设为首页收藏本站

 找回密码
 加入我们
搜索
      
Chiphell - 分享与交流用户体验»社区 讨论区-生活与技术的讨论 电脑讨论(新) 来问下ROS的OSPF分流如何标记旁路由的流量 ...
123
返回列表 发新帖
楼主: guitengyue

[网络] 来问下ROS的OSPF分流如何标记旁路由的流量

[复制链接]
Darcychiu
发表于 2022-6-17 23:34 | 显示全部楼层
guitengyue 发表于 2022-6-17 21:30
先这么用吧,对了,能否推荐个dns,我先把appstore上不去这个问题解决掉

把你常用的需要和谐的域名通过RouterOS L7过滤劫持到vps的dns上,其他的走ISP的dns,这样最快,CDN也是最优的
回复

举报

guitengyue
 楼主| 发表于 2022-6-17 23:55 | 显示全部楼层
Darcychiu 发表于 2022-6-17 23:34
把你常用的需要和谐的域名通过RouterOS L7过滤劫持到vps的dns上,其他的走ISP的dns,这样最快,CDN也是最 ...

L7没玩过。。。
我刚刚在ubuntu上架设了一个smartdns,然后ros dns指向smartdns,op设置全局,这样appstore问题就解决了,同时速度比之前快了不少
回复

举报

colorjuice
发表于 2022-6-18 15:18 | 显示全部楼层
guitengyue 发表于 2022-6-17 19:02
不会啊,进入op,因passwall规则或者不代理列表 会因为op防火墙masq规则变成op的lan ip返回到ros  ...

可能是我没表述清楚,应该是“因为这个包的DST没变原样回到ROS再次进入路由表。”

看到你用smartdns了,那推荐看看这个项目https://github.com/felixonmars/dnsmasq-china-list做域名分流,chinalist用国内DNS解析,或者gfwlist用国外DNS解析,一个白名单一个黑名单,不建议同时使用。国外DNS要过节点以解析最近服务器。

写个脚本检测passwall节点通达性,中断时移除ospf路由以免断网。据我所知passwall自动切换并不包含DIRECT。

回复

举报

guitengyue
 楼主| 发表于 2022-6-18 22:52 来自手机 | 显示全部楼层
colorjuice 发表于 2022-6-18 15:18
可能是我没表述清楚,应该是“因为这个包的DST没变原样回到ROS再次进入路由表。”

看到你用smartdns了, ...

即便这个包的dst没变 也带上了scr的信息,应该可以被标记,我在另外一个博客那边问了,大神答复也是要在route中rule添加2条规则 等下次有空了再试试,只是现在用了smartdns速度太完美暂时都不想折腾,另外我的节点很稳,几年了都毫无问题,passwall本身也可以做冗余,然后主要也不知道这个脚本咋写…
回复

举报

guitengyue
 楼主| 发表于 2022-6-18 22:54 来自手机 | 显示全部楼层
colorjuice 发表于 2022-6-18 15:18
可能是我没表述清楚,应该是“因为这个包的DST没变原样回到ROS再次进入路由表。”

看到你用smartdns了, ...

那个smartdns我好像啥都没弄,就搞了个ubuntu,安装了官方的smartdns,conf中加入了8.8.8.8和223.5.5.5,看了b站教程说要改那个rosolve啥的 然后ros和passwall的dns都改为ubuntu后上网速度真的起飞了,从来没那么丝滑过…..
回复

举报

llwin
发表于 2022-6-19 00:31 来自手机 | 显示全部楼层
不要用mangle,开了fasttrack会失效。
用策略路由就够了,不用标记包。
把不需要走旁路由的ip段建一张routing table,直接走wan口。其他的都走旁路由。
ros处理几万条的路由表还是很轻松的。

address list需要用mangle,开不了fasttrack,效率不行。
回复

举报

llwin
发表于 2022-6-19 00:53 来自手机 | 显示全部楼层
在旁路由要做nat,否则src-address还是原来的,就死循环了
回复

举报

lanhun
发表于 2022-6-28 02:31 | 显示全部楼层
我现在是ros通过ospf分流至openwrt
ros上做了几个设置
1.定时每周更新的cn ip列表
2. mangle 标记需要分流的ip段至非cn的mark routing=proxy
3.ospf设置routingtable=proxy

openwrt
1.用的oc规则模式fakeip无特殊设置
2.bird宣告0.0.0.0都走br-lan
3.防火墙设置 iptables -t nat -I POSTROUTING -o br-lan -j MASQUERADE
回复

举报

guitengyue
 楼主| 发表于 2022-6-28 08:09 | 显示全部楼层
lanhun 发表于 2022-6-28 02:31
我现在是ros通过ospf分流至openwrt
ros上做了几个设置
1.定时每周更新的cn ip列表

ospf设置routingtable=proxy
这个怎么设置,我这边op中bird弄完,全部自动映射到ros中的路由表了
回复

举报

lancolor
发表于 2022-6-28 09:18 | 显示全部楼层
老哥你这个ROS ospf分流的教程有吗?我也想去试试看
回复

举报

guitengyue
 楼主| 发表于 2022-6-28 10:09 | 显示全部楼层
lancolor 发表于 2022-6-28 09:18
老哥你这个ROS ospf分流的教程有吗?我也想去试试看

回头写一份
网上那个要填坑
回复

举报

eval
发表于 2022-6-28 10:13 | 显示全部楼层
单OP得了,瞎折腾啊
回复

举报

lanhun
发表于 2022-6-28 16:39 | 显示全部楼层
guitengyue 发表于 2022-6-28 08:09
ospf设置routingtable=proxy
这个怎么设置,我这边op中bird弄完,全部自动映射到ros中的路由表了 ...

routeros上设置

/routing ospf instance
add disabled=no name=def router-id=10.255.255.1 routing-table=proxy
/routing ospf area
add disabled=no instance=def name=backbone
/routing table
add disabled=no fib name=proxy

/ip firewall mangle
add action=accept chain=prerouting src-address-list=OpenWrt
add action=mark-routing chain=prerouting dst-address-list=!CN \
    new-routing-mark=proxy passthrough=no src-address-list=\
    "proxylist"

我dns用的223.5.5.5这些公用的
这样设置完我观察了下,所有国内的ip都走ros,其他的分流到openwrt上了.
我也是找的网上教程改改.目前这样是满足我的要求了. 供你参考 多多交流
回复

举报

guitengyue
 楼主| 发表于 2022-7-1 08:47 | 显示全部楼层
lanhun 发表于 2022-6-28 16:39
routeros上设置

/routing ospf instance

目前挺稳定、快速,都是秒开
回头试试看你的方案
回复

举报

Ryo_
发表于 2022-8-18 00:21 | 显示全部楼层
本帖最后由 Ryo_ 于 2022-8-18 00:26 编辑

博客最近没更新,其实已经换成BGP来做了,不过区别不大,而且ospf收敛速度还更快
我用BGP主要是不用和组播那些麻烦的东西打交道,防火墙规则可以简单一些(ospf的点对点模式应该也差不多)
现在这个配法没有mangle,也就是可以享受完整的硬件加速

bridge lan删掉ether5,这个口单独连跑BGP(或者ospf)的第二个路由,然后给划上网段配上ip,做通/隔离靠路由
QQ截图20220818001431.png
PIZ{FP5DNLK(9]{~Y(QD0]4.png
QQ截图20220817235738.png
QQ截图20220818000013.png
bird的配置和博客里的区别只有换成BGP,原来的ospf去掉,如果嫌BGP收敛慢可以自己调整超时之类的小参

  2. protocol bgp {
  3.         local as 65531;
  4.         neighbor 192.168.255.1 as 65530;
  5.         source address 192.168.255.254;
  6.         ipv4 {
  7.                 import none;
  8.                 export all;
  9.         };
  10. }
复制代码

去掉了smartdns,直接用clash来跑,然后在线检查的脚本稍微调整了一下,带有重试次数和停止icmp响应(用于触发ros在线检查切换dns的那个脚本)

  2. #!/usr/bin/bash
  3. COUNT=0
  4. MAX_COUNT=3
  5. while [ $COUNT -lt $MAX_COUNT ]
  6. do
  7.         SER=0
  8.         NET=0
  9.         if [ $(curl --connect-timeout 5 --interface utun -w "%{http_code}" -s https://www.google.com/generate_204) -eq 204 ];then
  10.                 NET=1
  11.         fi
  12.         if /etc/init.d/bird status|grep Active|grep -q running;then
  13.                 SER=1
  14.         fi
  15.         if [ $NET -eq 1 ] && [ $SER -eq 0 ];then
  16.                 /etc/init.d/bird start
  17.                 echo 0 >/proc/sys/net/ipv4/icmp_echo_ignore_all
  18.                 exit 0
  19.         fi
  20.         if [ $NET -eq 0 ] && [ $SER -eq 1 ];then
  21.                 let COUNT+=1
  22.                 if [ $COUNT -eq $MAX_COUNT ];then
  23.                         /etc/init.d/bird stop
  24.                         echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
  25.                 fi
  26.                 continue
  27.         fi
  28.         exit 0
  29. done
复制代码

clash用这个配置,订阅里的url改成你自己的,利用PROCESS-NAME走直连,需要clash的premium版本
启动之后用yacd之类的接进去确认下global是不是direct,然后在proxy组里选你要的节点

  2. dns:
  3.   enable: true
  4.   ipv6: false
  5.   listen: 0.0.0.0:53
  6.   enhanced-mode: redir-host
  7.   use-hosts: true
  8.   default-nameserver:
  9.     - 119.29.29.29
  10.     - 223.5.5.5
  11.   nameserver:
  12.     - 119.29.29.29
  13.     - 223.5.5.5
  14.   fallback:
  15.     - https://dns.google/dns-query
  16.     - https://cloudflare-dns.com/dns-query
  17.     - https://1.1.1.1/dns-query
  18.     - https://8.8.8.8/dns-query
  19.     - https://8.8.4.4/dns-query
  20.   fallback-filter:
  21.     geoip: true
  22.     ipcidr:
  23.       - 240.0.0.0/4
  24. tun:
  25.     enable: true
  26.     stack: system
  27.     auto-detect-interface: true
  28. port: 7890
  29. socks-port: 7891
  30. redir-port: 7893
  31. allow-lan: true
  32. mode: Rule
  33. log-level: silent
  34. external-controller: '0.0.0.0:8080'

  36. proxy-groups:
  37.   - name: PROXY
  38.     type: select
  39.     proxies:
  40.       - subscribe

  42. proxy-providers:
  43.   subscribe:
  44.     type: http
  45.     url: [clash订阅链接]
  46.     interval: 86400
  47.     path: ./proxy/subscribe.yaml
  48.     health-check:
  49.       enable: false
  50.       interval: 600
  51.       # lazy: true
  52.       url: http://www.gstatic.com/generate_204

  54. rule-providers:
  55.   icloud:
  56.     type: http
  57.     behavior: domain
  58.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/icloud.txt"
  59.     path: ./ruleset/icloud.yaml
  60.     interval: 86400

  62.   apple:
  63.     type: http
  64.     behavior: domain
  65.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/apple.txt"
  66.     path: ./ruleset/apple.yaml
  67.     interval: 86400

  69.   google:
  70.     type: http
  71.     behavior: domain
  72.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/google.txt"
  73.     path: ./ruleset/google.yaml
  74.     interval: 86400

  76.   proxy:
  77.     type: http
  78.     behavior: domain
  79.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/proxy.txt"
  80.     path: ./ruleset/proxy.yaml
  81.     interval: 86400

  83.   direct:
  84.     type: http
  85.     behavior: domain
  86.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/direct.txt"
  87.     path: ./ruleset/direct.yaml
  88.     interval: 86400

  90.   private:
  91.     type: http
  92.     behavior: domain
  93.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/private.txt"
  94.     path: ./ruleset/private.yaml
  95.     interval: 86400

  97.   telegramcidr:
  98.     type: http
  99.     behavior: ipcidr
  100.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/telegramcidr.txt"
  101.     path: ./ruleset/telegramcidr.yaml
  102.     interval: 86400

  104.   cncidr:
  105.     type: http
  106.     behavior: ipcidr
  107.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/cncidr.txt"
  108.     path: ./ruleset/cncidr.yaml
  109.     interval: 86400

  111.   lancidr:
  112.     type: http
  113.     behavior: ipcidr
  114.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/lancidr.txt"
  115.     path: ./ruleset/lancidr.yaml
  116.     interval: 86400

  118.   applications:
  119.     type: http
  120.     behavior: classical
  121.     url: "https://cdn.jsdelivr.net/gh/Loyalsoldier/clash-rules@release/applications.txt"
  122.     path: ./ruleset/applications.yaml
  123.     interval: 86400

  125. rules:
  126.   - PROCESS-NAME,clash,DIRECT
  127.   - RULE-SET,applications,DIRECT
  128.   - RULE-SET,private,DIRECT
  129.   - RULE-SET,icloud,DIRECT
  130.   - RULE-SET,apple,DIRECT
  131.   - RULE-SET,google,DIRECT
  132.   - RULE-SET,proxy,PROXY
  133.   - RULE-SET,direct,DIRECT
  134.   - RULE-SET,lancidr,DIRECT
  135.   - RULE-SET,cncidr,DIRECT
  136.   - RULE-SET,telegramcidr,PROXY
  137.   - GEOIP,LAN,DIRECT
  138.   - GEOIP,CN,DIRECT
  139.   - MATCH,PROXY
复制代码
回复

举报

angelfish
发表于 2022-9-18 19:22 | 显示全部楼层
guitengyue 发表于 2022-6-28 10:09
回头写一份
网上那个要填坑

期待下保姆级别的教程!!
回复

举报

guitengyue
 楼主| 发表于 2022-9-18 20:16 | 显示全部楼层
angelfish 发表于 2022-9-18 19:22
期待下保姆级别的教程!!

保姆级教程其实就是楼上的博客有
但是我最终还是回归到了ip标记方式。。。
说实话,ospf的响应真心比ip快那么一点(ip分流,0.1-0.3s级别,ospf可能是0.01-0.05s级别),但是有几个致命问题,我至今还是解决不了
回复

举报

spiral
发表于 2022-9-28 01:40 | 显示全部楼层
Ryo_ 发表于 2022-8-18 00:21
博客最近没更新,其实已经换成BGP来做了,不过区别不大,而且ospf收敛速度还更快
我用BGP主要是不用和组播那些 ...

刚开始了解ospf方式,以前经常旁路由挂了后影响家人使用,希望后面我自己能配置出来。

感谢前辈大佬们的探索和分享。

@lanhun @Darcychiu @colorjuice @gnattu
回复

举报

irdeto
发表于 2024-1-21 09:23 | 显示全部楼层
guitengyue 发表于 2022-9-18 20:16
保姆级教程其实就是楼上的博客有
但是我最终还是回归到了ip标记方式。。。
说实话,ospf的响应真心比ip快 ...

现在到什么进度了
回复

举报

kelvin2517
发表于 2024-1-21 09:56 来自手机 | 显示全部楼层
colorjuice 发表于 2022-6-17 16:15
那肯定啊,你用OSPF通告给ROS说这个IP要走OpenWrt,然后你在OpenWrt里面的工具/插件再排除掉,那肯定要被 ...

我也推荐这种方式,简单稳定,主路由压力小,而且旁路由挂了也不影响所有设备上网。
1. op旁路由安装shellclash和AdGuardhome
2. clash配置为全局fq,打开fakeip,关掉DNS劫持,比如设置DNS端口为253
3. AdGuardhome端口为53,导入gfwlist,gfwlist中DNS列表的上游设置为clash DNS端口,如127.0.0.1:253。参考https://github.com/kpivy8/gfwlist2AdGuardHome其他DNS还是走主路由或者114之类。
4. ros主路由设置一条静态路由,fakeip地址段198.18.0.0/16,走clash的ip。如果需要用电报之类走ip的,再增加几条静态路由,讲指定ip地址也走clash。
5. ros主路由的DHCP server中将需要科学的设备根据mac地址设置为静态,DNS指定两个,op旁路由ip和ros主路由ip。
回复

举报

Evalyn
发表于 2024-5-12 13:38 | 显示全部楼层
没想到在CHH碰到一样玩法的了。

手搓了个全自动的OSPF旁路方案,全真IP,不需要预加载路由表也不用fakeIP,走DNS route自动通告。
https://github.com/povsister/v2ray-core
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 加入我们

本版积分规则

Archiver|手机版|小黑屋|Chiphell ( 沪ICP备12027953号-5 )沪公网备310112100042806 上海市互联网违法与不良信息举报中心

GMT+8, 2025-4-27 01:58 , Processed in 0.012868 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2007-2024 Chiphell.com All rights reserved.

快速回复 返回顶部 返回列表