没想到在CHH碰到一样玩法的了。

手搓了个全自动的OSPF旁路方案，全真IP，不需要预加载路由表也不用fakeIP，走DNS route自动通告。
https://github.com/povsister/v2ray-core

colorjuice 发表于 2022-6-17 16:15
那肯定啊，你用OSPF通告给ROS说这个IP要走OpenWrt，然后你在OpenWrt里面的工具/插件再排除掉，那肯定要被 ...

我也推荐这种方式，简单稳定，主路由压力小，而且旁路由挂了也不影响所有设备上网。
1. op旁路由安装shellclash和AdGuardhome
2. clash配置为全局fq，打开fakeip，关掉DNS劫持，比如设置DNS端口为253
3. AdGuardhome端口为53，导入gfwlist，gfwlist中DNS列表的上游设置为clash DNS端口，如127.0.0.1:253。参考https://github.com/kpivy8/gfwlist2AdGuardHome其他DNS还是走主路由或者114之类。
4. ros主路由设置一条静态路由，fakeip地址段198.18.0.0/16，走clash的ip。如果需要用电报之类走ip的，再增加几条静态路由，讲指定ip地址也走clash。
5. ros主路由的DHCP server中将需要科学的设备根据mac地址设置为静态，DNS指定两个，op旁路由ip和ros主路由ip。

guitengyue 发表于 2022-9-18 20:16
保姆级教程其实就是楼上的博客有
但是我最终还是回归到了ip标记方式。。。
说实话，ospf的响应真心比ip快 ...

现在到什么进度了

Ryo_ 发表于 2022-8-18 00:21
博客最近没更新,其实已经换成BGP来做了,不过区别不大,而且ospf收敛速度还更快
我用BGP主要是不用和组播那些 ...

刚开始了解ospf方式，以前经常旁路由挂了后影响家人使用，希望后面我自己能配置出来。

感谢前辈大佬们的探索和分享。

@lanhun @Darcychiu @colorjuice @gnattu

angelfish 发表于 2022-9-18 19:22
期待下保姆级别的教程!!

保姆级教程其实就是楼上的博客有
但是我最终还是回归到了ip标记方式。。。
说实话，ospf的响应真心比ip快那么一点（ip分流，0.1-0.3s级别，ospf可能是0.01-0.05s级别），但是有几个致命问题，我至今还是解决不了

guitengyue 发表于 2022-6-28 10:09
回头写一份
网上那个要填坑

期待下保姆级别的教程!!

博客最近没更新,其实已经换成BGP来做了,不过区别不大,而且ospf收敛速度还更快
我用BGP主要是不用和组播那些麻烦的东西打交道,防火墙规则可以简单一些(ospf的点对点模式应该也差不多)
现在这个配法没有mangle,也就是可以享受完整的硬件加速

bridge lan删掉ether5,这个口单独连跑BGP(或者ospf)的第二个路由,然后给划上网段配上ip,做通/隔离靠路由




bird的配置和博客里的区别只有换成BGP,原来的ospf去掉,如果嫌BGP收敛慢可以自己调整超时之类的小参

1. 
   
2. protocol bgp {
   
3.         local as 65531;
   
4.         neighbor 192.168.255.1 as 65530;
   
5.         source address 192.168.255.254;
   
6.         ipv4 {
   
7.                 import none;
   
8.                 export all;
   
9.         };
   
10. }
    

复制代码

去掉了smartdns,直接用clash来跑,然后在线检查的脚本稍微调整了一下,带有重试次数和停止icmp响应(用于触发ros在线检查切换dns的那个脚本)

1. 
   
2. #!/usr/bin/bash
   
3. COUNT=0
   
4. MAX_COUNT=3
   
5. while [ $COUNT -lt $MAX_COUNT ]
   
6. do
   
7.         SER=0
   
8.         NET=0
   
9.         if [ $(curl --connect-timeout 5 --interface utun -w "%{http_code}" -s https://www.google.com/generate_204) -eq 204 ];then
   
10.                 NET=1
    
11.         fi
    
12.         if /etc/init.d/bird status|grep Active|grep -q running;then
    
13.                 SER=1
    
14.         fi
    
15.         if [ $NET -eq 1 ] && [ $SER -eq 0 ];then
    
16.                 /etc/init.d/bird start
    
17.                 echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
    
18.                 exit 0
    
19.         fi
    
20.         if [ $NET -eq 0 ] && [ $SER -eq 1 ];then
    
21.                 let COUNT+=1
    
22.                 if [ $COUNT -eq $MAX_COUNT ];then
    
23.                         /etc/init.d/bird stop
    
24.                         echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
    
25.                 fi
    
26.                 continue
    
27.         fi
    
28.         exit 0
    
29. done
    

复制代码

clash用这个配置,订阅里的url改成你自己的,利用PROCESS-NAME走直连,需要clash的premium版本
启动之后用yacd之类的接进去确认下global是不是direct,然后在proxy组里选你要的节点

1. 
   
2. dns:
   
3.   enable: true
   
4.   ipv6: false
   
5.   listen: 0.0.0.0:53
   
6.   enhanced-mode: redir-host
   
7.   use-hosts: true
   
8.   default-nameserver:
   
9.     - 119.29.29.29
   
10.     - 223.5.5.5
    
11.   nameserver:
    
12.     - 119.29.29.29
    
13.     - 223.5.5.5
    
14.   fallback:
    
15.     - https://dns.google/dns-query
    
16.     - https://cloudflare-dns.com/dns-query
    
17.     - https://1.1.1.1/dns-query
    
18.     - https://8.8.8.8/dns-query
    
19.     - https://8.8.4.4/dns-query
    
20.   fallback-filter:
    
21.     geoip: true
    
22.     ipcidr:
    
23.       - 240.0.0.0/4
    
24. tun:
    
25.     enable: true
    
26.     stack: system
    
27.     auto-detect-interface: true
    
28. port: 7890
    
29. socks-port: 7891
    
30. redir-port: 7893
    
31. allow-lan: true
    
32. mode: Rule
    
33. log-level: silent
    
34. external-controller: '0.0.0.0:8080'
    
35. 
    
36. proxy-groups:
    
37.   - name: PROXY
    
38.     type: select
    
39.     proxies:
    
40.       - subscribe
    
41. 
    
42. proxy-providers:
    
43.   subscribe:
    
44.     type: http
    
45.     url: [clash订阅链接]
    
46.     interval: 86400
    
47.     path: ./proxy/subscribe.yaml
    
48.     health-check:
    
49.       enable: false
    
50.       interval: 600
    
51.       # lazy: true
    
52.       url: http://www.gstatic.com/generate_204
    
53. 
    
54. rule-providers:
    
55.   icloud:
    
56.     type: http
    
57.     behavior: domain
    
58.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/icloud.txt"
    
59.     path: ./ruleset/icloud.yaml
    
60.     interval: 86400
    
61. 
    
62.   apple:
    
63.     type: http
    
64.     behavior: domain
    
65.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/apple.txt"
    
66.     path: ./ruleset/apple.yaml
    
67.     interval: 86400
    
68. 
    
69.   google:
    
70.     type: http
    
71.     behavior: domain
    
72.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/google.txt"
    
73.     path: ./ruleset/google.yaml
    
74.     interval: 86400
    
75. 
    
76.   proxy:
    
77.     type: http
    
78.     behavior: domain
    
79.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/proxy.txt"
    
80.     path: ./ruleset/proxy.yaml
    
81.     interval: 86400
    
82. 
    
83.   direct:
    
84.     type: http
    
85.     behavior: domain
    
86.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/direct.txt"
    
87.     path: ./ruleset/direct.yaml
    
88.     interval: 86400
    
89. 
    
90.   private:
    
91.     type: http
    
92.     behavior: domain
    
93.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/private.txt"
    
94.     path: ./ruleset/private.yaml
    
95.     interval: 86400
    
96. 
    
97.   telegramcidr:
    
98.     type: http
    
99.     behavior: ipcidr
    
100.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/telegramcidr.txt"
     
101.     path: ./ruleset/telegramcidr.yaml
     
102.     interval: 86400
     
103. 
     
104.   cncidr:
     
105.     type: http
     
106.     behavior: ipcidr
     
107.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/cncidr.txt"
     
108.     path: ./ruleset/cncidr.yaml
     
109.     interval: 86400
     
110. 
     
111.   lancidr:
     
112.     type: http
     
113.     behavior: ipcidr
     
114.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/lancidr.txt"
     
115.     path: ./ruleset/lancidr.yaml
     
116.     interval: 86400
     
117. 
     
118.   applications:
     
119.     type: http
     
120.     behavior: classical
     
121.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/applications.txt"
     
122.     path: ./ruleset/applications.yaml
     
123.     interval: 86400
     
124. 
     
125. rules:
     
126.   - PROCESS-NAME,clash,DIRECT
     
127.   - RULE-SET,applications,DIRECT
     
128.   - RULE-SET,private,DIRECT
     
129.   - RULE-SET,icloud,DIRECT
     
130.   - RULE-SET,apple,DIRECT
     
131.   - RULE-SET,google,DIRECT
     
132.   - RULE-SET,proxy,PROXY
     
133.   - RULE-SET,direct,DIRECT
     
134.   - RULE-SET,lancidr,DIRECT
     
135.   - RULE-SET,cncidr,DIRECT
     
136.   - RULE-SET,telegramcidr,PROXY
     
137.   - GEOIP,LAN,DIRECT
     
138.   - GEOIP,CN,DIRECT
     
139.   - MATCH,PROXY
     

复制代码

lanhun 发表于 2022-6-28 16:39
routeros上设置

/routing ospf instance

目前挺稳定、快速，都是秒开
回头试试看你的方案

guitengyue 发表于 2022-6-28 08:09
ospf设置routingtable=proxy
这个怎么设置，我这边op中bird弄完，全部自动映射到ros中的路由表了 ...

routeros上设置

/routing ospf instance
add disabled=no name=def router-id=10.255.255.1 routing-table=proxy
/routing ospf area
add disabled=no instance=def name=backbone
/routing table
add disabled=no fib name=proxy

/ip firewall mangle
add action=accept chain=prerouting src-address-list=OpenWrt
add action=mark-routing chain=prerouting dst-address-list=!CN \
    new-routing-mark=proxy passthrough=no src-address-list=\
    "proxylist"

我dns用的223.5.5.5这些公用的
这样设置完我观察了下,所有国内的ip都走ros,其他的分流到openwrt上了.
我也是找的网上教程改改.目前这样是满足我的要求了. 供你参考 多多交流

单OP得了，瞎折腾啊

lancolor 发表于 2022-6-28 09:18
老哥你这个ROS ospf分流的教程有吗？我也想去试试看

回头写一份
网上那个要填坑

老哥你这个ROS ospf分流的教程有吗？我也想去试试看

lanhun 发表于 2022-6-28 02:31
我现在是ros通过ospf分流至openwrt
ros上做了几个设置
1.定时每周更新的cn ip列表

ospf设置routingtable=proxy
这个怎么设置，我这边op中bird弄完，全部自动映射到ros中的路由表了

我现在是ros通过ospf分流至openwrt
ros上做了几个设置
1.定时每周更新的cn ip列表
2. mangle 标记需要分流的ip段至非cn的mark routing=proxy
3.ospf设置routingtable=proxy

openwrt
1.用的oc规则模式fakeip无特殊设置
2.bird宣告0.0.0.0都走br-lan
3.防火墙设置 iptables -t nat -I POSTROUTING -o br-lan -j MASQUERADE

在旁路由要做nat，否则src-address还是原来的，就死循环了

不要用mangle，开了fasttrack会失效。
用策略路由就够了，不用标记包。
把不需要走旁路由的ip段建一张routing table，直接走wan口。其他的都走旁路由。
ros处理几万条的路由表还是很轻松的。

address list需要用mangle，开不了fasttrack，效率不行。

colorjuice 发表于 2022-6-18 15:18
可能是我没表述清楚，应该是“因为这个包的DST没变原样回到ROS再次进入路由表。”

看到你用smartdns了， ...

那个smartdns我好像啥都没弄，就搞了个ubuntu，安装了官方的smartdns，conf中加入了8.8.8.8和223.5.5.5，看了b站教程说要改那个rosolve啥的 然后ros和passwall的dns都改为ubuntu后上网速度真的起飞了，从来没那么丝滑过…..

colorjuice 发表于 2022-6-18 15:18
可能是我没表述清楚，应该是“因为这个包的DST没变原样回到ROS再次进入路由表。”

看到你用smartdns了， ...

即便这个包的dst没变 也带上了scr的信息，应该可以被标记，我在另外一个博客那边问了，大神答复也是要在route中rule添加2条规则 等下次有空了再试试，只是现在用了smartdns速度太完美暂时都不想折腾，另外我的节点很稳，几年了都毫无问题，passwall本身也可以做冗余，然后主要也不知道这个脚本咋写…

guitengyue 发表于 2022-6-17 19:02
不会啊，进入op，因passwall规则或者不代理列表 会因为op防火墙masq规则变成op的lan ip返回到ros  ...

可能是我没表述清楚，应该是“因为这个包的DST没变原样回到ROS再次进入路由表。”

看到你用smartdns了，那推荐看看这个项目https://github.com/felixonmars/dnsmasq-china-list做域名分流，chinalist用国内DNS解析，或者gfwlist用国外DNS解析，一个白名单一个黑名单，不建议同时使用。国外DNS要过节点以解析最近服务器。

写个脚本检测passwall节点通达性，中断时移除ospf路由以免断网。据我所知passwall自动切换并不包含DIRECT。

Darcychiu 发表于 2022-6-17 23:34
把你常用的需要和谐的域名通过RouterOS L7过滤劫持到vps的dns上，其他的走ISP的dns，这样最快，CDN也是最 ...

L7没玩过。。。
我刚刚在ubuntu上架设了一个smartdns，然后ros dns指向smartdns，op设置全局，这样appstore问题就解决了，同时速度比之前快了不少

guitengyue 发表于 2022-6-17 21:30
先这么用吧，对了，能否推荐个dns，我先把appstore上不去这个问题解决掉

把你常用的需要和谐的域名通过RouterOS L7过滤劫持到vps的dns上，其他的走ISP的dns，这样最快，CDN也是最优的

liwangli 发表于 2022-6-17 15:42
打错了，是别开fasttrack

对，不要远程搞玩意，本地搞不行还可又用winbox救回来 ...

这个也不行，放弃了。。。。
全局算了，弄个smartdns之类的

Darcychiu 发表于 2022-6-17 21:25
另外，如果条件允许，建议上bgp，收公网全表，通过ASN进行分流。

bgp要建立隧道，这货回头研究下，隧道意思就是类似xray之类的？

Darcychiu 发表于 2022-6-17 21:22
走bgp、ospf等通用路由协议目的就是要秒杀mangle的低效以及更加方便的定制分流，现在你要绕回去，这样是不 ...

先这么用吧，对了，能否推荐个dns，我先把appstore上不去这个问题解决掉

另外，如果条件允许，建议上bgp，收公网全表，通过ASN进行分流。

走bgp、ospf等通用路由协议目的就是要秒杀mangle的低效以及更加方便的定制分流，现在你要绕回去，这样是不合适的。

如果你坚持用OpenWRT，推荐开全局模式，分流完全通过RouterOS，网上的非cnip表并不适用所有人，你可以自行修改，这也是我不用各种开源gfwlist的原因，误杀严重，且不支持ipv6。

smallfount 发表于 2022-6-17 19:07
OP是单臂的？

对 都是虚拟机里的 wan口本身也没用

guitengyue 发表于 2022-6-17 19:02
不会啊，进入op，因passwall规则或者不代理列表 会因为op防火墙masq规则变成op的lan ip返回到ros  ...

OP是单臂的？

colorjuice 发表于 2022-6-17 18:00
任何没有在OpenWrt走节点的包，你再怎么打标显然也没法匹配上，因为这个包原样回到ROS再次进入路由表。要 ...

不会啊，进入op，因passwall规则或者不代理列表 会因为op防火墙masq规则变成op的lan ip返回到ros