V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
ca1123
V2EX  ›  宽带症候群

Ubnt 的 ER-X 小路由双 WAN 模式负载均衡+按规则选择出口的方案问题

  •  
  •   ca1123 · 133 天前 · 1781 次点击
    这是一个创建于 133 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我有
    1. 国内家宽
    2. 国际出口
    3. ER-X 小路由
    需要在 ER-X 上实现按 IP 选择合适的出口, 这样下面的机器国内国外的资源都可以访问了.

    我看到这个帖子里面讲了电信联通的负载均衡. 和我需要的很接近了.
    https://www.chiphell.com/thread-2027724-1-1.html

    读了这个帖子我大概知道
    - 可以分网口拨号
    - 可以按照一定规则给网口分流量

    我有三个问题:
    1. 这个帖子类似的方法有老哥试验过么? 有坑么?
    2. 国内 /国外的 IP 如何区分?
    3. DNS 怎么解决?

    另外有老哥懂的话, 可以给我提供远程支持么? 我愿意按时间支付费用. 300/h
    22 条回复    2021-06-09 21:08:10 +08:00
    ericbize
        1
    ericbize   133 天前 via iPhone   ❤️ 1
    没用过 ubnt, 家里用的是 mikrotik, 拥有的和楼主 就第三点不一样

    1.用路由表区分国内外
    2.dns 宽带默认 dns, 出口使用 4 和 7 层识别 udp53 的包, 包含特殊字段转发 4 个 8
    ericbize
        2
    ericbize   133 天前 via iPhone   ❤️ 1
    然后,你也可以用,chinadns 这种玩意,随意部署一个内网 dns (使用树莓派之类的放在内网)
    cwbsw
        3
    cwbsw   133 天前   ❤️ 1
    按路由表分流或者 Dnsmasq+ipset 做策略路由按域名列表分流。
    建议刷成 OpenWrt,吊打这种半吊子系统。
    iloveayu
        4
    iloveayu   133 天前   ❤️ 1
    别折腾这玩意了,这只是个入门级小路由器(真的很稳),vyos 套皮儿其实限制还挺多的,除非你有俩 ER-X,一个用来正常跑,一个用来折腾,不然配到半道搞崩了直接上不了网多闹心。
    300/h 的价格折腾它,不如在内网加个透明网关或者换个软路由啦。
    jfdnet
        5
    jfdnet   133 天前   ❤️ 1
    被无脑吹后买了两个,性能确实太薄弱。刷入 op 后,用 clash,不定期就崩溃了,甚至一天好几次。
    geekvcn
        6
    geekvcn   133 天前 via iPhone
    @jfdnet 这东西强在 MT7621AT 的 HWNAT,低功耗和小体积,用来当主硬件网关的。玩 OP 还是选 x86 吧,你用法都不对,刷 OP 这东西确实残废
    joshu
        7
    joshu   132 天前
    不建议在 ubnt 上维护区分国内国外 IP 的 ipset,因为很麻烦,而且不够准确,我现在的做法是固定的 ipset+域名动态添加到 ipset,这件事比较适合弄个软路由来完成
    cuicuiv5
        8
    cuicuiv5   132 天前 via Android
    买软路由做网关服务器
    beyond_st
        9
    beyond_st   132 天前
    不要折腾 ER-X,磁盘空间巨小,Debian 版本很低,变砖只能 TTL
    jfdnet
        10
    jfdnet   132 天前
    @geekvcn 确实啊 直接软路由一步到位。家里的网络,层级越少越好。
    tankren
        11
    tankren   132 天前
    原来 250 买的一直吃灰 过了几年 300 卖了。。。
    titanium98118
        12
    titanium98118   132 天前
    搭梯子还是建议用 openwrt,配置灵活
    用 dnsmasq+ipset,根据域名做分流,基本不用去管 IP
    gearfox
        13
    gearfox   132 天前
    不清楚,但是我知道折腾那破玩意儿还不够心累的
    adoal
        14
    adoal   132 天前   ❤️ 1
    set firewall group address-group DYN_XXW
    set firewall group network-group STATIC_XXW network xx.xxx.xx.0/24
    ...
    set firewall group network-group STATIC_XXW network xx.xxx.xx.0/20

    set firewall modify AUTO_VPN rule 20 action modify
    set firewall modify AUTO_VPN rule 20 description 'XXWList address resolved by dnsmasq-ipset'
    set firewall modify AUTO_VPN rule 20 destination group address-group DYN_XXW
    set firewall modify AUTO_VPN rule 20 modify table 8
    set firewall modify AUTO_VPN rule 20 protocol all
    set firewall modify AUTO_VPN rule 21 action modify
    set firewall modify AUTO_VPN rule 21 description 'Static XXW networks'
    set firewall modify AUTO_VPN rule 21 destination group network-group STATIC_XXW
    set firewall modify AUTO_VPN rule 21 modify table 8
    set firewall modify AUTO_VPN rule 21 protocol all

    set protocols static table 8 route 0.0.0.0/0 next-hop yy.yy.yy.yy

    set service dns forwarding options 'conf-dir=/config/data/dnsmasq.d,*.conf'

    其中 STATIC_GFW 里加的地址可以是类似电报这种不通过域名解析的 AS 静态网段,当然也可以把股沟等确定范围的网段加进去而不必要通过 dnsmasq+ipset 来处理。
    DYN_XXW 是通过 dnsmasq+ipset 来处理的目标地址。
    table 8 的 next-hop 是你内网里另外的小盒子,上面开一个小众协议的 VPN……(抱歉我不会玩 SS 所以举不出 SS 做透明 proxy 的配置例子,我是用的其它的小众协议)。
    /config/data/dnsmasq.d 里放 dnsmasq 的附加配置文件,比如 xxwlist2dnamasq 生成的.conf 文件。
    adoal
        15
    adoal   132 天前   ❤️ 1
    注意由于 EdgeOS 的配置系统只能 mangle 转发的包,路由器上本机生成的包不会进到 AUTO_VPN 规则里去,所以不能在路由器测试是否成功,要用 LAN 里的机器。
    nbsn
        16
    nbsn   132 天前   ❤️ 1
    看来分流是刚需啊,到入动态的路由表才是王道啊。我在策划相关的分流专题,拭目以待
    Orciorc
        17
    Orciorc   132 天前 via Android
    @nbsn 坐等,目前的 OpenWRT 上 PassWa11 之类的插件,分流都是一塌糊涂
    dndx
        18
    dndx   132 天前   ❤️ 1
    看样子 VyOS 也是支持 OSPF 的,可以参考 /t/739809 里的思路用 BIRD 把路由表动态注入到 ERX 里面。
    ericFork
        19
    ericFork   132 天前
    这个设备折腾起来的收益不是很高,性能和配置还是弱了些(吞吐最大 1Gbps,闪存空间过小),适合用途比较单纯的场景(比如就放弱电箱里做入口硬路由,双 WAN 也能满足),需求稍微复杂一些就捉襟见肘了,建议像顶楼原帖所说,拆分设备,各司其职。
    yolee599
        20
    yolee599   132 天前 via Android
    ubnt 一般用做 AP 网桥
    ca1123
        21
    ca1123   130 天前
    @tankren 理财产品了 属于是
    ca1123
        22
    ca1123   130 天前
    @iloveayu 我确实有俩, 一个在线上运行一年多了, 一个买个个二手的来折腾
    关于   ·   帮助文档   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3760 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 03:44 · PVG 11:44 · LAX 20:44 · JFK 23:44
    ♥ Do have faith in what you're doing.