软路由的最佳实践

@neroxps 加速的 IP 地址不一定是被墙的，被墙的 IP 地址流量也不一定是 TCP/UDP 的，太局限了。

@neroxps 除此之外，FAKE IP 破坏了完整性的同时，也进一步限制了你的代理的网络能力。你的另一条出口网路性能完备的时候，结果就被 FAKE IP 限制了。

事实上，就算是代理的网络，功能也可能完备，使用策略路由很容易达到相关目的，甚至于仅限端口策略都是很常见的。

@thereone 比较好奇如何避免单点故障的，如果是单条上游链路，主路由断网的同时，“旁路由”也相当于上游被掐断，这样不管 VRRP 还是什么协议都没有用。

@oovveeaarr 所以你没有看全，意思是旁路由也拨号针对能多拨的宽带用户这样就是双上行到光猫上面或者多条宽带也行 特别是分开用的不做叠加只做主备这种。单宽带不能多拨这个当然备份不了。VRRP 只是在折腾旁路由时完全不影响网络本身加入进来和退出去是无感的。

其实应该叫代理服务器

@thereone 这样是套了两层及以上 NAT 吗？还是没明白怎么切换网关的。

@oovveeaarr 噢，“旁路由”自己拨号啊。。。。

@neroxps 感谢解答，我常年挂 bt 的，看来还是硬路由适合我，最多挂个旁路由解决其他问题，现在就是用着一个 ubnt 的硬路由，非常稳定，延迟也很稳

@oovveeaarr 对没错旁路由自己拨号，实际上也可以当成是双主路由也没有问题不过一般这样做的都是做的主备路由。一个简单场景就是 主路由 A 刷高恪要做流量监控统计要做普通限速但是又做不了过强，于是引入 op 为 B
AB 之间做 VRRP 流量默认到 B 在转到 A ，对于 A 来说统计和监控没问题对 B 来说过强没问题。同时 B 拿走折腾对于手机电脑也是无感的，有时候也有可能折腾好了 op 又想动主路由了想换成防火墙或者别的什么系统 于是 B 也拨号同时做个监控 A 链路是否正常，正常就走 A 不正常就直接从 B 出去。这样无论要动哪一个路由器都是无感的对于手机电脑来说。这就完全避免了自己的设备出现单点故障，光猫故障那就是找运营商了。如果是两条宽带那也是可以的一条路由拨号一条光猫拨号 两条都接在 A 做负载分担 op 路由器 B 接一条光猫拨号的。效果也是一样的。保证折腾网络不影响屋里使用的人同时本人不在家不管是哪个路由器坏或者有问题也不影响屋里人。

@sun82kg #56 请问有详细的小白教程吗？看了文章没看懂，现在我的情况我 redMiAX6000+A6S*2+J1900+电信千兆

除非你是高手，否则旁路由你千万别用。问题有一堆，你又不懂如何排查。

有没有透明模式的旁路由？似乎有人叫透明网桥，不需要修改 DHCP 获得内网网关地址。试了几个常见 openwrt 常见几种软件似乎只有 openclash 能实现流经网桥流量自动走代理。但是众所周知 openclash 两种模式都有各种问题。

>>加速的 IP 地址不一定是被墙的，被墙的 IP 地址流量也不一定是 TCP/UDP 的，太局限了。

@oovveeaarr #101 这个涉及到成本问题，你如何确定 IP 被墙？如何确定直连或者代理能获得更好的体验？这些都需要成本。所以一贯做法，直接订阅大家维护的域名规则库，匹配到规则库则直接跑出去代理服务器，例如 github 某些地区，的确能获得很好的链接体验，但偶尔有一天墙调整了，可能会偶尔抖动，也可能以后都无法连接。这时候需要调整它们就增加维护成本，还不如直接订阅大家维护的规则库，即使你这边能直连，但是代理也不会有太高的成本。以上是我个人的看法。GFW 不可控，我只能控制自己的梯子。

@oovveeaarr #101 而关于非 TCP 、UDP 流量代理问题，这个就看需求了，大多人需求只是这两个协议。如果你有这种需求，那可以采用基于 L3 的代理。甚至 L2 的也行。
所以一切得看需求。

@thereone 主路由就会发生 1 个 ip 对应的 mac 地址在不停地发生变化 以前爱快做主路由就是这样的，现在已经没这问题了

@Jirajine 我直接在 ESXI 里拆分成主路由 旁路由 DNS 服务器，主路由只负责拨号+端口转发+流控+DHCP ，旁路由只负责科学上网国内外 IP 分流，Centos 搭建一个 MOSDNS 专门做 DNS 分流，主路由用 iuai ，DHCP 指定我自己所有设备走旁路由+MOSDNS ，家人所有设备不走旁路由+运营商 DNS

@Jirajine IPV6 国外直接 drop 掉 AAAA 地址，国内随便玩，这样就不会泄露了，没有 AAAA 地址就没法直连了

@bobryjosin 爱快+openwrt 能不能做 vrrp 啊

@neroxps 我觉得不完美，维护域名根本不靠谱，覆盖不全的，而且 fakeip 难免有问题

在主路由上将非中国大陆 ip 流量全部导给 clash ，dns 用 chinadns 那种方案，这个维护量最小

而且还有很多好处：
dns 放在主路由下面，这样查国内 dns 服务器就走国内，查国外 dns 就走 clash ，cdn 最友好。

用 mosdns 模拟 chinadns 方案，还能写规则让特定域名去查 clash dns 获得 fake-ip ，从而可以关照 openai 这种需要特殊处理的域名。

@neroxps 我觉得不完美，维护域名根本不靠谱，覆盖不全的，而且 fakeip 难免有问题

在主路由上将非中国大陆 ip 流量全部导给 clash ，dns 用 chinadns 那种方案，这个维护量最小

而且还有很多好处：
clash 上不用搞很多基于域名的规则，大部分流量进来就走 ip 匹配规则

dns 放在主路由下面，这样查国内 dns 服务器就走国内，查国外 dns 就走 clash ，cdn 最友好。

用 mosdns 模拟 chinadns 方案，还能写规则让特定域名去查 clash dns 获得 fake-ip ，从而走 clash 域名匹配的规则，可以关照 openai 这种需要特殊处理的域名（比如新加坡 vps 之类的）。