实操:双路由实现IP无感分流,丢掉你的旁网关
实操:双路由实现IP无感分流,丢掉你的旁网关
在传统的主路由+旁路由的分流模式中,设备需要配置网关为旁路由,一来要给设备单独设置网关不方便;二来如果旁路由因为各种问题导致下线或者出现故障,会导致对应的设备无法上网,破坏了网络的稳定性。所以最好实现无感分流,这样哪怕旁路由物理损坏也不会导致任何的网络波动。
在之前的教程中,我们已经介绍了双路由实现无感IP分流的基本思路,但很多读者希望获得更详细的配置教程。本篇教程将使用TP-Link硬路由作为主路由,OpenWrt软路由作为旁路由,为大家展示具体的配置步骤。
一、配置硬路由网口
为了区分设备,我们需要为主路由的GE1网口分配一个独立的网段和IP地址。这里需要注意的是,GE1口不是作为WAN口,而是作为LAN2口存在,与LAN1口使用不同的网段。如果路由器不支持划分不同的LAN口,也可以将其作为WAN口使用。
配置好物理接口后,还需要添加相应的NAT规则,以确保GE1口能够访问互联网。具体配置步骤因路由器型号而异,部分路由器可能需要手动配置,部分则不需要。需要注意的是,这个接口不需要配置DHCP服务,只需配置GE1口的基本信息即可。
二、配置软路由网口
软路由需要设置一个静态IP地址,这里使用的是.21网段,与主路由的LAN1网段(.31)不同。软路由的网关应设置为主路由GE1口的地址。同时,软路由需要关闭DHCP服务,因为DHCP服务将由主路由的LAN1口提供。
为了防止出现致命问题,建议为软路由配置一个独立的网段。如果网络接口数量有限,也可以利用VLAN来隔离不同网段。
如果配置无误,此时软路由已经可以访问外网,且软路由的流量可以回到内网。
三、添加主路由IP池
我们需要在主路由器上配置IP池,一般需要配置三个IP池:中国所有IP地址、内网IP地址和软路由IP地址。国内的IP地址池可以参考大佬整理的列表:ispip.clang.cn。
我这里只添加了内网IP池和软路由的IP,至于国内的IP池路由器自带了,不用我手动添加。
对于IPv6地址,由于目前并不好用,且大多数分流服务不支持IPv6,建议直接禁用IPv6解析。这部分设置可以在DNS配置中完成。
四、配置主路由策略路由
这里我放出我硬路由的规则,一般策略路由有优先级,上面的优先级会更高,所以这里取巧了一些。
- 第一条规则是让从软路由发出的数据直接走PPPoE;
- 第二条规则是让从内网发出前往国内的流量从PPPoE出去;
- 第三条规则中,因为海外流量已经被第二条规则优先分流,剩下的是让从内网发出前往海外IP的数据走GE1口,也就是到软路由,此时软路由处理完数据后会重新发给主路由,同时触发第一条规则,流量从PPPoE出去。
同时还可以配置更精细的分流,例如TCP协议分流,UDP不分流,又或者DNS服务器不走分流等等,配置这些规则可以事半功倍。
五、DNS解析
由于是依靠主路由的IP规则进行分流,DNS解析的准确性非常重要。强烈建议在内网部署一个可靠的DNS服务,并使用DOH/DOT等加密DNS。同时禁止IPv6的解析,确保解析的IP正确。
DNS解析应该分为不同域名走不同的DNS,例如国内的域名通过国内114的DNS进行解析,其他域名通过谷歌的DNS进行解析。例如我这里国内域名走114,其他域名走内网另一个DNS服务器,另一个DNS通过DOH解析海外域名,确保国内外的域名解析都正常。
不过部署DNS服务不属于本篇的内容,可以查看往期ADGHome那几篇,ADGHome本质上就是DNS服务器,很适合在内网部署。
六、访问
只要配置正确,就可以直接访问了,网关都不用改,还是主路由的网关。软路由后台也可以看到对应的流量。
哪怕旁路由坏了炸了也不会影响整个稳定性,因为可以设置如果接口不在线就不启用规则,至于这么检测接口不在线,ping检测不就行了,ping不通说明旁路由寄了,规则也就不生效。这样分流规则不生效自然也不会有任何影响,一切都无事发生。
七、不支持多LAN口的情况
有些软路由或者硬路由,本身只能存在一个LAN口(我也不知道是哪些天才想到的限制),此时需要把第一步修改成建立一个WAN口,第二步也需要修改成一个LAN口一个WAN口,方便数据流入流出。但是这样在软路由内部要经历一次NAT,我个人不太建议这样。
八、特殊优化
建议把DNS单独配置策略路由,确保是直连而不是过分流,且禁止海外QUIC流量。