ROS基于国内IP分流并结合Wireguard使用家里透明代理

slh***

需求：局域网部分设备以及wireguard设备回流希望通过旁路上网。
前提：
1、已经配置好了透明代理（这个词据说很不专业，就这样将就着叫把）
2、wireguard已配置好。（配置方式参考另外帖子Ros搭建WireGuard隧道手机通过v6地址访问家里局域网资源）

本方案部分参考了 youtube一个视频【Ros L2TP virtual*** | 教你轻松访问家里面的内网以及通过家里的网络环游世界,小飞机可以下岗了】

一些设置：
1、wierguard设备在192.168.12.0网段
2、透明代理地址 10.1.1.222
3、需要代理得IP地址list名称是 NEED-PROXY
4、需要路由得标记为 op-proxy


１、获取名单，并导入系统

1. /tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CN
   
2. /import file-name=CN

复制代码

这时在 Address Lists 里面已经有了这些网址
   
2、对需要走代理的局域网地址也建一个LIST
list的名字叫NEED-PROXY

1. /ip firewall address-list  add list=NEED-PROXY address=192.168.12.0/24

复制代码

   

3、对需要进行路由到透明网关的进行标记
新版本的ROS需要首先创建routing table

1. /routing tables add name=op-proxy fib

复制代码

增加标记：符合条件（在来源在NEED-PROXY list中，目的地址IP地址不是CN list的IP）的数据增加这个标记

1. /ip firewall mangle add chain=prerouting src-address-list=NEED-PROXY dst-address-list=!CN action=mark-routing new-routing-mark=op-proxy passthrough=yes

复制代码

(因为敏感词，脚本改了routing mark名字，截图不想改了，应该看得懂）
  

4、对标记进行路由
将带有标记的数据路由到透明代理

1. /ip route add dst-address=0.0.0.0/0 gateway=10.1.1.222 distance=1 routing-table=op-proxy

复制代码

[/hide]




OK，搞定。

nk***

感谢楼主分享

slh***

等下得把名字改一下，我发现这个S.s   R 居然是个关键词，被翻译成 师夷长技以制夷

hou***

现在已经放弃CN过滤路由表,改用引入IPV6走BGP  IPV4走OSPF

kin***

centos用小猫咪，然后局域网某些设备用ros分配centos作为网关，也可以，就是不知道你这个是不是更具优势

slh***

kinkit 发表于 2023-12-21 13:48
centos用小猫咪，然后局域网某些设备用ros分配centos作为网关，也可以，就是不知道你这个是不是更具优势
...

原理应该是一样的，centos搭建透明代理应该是用iptables做标记做路由，把需要路由的目标地址段跳转到代理端口。

zsecs***

ROS的wireguard玩的那么溜了，还弄啥旁路由

slh***

zsecsqawdx 发表于 2023-12-21 15:10
ROS的wireguard玩的那么溜了，还弄啥旁路由

上周刚接触ros，很多东西不清楚
wireguard协议可以过G/F.W？

manto***

什么大清康熙年间的裹脚布，删了吧

zsecs***

slh0008 发表于 2023-12-21 17:10
上周刚接触ros，很多东西不清楚
wireguard协议可以过G/F.W？

不是叫你看楼上的wireguard方案了吗

nxz***

houjie 发表于 2023-12-20 23:24
现在已经放弃CN过滤路由表,改用引入IPV6走BGP  IPV4走OSPF

能提供一个教程吗？

白云***

感谢分享，已经配置好了，使用到的命令整理如下：

1. /tool fetch url=http://www.iwik.org/ipcountry/mikrotik/CN
   
2. /import file-name=CN
   
3. /ip firewall address-list  add list=NEED-PROXY address=192.168.12.0/24
   
4. /routing table add name=op-proxy fib
   
5. /ip firewall mangle add chain=prerouting src-address-list=NEED-PROXY dst-address-list=!CN action=mark-routing new-routing-mark=op-proxy passthrough=yes
   
6. /ip route add dst-address=0.0.0.0/0 gateway=10.1.1.222 distance=1 routing-table=op-proxy

复制代码

注意添加路由表这一步，应该是"table"而不是"tables"。另外防火墙中mangle规则，passthrough选yes还是no呢，看了一些教程，这里并不统一，不过我测试没发现区别。另外还有人多了一步在openwrt中添加自定义防火墙规则：

1. iptables -t nat -I POSTROUTING -o eth0  -j SNAT

复制代码

我试过加不加貌似也没影响。。。