本文探讨软路由配置爱快为主路由,openwrt 作为旁路网关的设置。并且openwrt 提供 dns 去广告和国内外分流。整个网络单层 nat,并设置为全锥形 nat 便于 pcdn 的运行。
网络环境
内网:10.0.0.0/24外网:pppoe 拨号爱快:10.0.0.1openwrt: 10.0.0.2
单层 nat 配置
爱快作为主路由,所以整个内网由爱快提供 nat。在爱快中开启 nat1 类型:
爱快开启 upnp,openwrt 关闭 upnp。
关闭 openwrt 全锥形 nat,关闭防火墙动态伪装。开启转发。
openwrt 的动态伪装就是 nat,开了之后会多一层 nat,一定要关掉。
关闭动态伪装之后,由于 arp 验证可能导致无法上网,实测主路由为爱快时,不影响上网。
删除以下防火墙规则,如有:
iptables -t nat -i postrouting -o eth0 -j masquerade
copy
以上防火墙规则也是动态伪装,一样要删除。
设置完之后,重启 openwrt。
验证是否单层 nat
通过爱快终端监控,如果 openwrt(10.0.0.2) 也提供 nat 的话,在爱快里面是看不到其他终端有流量经过的,所有的流量都打到 10.0.0.2 上的,如果不是都打到 openwrt 上则证明为单层 nat。
此时,只有科学的流量才会在爱快中显示过 openwrt。国内流量显示为各个对应终端。
使用双 adg 配合 ssrp 国内外 dns 分流
配置双 adg
你需要知道:此设置不需要 smartdns 和 turbo acc 的 dns 缓存。如有全部关闭。
在 openwrt 可以直接安装 luci-app-adguardhome。安装之后进行配置国内版 adg。
首先设置重定向模式:作为 dnsmasq 上游服务器。
进入 adg 管理面板后,设置国内 dns。上游 dns 服务器设置如下(参考):
dns.alidns /dns-query
doh.pub/dns-query
dns.pub/dns-query
tls://dns.pub
tls://dns.alidns
tls://dot.pub
copy
bootstrap dns 服务器设置为当地运营商 dns(备选阿里云):
211.136.150.66
211.136.112.50
223.5.5.5
223.6.6.6
copy
211.136.150.66?211.136.112.50?为上海移动 dns。
速度限制设为 0。
接下来配置第二个 adg。可以使用 docker 也可以在第二台虚拟机安装 adg。我这边使用第二台机器(10.0.0.106)安装adg。
安装之后配置 dns 为国外 dns。
上游 dns 服务器设置如下(参考):
dns.google/dns-query
tls://dns.google
dns.cloudflare /dns-query
dns.cloudflare /dns-query
copy
bootstrap dns 服务器设置为当地运营商 dns(备选阿里云):
211.136.150.66
211.136.112.50
223.5.5.5
223.6.6.6
copy
禁用 ipv6 解析。(ssrp 中某些机场不支持 ipv6 导致无法上网)。速度限制不限。
现在记住:
国内 dns:10.0.0.2:6053 (adg设置的端口)国外 dns:10.0.0.106:6053
配置 dnsmasq
进入到 openwrt 的 「网络」 - 「dhcp/dns」,dns 转发应该只有 adg 的地址。我这边就是?127.0.0.1#6053,没有其他转发了。
配置 ssrp
如下图配置:
选择绕过中国大陆 ip,国外 dns 填写国外分流 adg。国内 dns 不填。如果已经填写,选择「其他」,留白就行。
安装privoxy
opkg update
opkg install privoxy
配置
假设socks5代理在1080端口 打开 /etc/config/privoxy 将其默认配置清空,并修改为
config privoxy 'privoxy'
option confdir '/etc/privoxy'
option logdir '/var/log'
option logfile 'privoxy.log'
list listen_address '0.0.0.0:8118'
option forward_socks5 '/ 0.0.0.0:1080 .'
保存重启 privoxy
/etc/init.d/privoxy restart
验证
curl -x 127.0.0.1:8118 -i google
(完整的配置如下,可以自行添加)
config privoxy 'privoxy'
option confdir '/etc/privoxy'
option logdir '/var/log'
option logfile 'privoxy.log'
list filterfile 'default.filter'
# list filterfile 'user.filter'
list actionsfile 'match-all.action'
list actionsfile 'default.action'
# list actionsfile 'user.action'
# list listen_address '127.0.0.1:8118'
list listen_address '192.168.1.1:8118'
option toggle '0'
option enable_remote_toggle '1'
option enable_remote_http_toggle '0'
option enable_edit_actions '1'
option enforce_blocks '0'
option buffer_limit '4096'
option forwarded_connect_retries '0'
option accept_intercepted_requests '0'
option allow_cgi_request_crunching '0'
option split_large_forms '0'
option keep_alive_timeout '300'
option socket_timeout '300'
list permit_access '192.168.1.0/24'
option debug_1 '0'
option debug_512 '1'
option debug_1024 '0'
option debug_4096 '1'
option debug_8192 '1'
用途
在openwrt的防火墙设置中打开http代理的端口,实验室其他ubuntu主机可以直接通过环境变量设置http/https代理,在进行wget、curl和git等相关操作时,都会通过全局http代理,避免连接不畅,非常方便。之所以不使用socks5代理,因为wget不支持。
export http_proxy=" [openwrt的地址]:8118"
export https_proxy=" [openwrt的地址]:8118"
参考链接:openwrt privoxy
1. 前言
上级路由为ikuai软路由,数据处理交给软路由来做,openwrt运行在路由器上,通过lan连接上级路由从而只做wifi接收发送功能。
2. 需求
路由的lan和wan全部作为交换机使用无线wifi下的设备和上级路由的网段相同openwrt的管理界面和上级路由的网段相同ip由上级路由分配
3. 配置上级路由
上级路由为爱快,本人这里将192.168.2.2-192.168.2.7作为自定义ip,供其下的设备进行静态ip分配。
4. openwrt基本配置
4.1 方式一:通过“接口”配置
提供两种方式可用
4.1.1 方式一:设置单个接口
设置此项之前应先在“接口”中删除了wan,wan6等
直接修改lan,切换协议,设置参数
以及忽略此接口的dhcp服务
进入物理设置,把删除了的wan接口剩下的网口选择进去
之后重启便可以进入。
4.1.2 方式二:设置两个接口
设置此项之前应先在“接口”中删除了wan,wan6等
首先点击修改lan,设置“不配置协议”,点击保存,不要点击保存&应用!
之后点击创建新接口,名称随便,协议为“静态地址”。其实dhcp也行,但是ip可变。接口为自定义接口,填写@lan
点击提交,出现下图,dns服务器填写上级路由ip
不配置dhcp服务器,然后选择“保存”,不要选择保存&应用
之后确认无误就可以点击右上角“未保存的配置”然后应用。
重启之后访问ip即可。
4.2 通过“交换机”配置
设置此项之前应先在“接口”中删除了wan,wan6等
首先删除vlan id2,之后设置vlan id1的wan为untagged,最后保存,不要选择保存&应用
修改之后:
进入接口,选择lan,选择“忽略此接口”
最后保存&应用
5. 防火墙设置
5.1 开启mss钳制
这个选项要开启,不然会造成微信图片,红包接收很慢的情况
5.2 关闭ip动态伪装
ip动态伪装就是nat,我们这里不需要nat因此将其关闭
6. 无线部分
正常设置就好
7. 其他
使用虚拟机的爱快,openwrt等,一定要注意网卡分配和线路连接,防止出现大回路的现象。否则就会有二级路由下的设备访问网络缓慢的问题,因为网络被阻塞了。
8. 参考
openwrt 设置桥接交换机模式(ap模式)
将 openwrt 设置为交换机 / ap 模式
关于防火墙设置。里面有个mss钳制和ip动态伪装是什么意思
发表评论