路由器上网的一个思路

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2367 天前的主题，其中的信息可能已经有所发展或是发生改变。

把 10.0.0.1/24 分成两个 /28，前面的 IP 流量 REDIRECT 到 ss-redir 端口，后面的 IP 用于 DHCP 分配
将 XBOX 之类的设备绑定到前面的 IP，其他设备 IP 自动分配。路由器上可以再跑一个 ss-local

优点：电脑上可以充分利用 socks5 的优势

iptables -t nat -N hexie
iptables -t mangle -N hexie

iptables -t nat -A hexie -d SERVER -j RETURN
iptables -t nat -A hexie -d 0.0.0.0/8 -j RETURN
iptables -t nat -A hexie -d 10.0.0.0/8 -j RETURN
iptables -t nat -A hexie -d 127.0.0.0/8 -j RETURN
iptables -t nat -A hexie -d 169.254.0.0/16 -j RETURN
iptables -t nat -A hexie -d 172.16.0.0/12 -j RETURN
iptables -t nat -A hexie -d 192.168.0.0/16 -j RETURN
iptables -t nat -A hexie -d 224.0.0.0/4 -j RETURN
iptables -t nat -A hexie -d 240.0.0.0/4 -j RETURN

iptables -t mangle -A hexie -d SERVER -j RETURN
iptables -t mangle -A hexie -d 0.0.0.0/8 -j RETURN
iptables -t mangle -A hexie -d 10.0.0.0/8 -j RETURN
iptables -t mangle -A hexie -d 127.0.0.0/8 -j RETURN
iptables -t mangle -A hexie -d 169.254.0.0/16 -j RETURN
iptables -t mangle -A hexie -d 172.16.0.0/12 -j RETURN
iptables -t mangle -A hexie -d 192.168.0.0/16 -j RETURN
iptables -t mangle -A hexie -d 224.0.0.0/4 -j RETURN
iptables -t mangle -A hexie -d 240.0.0.0/4 -j RETURN

ip route add local default dev lo table 100
ip rule add fwmark 1 lookup 100

iptables -t nat -A PREROUTING -p tcp -j hexie
iptables -t mangle -A PREROUTING -j hexie


iptables -t mangle -A hexie -p udp -d 208.67.222.222 -j TPROXY --on-port 7777 --tproxy-mark 0x01/0x01
iptables -t mangle -A hexie -p udp -d 208.67.220.220 -j TPROXY --on-port 7777 --tproxy-mark 0x01/0x01
iptables -t mangle -A hexie -p udp -d 8.8.8.8 -j TPROXY --on-port 7777 --tproxy-mark 0x01/0x01
iptables -t mangle -A hexie -p udp -d 8.8.4.4 -j TPROXY --on-port 7777 --tproxy-mark 0x01/0x01

iptables -t nat -A hexie -p tcp -m iprange --src-range 10.0.0.42-10.0.0.100 -j REDIRECT --to-ports 7777
iptables -t mangle -A hexie -p udp -m iprange --src-range 10.0.0.42-10.0.0.100 -j TPROXY --on-port 7777 --tproxy-mark 0x01/0x01

18 条回复 • 2018-06-07 09:24:55 +08:00

402645707

2018-06-02 19:26:46 +08:00

路由器 ss-local 的速度真的可以发挥 sock5 的优势吗
软路由当我没说

zmz125000

2018-06-02 19:34:39 +08:00 via Android

@402645707 R7000 跑 ChaCha20-Poly1305 有 50 Mbps, 电脑可以自己跑客户端，路由器是为 Xbox，Chromecast 准备的。

p64381

2018-06-02 20:19:37 +08:00 via Android

是两个 /25 吧

zmz125000

2018-06-02 20:23:37 +08:00 via Android

@p64381 对...

qweer29

2018-06-02 23:19:59 +08:00 via Android

楼主 R7000 用的什么 OS

zmz125000

2018-06-03 01:24:13 +08:00 via Android

@qweer29 http://xvtx.ru/xwrt/changelog-ng.htm
实测 VPS 对路由器上网速度影响很大（相对电脑等）

missdeer

2018-06-03 10:11:17 +08:00

你的 ss 线路那么快的话，所有海外流量全走 ss 不就行了，chnroute 了解一下

zmz125000

2018-06-03 10:24:52 +08:00 via Android

@missdeer 有时要直连

cwbsw

2018-06-03 15:16:42 +08:00

@zmz125000
一般方案不都是 Dnsmasq+ipset 策略路由么。

zmz125000

2018-06-03 15:35:33 +08:00

@cwbsw #9 电脑用 SwitchyOmega 方便 + 路由器跑不满百兆。我的思路和策略路由也没冲突

cwbsw

2018-06-03 16:38:53 +08:00

@zmz125000
更新 Chrome 的时候不就麻烦了？ SS 性能是差，但是有性能很好的在路由器上能跑满百兆的 VPN 协议。并且基于 UDP 的 VPN 延迟比 SS 低，特别是 Google 系都是 QUIC，简直秒开，另外你 XBOX 玩游戏应该也是 UDP 更好吧。

zmz125000

2018-06-03 19:59:27 +08:00

@cwbsw #11 Chrome 会通过设定的代理下载更新。硬件消耗和 cipher 有关吧，其他采用 AEAD 的 VPN 硬件消耗不会比 SS 低，SS 是我用过的网速最快的协议之一。SS 有 UDP 代理（非 R 的 UDP over TCP ），路由器跑 SS 应该是可以启用 QUIC 的。

zmz125000

2018-06-03 20:03:54 +08:00

@cwbsw #11 我年付 $30 的 bwg CN2 GT 上 YouTube 可以用 TCP 看 4K

cwbsw

2018-06-04 12:15:19 +08:00

@zmz125000 SS 毕竟是应用层协议，进程在用户空间，同样算法性能肯定不及一些内核直接处理的 VPN 的。

zmz125000

2018-06-04 13:46:34 +08:00

@cwbsw #14 路由器不支持 IPsec，放弃了。OpenVPN 性能低听说还会被关照。你一般用什么协议的 VPN ？
https://blog.fuckgfw233.org/anyconnect-gg/

cwbsw

2018-06-04 15:45:16 +08:00