type
status
date
slug
summary
tags
category
icon
password
Property
Jun 15, 2025 05:56 AM
警告:这次纯粹是闲得慌🤣
这次改造的目标是原Openwrt更改为(伪)旁路由,主路由这次使用RouterOS系统。
国内国外分流会在RouterOS上执行一次,然后国内流量直接由RouterOS处理和发送,国外流量以及DNS请求会被标记网关会被重定向到Openwrt上.
不过Openwrt这次不会设置为网关,不然所有流量都走openwrt那不就和原来一样了?只有被标记才会走Openwrt.
听了可能比较迷糊,我重新解释一下:
首先是旁路由的第一个功能:DNS服务器,所有的DNS都会被路由到Op上,由Op来做DNS解析。
然后是国内流量的处理,完全由ROS也就是主路由处理,完全不会经过Op.
国外流量在ROS上被标记之后,会被路由到Op上,由Op接管这些连接,然后代替发送连接到代理服务器。
这里贴出我当前的ROS配置: CNIP的合集就不贴出来了,太大了..
Openwrt 的规则保持原本即可。
RouterOS Firewall:

稍微说一下对RouterOS的感受,如同它的名字一样,纯粹的路由器系统。
对比OpenWrt,你无法使用高度自由的命令行工具了,自然也无法在它上面安装各种各样的插件。
有点像思科之类的路由器那种感觉的命令行。
第一次初始化设置起来也相对于Openwrt更加麻烦,比如PPPoE拨号之后你
本身提供了一个GUI界面和各种网络功能支持,还有一个和iptables功能类似的firewall
多亏由这个firewall,所以才能做分流。
不过这个图形化的iptables用起来还是没那么顺手罢了,比如无法同时选择多个协议。
还有一点就是RouterOS的流量监控功能挺全面的。除了能针对接口监控,你还能对QoS队列,甚至防火墙的某一条规则进行流量监控。
顺便记一次脑瘫的BUG修复记录。
一开始我OP使用的DNS使用的是国内直连IP,国外也是直连。
后面我开始使用国内直连IP,国外使用FakeIP的模式。
我就发现FakeIP大部分国外网站无法登录,部分常用网站倒是可以,花了我2个小时排查问题。
ROS分流没问题→DNS解析没问题→连接也是标记路由到OP没问题
问题就出在OP连接发起上,我又查看了Clash的调试日志,访问油管推特时有出现连接发起的日志。
但是访问exhentai和wiki就完全一点连接日志也没有,连DNS解析日志都没有。
后面我就开始排查可能是nftables的规则导致的问题。
我仔细盯着每条规则,脑内把所有流量经过链的顺序都模拟了一遍,也没问题啊。
然后就懵逼了,重新从ROS开始排查,又重复了一遍….
最后又回到了nftables的规则上来。
这次我仔细的查看了所有的规则,以及匹配的集合。
其中有一条规则是daddr = @chnip 的,这个是chinadns-ng自动分流产生的@chnip来做缓存,方便防火墙分流,这个集合里大概有1w以上的IP地址。然后我直接一个grep查找,果然发现了fakeip的一部分范围也在这个里面…
- 作者:sdttttt
- 链接:https://www.sdttttt.site/article/2130e50d-3291-80f4-acff-d6cde330bf8a
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。