众所周知,RouterOS 通过 wireguard 和 OSPF 分流之后,访问人类社会网络非常方便。凡是访问人类社会,直接就走 WG 隧道。
现在有个问题: 有些情况下,海外的主机主动过来访问却遇到了失败。
比如偶遇到的情况:申请和更新 LetsEncrypt 证书的时候,letsencrypt 那边要检查域名的合法性,会从海外主机通过 web 读取这边的验证文件。这时候外来的数据是走正常的路由,而从本地返回的数据经过 RouterOS 后却走了分流的路由,从海外 VPS 那边过去了。主机那边显然认为这是非法数据包拒收了,于是验证过程失败。
解决方法之前有两个:
有的动态域名供应商支持 RFC2136 ,比如 dynv6 ,方法一可行,普通 Linux 主机可以用这个。 但是 RouterOS 自己不支持,很多动态域名供应商也不支持,比如 ipv64.net ,只能用方法 2 。 但这个影响略大,一般是放在半夜三点的时候做。
基本解决思路跟那些双线分流的策略路由差不多:跟踪包的来源,从哪儿来还从哪里回去。
OSPF 分流是把所有人类社会的网段全部走隧道出去的,虽然相当一部分网段是不受栅栏影响的,但是考虑到国内 v6 线路的实际情况,一股脑儿走隧道反而大部分情况下效果更好。
现在既然某个海外主机能把 TCP 链接请求发送到咱的地址上,那就说明这条路是通的,这个 TCP 会话的后续数据包就可以依旧走这条路由(也就是从 pppoe-out1 )直接回去。
具体方法就是学习策略路由的方式,对这种包打标记:先对入口的包打连接标记,然后有这个标记的出口包就打上路由标记,强制走 pppoe-out1 。
# 建立一个路由表,有这个标记的强制走 pppoe-out1, 绕过分流
/routing table add comment="No VPS" disabled=no fib name=DirectWAN
/ipv6 route add comment=DirectVPS dst-address=::/0 gateway=pppoe-out1 routing-table=DirectWAN
/routing rule add action=lookup-only-in-table routing-mark=DirectWAN table=DirectWAN
# 然后是打标记
/ipv6 firewall mangle add action=mark-connection chain=prerouting comment="Out of China" connection-state=new in-interface-list=WAN new-connection-mark=DirectWAN protocol=tcp tcp-flags=syn
/ipv6 firewall mangle add action=mark-routing chain=prerouting comment="Out of China" connection-mark=DirectWAN in-interface-list=LAN new-routing-mark=DirectWAN
由于移动宽带没有公网 IPv4, 这里就只写了 IPv6 的配置,v4 需要的话是完全一样的。
仅供参考。欢迎提意见。
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.