/roa/dn42_roa_bird2_4.conf && mv -f /tmp/roa_dn42.conf /etc/bird/roa_dn42.conf
wget -4 -O /tmp/roa_dn42_v6.conf https://dn42.burble.com/roa/dn42_roa_bird2_6.conf && mv -f /tmp/roa_dn42_v6.conf /etc/bird/roa_dn42_v6.conf

使用 cron 或者 systemd timer 定时执行一个脚本来定期更新 ROA 表，这里我还是用 cron。

1

0 * * * * wget -4 -O /tmp/roa_dn42.conf https://dn42.burble.com/roa/dn42_roa_bird2_4.conf && mv -f /tmp/roa_dn42.conf /etc/bird/roa_dn42.conf && wget -4 -O /tmp/roa_dn42_v6.conf https://dn42.burble.com/roa/dn42_roa_bird2_6.conf && mv -f /tmp/roa_dn42_v6.conf /etc/bird/roa_dn42_v6.conf && birdc c

这个 cron job 每小时执行一次，下载最新的 ROA 表并替换掉旧的文件，最后执行 birdc c 来让 Bird 重新加载配置，使新的 ROA 表生效。

现在 ROA 配置好了，Bird 就能够正确地运行了，下一步就可以直接开始添加 Peer 了。运行一下 birdc c 来跑通 Bird 服务，输出应该类似于：

1
2
3


BIRD 2.18.1 ready.
Reading configuration from /etc/bird/bird.conf
Reconfigured

从零开始接入 DN42 网络 - 2: DN42 的 Bird2 配置

Wed, 22 Apr 2026 00:00:00 +0000

前言

在 dn42-registry 仓库里把身份注册了之后，除去搭建 VPN 隧道外，下一步就是配置 BGP 路由守护进程了。DN42 网络中我还是习惯用 Bird2 作为 BGP 来管理路由。

Bird2 的配置文件相对来说比较复杂，包含了全局设置、协议定义、路由过滤等多个部分。而且 DN42 自己的 wiki 没有做 i18n，这个等以后熟悉社区了跟维护者沟通吧。

时隔一个月，借这篇博客详细解释、记录一下 wiki 里提供的标准配置示例各部分的意思。整体思路就是先把大的 bird.conf 文件搭建好。这里面会依赖外部引入的 ROA 表和对等方配置，ROA 表是起 Bird 服务所必须的；对等方配置可以依赖 bird.conf 中定义的模板来简化配置，后续添加新的对等方时只需要写一个小的配置文件就行了。后续流程还包括创建一个 dummy 网卡，再往后还有 BGP Community 配置、RPKI 配置和开启 BFD 之类的。

Bird2 配置详解

官方文章：Bird2

全局变量定义

1
2
3
4
5
6
7


define OWNAS = <OWNAS>;
define OWNIP = <OWNIP>;
define OWNIPv6 = <OWNIPv6>;
define OWNNET = <OWNNET>;
define OWNNETv6 = <OWNNETv6>;
define OWNNETSET = [<OWNNET>+];
define OWNNETSETv6 = [<OWNNETv6>+];

这一段用 define 定义了一些 ASN、IP 段相关的全局变量，方便后面多次复用，写过代码的话应该都懂。OWNNETSET 和 OWNNETSETv6 是前缀集合（prefix set），加了 + 表示匹配该前缀及其所有更长的子前缀。

之所以要同时定义 OWNNET 和 OWNNETSET 两个变量，是因为 Bird 在某些语法场景下（比如 route ... reject）需要单个前缀，而在过滤器中做匹配（net ~）时需要集合，Bird 的变量解析机制不允许在集合字面量中直接内嵌变量。

基础设置

1
2
3
4
5


router id OWNIP;

protocol device {
 scan time 10;
}

router id 用这台主机的 IPv4 地址全局变量作为路由器的全局标识符，BGP 要求每个路由器有唯一 ID。

protocol device 让 Bird 每 10 秒扫描一次系统网络接口的状态变化（如接口 up/down、地址增删）。

工具函数

1
2
3
4
5
6


function is_self_net() -> bool {
 return net ~ OWNNETSET;
}
function is_self_net_v6() -> bool {
 return net ~ OWNNETSETv6;
}

意思基本显然且平凡，即判断当前路由的前缀是否属于本 AS 自己的网段，下文中的过滤器 filter 中会用来避免从外部邻居那里接受自己的前缀，以防止路由环路。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25


function is_valid_network() -> bool {
 return net ~ [
 172.20.0.0/14{21,29},
 172.20.0.0/24{28,32},
 ...
 10.0.0.0/8{15,24}
 172.20.0.0/14{21,29}, # dn42
 172.20.0.0/24{28,32}, # dn42 Anycast
 172.21.0.0/24{28,32}, # dn42 Anycast
 172.22.0.0/24{28,32}, # dn42 Anycast
 172.23.0.0/24{28,32}, # dn42 Anycast
 172.31.0.0/16+, # ChaosVPN
 10.100.0.0/14+, # ChaosVPN
 10.127.0.0/16+, # neonetwork
 10.0.0.0/8{15,24} # Freifunk.net
 ];
}

...

function is_valid_network_v6() -> bool {
 return net ~ [
 fd00::/8{44,64} # ULA address space as per RFC 4193
 ];
}

一个白名单过滤器，定义了 dn42 生态中所有合法的 IPv4 地址范围。{21,29} 的语法表示前缀长度必须在 21 到 29 之间。不在此范围内的路由一律拒绝，==防止对等方泄漏公网路由或其他无关路由进来==。各段分别对应注释中的不同网络。除了官方分配的地址段之外，还有一些社区网络（如 ChaosVPN、neonetwork、Freifunk.net）也在 dn42 中使用了自己的地址段。

IPv6 版本类似，只接受 fd00::/8{44,64}，即 RFC 4193 定义的 ULA（唯一本地地址）空间。

ROA 表（路由源授权）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12


roa4 table dn42_roa;
roa6 table dn42_roa_v6;

protocol static {
 roa4 { table dn42_roa; };
 include "/etc/bird/roa_dn42.conf";
};

protocol static {
 roa6 { table dn42_roa_v6; };
 include "/etc/bird/roa_dn42_v6.conf";
};

声明了两张 ROA 表（IPv4 和 IPv6），并通过 include 从外部文件加载 ROA 数据。

ROA 数据的本质是"哪个 ASN 被授权通告哪个前缀"的映射关系。下文中的 BGP 过滤器会用 roa_check() 查询这张表来验证路由的合法性。

Kernel 协议（Bird <-> 系统内核）

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11


protocol kernel {
 scan time 20;
 ipv4 {
 import none;
 export filter {
 if source = RTS_STATIC then reject;
 krt_prefsrc = OWNIP;
 accept;
 };
 };
}

控制 Bird 与 Linux 内核路由表之间的同步：

import none：不从内核路由表导入任何路由到 Bird,从而限制 Bird 仅通过 BGP 学习路由）。
export filter：将 Bird 学到的路由写入内核，但排除静态路由（RTS_STATIC），因为静态路由只是占位用的（见下文），不需要写入内核。
krt_prefsrc = OWNIP：设置导出到内核的路由的首选源地址，确保主机（即该路由器）向 dn42 发出的数据包使用自己的 dn42 IP 作为源地址，而不是随机选一个。

IPv6 同理。

静态路由（前缀通告的来源）

1
2
3
4
5
6
7
8


protocol static {
 route OWNNET reject;

 ipv4 {
 import all;
 export none;
 };
}

声明一条 reject 类型的静态路由，目的不是为了真正路由流量，而是让 Bird 内部有一条自己网段的路由记录。

BGP 的 export filter 中检查 source ~ [RTS_STATIC, RTS_BGP]，这条静态路由满足 RTS_STATIC 条件，从而被通告给邻居——也就是告诉整个 dn42：“我拥有这个前缀，请把目的地是这个前缀的流量发给我。” reject 类型意味着如果真有流量到达但没有更具体的路由可匹配，就丢弃（黑洞路由），这是正常行为。

ipv6 同理。

BGP 模板 (Core part)

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


template bgp dnpeers {
 local as OWNAS;
 path metric on;

 ipv4 {
 <import filter part>
 <export filter part>
 };

 ipv6 {
 <import filter part>
 <export filter part>
 };
}

template 定义了一个可复用的 BGP 配置模板，所有 dn42 对等方都继承它，避免重复配置。path metric on 表示 AS 路径中每一跳的代价为 1，Bird 会优选 AS path 最短的路由。

以下是 import/export filter 的具体内容，ipv4 和 ipv6 的过滤器内容相同，分别放在对应的 ipv4 和 ipv6 块中。

Import Filter（入站过滤）

1
2
3
4
5
6
7
8
9


import filter {
 if is_valid_network() && !is_self_net() then {
 if (roa_check(dn42_roa, net, bgp_path.last) != ROA_VALID) then {
 # Reject when unknown or invalid according to ROA
 print "[dn42] ROA check failed for ", net, " ASN ", bgp_path.last;
 reject;
 } else accept;
 } else reject;
};

安全检查，由外到内：

前缀必须在 dn42 合法范围内，且不接受自己的前缀从别人那里传回来，以防环路。
roa_check() 验证通告这个前缀的最终 ASN（bgp_path.last）是否被 ROA 表授权。不是 ROA_VALID 的一律拒绝，并打印日志。

全部通过则 accept。

Export Filter（出站过滤）

1
2
3
4


export filter {
 if is_valid_network() && source ~ [RTS_STATIC, RTS_BGP] then accept;
 else reject;
};

只通告属于 dn42 合法范围的、且来源是静态路由（自己的前缀）或 BGP 学来的路由。避免将内核路由、直连路由等无关路由泄漏出去。

Import Limit

1

import limit 9000 action block;

如果从单个对等方收到超过 9000 条路由，就阻断该会话。这是一种安全机制，防止某个对等方因配置错误向本端泄漏海量路由（比如全表泄漏），保护主机的内存以及稳定性。

引入对等方配置

1

include "/etc/bird/peers/*";

从 /etc/bird/peers/ 目录加载所有对等方的配置文件。一般来说每次创建一个 peer 时，只需要在该目录下创建一个与该 peer 对应的配置文件即可。每个配置文件中定义一个 protocol bgp ... from dnpeers 实例，继承上面提到的模板，基本上只需要填入邻居的 IP 和 ASN 就行了。

整体数据流

整个配置的数据流思路：

路由器（即这台主机）通过静态路由声明自己拥有的前缀，BGP 模板将其通告给所有对等方；
从对等方接收路由时经过白名单、防环、ROA 的各个验证，合格的路由写入内核路由表（附带正确的源地址），从而使路由器能够正确地转发 dn42 流量。

从零开始接入 DN42 网络 - 1: 注册与身份认证

Sun, 22 Mar 2026 00:00:00 +0000

前言

一开始听说 BGP 还真不是从大黑书里，而是 MoonWX 玩 DN42 的时候一直给我安利。这下不得不玩一玩了。简单了解下来，DN42 确实是一个很适合学习真正的公网环境是如何运行的叠加网络。DN42 趣味在于调试的过程，不过接入这一块基本上也就是按照教程走，顺带在接入过程中学习一些网络知识，除了对等连接 (Peer) 这一步需要费些功夫配置。

本文大量参考了 DN42 的官方文档和一些社区资源，尤其是 DN42 Wiki 和蓝天大佬的博客文章。

大致思路

要接入一个网络，首先你需要在网络内有一个“身份”，包含一个 ASN（自治系统编号）、一个 IPv4 地址段（也可包含 IPv6 地址段）、该 ASN 的管理者、能够证明身份的通信凭证（auth key 之类）、联系方式等。
以上身份中的大多数内容是由自己来选择和定义的，但是需要先提交申请，并被批准，整个网络才会认可你的身份。
在 DN42 中，没有真正意义上的“接入点”，你可以在任何地方通过 VPN（如 WireGuard）连接到 DN42 网络中的其他节点来实现接入。这一步即是寻找其他节点并建立对等连接（Peer），需要配置好隧道软件 (VPN) 和 BGP 软件相关的设置。
同时找很多个人 Peer，这可以增加你网络的稳定性，避免某个节点临时故障导致你和 DN42 完全失联。并且，多 Peer 还能够提高其他节点的访问速度，提高网络的冗余性和整体性能。
后续的性能优化和安全配置等。

注册

注册的过程其实就是向 DN42 的身份信息 git 仓库提交 PR 的过程，各个信息配置文件的格式和内容都有严格的要求，被批准合并后就算拥有了自己管辖的 ASN 和 IP 地址段之类的了。

首先去 https://git.dn42.dev 注册一个账户，这是 DN42 通过 Gitea 提供的模板自部署的 DevOps 平台，类似于 GitHub。
所有 DN42 成员的账户信息就存放在仓库 dn42/registry 里。为了 PR，先 fork 一份到自己的账户。
Clone 已经 fork 的仓库到本地。
接下来就是创建并编辑各个自己所属的配置文件，提交 commit 后创建 PR 了。

需要注意 ASN 和 IP 地址段需要自己挑选空缺的，而且 IPv6 地址极不推荐自己定义地址段前缀，而是通过蓝天大佬提到的随机生成前缀的工具来生成，以符合 RFC4193 中对 IPv6 唯一本地地址的要求。下面列举所有初次注册时必须提交的 8 个文件（注意根据配置不同，可能还需要第 9 个文件 data/dns/[昵称].dn42）：

data/mntner/[昵称]-MNT：代表你的账户，用于验证后续操作
data/person/[昵称]-DN42：代表你个人的信息，包含昵称、邮箱等
data/aut-num/[你的ASN]：代表你想申请的 ASN 号，包含 ASN 号、AS 简介、管理者、联系方式等
data/inetnum/[地址段前缀]_[地址块大小]：代表你想申请的 IPv4 地址段，包含地址段前缀、地址块大小、管理者、联系方式等
data/route/[地址段前缀]_[地址块大小]：IPv4 地址段的路由信息，包含地址段前缀、地址块大小、AS 路由（即授权哪个 AS 使用这个地址段）等
data/inet6num/[地址段前缀]_[地址块大小]：代表你想申请的 IPv6 地址段（本文件是可选的，且如果不添加 IPv6 地址段，后续 data/route6 中的文件也可以不添加）
data/route6/[地址段前缀]_[地址块大小]：IPv6 地址段的路由信息

各个配置文件的内容和其解释可以直接参考蓝天大佬的博客的注册过程部分。描述和原理他已经讲的很清楚了，这里不作赘述。另外，一个好的学习方法是直接参考其他已经成功 merge 的 PR 或参考仓库中已经较为成熟的配置文件来写自己的部分。

这里补充一些蓝天大佬没提到的东西，以及一些需要注意的细节：

提交 commit 所使用的签名密钥必须要包含在 data/mntner/[昵称]-MNT 文件中的 auth 字段中。该字段的内容是用来验证后续操作的凭证，所以本次 PR 中的 commit 需要使用该密钥进行签名，使自动化验证工具能够确认你的身份拥有对该 ASN 和 IP 地址段的管理权限，并批准你的 PR。
寻找空闲的 IPv4 地址段时，蓝天提到了两个可用的网址，但是 https://dn42.us/peers/free 最后一次更新为 2025 年 10 月末，已经没有什么参考价值了。
对于 IPv4，DN42 一般建议申请的合适的地址块大小为 /27（即包含 32 个地址的块）
对于 IPv6，建议申请 /48 的地址段（即包含 65536 个地址的块）
v4 和 v6 的 inetnum (inet6num) 文件中所配置的 nserver 为反向 DNS 服务器，如果配置了，那么还需要在 data/dns 目录下添加一个对应的文件，内容包含反向 DNS 服务器的 IP 地址和主机名等信息。
一些文件的 remarks 字段可以添加一些比较美观的备注信息，增加一些个性化的内容，当然这不是必须的。以下展示我从 MoonWX 那里抄来的一个示例 remarks 字段：

由于蓝天没有提到第 5 点中的这个 DNS 文件，以下简单给出我这个文件的示例内容：

1
2
3
4
5
6
7


domain: sisy.dn42
admin-c: SISY-DN42
tech-c: SISY-DN42
mnt-by: SISY-MNT
nserver: ns1.sisy.dn42 172.23.15.33
nserver: ns1.sisy.dn42 fd24:ac8e:9e04::1
source: DN42

接下来，创建一个带签名的 commit 并提交 PR。PR 的审核过程可能需要一些时间，审核人员会检查你的配置是否符合要求，并且可能会提出一些修改建议。审核通过后，你的 PR 就会被合并到主分支，你就正式成为 DN42 网络的一员了。

其实感觉这里面最花时间的还是挑选自己喜欢的 ASN 和 IPv4 地址段，，，

关于第一个 Peer，暂且先决定放到下一篇里来讲吧。