分享收集来的ROS做主路由时使用fakeip网关的教程链接

[hsj1992]

为什么用ROS做主路由：
1.原本的主路由TP-link ER-2260T残疾的ipv6设置，导致我的android设备在开启ipv6时无法顺利的使用PaoPaoDNS和PaoPaoGateWay；
2.为解决重拨掉LAN口的问题，升级了路由器的新版固件，导致该设备无法开启SSH刷Openwrt了；
3.N5105设备没有其他重负载的用途，想合理利用资源；
4.ROS支持了NAT1网络，而且可以解决1里ipv6 dns的问题。

为什么不建议用ROS做主路由：
专业性和复杂度提升好多。。。

参考链接1：狐狸Nomad/RouterOS 折腾手记
除了部署，也参考了该文章里的PVE&RouterOS网络连接拓扑。基本上替换自己使用的实际IP地址，步骤按照说明来还是很简单的。

参考链接2：RouterOS 根据 Fake IP 分流至 Linux 旁路网关
主要是文章里的1. RouterOS 配置部分。
里面的IP地址替换一下，
198.18.0.0/16替换为我自己的11.0.0.0/8，
10.0.0.2替换为我自己的192.168.31.5。

我的原配置链接：#23

update1:按照参考1里的ros_firewall_ipv4_pppoe_dns.conf设置防火墙防御规则，使用Youtube，目标是11.0开头的IP连接被防火墙认为是ddos然后drop了..
问了NewBing，添加了exclude规则后正常。

[kkkgo]

ROS也是个不错的选择，没有太多技术经验的话折腾起来也比openwrt稳定，可配置项比较灵活，比如可以分配指定DNS/网关给指定设备。https://github.com/kkkgo/PaoPaoDNS/discussions/26#discussioncomment-6221250

也可以简单添加dhcp option。 #25 (comment)

[kkkgo]

可惜Ros官方没有做双2.5G/10G网卡的路由器，光模块又太烫。主路由还是arm省电稳定又可以无风扇，拿x86来跑不是硬的不得劲，又要硬又要配置灵活，只能硬路由刷openwrt了。当然，openwrt一般人用的不是个省心事，各种插件冲突一团糟，除非你对他很了解怎么跑的/编译自己要的。

[kkkgo]

我也没怎么用过Ros，我看了你的参考链接2，感觉里面描述的拓扑/方法可能有点差异。里面是给IP段命中后打标记再路由，还用上了Rules，但我感觉只需要和普通路由器一样添加一条静态路由就可以了，不知道这么复杂的操作是有什么额外的好处。

这位也是用ROS。#7

[kkkgo]

我简单地搜索了一下，的确验证了我的想法。参考这个ROS论坛的帖子：
https://forum.mikrotik.com/viewtopic.php?t=130619

以下是内容摘要：

As the networks in your list are destinations, it is enough to add selective routes for them where only pppoe-out1 will be indicated as gateway:
由于列表中的网络是目的地，因此为它们添加选择性路由就足够了，其中只有 pppoe-out1 将被指示为网关：

/ip route
add dst-address=103.78.76.0/24 gateway=pppoe-out1
add dst-address=125.212.198.0/24 gateway=pppoe-out1
add dst-address=103.239.120.0/24 gateway=pppoe-out1
add dst-address=122.11.131.0/24 gateway=pppoe-out1

A more selective route (with longer mask) always takes precedence over less selective route. So even though your default route (probably) reads "gateway=pppoe-out1,pppoe-out2,pppoe-out3", the above routes constitute exceptions from it and the packets to the listed subnets will only leave via pppoe-out1.
更具选择性的路由（具有更长的掩码）始终优先于选择性较低的路由。因此，即使您的默认路由（可能）显示为“gateway=pppoe-out1、pppoe-out2、pppoe-out3”，上述路由仍构成例外，并且发送至所列子网的数据包将仅通过 pppoe-out1 出口。

If you want it hi-tech, you can instead use a routing mark as suggested by @Steveocee. But be aware that the following method
如果您想要显得技术含量更高，您可以按照@Steveocee的建议使用路由标记。但要注意的事项：

• has a performance impact as use of routing marks is mutually exclusive with fasttracking and it is quite complex to selectively prevent only connections which need a routing mark from being fasttracked,
• 具有性能影响，因为路由标记的使用与快速跟踪是互斥的，并且有选择地仅阻止需要路由标记的连接被快速跟踪是相当复杂的，
• requires a more complex setup
• 需要更复杂的设置

So it makes sense to use it only if the address list represents something else than remote destinations (e.g., local sources) or if you want to deploy some kind of automated maintenance of the address list (using scripting or provisioning api).
因此，仅当地址列表代表远程目的地以外的其他内容（例如本地源）或者您想要部署某种地址列表的自动维护（使用脚本或配置 api）时，才有意义使用它（注：简单来说就是你的IP段要变化更新才不得不这么搞，配合脚本自动更新CN的IP地址段显然属于这样的应用场景，非必要的场景这么搞只是徒增性能损耗）。

[hsj1992]

感谢回复，有点理解了，参考2里的操作是因为有将一堆分流用的IP地址段放到address list里，相当于直接在RouterOS里分流，所以才要打标、用mangle。
而使用了PaoPaoDNS分流的我实际上并不太需要这些操作，从ip route 里直接映射就行了。

而其他操作，比如这个的确有效果，不使用的话打开个youtube都缓冲不了视频。

修改 ROS 默认防火墙
打开 IP > Firewall > Filter Rules
找到 action=drop chain=forward comment=“drop invalid” connection-state=invalid 这一条，将 General 下的 In. Interface List 改为 !LAN 防止防火墙将加密过后的流量标记为 invalid 而造成 TCP 流量握手缓慢

[hsj1992]

还有个其他的问题，不知道是我理解不清楚它原本就是这样的，还是RouterOS/PaoPaoDNS/PaoPaoGateWay没设置好导致的，想请教一下：

现状：

我的ppgw.ini里：
设置的PaoPaoDNS的地址

dns_ip=192.168.31.4
dns_port=5304

yaml mode的yaml里：

dns:
enable: true
listen: :5304
ipv6: true
enhanced-mode: fake-ip
fake-ip-range: 11.0.0.0/8
fake-ip-filter:
- '*'
- '+.lan'
- '+.local'
default-nameserver:
- 192.168.31.4
nameserver:
- 192.168.31.4

PaoPaoDNS：
#23

我的疑问：

以下的表现是正常的吗？
是在两个搭配的配置里，本来就不能从PaoPaoGateWay获取到google域名的实际IP吗？还是我遗漏了什么。

表现一：在PaoPaoGateWay的本地shell里执行nslookup www.google.com，看到server是192.168.31.4，address是192.168.31.4:53,www.google.com获得的Address是11.0.0.20；
表现二：在局域网的终端执行nslookup www.google.com 192.168.31.5，同样www.google.com获得的Address同样是11.0.0.20；
表现三：用nslookup -port=5304 www.google.com 192.168.31.4看到了google域名的实际解析IP。

[Edmondguo]

你现在的方案是什么？抛弃了ros的ip分流吗？ 我现在是在用ros的ip分流把非cn流量扔到openwrt去。准备切换成ppgw，是不是mangle打标那一套可以弃用了？
另外请教下，ros的dns设置是在dns server里直接设置ppdns 还是在dhcp里面设置ppdns的

[hsj1992]

1.我现在的方案是什么？
我现在就使用正常的静态路由设置，fakeip网段（还有tg和网飞那种cidr网段）指向PaoPaoGateWay，DNS设置为PaoPaoDNS。

2.抛弃了ros的ip分流吗？
PaoPaoGateWay和PaoPaoDNS的结合使用，分流是在DNS部分。两种分流选一种用，我用了PaoPaoDNS的DNS分流就没使用IP分流。

3.是不是mangle打标那一套可以弃用了？
看你用不用PaoPaoDNS和fakeip。不然ppgw单用就只是纯纯替换你现在的openwrt而已。

4.dns server里设置还是dhcp里设置PaoPaoDNS
前者好像是包括本路由的，dhcp是只给与通过DHCP获取IP的设备的。我是都设置了。

[kkkgo]

1、你在yaml文件里面定义dns字段没有意义，不会被读取，PaoPaoGateWay实际运行的dns字段是自动生成的。

2、PaoPaoGateWay本身并不代理自身流量，你给dhcp下发什么DNS就是显示的就是用什么DNS，或者是你network.ini定义的。PaoPaoGateWay的网卡DNS仅用于拉取ppgw.ini，无其他作用，nslookup无意义。符合你的表现一。

3、局域网终端自然需要获取FAKEIP，符合表现二。表现三也不用解释了。

4、除非你是openvpn模式或者配置wg节点，否则dns_ip和dns_port的作用也仅限于解析订阅链接、yaml里面的域名。实际到网关的流量始终都不需要解析域名，基于socks的逻辑，都是直接把域名发送到远程服务端，服务端把域名和数据直接打包回来，从客户端->FAKEIP->FAKEIP网关->域名->服务端，中间都没有解析的过程，解析都是在服务端本地解析的，网关发的是域名。这一点在文档中也有说明。

dns_ip和dns_port用于设置可信任的DNS服务器，“可信任”意味着真实无污染的原始解析结果。如果你配合PaoPaoDNS使用，可以把dns_ip设置成PaoPaoDNS的IP，把dns_port设置成映射的5304端口，详情可参见PaoPaoDNS的可映射端口说明。该DNS服务在代理出站的时候实际上不会被用到，流量还是会以域名发送到远端，更多的是用于其他模式的节点解析、规则匹配。

[hsj1992]

原来是这样，十分感谢！

[ghost]

参考链接2 里的设置是有一点点小小的问题。 Ros本机无法访问fake_ip 段，路由是不通的。会造成Ros本机拉取容器检查更新等网络错误。
解决办法就是 mangle 中 chain output 也添加一条 mark routing fake_ip 的规则。

[kkkgo]

从上面的讨论来看，静态路由比打mangle标效率更高。

[ghost]

当然也可以再添加一个 7.0.0.0/8 的静态路由 试过了都行。

[kkkgo]

单独应用静态路由就可以，不需要加了mangle 表再添加静态路由，mangle表不需要修改。
参考链接2 其实不适用于fakeip的场景，原因上面有讨论：

如果看他文章的参考链接就可以理解了。他是参考了别人的按CN的IP段地址来分流的文章来操作的，这样的需求必然需要导入大量的IP地址段，那么自然不能添加一条静态路由就可以解决。

[ZhelinCheng]

单独应用静态路由就可以，不需要加了mangle 表再添加静态路由，mangle表不需要修改。 参考链接2 其实不适用于fakeip的场景，原因上面有讨论：

如果看他文章的参考链接就可以理解了。他是参考了别人的按CN的IP段地址来分流的文章来操作的，这样的需求必然需要导入大量的IP地址段，那么自然不能添加一条静态路由就可以解决。

@kkkgo 方案2正好是我写的，因为在使用Router OS之前，家里有使用AdGuardHome，所以域名的解析工作交给了ADG，并导入CN IP段处理Fake IP的解析，并未在RouterOS直接引入CN IP段。

当域名发起解析的时候，ADG判断是否是海外域名，是的话就会分流到Clash服务上，并返回Fake IP地址，又因为Fake IP段是固定的，只需要在RouterOS导入一条Fake IP段规则，所以使用了mangle（也因为当时我只能想到这个方案最适合自己）。

[llity]

怎么exclude的呢？为也是大量的ddos，希望补充点ROS的配置截图，谢谢

[hsj1992]

0.首先是照着参考链接1配置的ROS；
0.5.其次是配置静态路由指向fakeip网关（drop invalid里排除LAN避免握手缓慢）；
1.ROS配置里的黑洞路由规则中 关掉 在用的fakeip网段规则（比如我用的192.18开头）；
2.将设置的DDOS相关规则的log打开，写好标识，这样你好确定是哪条DDOS防御规则把你的fakeip连接当作DDOS防御了；
3.根据你的log，找到对应的DDOS防御规则，尝试排除掉来自本地的连接.
我现在的处理方法是添加accept规则，chain就是ddos防御规则的forward和detect-ddos，然后src.address和dst.address设置我的本地IP192.168.31.0/24，以及fakeip 198.18.0.0/16(也就是chain 2个src.address 2个dst.address 2个，共8条accept规则）
然后accept规则拉到ddos防御规则前（优先级排序）。