ROS+OPENWRT的用户看过来 教你ROS流量分流

ts***

此贴废弃，请移步新帖 主路ROS+旁路OP 流量分流+DNS分流 最佳方案教程


网上大部分关于双软路由的教程 包括很多大佬 都会让你把主路由的HDCP的网关指向旁路由 然后旁路由的网关指向主路由
所以你所有设备的流量会先经过旁路由，再经过主路由 经过两次转发。
但是对于深造用户来讲，国内流量根本不需要经过旁路由的这层转发，所以写下这个教程，教大家做ros的流量转发，让国内流量不再经过旁路由。


首先声明：如果国内流量不经过旁路由OP，那么OP的去广告，还有一些特殊的功能对国内流量都不再有效。所有此教程只针对深造用户，和ROS的粉丝朋友。不然我还是推荐普通用户完全没必要搞双软路由。一个OP足矣。

我对ROS的执念主要来自它的稳定和即时生效，还有DNS的cache，非常之优秀。

言归正传：

先讲一下我的网络结构：ROS作为主路由，ip为 192.168.2.1。OP作为旁路由，ip为192.168.2.2。
既然我们把ROS作为主路由，那么就必须使用ROS的DHCP服务，设置如下：



dns使用自己，来使用自己的dns服务。



dns的设置中，服务器我们要用op，因为op的深造服务可以让我们获取到没有被污染的dns，同时勾上缓存服务。
接下来导入国内ip文件 （此方法比较简单，你也可以导入域名文件，此方法类似语gfwlist，更优秀）



下载解压后，上传到files中，打开命令行：执行：import address-list.rsc  



这样在firewall中即可看到导入的ip列表



接下来创建一条router规则 如图：



网关填写op的ip 命名随意

接下来创建firewall规则：







以上解释：主要目的是让非国内流量转发到旁路由。

接下来再创建一条规则，让来自op的流量直接通过ros。不在做其他判断。




注意：由於這一步是從源地址判斷，一定要在op防火墻自定義設置中加上這句

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

（目的是讓經過旁路由的數據做源地址轉換，也就是nat，否則不經過隧道的數據會進入循環。）


至此，教程结束：

检查结果：





清楚的看到 百度只经过了主路由
而谷歌经过了旁路由


最后：我先前翻看了很多人的教程，比较复杂，并不是最优解。有的用了双wan口，有的用到op的p p t p服务。

所以还是赶制出自己的教程，分享给大家，有任何疑问，请提出。感谢捧场。

补充：使用域名分流的方法

使用ip分流有一个很大的问题，就是一些无需深造的国外网站，也会转发到op，而使用vps流量，造成一些浪费。
当然你可以在op中使用gfwlist模式，但是我们的目的是减少不必要的转发。所以域名分流对一部分用户还是很有必要的。

下面我简单举例，大家自行解决即可。



新建一个地址列表，名称随意。地址我们直接填写域名。



提交之后，我们发现ros会把域名直接解析成ip，所以我们首先要保证的是ros能够获取到无污染的解析。

其他步骤参考上面的教程修改即可。

over~~

lmha***

这个好，之前一直出现这个问题

tsaiy***

说好的教程呢？

4911***

无非就是把旁路ip放在adress lists里面做好标记，最后指定条路由到旁路由，致此，此帖终结

cybe***

从网络拓扑结构来讲，国内下行流量是不会经过旁路的，直接由主路由下发给设备，只有国外下行，以及所有的上行流量会经过旁路。

ts***

cyberzyh 发表于 2020-9-8 14:10
从网络拓扑结构来讲，国内下行流量是不会经过旁路的，直接由主路由下发给设备，只有国外下行，以及所有的上 ...

这里是避免国内上行流量通过旁路 如果用域名表代替ip表的话 效果会更好 就是维护太麻烦
另外你说的也存疑，旁路发给主路的包，返回的包按说应该会原路返回，也就是下行的包也会经过旁路。

tsaiy***

谢谢版主的分享，利用ROS强大的策略分流的确是一个好办法，有效大幅减少旁路由OP的转发流量。

我也分享我的方案，先上网络拓扑：

需求说明：干净无广告且网页秒开，家里一堆IoT设备和访客不需要低调上网，机场流量还是留给需要的设备就好。

方案：
1.全局去广告，在Esxi虚拟机装了Ubuntu+Smartdns+ADGuard Home（ 谢谢 @xnxy2012  https://www.right.com.cn/forum/thread-4043333-1-1.html ），所有设备的DNS都指向192.168.8.253。（网页秒开）
2.ROS DHCP Server设置option 3 (路由选项)，让需要出国的设备可以出国, 其他设备和访客（IPTV和IoT设备直接走ROS 主路由出去）

教程：
ROS DHCP 预设gateway都走ROS，DNS设 Ubuntu （Smartdns+ADGH那台）,有没有出国都可以无广告


ROS DHCP Server -> Options -> 新增 option 3 的 Gateway（DHCP还有很多其他option可以用，DNS是option 6，其他请参考 https://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml）


ROS DHCP Server -> Options ->新增 code 3，value 填旁路由IP，Name 随意


ROS DHCP Server -> Leases -> 选中你想要出国的设备，设定成固定ip


ROS DHCP Server -> Leases -> 选中你想要出国的设备，选中并设定dhcp option


搞定收工。

最后，ROS还是一个不错的主路由，每天辛苦帮我家网络过滤无聊人士的扫描。。。。

ts***

tsaiyuchih 发表于 2020-9-8 14:55
谢谢版主的分享，利用ROS强大的策略分流的确是一个好办法，有效大幅减少旁路由OP的转发流量。

我也分享 ...

very good  虽然和主题无关，指定网关的方法的确能满足大部分人的需求。
另外我看了一下smartdns的帖子，无非是指定几个上游dns，你在内网环境，如何确保解析的dns不是被污染过的呢？
如果要搭建自己的dns服务器 我推荐使用dnscrypt的加密功能 来搭建自己的无污染服务器

cybe***

tstar 发表于 2020-9-8 15:29
very good  虽然和主题无关，指定网关的方法的确能满足大部分人的需求。
另外我看了一下smartdns的帖子 ...

那个linux+ADH+SDS的办法基本是无法保证分流解析的，我试过，很容易国外网站被国内抢答，ADH+SDS+OP的办法，只有OP作为中游，ADH作为最下游向OP查询，OP去做分流解析，向SDS查询才行。很多人的ADH+SDS的设置办法完全是错误的。

cybe***

tstar 发表于 2020-9-8 15:29
very good  虽然和主题无关，指定网关的方法的确能满足大部分人的需求。
另外我看了一下smartdns的帖子 ...

https://post.smzdm.com/p/a25gv6g2/另外只有这一篇的SDS+op+pihole的设置才是正确的设置，op作为中游，pihole向op查询，sds作为op的上游，op对国内直接查询，对国外走隧道访问sds的国外dns服务器，然后最终的解析结果缓存给pihole，pihole这里换成adh也可以。

cybe***

tstar 发表于 2020-9-8 14:18
这里是避免国内上行流量通过旁路 如果用域名表代替ip表的话 效果会更好 就是维护太麻烦
另外你说的也存 ...

https://koolshare.cn/thread-160401-3-1.html 我之前也对国内下行流量的流向存疑，但是看了很多帖子，才觉得确实国内下行是不走旁路的。

ts***

cyberzyh 发表于 2020-9-8 16:27
https://post.smzdm.com/p/a25gv6g2/另外只有这一篇的SDS+op+pihole的设置才是正确的设置，op作为中游，p ...

是的，国外域名的解析必须经过代理，不然设置再多的上游也没有用。所以要想获得无污染的dns只有两种方法，一个是通过代理，一个是通过加密。

ts***

cyberzyh 发表于 2020-9-8 16:31
https://koolshare.cn/thread-160401-3-1.html 我之前也对国内下行流量的流向存疑，但是看了很多帖子，才 ...

这个可以好好理解下路由、nat。上行的时候普通数据包走旁路由，源ip不会变的；需要加密数据会被旁路由（ray）重新打包，然后发送到上级路由，这个包相当于旁路由作为客户端发送的；下行的时候数据包到主路由，非加密数据包主路由会直接发送给相应的客户端；加密的自然就发送给旁路由了。

感谢，这个回答解决了我的疑惑，没有加密的下行数据，主路由会通过源ip直接分发给设备，不再通过旁路。

tsaiy***

我没有设电信的dns，只设了114+ tls 国外的dns，目前解析国内外没有发现问题

ts***

tsaiyuchih 发表于 2020-9-8 18:36
我没有设电信的dns，只设了114+ tls 国外的dns，目前解析国内外没有发现问题

这么说吧 你所有的留学流量都经过了op的留学服务，而留学服务自带dns解析，所以你不会有什么感觉，当然你架设的dns服务就多此一举了。