Ubnt 的 ER-X 小路由双 WAN 模式负载均衡+按规则选择出口的方案问题

我有
1. 国内家宽
2. 国际出口
3. ER-X 小路由
需要在 ER-X 上实现按 IP 选择合适的出口, 这样下面的机器国内国外的资源都可以访问了.

我看到这个帖子里面讲了电信联通的负载均衡. 和我需要的很接近了.
https://www.chiphell.com/thread-2027724-1-1.html

读了这个帖子我大概知道
- 可以分网口拨号
- 可以按照一定规则给网口分流量

我有三个问题:
1. 这个帖子类似的方法有老哥试验过么? 有坑么?
2. 国内 /国外的 IP 如何区分?
3. DNS 怎么解决?

另外有老哥懂的话, 可以给我提供远程支持么? 我愿意按时间支付费用. 300/h

ericbize

2021-06-07 07:29:08 +08:00

没用过 ubnt，家里用的是 mikrotik，拥有的和楼主就第三点不一样

1.用路由表区分国内外
2.dns 宽带默认 dns，出口使用 4 和 7 层识别 udp53 的包，包含特殊字段转发 4 个 8

ericbize

2021-06-07 07:36:17 +08:00

然后，你也可以用，chinadns 这种玩意，随意部署一个内网 dns （使用树莓派之类的放在内网）

cwbsw

2021-06-07 09:26:40 +08:00

按路由表分流或者 Dnsmasq+ipset 做策略路由按域名列表分流。
建议刷成 OpenWrt，吊打这种半吊子系统。

iloveayu

2021-06-07 09:57:07 +08:00

别折腾这玩意了，这只是个入门级小路由器（真的很稳），vyos 套皮儿其实限制还挺多的，除非你有俩 ER-X，一个用来正常跑，一个用来折腾，不然配到半道搞崩了直接上不了网多闹心。
300/h 的价格折腾它，不如在内网加个透明网关或者换个软路由啦。

jfdnet

2021-06-07 11:14:43 +08:00

被无脑吹后买了两个，性能确实太薄弱。刷入 op 后，用 clash，不定期就崩溃了，甚至一天好几次。

geekvcn

2021-06-07 11:31:10 +08:00

@jfdnet 这东西强在 MT7621AT 的 HWNAT，低功耗和小体积，用来当主硬件网关的。玩 OP 还是选 x86 吧，你用法都不对，刷 OP 这东西确实残废

joshu

2021-06-07 11:55:55 +08:00

不建议在 ubnt 上维护区分国内国外 IP 的 ipset，因为很麻烦，而且不够准确，我现在的做法是固定的 ipset+域名动态添加到 ipset，这件事比较适合弄个软路由来完成

cuicuiv5

2021-06-07 12:16:57 +08:00

买软路由做网关服务器

beyond_st

2021-06-07 12:58:53 +08:00

不要折腾 ER-X，磁盘空间巨小，Debian 版本很低，变砖只能 TTL

jfdnet

2021-06-07 13:10:14 +08:00

@geekvcn 确实啊直接软路由一步到位。家里的网络，层级越少越好。

tankren

2021-06-07 13:34:58 +08:00

原来 250 买的一直吃灰过了几年 300 卖了。。。

titanium98118

2021-06-07 17:07:31 +08:00

搭梯子还是建议用 openwrt，配置灵活
用 dnsmasq+ipset，根据域名做分流，基本不用去管 IP

gearfox

2021-06-07 17:30:46 +08:00

不清楚，但是我知道折腾那破玩意儿还不够心累的

adoal

2021-06-07 21:39:59 +08:00

set firewall group address-group DYN_XXW
set firewall group network-group STATIC_XXW network xx.xxx.xx.0/24
...
set firewall group network-group STATIC_XXW network xx.xxx.xx.0/20

set firewall modify AUTO_VPN rule 20 action modify
set firewall modify AUTO_VPN rule 20 description 'XXWList address resolved by dnsmasq-ipset'
set firewall modify AUTO_VPN rule 20 destination group address-group DYN_XXW
set firewall modify AUTO_VPN rule 20 modify table 8
set firewall modify AUTO_VPN rule 20 protocol all
set firewall modify AUTO_VPN rule 21 action modify
set firewall modify AUTO_VPN rule 21 description 'Static XXW networks'
set firewall modify AUTO_VPN rule 21 destination group network-group STATIC_XXW
set firewall modify AUTO_VPN rule 21 modify table 8
set firewall modify AUTO_VPN rule 21 protocol all

set protocols static table 8 route 0.0.0.0/0 next-hop yy.yy.yy.yy

set service dns forwarding options 'conf-dir=/config/data/dnsmasq.d,*.conf'

其中 STATIC_GFW 里加的地址可以是类似电报这种不通过域名解析的 AS 静态网段，当然也可以把股沟等确定范围的网段加进去而不必要通过 dnsmasq+ipset 来处理。
DYN_XXW 是通过 dnsmasq+ipset 来处理的目标地址。
table 8 的 next-hop 是你内网里另外的小盒子，上面开一个小众协议的 VPN……（抱歉我不会玩 SS 所以举不出 SS 做透明 proxy 的配置例子，我是用的其它的小众协议）。
/config/data/dnsmasq.d 里放 dnsmasq 的附加配置文件，比如 xxwlist2dnamasq 生成的.conf 文件。

adoal

2021-06-07 21:41:46 +08:00

注意由于 EdgeOS 的配置系统只能 mangle 转发的包，路由器上本机生成的包不会进到 AUTO_VPN 规则里去，所以不能在路由器测试是否成功，要用 LAN 里的机器。

nbsn

2021-06-07 22:50:48 +08:00

看来分流是刚需啊，到入动态的路由表才是王道啊。我在策划相关的分流专题，拭目以待

Orciorc

2021-06-07 23:00:12 +08:00

@nbsn 坐等，目前的 OpenWRT 上 PassWa11 之类的插件，分流都是一塌糊涂

dndx

2021-06-08 00:52:27 +08:00

看样子 VyOS 也是支持 OSPF 的，可以参考 /t/739809 里的思路用 BIRD 把路由表动态注入到 ERX 里面。

ericFork

2021-06-08 07:29:16 +08:00

这个设备折腾起来的收益不是很高，性能和配置还是弱了些（吞吐最大 1Gbps，闪存空间过小），适合用途比较单纯的场景（比如就放弱电箱里做入口硬路由，双 WAN 也能满足），需求稍微复杂一些就捉襟见肘了，建议像顶楼原帖所说，拆分设备，各司其职。

yolee599

2021-06-08 08:49:24 +08:00

ubnt 一般用做 AP 网桥

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/781772

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.