[Drcai's Noob Guide]第二期 RouterOS 根据 DST 和SRC ADDR配置策略路由 & 双线指定网络出口教程

drcaidrcai 话题数:35会员, 大佬
教程 #0

在开始之前 , 我希望各位萌新能稍微看一下 CCNA的书 ,学点皮毛即可 ...
如果表示 大脑容量不够 那么你就先这么理解 :
Src Addr (Source Address) : 发件人
Dst Addr (Destination Address) : 收件人
策略路由 PBR , 这是你开始学习 VLAN OSPF BGP 之前 必须要掌握的东西 ...

列表本教程适合人群 :
1 Netflix 爱好者 , ROKU 被害者... ( 没错这是一类人 ...
2 狂虐欧洲弱鸡爱好者 .... ( 没错要虐就虐最菜的 ...感觉好棒and好棒特...
3 李平的外贸公司... ( WTF ??

---------------------分割线------------------- (好短

那么YOUTUBE 上面大家看到过用 PVE 和 ESXI 装 ROUTEROS 和 OPENWRT 双软路由的视频 ....
很多萌新看了之后也后就照着视频做 ,也不举一反三,自己拓展一下....那么都已经用 X86 KVM虚拟机了 可以直接装 Debian/Ubuntu Server版 ,操作自由度更大 ,何必安装 Openwrt做旁路 .

本次实验所需材料可以有不同的组合 :
案例1(全虚拟) : 一台PC 装好Proxmox VE , 建立一台ROS虚拟机当作主路由 , X台Debian Server当作旁路路由 ..
案例2(全实体): 一台最便宜的RB750Gr3 实体ROS 路由器 , X台刷完 Armbian的 N1 盒子 ...

首先我们得把这些东西接在一个网段里咯 - - ( 有闲情雅趣的可以先划分 VLAN 做隔离 ..
PVE虚拟机配置方法 :
先编辑 PVE 网卡配置咯 , 建立网桥.
我们假设以下是你PC上的5个网口 .
1.png

每一个端口无论作为 lan 还是 wan ,都先做成一个独立的桥接 ..
Just like : vmbr0 vmbr1 vmbr2 .....

然后添加到你的 ROS虚拟机里:
2.png

作为旁路网关的 Debian虚拟机网口如何设置呢 ?
添加任意一个作为 LAN口的网桥作为网卡即可.
之后打个比方 你的 RouterOS 里设置的网络是 192.168.0.1/24
那你就把旁路路由的网卡地址设置为 192.168.0.2 网关 192.168.0.1

有同学问到 , 那我几个LAN口都做成独立的桥接了 ,怎么再把他们放回一起呢...
ROS , 选择 Bridge选项卡 , 新增一个桥接...
Ports 选项卡里把你作为LAN的端口添加回去..

以上攻略只提要点 , 具体操作方式请看这位UP的视频:

准备完主路由我们来准备旁路 :

那么说到这里 透明网关到底是啥有人都没明白 ...
多说无用 , 你就当是个 SSTAP软件的高级版即可 ..
SSTAP的原理就是 在你的电脑上安装一张虚拟网卡 ,把他作为网关 , 通过修改路由表 ,把游戏服务器的 IP 走那张虚拟网卡.
那么现在我们就是把这个事情在路由器上做 ,让自由度更高一些 , 把转发性能提的更好一点...

本次使用脚本 https://github.com/zfl9/ss-tproxy
新手指南在这里 https://www.zfl9.com/ss-redir.html

使用这个脚本的好处:
1 装你子喜欢的暴力版BBR - -!!
2 安装 libsodium 支持 chacha20
还有很多理由 ,不过就这2个就足以替代无脑安装 OPENWRT/LEDE 这种了 ..

---------------------分割线-------------------

实用策略路由案例一 : 电信联通双线接入 根据目标IP指定出口网关

网上大多数都是给你做双线负载平衡的教程 .. 这种东西在实际生活里就一个场景需要应用一下:挖矿 .
如今很多城市里宽带起步就是 300M , 下行速度是完全够用了. 如今接入双线的主要原因就是获得更好的海外线路延迟.

我们用最简单的方式来实现:
假设我们默认路由出口是电信 , 我们想让日本BBTEC 线路走联通.
ROS , 选择 IP --- ROUTE ---ROUTES
添加一条路由 :
3.png
图片案例中 :
Dst Address 0.0.0.0/0
Gateway 即是你 PPPOE 自定义的接口名
Distance 大于你电信的默认路由即可(通常大于1) ..其它参数不重要
Routing Mark 用于标记路由 , 我们这里标记为设为 unicom

这样设置后 只有被标记为unicom的 目标IP 才会走联通.

切到 RULES 选项卡 :
4.png
图片案例中 我们把阿里云日本的其中一个IP段 设为目标地址.
Action: lookup
Table: unicom
把这个 IP段标记为 联通...

Very Easy ~

实用策略路由案例二 : 指定源IP走指定网络出口

这个案例相当于俄罗斯套娃 .
假设我们这里有一台工业垃圾ROKU TV BOX.
一般在小米盒子国际版 /FIRE TV 上我们可以通过设置 固定 IP地址 ,把网关设置成透明网关....
但这货能通过 DHCP方式连接网络 ,就连开启工程模式都没办法改成 STATIC ADDRESS . 也不能在盒子上安装 SSR客户端.

在你一筹莫展的时候 ROS 轻松帮你解决以上问题 :
第一步 通过无线网卡的MAC地址 , 在DHCP SERVER 中设置固定 IP

到ROS IP -- DHCP server --Leases 选项卡 找到你的工业垃圾 ..
5.png
Make Static 按一下 ,之后你就可以随意设定你喜欢的 IP地址了 ...

回到 IP --ROUTE --ROUTES 选项卡
增加一条新规则 :
6.png

这里 GATEWAY 填写你透明网关的 IP
Routing Mark 我们把你的透明网关起名为 SSR1

切到 RULES 选项卡
7.png
我们假设你刚才把电视盒的IP设为了 192.168.0.114 , 那这里就作为源地址 .
Table 写 SSR1

这样你的电视盒就会先访问 ROS的网关 ,然后由ROS 给他转发到你的透明网关 .

举一反一 :
已知黑色沙漠台服IP 是 103.74.1.0/23 我想把这个 IP段走透明网关.
那么 RULES 选项卡里 新增一条 Dst Address 然后 Table 设为你的透明网关.

---------------------分割线-------------------

Router OS 里面有更复杂的 策略路由 你们可以在 IP --FIREWALL --MANGLE 这个选项卡来实现.
因为这是一个 Noob's Guide , 只介绍最简单的方案 .
推荐大家一本PDF 电子书 :
http://www.irouteros.com/?page_id=186

这一期教程是基于RouterOS 来写的 , 当然用 LEDE/vyos 等基于Debian的希望做主路由也能做到 , 只不过操作更复杂 .
通过策略路由我们甚至还可以实现 指定一个端口 走指定网络出口 , 剩余端口走默认出口 ..
本文的意图是给你们开一个坑 - -然后让你们自己越挖越深 - - !!! 所以入坑需谨慎 - -!!

Drcai
2019-5-26

此话题使用的标签:

评论

  • OvearOvear 话题数:11会员

    其实openwrt也不难,就是要自己写iptables)逃

登录注册后才能评论。