[Drcai's Noob Guide]第二期 RouterOS 根据 DST 和SRC ADDR配置策略路由 & 双线指定网络出口教程


  • 认证商家

    感谢 Leonn 大佬转载了那么多篇菜鸡教程 .
    为了庆祝 新板块开幕 , 果断来这里发布一篇…

    在开始之前 , 我希望各位萌新能稍微看一下 CCNA的书 ,学点皮毛即可 …
    如果表示 大脑容量不够 那么你就先这么理解 :
    Src Addr (Source Address) : 发件人
    Dst Addr (Destination Address) : 收件人
    策略路由 PBR , 这是你开始学习 VLAN OSPF BGP 之前 必须要掌握的东西 …

    列表本教程适合人群 :
    1 Netflix 爱好者 , ROKU 被害者… ( 没错这是一类人 …
    2 狂虐欧洲弱鸡爱好者 … ( 没错要虐就虐最菜的 …感觉好棒and好棒特…
    3 李平的外贸公司… ( WTF ??

    ---------------------分割线------------------- (好短

    那么YOUTUBE 上面大家看到过用 PVE 和 ESXI 装 ROUTEROS 和 OPENWRT 双软路由的视频 …
    很多萌新看了之后也后就照着视频做 ,也不举一反三,自己拓展一下…那么都已经用 X86 KVM虚拟机了 可以直接装 Debian/Ubuntu Server版 ,操作自由度更大 ,何必安装 Openwrt做旁路 .

    本次实验所需材料可以有不同的组合 :
    案例1(全虚拟) : 一台PC 装好Proxmox VE , 建立一台ROS虚拟机当作主路由 , X台Debian Server当作旁路路由 …
    案例2(全实体): 一台最便宜的RB750Gr3 实体ROS 路由器 , X台刷完 Armbian的 N1 盒子 …

    首先我们得把这些东西接在一个网段里咯 - - ( 有闲情雅趣的可以先划分 VLAN 做隔离 …
    PVE虚拟机配置方法 :
    先编辑 PVE 网卡配置咯 , 建立网桥.
    我们假设以下是你PC上的5个网口 .
    1.png

    每一个端口无论作为 lan 还是 wan ,都先做成一个独立的桥接 …
    Just like : vmbr0 vmbr1 vmbr2 …

    然后添加到你的 ROS虚拟机里:
    2.png

    作为旁路网关的 Debian虚拟机网口如何设置呢 ?
    添加任意一个作为 LAN口的网桥作为网卡即可.
    之后打个比方 你的 RouterOS 里设置的网络是 192.168.0.1/24
    那你就把旁路路由的网卡地址设置为 192.168.0.2 网关 192.168.0.1

    有同学问到 , 那我几个LAN口都做成独立的桥接了 ,怎么再把他们放回一起呢…
    ROS , 选择 Bridge选项卡 , 新增一个桥接…
    Ports 选项卡里把你作为LAN的端口添加回去…

    以上攻略只提要点 , 具体操作方式请看这位UP的视频:
    https://www.youtube.com/watch?v=-9wLg3cD5YA

    准备完主路由我们来准备旁路 :

    那么说到这里 透明网关到底是啥有人都没明白 …
    多说无用 , 你就当是个 SSTAP软件的高级版即可 …
    SSTAP的原理就是 在你的电脑上安装一张虚拟网卡 ,把他作为网关 , 通过修改路由表 ,把游戏服务器的 IP 走那张虚拟网卡.
    那么现在我们就是把这个事情在路由器上做 ,让自由度更高一些 , 把转发性能提的更好一点…

    本次使用脚本 https://github.com/zfl9/ss-tproxy
    新手指南在这里 https://www.zfl9.com/ss-redir.html

    使用这个脚本的好处:
    1 装你子喜欢的暴力版BBR - -!!
    2 安装 libsodium 支持 chacha20
    还有很多理由 ,不过就这2个就足以替代无脑安装 OPENWRT/LEDE 这种了 …

    ---------------------分割线-------------------

    实用策略路由案例一 : 电信联通双线接入 根据目标IP指定出口网关

    网上大多数都是给你做双线负载平衡的教程 … 这种东西在实际生活里就一个场景需要应用一下:挖矿 .
    如今很多城市里宽带起步就是 300M , 下行速度是完全够用了. 如今接入双线的主要原因就是获得更好的海外线路延迟.

    我们用最简单的方式来实现:
    假设我们默认路由出口是电信 , 我们想让日本BBTEC 线路走联通.
    ROS , 选择 IP — ROUTE —ROUTES
    添加一条路由 :
    3.png
    图片案例中 :
    Dst Address 0.0.0.0/0
    Gateway 即是你 PPPOE 自定义的接口名
    Distance 大于你电信的默认路由即可(通常大于1) …其它参数不重要
    Routing Mark 用于标记路由 , 我们这里标记为设为 unicom

    这样设置后 只有被标记为unicom的 目标IP 才会走联通.

    切到 RULES 选项卡 :
    4.png
    图片案例中 我们把阿里云日本的其中一个IP段 设为目标地址.
    Action: lookup
    Table: unicom
    把这个 IP段标记为 联通…

    Very Easy ~

    实用策略路由案例二 : 指定源IP走指定网络出口

    这个案例相当于俄罗斯套娃 .
    假设我们这里有一台工业垃圾ROKU TV BOX.
    一般在小米盒子国际版 /FIRE TV 上我们可以通过设置 固定 IP地址 ,把网关设置成透明网关…
    但这货能通过 DHCP方式连接网络 ,就连开启工程模式都没办法改成 STATIC ADDRESS . 也不能在盒子上安装 SSR客户端.

    在你一筹莫展的时候 ROS 轻松帮你解决以上问题 :
    第一步 通过无线网卡的MAC地址 , 在DHCP SERVER 中设置固定 IP

    到ROS IP – DHCP server --Leases 选项卡 找到你的工业垃圾 …
    5.png
    Make Static 按一下 ,之后你就可以随意设定你喜欢的 IP地址了 …

    回到 IP --ROUTE --ROUTES 选项卡
    增加一条新规则 :
    6.png

    这里 GATEWAY 填写你透明网关的 IP
    Routing Mark 我们把你的透明网关起名为 SSR1

    切到 RULES 选项卡
    7.png
    我们假设你刚才把电视盒的IP设为了 192.168.0.114 , 那这里就作为源地址 .
    Table 写 SSR1

    这样你的电视盒就会先访问 ROS的网关 ,然后由ROS 给他转发到你的透明网关 .

    举一反一 :
    已知黑色沙漠台服IP 是 103.74.1.0/23 我想把这个 IP段走透明网关.
    那么 RULES 选项卡里 新增一条 Dst Address 然后 Table 设为你的透明网关.

    ---------------------分割线-------------------

    Router OS 里面有更复杂的 策略路由 你们可以在 IP --FIREWALL --MANGLE 这个选项卡来实现.
    因为这是一个 Noob’s Guide , 只介绍最简单的方案 .
    推荐大家一本PDF 电子书 :
    http://www.irouteros.com/?page_id=186

    这一期教程是基于RouterOS 来写的 , 当然用 LEDE/vyos 等基于Debian的希望做主路由也能做到 , 只不过操作更复杂 .
    通过策略路由我们甚至还可以实现 指定一个端口 走指定网络出口 , 剩余端口走默认出口 …
    本文的意图是给你们开一个坑 - -然后让你们自己越挖越深 - - !!! 所以入坑需谨慎 - -!!

    Drcai
    2019-5-26


  • 萌新

    感谢 收藏了


  • 认证商家

    收藏了,不错的教程



广告

分类

56
Online

5.1k
Users

16.2k
Topics

52.7k
Posts

Placeholder: TEMPORARY DATA FOR EXPERIMENTAL USAGE