对于所谓“旁路由”的疑惑

旁路由 其实应该是这么使用 不知道网上所谓得旁路有是不是 估计 80%不是的
首先 所有局域网设备都设置网关 比如是 192.168.1.1 然后 1.1 这个设备是需要配置一个动态路由表的 利用 mangle 表标记 然后把目标 IP 是在一定定义范围内的数据包 设置下一条路由是旁路设备的 IP 例如 1.10
那最终会有 2 个路出去
1. 不在定义范围内的 访问目标 IP 终端->主路由->目标 IP
2. 在定义范围内的 访问目标 IP 终端->主路由->旁路由->主路由->目标 IP

做旁路由的设备一般只有一个网口的

1 、网络链路确实加长了，ping 值会高一点点。2 、旁路有主要是用来处理需要 cpu 计算的那些工作，部分旁路由支持 aes 硬件加密，可以取得更高的效率。3 、yt 上有各种旁路由效果测试视频，可参考。

@chinni #1 哪有这么复杂

你看看这么组的那些人的旁路由有多少网口就明白了

主路由负责素有上网行为，旁路由作为中间层，典型应用是这样：ros 做主路由，性能强劲稳定，但是它不支持科学上网插件，这个时候就需要引入旁路由 openwrt 安装科学上网插件实现

如果 『每个包』都过旁路由，那直接将旁路由升级为主路由做出口就好了。
实际中需要通过路由表或多网关的方式做分流，只将必要的流量经过旁路由。


至于路径，使用多网关的方式，完全可以：
终端->旁路由->主路由->外网

@jiangyang123 网上大多所谓旁路由 就是加了一层 然后又是单口 必定局域网性能减半 各人看法也不同 有的人觉得无所谓. 但是这其实理论上只能成为多加了一个科学的设备 所有数据都要过. 一个口负责上下行 1G->500M .只不过看这些教程弄的人 大多没有这类需求也不是很明白原理而已 差不多理解就行 够用即可

所以直接整个厉害的软路由一步升级成主路由就完事儿了。

主路由使用硬路由，负责内网 DHCP 、NAT 转发，侧重稳定。

旁路由使用软路由（可以放内网虚拟机上），负责科学上网、去广告之类的应用，侧重功能。

大家一起接同一个二层交换上，反正内网交换至少都是千兆了，性能损耗一般都不大，干啥也方便。

另：
好像不少人把『旁路由』和『单臂路由』直接划了等号？

@chinni
可是这么设置的话，如果 1.1 这个设备是主路由，那主路由都可以设置动态路由表了，功能应该不会差吧
如果 1.1 是旁路由的话，那就等于所有数据包都又走了一遍旁路由

一般所说的家用路由器是路由器+交换机的结合。
网关设置为旁路由的时候数据包是直接发往旁路由的。
但是在链路层（全都插到主路由的网口上）往往“直接发往旁路由”需要先经过主路由内置的交换机。

@Jirajine #13
使用路由表方式将流量分流到旁路由的情况，还是要过主路由的三层的。
使用多网关方式将流量分流到旁路由的情况，如你所述只需要过二层交换（主路由的交换或其它二层设备）。

@koswu 目前我局域网就是 同 @herozzm 举例的说法
主路由 1.1. 硬件 Mikrotik ROS 然后配置了动态路由表.把国外所有 IP 都标记好. 设置下一条路由是 1.10 的 Linux 装了 debian 上面任意配置一个 基于 iptables tproxy 的工具即可. 这样 tcp udp 协议基本完美科学了. 如果需要其他协议 只能在 Ros 上再区分出 除了 tcp udp 以外的走 ros 自带的 客户端比如 l2tp 这种出去就是 ip 协议的科学. 1.10 上还能装各种离线 samba 等供局域网电视看视频用 如果预算有限就直接买个 4 口软路由搞定一切

终端可以有很多啊，有的走旁路由，有的不走。家里那么多设备总有不需要的，像各种智能家居，NAS 之类的。
比如我只需要电视盒子科学一下，其它设备不需要。但盒子性能太差或不方便装软件，主无线路由器科学性能也不好，而且我不想搞梅林，就用原厂固件，稳定。就找个树莓派当旁路由做这个事。
树莓派也只有一个网口，没法做主路由。可能有的人也是因为硬件限制只能做旁路由。

旁路由拓扑和一楼说的那种拓扑是不同的。

设备默认网关为旁路由，科学上网流量上下行都经过旁路由，其他流量上行经过旁路由，下行流量真正的网关直接就发给设备了，并不会经过旁路由。

@chinni
ROS 不支持 dnsmasq+ipset，只能按 IP 段分流，灵活性太低了，维护域名列表比 IP 列表容易太多了。

@cwbsw 666

旁路由最适合的场景是需要在尽量不改动原有网络布局的前提下，增加科学上网等功能。

我的理解，所谓旁路由，目前大家都是作为一个代理服务器使用的，也就是科学上网的服务器，仅此而已吧

@cwbsw 灵活可能 域名比较灵活 但是 通用的话 IP 直接包圆了 一次性配置 后续国外反正都代理 不用关系是否被干掉

一直感觉"旁路由"这个说法不准确，明明是加了一层路由(无论有无 net)，为何称之为"旁"？

@fayloue 更正"net"→"nat"

旁路由如果可用网口足够，为啥不直接做主路由呢？

@ryansvn #21 我感觉你的说法不对，代理服务器应该是工作在应用层的。

旁路由主要是用来做 VPN 接入的，花生壳家就是这么搞

@chinni
问题是 OpenWrt 或者 Debian 等一样可以实现按 GEOIP 分流，但反过来 ROS 这个封闭+阉割+老旧内核的系统却实现不了 dnsmasq+ipset 分流。

我理解设备到旁路由的这一步，只是过了下主路由的内置交换机部分，所以效率还是比较高的

收藏+++

话说我用软路由做主路由，1000m 只能跑到 960m

不要把旁路由当作一种日常用法，要理解为是在受限状态(无法更换主路由)下的变通手法

这种受限可能来自多种情况
1. 主路由性能不行但是不能换
2. 旁路由性能好但是网口不足
3. 做单臂路由没有网管交换机
4. 主路由有些特殊功能不可替代

当你并不处于类似受限状态时，旁路由就是旁门左道，不值得一看

@autoxbc 是的，当旁路由是一个常规的性能强劲的路由，其实就和二级路由差不多。流量都得先经过二级路由到主路由出去

旁啊主啊 只要库存的 N1 卖出去就好

@xianlu n1 它就是香啊

@autoxbc 你好，小白请教下，出租房没有光猫和交换机能做单臂路由吗？只有 n1 和 d191 路由器

能花小钱解决问题就好

网上的配置确实五花八门，绝大多数都是复制粘贴的。好多人都是按照这些复制粘贴的教程，关闭主路由的 DHCP，将 N1 设置为 DHCP 服务器。这其实完全没必要。

旁路由的目的是尽量不改变当前网络拓扑，所以没必要将 DHCP 服务器设置在 N1 上。只要在主路由的 DHCP 设置中，将默认网关设置为 N1，然后 N1 的网关设置为主路由即可，其他网络设置无需改变。这样，上传流量会经过 N1 的过滤，国内下载流量不会经过 N1 。

同时，DHCP 只是负责内网 ip 发放，与网关、NAT 无关。所以即使将 N1 设为 DHCP 服务器，NAT 转换也是主路由的工作。

F 大的教程中有这么一句，“iptables -t nat -I POSTROUTING -j MASQUERADE”。这会导致国内下载流量经过 N1 旁路由，因为 MASQUERADE 会将 source ip 替换为 N1 的 ip，不管是否富强。

在 N1 上 POSTROUTING MASQUERADE 毫无必要，除非将 N1 当作主路由。