V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  mouyase  ›  全部回复第 5 页 / 共 51 页
回复总数  1014
1  2  3  4  5  6  7  8  9  10 ... 51  
@povsister
@bobryjosin

需要 Real-IP = 可以直连 = PaoPaoDNS 直接解析
不能直连 = 可以使用 Fake-IP = PaoPaoDNS 使用 FakeIP 解析

这俩似乎并不冲突,而且在这个方案中也已经兼容了,只不过配置是需要修改一下的
@povsister
@bobryjosin

现在这个方案默认是将所有国外 IP 全部送去 FakeDNS 解析,也就是所谓的大陆白名单,但是如果你们的使用场景是有直连需求,那你们的方案应该是黑名单模式。那只把需要代理的地址送去 FakeDNS 解析就好了。
@bobryjosin

我猜你是把 FakeIP 这个操作和 Clash 的 FakeIP 模式绑定到一起了。实际上这两者并没有什么强关联。

Clash 是把所有网络请求全都引入到自身,然后在根据配置,选择 Real-IP 解析模式或者 FakeIP 解析模式。

如果是 Clash 的 FakeIP 解析,会把所有的网址全部解析为 FakeIP ,所以才会有你所谓的入侵性太强的问题,实际上这是 Clash 的问题而不是 FakeIP 的问题。

这套方案 DNS 是先在 PaoPaoDNS 上处理,而 PaoPaoDNS 只有国外(需要代理)的地址,才会送到 Clash 的 FakeIP 解析,其他的地址都是用递归服务器解析到真实 IP 的。而需要代理的地址,真实 IP 并不具备什么意义。如 @yyysuo 所说,只有可达和不可达两种状态。
@ssgooglg
直接路由 Clash 难受就难受在一炸全炸
@nilai

如果这样做,就相当于把对所有 IP 的请求全部导向了旁路网关,这和我们想要的结果(国内外分流)是相违背的。

目前的做法是,设备要访问一个网站,会先向 PaoPaoDNS 请求解析地址,PaoPaoDNS 根据分流规则,分别到递归服务器和 FakeIP 上去解析。如果是国外的应用,会返回 FakeIP 。这样设备就会访问 FakeIP 。由于创建了静态路由表,所以 FakeIP 的请求流向了 PaoPaoGateWay 旁路网关。从而实现经由网关访问对应的网站。

但是 IP 应用由于没有 DNS 这一步,导致网络请求直接从普通网关流出而没有流向旁路网关。

所以需要对其 IP 设置静态路由表。
@yyysuo
如果不屏蔽 NAT ,你在 Clash 里看到的来源 IP 将全部都是路由器的 IP ,这样不利于查看运行信息。

参考
https://github.com/kkkgo/PaoPaoGateWay/discussions/26
@MrLonely

加上了
69 天前
回复了 mouyase 创建的主题 分享创造 更简单的部署 AnyType 同步服务器的方案
@Niphor affine 客户端不支持私有部署,我就没试
@SkywalkerJi
确实是没算 AP ,因为很多家庭用主路由自己的无线网就足够了,我买的那个只是因为天线坏了所以没无线。

实际上现在就算是好的同款机器也只要 60 块钱左右了,一直在降价。

如果有其他的比如 MESH 或者 ACAP 的方案需求,那就不在本文的讨论范围内了。
@lower 在单网关内部处理透明代理,就会导致一旦代理挂了,整个网络都会瘫痪,而且 NAT 会降级,对于一些 BT 软件,游戏联机之类的都不友好。

如果你用 NatTypeTester 检查 NAT 等级,一定不会是 FullCone.
@lower 根据我折腾网络这么多年的经验来说,极路由没办法实现这些东西。硬要说极路由应该连千兆带宽都很难跑满。
@iamwin

> 我说的意思是你不仅不需要多台设备,也不需要任何虚拟机包括 docker 这种半虚拟机

如果想要部署递归 DNS 用于抗污染,那一定需要启动一个本地的 DNS 服务,那这个服务不用 Docker ,难道是直接部署在物理机上吗?部署难度和维护难度不考虑一下吗?

其次,如果想要做国内外网络分流,并且国外网络故障时,不影响国内网络,那一定需要两个网关。

市面上的单设备透明代理全部是靠修改路由表+全部流量转发到代理工具然后再用代理工具的分流方案。

这种方案一会导致代理挂掉国内网络也无法访问,二会导致全部流量多一层 NAT ,三还会导致和一些游戏加速器有冲突。

就是为了要避免上面的几个问题,所以最后才会出现两个网关一个 Docker 这样的部署形式。

形式是为了达成目的,如果你没有这些目的那自然也不需要这么复杂的形式。
@iamwin

> 整个一套搞那么复杂,还用 fakeip 来污染 dns 解析,透明代理你可以在网关设备的防火墙里面配置
openvpn 、wireguard 和其他你也可以直接在网关设备部署,AdguardHome 这东西你也可以直接在网关设备部署

不知道你是否经历过一炸全炸的情况,在我这套配置里,OpenWRT 是完全作为一台普通的路由&网关设备存在的。旁路网关因为各种原因(IP 被封,程序故障)炸掉,是不会影响到国内网络访问的。

> 完成你这些需求其实只需要一台物理设备,完全不需要 3 台设备和配置多个半虚拟机,你搞那么复杂,没太大的意义,徒增故障点

我在文章里写了,设备可以根据你自己的情况选,你要是有服务器就开虚拟机咯。只不过我认为 150 元以内不存在可以满足这一切的服务器设备。150 元以内的软路由都很难跑满千兆网络。
@xuhengjs
P 被封谁都没戏,但是这套方案可以让你 IP 被封的时候,国内&不走代理的设备完全不受影响。

应该不存在代理 IP 被封还能流畅上网的方案存在吧。
@niaohongC 其实没有啥技术含量,PaoPao 系列是其他大佬的开源项目,我只是针对家里的环境踩了一点点坑选了几个比较划算的设备部署了一套方案而已。
@xdzhang 请问你是怎么解决 NAT 降级和网关分流的呢
@xiaoke 是玩 ROS 的狠人,佩服佩服(那个鬼东西对于我来说还是有点难用了
@ixinshang 这是 OpenWRT 的官方镜像,没有使用第三方编译的固件。我推荐的设备也是可以直接刷官方镜像的(稍微有一点麻烦)。
@xiaoke 我用 ADG 就是为了分设备分流,家人的有些设备有一些工作需求不能走海外
@molezznet 补充一句,FakeIP 解析可以认为是无延迟
1  2  3  4  5  6  7  8  9  10 ... 51  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1514 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 20ms · UTC 23:55 · PVG 07:55 · LAX 15:55 · JFK 18:55
Developed with CodeLauncher
♥ Do have faith in what you're doing.