旁路由一些疑惑求助大家

iswangsir

2025.6.22更新：
感谢大家的回复。根据大佬们的方案，目前做了两点改变。
一，由ROS做分流，CNIP直接走ROS，非CNIP走旁路由。
二，怕死我更换为open卡拉斯。

目前看来情况有所改进，再跟进一段时间看下效果好不好。

另外，有一个新的问题请教大家，帮我看下我这样的分流是否生效了。


就是路由跟踪一直在旁路由和主路由之间跳动，但是上网是没问题的。



先简单讲解一下我这边的网络拓扑。


就是很简单的ROS主路由+op旁路由的模式。
我现在是需要富强的设备直接指定网关和DNS到OP那边。通过op上的“怕死我”列表以外模式。

现在几个问题想请教各位老哥，希望各位老哥不吝赐教。

1，我这样的模式是不是不太好用，会导致富强的设备，所以流量经过pw核心中转？会不会导致国内访问变慢？（最近发现部分国内网站访问会转圈圈比较久，偶尔无法访问）
2，ROS有一个DNS，op的LAN口也有一个DNS，“怕死我”也有一个DNS，这几个我搞的挺懵逼的，老哥指教一下？
3，是不是还有一个分流的模式，由ROS或者OP直接分流国内外IP，国内的访问流量不用经过“怕死我”核心？

或者麻烦各位老哥分享一下更合理的方案，我学习一下。

下面这个图是我这边的网络拓扑

cerellean

https://deeprouter.org/article/router-auto-routing-ipv4-ipv6
直接抄作业。
也可以搞个PVE，直接mosdns+singbox分流出去

waio0

1.不确定，理论是都要经过“怕死我”核心分流。变慢因素很多，具体要看你的模式和规则。
2.两个都是dns服务，一个使用53端口，另外一个使用其他端口。你没改过设置的话，op lan的dns是默认使用53
端口的dnsmasq服务，“怕死我”的dns使用其他端口，dnsmasq的上游指向了“怕死我”的dns。ROS的dns是ROS系统自带的dns服务，占用ros系统的53端口，你的富强设备分配到了op的dns，就使用了op的dns，然后流向“怕死我”的dns。其他设备没分配就是使用ROS的dns。
3.我猜你是想避免国内流量富强一圈再绕回来，这个分流的核心可以放ros上，也可以用“怕死我”，但终归要有一个分流的设置，只要设置得当，即时是用“怕死我”分流也不会有国内的访问流量经过“怕死我”核心而富强一圈。

fyc858

旁路由上传流量经过旁路由下载流量不经过旁路由，开了代理，上下传流量都经过旁路由，如果PW开启列表外模式，国外流量上下传经过旁路由，国内流量只有上传经过旁路由，下载不经过旁路由，你网页如果有转圈圈的现象先到PW里去点个几十下百度那个延迟的图标，看看会不会有延迟到1000多的，如果有说明你这个固件和PW不兼容，正常情况下随便怎么点那个百度的图标，延迟应该比较稳定的，那个延迟不是ping也不是tcping，是TLS的握手延迟，越低越好，高了就有可能转圈圈

iswangsir

cerellean 发表于 2025-6-21 18:36
https://deeprouter.org/article/router-auto-routing-ipv4-ipv6
直接抄作业。
也可以搞个PVE，直接mosdns+ ...

感谢回复，我看看去。

iswangsir

waio0 发表于 2025-6-21 18:51
1.不确定，理论是都要经过“怕死我”核心分流。变慢因素很多，具体要看你的模式和规则。
2.两个都是dns服务 ...

感谢这么详细的回复。谢谢老哥。会有第三点的疑问，是因为看到一些言论就是“怕死我”分流并不精准，会容易把国内的识别成国外，导致访问不到。确实最好是ROS分流，还不回，要研究一下

iswangsir

fyc858 发表于 2025-6-21 18:58
旁路由上传流量经过旁路由下载流量不经过旁路由，开了代理，上下传流量都经过旁路由，如果PW开启列表外模式 ...

老哥这么一说，我去试了一下。确实多点几下有几率是会有500以上甚至1000的延迟。我使用的固件是imm的原版固件，自己从软件包那边下载的pw

waio0

iswangsir 发表于 2025-6-21 19:32
感谢这么详细的回复。谢谢老哥。会有第三点的疑问，是因为看到一些言论就是“怕死我”分流并不精准，会容 ...

这个就不清楚了，这些富强软件用的差不多都是同一套分流方法，没太大差别。
个人觉得最好的是这套https://github.com/povsister/v2ray-core

iswangsir

waio0 发表于 2025-6-21 19:37
这个就不清楚了，这些富强软件用的差不多都是同一套分流方法，没太大差别。
个人觉得最好的是这套https:/ ...

感谢老哥。我去学习学习

fyc858

iswangsir 发表于 2025-6-21 19:34
老哥这么一说，我去试了一下。确实多点几下有几率是会有500以上甚至1000的延迟。我使用的固件是imm的原版 ...

PW一般用着没问题千万别更新最新版，容易出问题

iswangsir

fyc858 发表于 2025-6-21 19:47
PW一般用着没问题千万别更新最新版，容易出问题

我是imm软件包下载的，应该就是最新版了。

fyc858

iswangsir 发表于 2025-6-21 19:52
我是imm软件包下载的，应该就是最新版了。

我有很多PW和OP的组合备份，基本可以确认一点就是OP的版本和PW会有不兼容，具体是哪里有问题我不清楚，PW里的百度如果延迟会超过1000基本用这用着某些网页就会转圈圈，用老版本的OP+老版的PW如果没问题，通过升级的方式升上来也不会有问题的

czsec0

主路由：
->  192.168.1.1 主网络
->  192.168.2.1 vlan  接  虚拟机（透明代理）（192.168.2.2）

AP：
-> WIFI1 主网络
-> WIFI2 vlan

终端：
-> 支持proxy直接使用192.168.2.2端口代理
-> 不支持proxy连接到vlan，设置网关为192.168.2.2 透明代理
-> 添加虚拟网卡同时连接到主网络和vlan，使用策略路由

qhdxy

fyc858 发表于 2025-6-21 20:02
我有很多PW和OP的组合备份，基本可以确认一点就是OP的版本和PW会有不兼容，具体是哪里有问题我不清楚，PW ...

大概猜测是新版OP防火墙由 IPtables 改为 NFtables 造成的

老OP用老PW，新OP用新PW

fyc858

qhdxy 发表于 2025-6-21 20:47
大概猜测是新版OP防火墙由 IPtables 改为 NFtables 造成的

老OP用老PW，新OP用新PW ...

应该不是，如果防火墙问题不是转圈圈了，是一点都用不了

索马里希

旁路接口设置前置路由获取的运营商DNS，拍死我的DNS无论1和2是有点小奇怪的，所以我选择clash了。。

iswangsir

索马里希 发表于 2025-6-21 21:45
旁路接口设置前置路由获取的运营商DNS，拍死我的DNS无论1和2是有点小奇怪的，所以我选择clash了。。 ...

好的，谢谢回复，我也试一下clash

Evalyn

waio0 发表于 2025-6-21 19:37
这个就不清楚了，这些富强软件用的差不多都是同一套分流方法，没太大差别。
个人觉得最好的是这套https:/ ...

这套方案用过都说好，但配置繁琐度属实劝退

yanxingxu

你有没有想过放弃旁路由方式，改成透明网桥的方式替换旁路由的功能。
旁路由会造成数据来回的路径不一致，这点在拓扑层面是潜在的风险

waio0

Evalyn 发表于 2025-6-21 23:21
这套方案用过都说好，但配置繁琐度属实劝退

其实还好，看起来麻烦而已。现在有大佬一直到mosdns上了，就更简单了。

iswangsir

yanxingxu 发表于 2025-6-21 23:26
你有没有想过放弃旁路由方式，改成透明网桥的方式替换旁路由的功能。
旁路由会造成数据来回的路径不一致， ...

感谢回复，网络知识欠缺，我去补习一下。谢谢

Evalyn

waio0 发表于 2025-6-22 00:39
其实还好，看起来麻烦而已。现在有大佬一直到mosdns上了，就更简单了。

mosdns那个魔改项目在哪来着。印象中好像看到过。。

litchiz

设备好多。。。。我给父母弄得就一个刷了op得ax6s，是主路由又是**。需要爬得设备直接透明代理给xray，其他则直接放行。给x得设备由其规则判断是直通还是爬，不过有一点x如果解析dns会强制占用53端口，导致没有透明代理得设置dns解析出问题。。。解决办法也简单直接再开一个dns服务，然后端口转发给这些设备。
一直搞不懂，能在主路由解决的事情，何须旁路由。。。主路由解决不了的事情，我反正直接上pve

iswangsir

litchiz 发表于 2025-6-22 15:59
设备好多。。。。我给父母弄得就一个刷了op得ax6s，是主路由又是**。需要爬得设备直接透明代理给xray，其他 ...

我是公司网络。有部分设备需要富强。部分设备或者访客设备是不需要的。之前也单用过op，但是稳定性并没有ros好，所以买了5009做主路由，再给一个旁路由负责富强

highchh

我说一下我的方案，我指定需要富强的设备走旁路由，不用富强的设备网关指向主路由，需要富强的设备指向旁路由，用mosdns分流dns然后用open格拉斯分流，没碰到国内网站转圈的问题。
还要感谢4楼的大佬fyc858，教会如何旁路由设置IPv6也能正常富强的方法。

demonpriest

其实就是两个问题
一是分流，其实原理都是用ip列表来识别，谁来分流都一样的。用ros分流无非是旁路由挂了你还能上国内的网，但缺点是要自己维护分流列表；
二是dns，可能在局域网内跳多了（不过最后都是由pw的mosdns/smartdns劫持），也有可能运营商dns出现问题（修改成公共dns不一定能解决问题，因为公共dns很大概率根据时延还是返回当地运营商dns）。
说到底就是局域网dns请求谁分流指向谁（你的情况就是ros指向op，op内指向pw或由pw劫持），然后再由分流的设备请求互联网的解析（直连或者通过科学）：国外解析不必多说，国内解析想要速度最优要么运营商dns裸奔，要么mosdns/smartdns这种多解析取优，要么自建dns。

IceyHeart

个人使用经验分享：
主路由：padavan (对比过，查找路由表速度比7.6版本以后的ros快）
旁路由：appleTV+小火箭 （可以任何tun+fakeip模式的服务替代，分流表尽量简单，最好是全局模式，分流由mosdns完成）
主路由dns设为mosdns，mosdns分流列表根据个人喜好设定，原则就是直连域名走国内dns,返回真实IP，需代理域名走旁路设备的dns,返回fake ip (如198.18.0.0网段地址）；主路由里添加静态路由，198.18网段走旁路IP，并增加路由策略：
ip route add default via 10.0.0.10 dev br0 table 10  #10.0.0.10是我的旁路设备地址，br0为路由器的lan接口设备名
ip rule add to 198.18.0.0/16 table 10
如此一来，返回的198.18地址就会经由旁路网关代理出去。TG这种需要IP代理的也简单，直接同样加个静态路由，比如我这里只要指定91.108.0.0/16由旁路ip走就行，非常的简单。其它需要代理的国外ip如法炮制，直接在主路由里就分流了。

这样设定的好处是不会有重复dns过程，也基本不会形成环路，并且万一旁路设备出故障也不会影响正常的国内上网（家人无感）

大多数人习惯用的openwrt设备可以把主路由、mosdns、代理设备这三个角色一并扮演了，总之把这个分流逻辑掌握了，实现方式并无一定要求。