旁路由和两级路由

ghwwx

现在小孩在家里上线上课。为了监控他的网络流量，特意把软路由的系统从op换成了ikuai，然后用op做旁路由科学上网。 直接在ikuai的DHCP上指定网关和DNS都为旁路由的ip地址。这样就有了问题: 流量就全部走旁路由，ikuai就看不到各个终端的流量，全部是旁路由的流量。

感觉这样还不如直接用二级路由。


一台双网口的机器能虚拟出二级路由么？



更新1： 这个问题解决了。
在Ikuai的DHCP中加入静态分配，然后在静态分配中就可以指定网关的地址了。
那么在全局中，将DHCP的网关的地址指向ikuai的地址，在静态分配中将网关设定为op的地址。
这样就不用在客户端做任何的设置了。


继续有待解决的问题：

在ikuai上建立了L2TP服务器。远程的设备通过L2TP连接到Ikuai上，但是这个IP没法和ikuai的局域网在一个网段，这个很不方便，不知道有没有方法能解决。 而op是可以的。

mhmddb

你都虚拟了 套10个都行

Anderson997

你小孩用的为什么不直接走爱快？

eneiku

爱快指定dhcp的网关和dns都是爱快，需要科学的客户端直接手动设置网关和dns。小孩上网课不需要科学吧

xsdianeht

你还不如装个监控

linsen775

那你这个流控的意义在哪里啊。你这样甚至不如把OP作为上一级路由，Ikuai作为二级路由，起码你既能用Ikuai的流控，也能设置OP的特殊工具开启与否。。。

要么你就充分发挥旁路由本来常用的场景，需要用旁路的设备单独指定网关和DNS。不用的就用Ikuai就好了。

ghwwx

linsen775 发表于 2022-12-19 11:12
那你这个流控的意义在哪里啊。你这样甚至不如把OP作为上一级路由，Ikuai作为二级路由，起码你既能用Ikuai的 ...

所以我就像直接用二级路由好了。
就是一个机子上怎么虚拟二级路由，这个没有搞过。

ghwwx

xsdianeht 发表于 2022-12-19 11:09
你还不如装个监控

这个监控也太明显了！

ghwwx

eneiku 发表于 2022-12-19 11:04
爱快指定dhcp的网关和dns都是爱快，需要科学的客户端直接手动设置网关和dns。小孩上网课不需要科学吧 ...

小孩不要。 因为笔记本和手机要在不同的环境下使用，手动指定后不太方便。

ghwwx

Anderson997 发表于 2022-12-19 11:03
你小孩用的为什么不直接走爱快？

网关是在ikuai的DHCP上直接设定的。

ghwwx

mhmddb 发表于 2022-12-19 10:59
你都虚拟了 套10个都行

关键是怎么设置成二级路由。

eneiku

ghwwx 发表于 2022-12-19 11:19
小孩不要。 因为笔记本和手机要在不同的环境下使用，手动指定后不太方便。 ...

手机无所谓每个节点对应一个ip设置，笔记本可以弄个脚本一键改

kartanus

旁路由做单臂路由关DHCP，需要跨国的单独指定网关、DNS到旁路由不就完了

理论上你需要跨国的也就是手机和电视盒子，大多数设备用不到就还走原先的就好啊

linsen775

ghwwx 发表于 2022-12-19 11:18
所以我就像直接用二级路由好了。
就是一个机子上怎么虚拟二级路由，这个没有搞过。 ...

你就虚拟机里面创建两个实例，一个跑OP一个跑Ikuai就行了，不要做套娃。具体的一卡多用使用方式，要看你用的是什么工具创建的实例。

xu089757

可以考虑用dns分流。巧用 DNS 实现国内外域名 ip 分流上网
这样就只有在识别到需要爬梯的连接，才会分流到openwrt。

aitkots

ghwwx 发表于 2022-12-19 11:18
所以我就像直接用二级路由好了。
就是一个机子上怎么虚拟二级路由，这个没有搞过。 ...

虚拟2级路由是有办法的，ESXi和PVE大同小异，只是有些前提设置。
你只有2个网口，而实际上一级路由和二级路由共计需要三个网口，这是需要解决的问题。

拿PVE举例子，假设你有物理网口 enp2s0（vmbr0） enp3s0（vmbr1），此时你需要额外创建一个内部网桥，比如 vmbr2 ，但这个内部网桥不需要桥接任何外部物理端口。

此时ikuai使用 enp2s0 的网桥 vmbr0 做 wan 口（当然你也可以直通这个网卡给ikuai，但是不建议这么做），然后使用 vmbr2 做 ikuai 的 lan 口。

OP 使用 vmbr2 做 wan 口，使用 enp3s0 桥接的网桥 vmbr1 做 lan 口即可。

ghwwx

xu089757 发表于 2022-12-19 11:38
可以考虑用dns分流。巧用 DNS 实现国内外域名 ip 分流上网
这样就只有在识别到需要爬梯的连接，才会分流到o ...

这是个好主意，但是ikuai上没法做啊。如果在op上做的话，所有的流量又都显示来自于op

xu089757

ghwwx 发表于 2022-12-19 11:45
这是个好主意，但是ikuai上没法做啊。如果在op上做的话，所有的流量又都显示来自于op ...

能做啊……我之前就是这样实现的ikuai【主】+openwrt【旁】，只不过现在我主路由换routeros了。
你只需要在ikuai上开docker，部署一个mosdns就行。

主要思路就是小猫咪开fake ip模式，mosdns把非cn域名指向openwrt做dns解析。
然后ikuai把fake ip的网段+telegram网段走端口分流指向openwrt就行了

这套方案唯一的问题就是，clash禁止给Netflix的cdn域名分配fake-ip，所以Netflix看起来会有点问题……

ghwwx

aitkots 发表于 2022-12-19 11:43
虚拟2级路由是有办法的，ESXi和PVE大同小异，只是有些前提设置。
你只有2个网口，而实际上一级路由和二级 ...

好主意。

先装要给试一试。

多谢！

ghwwx

xu089757 发表于 2022-12-19 11:48
能做啊……我之前就是这样实现的ikuai【主】+openwrt【旁】，只不过现在我主路由换routeros了。
你只需要 ...

好的，多谢！

lovest

单独跑个dns ikuai上直接指定小孩子接触的设备 网关为ikuai的.

ghwwx

lovest 发表于 2022-12-19 11:55
单独跑个dns ikuai上直接指定小孩子接触的设备 网关为ikuai的.

嗯嗯，其实他的平板就再家里用，直接手动设定。

zhgna

有需要的终端走旁路由，其它的走主路由。

ghwwx

zhgna 发表于 2022-12-19 12:27
有需要的终端走旁路由，其它的走主路由。

就是觉得稍微麻烦点。

greenny_yy

op可以设置成透明网关，这样普通流量在 ikuai 那里是可以看到来自各个终端的。

ghwwx

greenny_yy 发表于 2022-12-19 13:19
op可以设置成透明网关，这样普通流量在 ikuai 那里是可以看到来自各个终端的。 ...

你是说透明网桥么？对科学上网有影响么？

iamyangyi

层级越少越好，加一层增加2-3MS延迟，带宽也缩一下

greenny_yy

ghwwx 发表于 2022-12-19 14:30
你是说透明网桥么？对科学上网有影响么？

没影响，我就这样配置的
只不过是 ROS + OP

greenny_yy

iamyangyi 发表于 2022-12-19 14:42
层级越少越好，加一层增加2-3MS延迟，带宽也缩一下

没那么夸张，内网延迟都在1ms以内的

ghwwx

greenny_yy 发表于 2022-12-19 14:44
没影响，我就这样配置的
只不过是 ROS + OP

好的，怎么安装呢？是哪一个插件？能给个教程的链接么？