我也来分享下用了多年的软路由终极方案

210 天前
 YGBlvcAK
简单说:debian+iptables+gfwlist+mosdns+ipset+proxy tool(support redirect)+tproxy(for udp)
具体实现就不说了,会玩的一看就懂,也很简单,不会玩的说了也白说,就说可以实现什么吧

1.透明代理,所有设备自动科学上网,国内直连,国外走代理
2.未知域名自动判断(mosdns),未知域名同时用国内国外 dns 解析,国内 dns 返回国内 ip 就直连,反之用国外 dns 的解析结果走代理,这就是目前最优化的域名解析方式,不接受反驳
3.不绑定任何代理工具,ss 、xray 、hy2 ,想用哪个用哪个,他们都支持 redirect
4.配合优质 vps+mosdns 的 lazy cache ,访问 bbc 和访问网易新浪没有区别,youtube 看视频 10w+
5.没有 fake ip ,那玩意问题太多,不详说,懂的都懂,第一原则是稳定+稳定+稳定
6.基于域名而不是 chinaip ,低性能的 arm 设备也能玩的转

N1 轻松 10w+
12669 次点击
所在节点    宽带症候群
85 条回复
xgbc2077
210 天前
请问您说的这些软件可以从软件源直接安装吗?我用克拉什当梯子,我自己写了个配置区分奈飞线路和其他线路,您这个方案可以解决吗?主要是梯子的地址都是克拉什获得的,我看获得的地址都是 ss
Mrealy
210 天前
我觉得你的方案不错,不过还缺一个基于应用分流和多线路的 SLA.
n2l
210 天前
可以开个交流群吗
ecoart
210 天前
@n2l 支持
povsister
210 天前
魔法师们果然都不缺创造力。
Redirect 和 Tproxy 应该是二选一的关系。有 tproxy 可用应该无条件选择 tproxy 。
你描述的这套配置下来也不轻松,除了网关是无条件走一遍软路由,以及网关故障转移外,没什么其他致命缺点了。
唯二问题就是:
* 低性能 ARM 设备需要打个引号,这个性能要能满足:使用 iptables 可以承受全部网关流量,否则哪怕不用魔法还是会卡。
* 涉及工具太多了,配置分散在各处,需要相互配合。想简化的话可以用 debian+gfwlist+mosdns+dae
lazywen
210 天前
我是 debian + nftables + nf set ip 白名单,dns 的话 gfwlist 域名用国外解析其余国内解析,有时候国外网站还会很慢,等有空试试 mosdns
ttvast
210 天前
国外很多域名不必要走代理。
ttvast
210 天前
“国内 dns 返回国内 ip 就直连”
6.基于域名而不是 chinaip ,低性能的 arm 设备也能玩的转

这两点不矛盾吗
Jirajine
210 天前
你所谓的最优化方式就是暴露所有未知域名到国内 dns ,并且你都没有提及这一 implication 。小白信了你这一套就成了和 clash 一样的潜在受害者。
wske
210 天前
涉及的工具太多了,我现在用 op+passwa11 已经满足我的需求稳定跑了 3 年。默认的 dnsmasq+chinadns-ng 就很好,感谢以上维护项目的人
StinkyTofus
210 天前
@wske #10 我也是用 openwrt 的 passwall 插件, 有这个就够了, 搞那些花里胡哨的, 累死还不省心。

另外为了不让家里所有的设备都经过代理(例如我老婆不翻墙,如果让她手机经过代理,使用一些国内的 APP 反而很慢), 所以我主路由用的是爱快, 把需要翻墙的设备都绑定一下静态 DHCP , 网关地址指向 openwrt 就可以了, 非常完美。
YGBlvcAK
210 天前
@ttvast
『 国外很多域名不必要走代理。』 如果解析出的 ip 是国外的,直连不如走 vps 代理快
『这两点不矛盾吗』 不矛盾,chinaip 是指把 chinaip 全部放入 ipset ,低性能的 arm 就有点吃紧了

@Jirajine 当然还是有 direct 和 proxy 域名列表的,在此之外的才是未知域名,这些域名都是没有被墙的域名,让国内 dns 解析有什么问题?另外如果你觉得就是有问题,你也可以把所有未知域名只交给国外 dns 解析然后走代理,来实现你的绝对安全
yjzll
210 天前
你不在家时,网络坏了,家人能修复吗?
Jirajine
210 天前
@YGBlvcAK #12 没有问题,只要你显式告知了,不要让小白信了你的最优化的宣传不小心点到了钓鱼网站 seo 的 google 搜索结果然后被反炸上门就行。

“把所有未知域名交给国外解析绝对安全” 这个很有问题,我可从来没这样说,也没有暗示这种含义。事实上这样做仍然非常、非常**不安全**,不要继续误导不了解的人。
crysislinux
210 天前
未知域名给国内 dns 解析也没啥的,没那么夸张。极端一点,国内大厂应用给你埋点未知域名你用国外 dns 解析不一样暴露。真要解决这个问题只能分应用代理了,其实必要性不大,形式并没有坏到那一步。
rojer12
210 天前
我是 r86s 裸 op 主路由+rk3399 旁路由
反正默认连上就有网,要科学的设备就改个网关和 dns
科学和其他不咋影响,3399 的性能跑个 50MB/s 以上也足够了,有需要的建议还是用 3566 ,3399 发热有点大
YGBlvcAK
210 天前
@Jirajine 『事实上这样做仍然非常、非常**不安全**,不要继续误导不了解的人。』 我更改一下前面的言论,没有什么绝对的安全,差不多得了,更不要臆想和被迫害妄想了

@yjzll 我这不是主路由,dhcp 分流,参数 11 楼

@povsister 『低性能 ARM 设备需要打个引号』 看你怎么定义了,N1 算高算低?我这 youtube 可以跑 10 万 w
『 Redirect 和 Tproxy 应该是二选一的关系』 这个确实是这样,只是我有时候喜欢切换一下 proxy 工具玩玩,有些工具只支持 redirect ,所以就都写了

@Mrealy 『不过还缺一个基于应用分流和多线路的 SLA 』 可能是我暂时不需要吧,所以没有搞这些

@lazywen mosdns 的特点是最优化的域名解析方案,同样也可以避免 dns 泄露
MeteorVIP
210 天前
"不会玩的说了也白说"
"不详说,懂的都懂"
我是小白,确实什么都没看懂.我只会用 openwrt 旁路由,配合 ssr+,passwall1,2(fakedns),openclash(fakeip),看心情随机切换着用.
kgcHQbTYyvcz2w3j
210 天前
主路由用普通的路由器给家里人用,另外 pve 开个 openwrt lxc 来做旁路由, 只安装 AdGuard Home 、Passwall2 、DDNS-GO 、wiregurad 这几个插件就够了,自己需要翻墙的设备设静态 ip 和旁路由网关, 这样不折腾

之前用软路由作为拨号主路由使用,出了问题都得等到深夜家人睡着不用网络的时候才敢折腾,太痛苦了
wawaguo
210 天前
软路由会影响国内游戏延迟吗

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1034889

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX