Chiphell - 分享与交流用户体验

标题: 双路由实现ip无感分流,丢掉你的旁网关 [打印本页]
作者: thhbdd    时间: 2024-9-22 19:05
标题: 双路由实现ip无感分流,丢掉你的旁网关
本帖最后由 thhbdd 于 2024-9-27 14:57 编辑

本篇是直接从我自己公众号coppy过来,如果排版不合适将就着看吧

在传统的主路由+旁路由的分流模式中,设备需要配置网关为旁路由,一来要给设备单独设置网关不方便;二来如果旁路由因为各种问题导致下线或者出现故障,会导致对应的设备无法上网,破坏了网络的稳定性。所以最好实现无感分流,这样哪怕旁路由物理损坏也不会导致任何的网络波动。

前几期有写过一期《双路由实现无感ip分流,硬路由也适用,再见旁路由》,但是那一篇只说了思路,很多童鞋希望有个具体教程,后面也统计了下都用的啥路由器,大部分都是硬路由,本篇用的也是tplink的硬路由+单网口软路由(op),硬路由为主路由,软路由为旁路由(这里旁路由不是旁网关,没有任何网关指向它,为了好称呼本文还是叫旁路由)。至于为什么要用硬路由当主路由,很显然,硬路由效率高,不是软路由能比的。

特别说明:如果主路由是软路由也一样,相关步骤是类似的,操作上和硬路由没太多区别。用软路由的童鞋照葫芦画瓢基本上都可以用,我具体配置策略是基于我自己的需求,可以照葫芦画瓢,但不要全抄。

相关原理以及优点自行查看往期文章,这里不再赘述。硬路由需要用到策略路由,如果路由器不支持建议更换个路由器或者用软路由当主路由,不过tp支持策略路由的路由器也才几百,小黄鱼更便宜。

具体内容已删除,大部分人不需要此类方法

原文章地址《实操:双路由实现ip无感分流,丢掉你的旁网关
作者: vzvxvcvv    时间: 2024-9-22 19:12
马克了,
作者: Earsum    时间: 2024-9-22 19:18
其实旁路由fakeip体验也还行,dns境外v6丢弃返回v4 fakeip,境内dns照样返回v4和v6,然后fakeip网段主路由写静态路由或者dhcp下发静态到终端指向旁路,境内依然走v4或者v6直连出去。听说fakeip打游戏会有问题,不过我玩境外游戏都是开加速器倒也问题不大。
之前看到个教程通过bgp和ospf动态收路由分流,感觉挺有意思的,等啥时候fakeip用腻了折腾下
作者: thhbdd    时间: 2024-9-22 19:55
才发现打字了,,,问题不大
作者: digitalgk111    时间: 2024-9-22 21:03
先收藏在看,这是好习惯
作者: 元首的动物园    时间: 2024-9-22 21:08
这个要是内网有NAS需要提供各种服务给外网的,要多次转发吗,会不会各种毛病
作者: thhbdd    时间: 2024-9-22 21:26
元首的动物园 发表于 2024-9-22 21:08
这个要是内网有NAS需要提供各种服务给外网的,要多次转发吗,会不会各种毛病 ...

不会,这个是控制内部访问外部,不是控制外部访问内部
作者: mxf21cn    时间: 2024-9-22 21:52
mark一下,
作者: 数不清    时间: 2024-9-22 22:13
BT下载如何分流
作者: thhbdd    时间: 2024-9-22 22:25
数不清 发表于 2024-9-22 22:13
BT下载如何分流

单独配置ip做策略路由,或者在软路由那里设置不代理对应端口
作者: pdvc    时间: 2024-9-22 23:05
比较古老的依靠IP地址分流的策略路由方案...
作者: AlexGao2006    时间: 2024-9-22 23:28
mark一下,收藏夹+1
作者: qwssx    时间: 2024-9-23 08:35
不错,看看下,谢谢分享。。。
作者: cfan7777777    时间: 2024-9-23 08:41
pdvc 发表于 2024-9-22 23:05
比较古老的依靠IP地址分流的策略路由方案...

新的是什么方案?
作者: Glamour    时间: 2024-9-23 08:56
提示: 作者被禁止或删除 内容自动屏蔽
作者: etfgert    时间: 2024-9-23 09:09
mark 留名
作者: vim    时间: 2024-9-23 09:42
比较初级的IP策略分流方案
缺点也显而易见,绝大部分没被和诣的IP都分流到了支线上,造成各环节压力不说 还影响正常访问;另外不能有dns污染,否则白瞎。
建议可以学学3楼的方案,用fakeip只对gfw分流
作者: pdvc    时间: 2024-9-23 09:53
cfan7777777 发表于 2024-9-23 08:41
新的是什么方案?

新的是DAE和paopaogateway,一个基于ebpf,一个基于fakeip网关。
作者: MolaMola    时间: 2024-9-23 09:54
pdvc 发表于 2024-9-22 23:05
比较古老的依靠IP地址分流的策略路由方案...

没办法,lz想用硬只能受限于这些古老初级的方法了
作者: greatXin    时间: 2024-9-23 09:58
1.你开了ip动态伪装本质就是在做nat
2.如果没有自建dns,可以把dns分流到旁路由上,一般都做了dns劫持
3.一般人非cn段的访问其实挺少的,压力还好了,旁路由上也可以做分流,也不用担心流量问题
作者: thhbdd    时间: 2024-9-23 09:58
MolaMola 发表于 2024-9-23 09:54
没办法,lz想用硬只能受限于这些古老初级的方法了

还是那句话,硬路由高效的处理能力不是软路由可以比的,不然直接用软路由当主路由不是更方便
作者: MolaMola    时间: 2024-9-23 10:02
thhbdd 发表于 2024-9-23 09:58
还是那句话,硬路由高效的处理能力不是软路由可以比的,不然直接用软路由当主路由不是更方便 ...

对,都是各自权衡的选择,哪个好用用哪个
作者: thhbdd    时间: 2024-9-23 10:02
greatXin 发表于 2024-9-23 09:58
1.你开了ip动态伪装本质就是在做nat
2.如果没有自建dns,可以把dns分流到旁路由上,一般都做了dns劫持
3.一 ...

第一个如果不做伪装流量可能无法正确回到内网,我自己网络下不开这个没有任何问题,但鉴于教程需要尽可能避免不适应的情况所以还是加上了要开
作者: pdvc    时间: 2024-9-23 10:04
MolaMola 发表于 2024-9-23 09:54
没办法,lz想用硬只能受限于这些古老初级的方法了

主要是这个方案很依赖ip地址表,还有ipv6可能会有问题。用BGP好点,根据ASN判断。不过现在有ebpf和fakeip网关了,这方案就有点过时了。
作者: 贫民张大嘴    时间: 2024-9-23 10:14
我用的ubnt的网关,主要网络走wan1,根据ip和区域还有域名分了一部分走wan2,
作者: thhbdd    时间: 2024-9-23 10:24
pdvc 发表于 2024-9-23 10:04
主要是这个方案很依赖ip地址表,还有ipv6可能会有问题。用BGP好点,根据ASN判断。不过现在有ebpf和fakeip ...

bgp那些很多硬路由器并不支持,fakeip目前还有许多问题,策略路由直接分流虽然很初级,但是很明显,不会对网络有影响,而且只要主路由不炸怎么搞都不会有问题
作者: Evalyn    时间: 2024-9-23 10:28
已经有可用的基于域名的真实IP分流方案了,核心也是硬路由直连,完全按照域名配置按需转发旁。
作者: qiujiawei    时间: 2024-9-23 10:38
mark一下,回去折腾
作者: qiujiawei    时间: 2024-9-23 10:39
Evalyn 发表于 2024-9-23 10:28
已经有可用的基于域名的真实IP分流方案了,核心也是硬路由直连,完全按照域名配置按需转发旁。 ...

这个有教程吗,通过什么实现的
作者: Evalyn    时间: 2024-9-23 10:45
qiujiawei 发表于 2024-9-23 10:39
这个有教程吗,通过什么实现的

dns route,通过嗅探dns请求动态生成路由表,然后通过ospf等路由协议同步给主路由。
目前有一个完整的方案开源,带详细配置教程,但并不能算是开箱即用,配置门槛不低。
https://github.com/povsister/v2ray-core
作者: greatXin    时间: 2024-9-23 10:57
Evalyn 发表于 2024-9-23 10:45
dns route,通过嗅探dns请求动态生成路由表,然后通过ospf等路由协议同步给主路由。
目前有一个完整的方 ...

虽然示例给的ros,但只要会配置,任意支持ospf(拿docker跑也行)+策略路由(iproute2就行了)就能跑,比如我用的ik当主路由
作者: pdvc    时间: 2024-9-23 11:01
Evalyn 发表于 2024-9-23 10:45
dns route,通过嗅探dns请求动态生成路由表,然后通过ospf等路由协议同步给主路由。
目前有一个完整的方 ...

需要主路由支持OSPF😓
作者: thhbdd    时间: 2024-9-23 11:01
greatXin 发表于 2024-9-23 10:57
虽然示例给的ros,但只要会配置,任意支持ospf(拿docker跑也行)+策略路由(iproute2就行了)就能跑,比如我 ...

我发第一篇文章的时候有人留言说过这个,但是我路由器不支持ospf,不然确实是个好方案,用动态路由分流,这样路由器还能自动恢复,唯一的问题是我路由器不支持。。。。
作者: 纯属开玩笑    时间: 2024-9-23 11:02
是不是太复杂了,前面整这么多设备出问题几率还高!电费还厉害!我直接软路由顶前面(一台搞定),用mwan3进行分流,当然底层仍然是IP分流。
作者: thhbdd    时间: 2024-9-23 11:04
纯属开玩笑 发表于 2024-9-23 11:02
是不是太复杂了,前面整这么多设备出问题几率还高!电费还厉害!我直接软路由顶前面(一台搞定),用mwan3 ...

这里只要主路由不出问题就不会有问题,不用软路由我文章说了,软路由效率比不上硬路由
作者: pdvc    时间: 2024-9-23 11:06
thhbdd 发表于 2024-9-23 10:24
bgp那些很多硬路由器并不支持,fakeip目前还有许多问题,策略路由直接分流虽然很初级,但是很明显,不会 ...

BGP的完美一点,就是家用比较夸张,要大内存收路由表。

我比较看好ebpf方案,性能和效能很好。
作者: thhbdd    时间: 2024-9-23 11:08
pdvc 发表于 2024-9-23 11:06
BGP的完美一点,就是家用比较夸张,要大内存收路由表。

我比较看好ebpf方案,性能和效能很好。 ...

唯一的问题是我路由器不支持,得加钱
作者: Evalyn    时间: 2024-9-23 11:10
pdvc 发表于 2024-9-23 11:01
需要主路由支持OSPF😓

楼上其实也说了任意支持ospf和iproute2的都可以。大部分有shell的路由应该都可以用iproute2,openwrt应该两个都支持。不行的话docker跑个bird似乎也行,前提是你能让ospf同步过来的路由表生效。
作者: 纯属开玩笑    时间: 2024-9-23 11:12
thhbdd 发表于 2024-9-23 11:04
这里只要主路由不出问题就不会有问题,不用软路由我文章说了,软路由效率比不上硬路由 ...

怎么说呢,至少我P340+X550 T2 用下来感觉还行吧!二年来24小时不停运行目前还没出问题。我之前也是不停做加法(硬路由+旁路由),现在开始不断做减法
作者: 伏地拖泥卡    时间: 2024-9-23 13:56
mark。之前搞的旁路由会严重影响对应客户端正常的上网业务。
作者: sillencehitman    时间: 2024-9-23 18:00
事实是openwrt稳如老狗
作者: caileipk    时间: 2024-9-23 18:37
开玩笑。有多少个路由器支持分流。。
作者: rx_78gp02a    时间: 2024-9-23 19:14
pdvc 发表于 2024-9-23 11:06
BGP的完美一点,就是家用比较夸张,要大内存收路由表。

我比较看好ebpf方案,性能和效能很好。 ...

dae确实挺好用,效率高,但是ebpf和硬件加速冲突
作者: zxn    时间: 2024-9-23 19:21
mark.
回头有空看看。
作者: 英雄哥    时间: 2024-9-23 19:57
先收藏一下,有空了慢慢研究。我家里也是硬路由做主路由,op做旁路由
作者: pdvc    时间: 2024-9-23 21:19
rx_78gp02a 发表于 2024-9-23 19:14
dae确实挺好用,效率高,但是ebpf和硬件加速冲突

所以我现在还是每台机器上跑clashmeta,也不搞系统代理,直接socks5代理,性能最好😂
作者: Evalyn    时间: 2024-9-23 22:16
pdvc 发表于 2024-9-23 21:19
所以我现在还是每台机器上跑clashmeta,也不搞系统代理,直接socks5代理,性能最好😂 ...

你这句话给对面看到要无语死
作者: pdvc    时间: 2024-9-23 23:49
Evalyn 发表于 2024-9-23 22:16
你这句话给对面看到要无语死

主要我是PT/下载党,也就浏览器和TG用下代理,原生socks5不香嘛
作者: egmk    时间: 2024-9-24 00:01
请教一下,第一、二步不使用WAN-LAN的方式,而是在GE1建立LAN2网桥,然后软路由通过IP动态伪装,是为了启用软路由的FullCone NAT吗?是不是因为这样软路由可以使用硬件转发呢?

另外,TP的ER系列,多LAN桥可以通过构造HTTP请求实现。
作者: kingjb    时间: 2024-9-24 00:31
回头折腾一下
作者: tyy474    时间: 2024-9-24 10:32
还是直接一套vlan分出来独立,然后全局,什么规则都无视也不需要后期维护规则,适合我这样懒人
作者: Glamour    时间: 2024-9-24 10:36
提示: 作者被禁止或删除 内容自动屏蔽
作者: thhbdd    时间: 2024-9-24 10:38
egmk 发表于 2024-9-24 00:01
请教一下,第一、二步不使用WAN-LAN的方式,而是在GE1建立LAN2网桥,然后软路由通过IP动态伪装,是为了启用 ...

不开ip伪装是为了教程通用,如果和我一样单口软路由是不用开
作者: thw717    时间: 2024-9-25 20:31
我不太懂,这个思路也需要启用LAN口IP动态伪装,好像和传统意义的旁路由一样多了一层nat啊
作者: dcl2009    时间: 2024-9-25 22:11
太复杂了,我直接在ROS里面把GFW的域名扔给VPS的DNS,剩下的走原通道

而且只把80,443的国外IP分流给VPS,反正IPV4已经分配完了,地址列表都不用更新

VPS创建了5条隧道,做了bonding,跑百十来m没啥问题
作者: cst4you    时间: 2024-9-25 22:14
整这么复杂, openwrt 一把梭, 国内IP直连海外IP全走代理, 结束
作者: 老饭    时间: 2024-9-25 22:32
五年前就开始无感分流,开始是ros mangle分流,影响性能比较大,现在是openwrt旁路由,ros主路由,ospf分流。下载的机器用ip rule 走本地线路。
作者: 翰墨留香    时间: 2024-9-25 22:39
写的挺清楚,回头试试看
作者: thhbdd    时间: 2024-9-25 22:49
thw717 发表于 2024-9-25 20:31
我不太懂,这个思路也需要启用LAN口IP动态伪装,好像和传统意义的旁路由一样多了一层nat啊 ...

并不用,我这开是为了有些人双网口要nat,如果单网口可以直接不用
作者: thhbdd    时间: 2024-9-25 22:52
thw717 发表于 2024-9-25 20:31
我不太懂,这个思路也需要启用LAN口IP动态伪装,好像和传统意义的旁路由一样多了一层nat啊 ...

而且如果是单网口,开不开这个伪装都没任何区别,因为就一个网口一个网段,还nat啥
作者: 35954514    时间: 2024-9-26 11:10
我这几年一直用的软路由,用的爱快+lede,非常稳定。唯一的问题是有时候代理挂了,会导致外网无法访问。但国内的网络是正常的。

楼主这个方案我大概看了一下,感觉没什么优势。会出现跟我一样的问题,代理挂了之后会导致国外网站无法访问。除非你的策略能判断op上面的代理是否失效然后进行切换。你能ping通它不代表上面的代理正常。
作者: greatXin    时间: 2024-9-26 13:07
35954514 发表于 2024-9-26 11:10
我这几年一直用的软路由,用的爱快+lede,非常稳定。唯一的问题是有时候代理挂了,会导致外网无法访问。但 ...

所以和我一样加入ospf吧,只有明确要代理的ip才会分流,还有爱快可以拿http来做存活检测
作者: vasomax    时间: 2024-9-26 13:08
呃。。。。。。。。。。适用什么使用场景呢?
作者: destroypeter    时间: 2024-9-26 15:18
好文章,mark一下
作者: feilonguu    时间: 2024-9-26 21:27
greatXin 发表于 2024-9-26 13:07
所以和我一样加入ospf吧,只有明确要代理的ip才会分流,还有爱快可以拿http来做存活检测 ...

大佬,ospf这个方案怎么搞,有教程没?
作者: thhbdd    时间: 2024-9-27 13:31
35954514 发表于 2024-9-26 11:10
我这几年一直用的软路由,用的爱快+lede,非常稳定。唯一的问题是有时候代理挂了,会导致外网无法访问。但 ...

旁路由做了代理是可以ping通海外ip,例如谷歌的ip国内是ping不通,如果代理生效就能正常ping,失效就ping不通,此时这个策略就会不生效,至于代理如何ping通海外ip,旁路由tun模式就行
作者: greatXin    时间: 2024-9-27 14:47
feilonguu 发表于 2024-9-26 21:27
大佬,ospf这个方案怎么搞,有教程没?

就是之前提过的 https://github.com/povsister/v2ray-core
我在ikuai上通过特权容器启了个bird来处理ospf,然后通过s6容器开机执行添加策略路由操作
作者: feilonguu    时间: 2024-9-28 11:39
大佬,我用ikuai3.7.14 x64 Build202408011011挂载docker.sock路径时候,提示不是有效路径,请问您用的哪个版本?
作者: feilonguu    时间: 2024-9-28 11:40
greatXin 发表于 2024-9-27 14:47
就是之前提过的 https://github.com/povsister/v2ray-core
我在ikuai上通过特权容器启了个bird来处理ospf ...

大佬,我用ikuai3.7.14 x64 Build202408011011挂载docker.sock路径时候,提示不是有效路径,请问您用的哪个版本?
作者: greatXin    时间: 2024-9-28 13:21
feilonguu 发表于 2024-9-28 11:40
大佬,我用ikuai3.7.14 x64 Build202408011011挂载docker.sock路径时候,提示不是有效路径,请问您用的哪 ...

一直可用,看你是否写错了,之前帖里也有人写错 (, 下载次数: 24) (, 下载次数: 29)
作者: feilonguu    时间: 2024-9-28 13:32
greatXin 发表于 2024-9-28 13:21
一直可用,看你是否写错了,之前帖里也有人写错

确认没错,现在docker1.1.18版本中对/../../和/../这个目录都不支持了,只支持/.
作者: greatXin    时间: 2024-9-28 14:01
feilonguu 发表于 2024-9-28 13:32
确认没错,现在docker1.1.18版本中对/../../和/../这个目录都不支持了,只支持/.  ...

那你拿旧版本建好在升级上来吧,或者看软链能用不
作者: beilai    时间: 2024-9-28 14:54
至于为什么要用硬路由当主路由,很显然,硬路由效率高,不是软路由能比的

楼主,请问这句如何理解?

我一直没有搞清楚,家庭硬路由、企业级硬路由、软路由三者之间的路由转发是都工作在CPU层面?还是专门的路由芯片层面?三者的转发效率有什么区别?

最近要给30人的办公室配网络,主路由器是选择企业级硬路由?还是软路由?
作者: thhbdd    时间: 2024-9-28 16:35
beilai 发表于 2024-9-28 14:54
至于为什么要用硬路由当主路由,很显然,硬路由效率高,不是软路由能比的

楼主,请问这句如何理解?

硬路由基本上都有专门的硬件加速,哪怕是那些x86的硬路由很多也有独立的FPGA硬件加速,更别说有些x86处理器自带硬件加速,软路由通常是指无任何硬件加速单元的路由,只能靠cpu大力飞砖,有硬件加速的路由器效率可高不少

举个夸大点的例子,mtk双核arm cpu带独立硬件加速就可以跑满千兆,但是x86 j1900这种四核u都勉强,前者功率可能3w都没,后者就不止要3w了
作者: beilai    时间: 2024-9-28 16:46
thhbdd 发表于 2024-9-28 16:35
硬路由基本上都有专门的硬件加速,哪怕是那些x86的硬路由很多也有独立的FPGA硬件加速,更别说有些x86处理 ...

谢谢楼主!
那如果给30人的办公室配网络,主路由器是选择企业级硬路由器更好?比软路由更合适,对吗?

任何一台企业级路由器都是硬件加速吗?
作者: thhbdd    时间: 2024-9-28 16:50
beilai 发表于 2024-9-28 16:46
谢谢楼主!
那如果给30人的办公室配网络,主路由器是选择企业级硬路由器更好?比软路由更合适,对吗?

我个人倾向企业级的路由器,更别说他们还带质保有问题可以摇人

基本上你能买到的99%硬路由都有硬件加速
作者: thhbdd    时间: 2024-9-28 16:56
beilai 发表于 2024-9-28 14:54
至于为什么要用硬路由当主路由,很显然,硬路由效率高,不是软路由能比的

楼主,请问这句如何理解?

顺带一提,软路由效率不高还体现在会增加网络延迟,虽然可能才加0.1ms
作者: beilai    时间: 2024-9-29 07:28
本帖最后由 beilai 于 2024-9-29 07:39 编辑
thhbdd 发表于 2024-9-28 16:50
我个人倾向企业级的路由器,更别说他们还带质保有问题可以摇人

基本上你能买到的99%硬路由都有硬件加速 ...


谢谢楼主!

iKuai、panabit这样的实体企业路由器,路由时也都是硬件加速吗?

(, 下载次数: 36)




作者: thhbdd    时间: 2024-9-29 10:15
beilai 发表于 2024-9-29 07:28
谢谢楼主!

iKuai、panabit这样的实体企业路由器,路由时也都是硬件加速吗?

这两家不知道,直接问他们客服



欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/) Powered by Discuz! X3.5