Acme

DN11 是受 DN42 启发而搭建的一个实验性网络，目前用于杭电范围内，对网络感兴趣的同学学习使用，DN11和DN42非常相似，他们之间的经验都有广泛借鉴意义。 在真实的互联网中，我们常常会通过校验 SSL 证书的方式创建加密 socket 来访问互联网上的资源，这能够有效阻止他人看到通信的内容。而在 DN11 中，由于每个人都相当于是 ISP，流量可能途径每一个人，随时可能被人抓取，因此使用 SSL 证书这件事就更为重要了。 本文将在使用 PDNS 搭建好实验性网络 DNS 的基础上使用 step-ca 搭建 ACME Server 并使用 acme.sh 签发证书。 0. 实验环境介绍 DNS服务器自建已经完成了，通过 anycast IP172.16.255.53可以解析顶级域名dn11。 acme.dn11域名已经解析到172.16.255.2，并且实验机已经宣告了这个 IP。 已经获取到根证书，中间证书，中间证书的签名密钥，而根证书密钥安全起见由他人代管。 GOGOGO！ 1. 初始化 step-ca step-ca 提供了很多种安装方式，裸机，docker，k8s等等。由于计划部署 step-ca 的机器上并没有集群环境，裸机又不方便 remake，通过 docker 镜像安装便成为了最佳选择。 https://hub.docker.com/r/smallstep/step-ca docker pull smallstep/step-ca docker run -it --rm -v step:/home/step smallstep/step-ca step ca init --remote-management 上面的命令会拉取 step-ca 的镜像，使用step ca init --remote-management替换原有的启动命令启动容器同时创建一个名为 step 的卷挂载到 /home/step，还使用了-it参数进入交互式。...

DN11 是受 DN42 启发而搭建的一个实验性网络，目前用于杭电范围内，对网络感兴趣的同学学习使用，DN11和DN42非常相似，他们之间的经验都有广泛借鉴意义。 DN11配网第二期，接上文 “使用 Bird2 配置 WireGuard + OSPF 实现网络的高可用”，这是一篇用于 DN11 的 BGP 配置教程 随着 DN11 的扩大，使用 OSPF 进行集中管理已经变得麻烦起来了，此外还能看到一堆隧道IP污染路由表 也有不少人手上有多个内网，不得不打破 DN11 原先一个人使用一个/24网段的约定 近期又在考虑和 VidarNetwork 并网的事情，最终合并完的网络会变得相当庞大，或许是时候转移到BGP上去了 准备 选择一个AS Number BGP 是用于连接不同 AS 的路由协议，现在定义每一个人选取自己的AS号管理自己的AS。对于已经有AS号的，可以使用已有的AS号，没有AS号的建议选择 421111xxxx 并登记进文档。 选择自己的网段 首先，不要一次性宣告大于/24的网段，/24已经很够你折腾，如果你有多个路由设备并且确实有多个真实子网，那么你可以宣告两个或者三个/24的网段。 也不要为了省网段资源而采用/25这种做法，没有必要，只会给你带来更多的麻烦。 如果你是新加入DN11的成员，虽然DN11改为BGP的同时我们放开了网段的限制，但是真别用常见网段 172.16.x.0/24 (这是DN11之前使用的网段，.17 .18这些段docker会用，不要宣告) 10.x.x.0/24 (注意避开移动的内网段，不要使用太高或者太低的地址) 11.x.x.0/24 (美国国防部的公网段其中之一，他们一般当内网段用) 100.64.x.0/24 (比较少见的保留段) 192.168.x.0 (真的很容易冲突，不要用) 此外你还需要避开HDU已经使用了的内网段，具体有哪些段可以在飞书知识库上查找 隧道 本小节写给 Openwrt 用户，ros 用户应该都会，linux 用户参考 wg-quick 使用教程。但无论你是什么用户，请务必看完本章节的内容，铺设隧道这件事有一些实践上的做法可供参考。 安装wg-quick-op 我给 openwrt 专门写了一个用来配置 wireguard 的工具，他会帮你处理开机启动，ddns 的问题的同时你可以使用 wg-quick 配置文件的所有配置。主要是基于 wg-quick-go 修改，定制了一些实用功能。...