尝试搞明白openwrt旁路由不能访问国内网站的原因。用底层原理看透旁路由的工作逻辑。旁路由的终极替代方法是啥?

Поділитися
Вставка
  • Опубліковано 30 лис 2024

КОМЕНТАРІ • 240

  • @hyc7139
    @hyc7139 10 місяців тому +20

    全网只有你和不良林老师把无线不能访问国内网站问题讲清楚了,谢谢

    • @rickchiu1014
      @rickchiu1014 9 місяців тому +1

      刚好两个老师的视频都看了!

  • @jingboytiger
    @jingboytiger 10 місяців тому +16

    不错,原理讲解得很清楚,一般小白都在旁路照抄一条iptables -t nat规则解决这个问题了,加一级nat多点延时也问题不大。熟悉iptables的可以在主路由做基于route规则的分流策略到独立的加密网关方案,更加灵活高效和稳定。

    • @就这-n4j
      @就这-n4j 6 місяців тому

      请问加了这一条连网线都没网了,wifi更没有,这是为什么,ip动态伪装也不能开

    • @xiaoyiren8159
      @xiaoyiren8159 2 місяці тому

      @@就这-n4j 开启lan口的动态伪装即可,实质上就是加一个nat规则,把旁路由收到的无线设备(比如iPhone)访问国内的包都转换成旁路由自己的ip地址,然后再交给主路由

    • @bnjk584-er1es
      @bnjk584-er1es 2 місяці тому

      @@xiaoyiren8159 厉害,解决了手机问题

  • @marine_m5859
    @marine_m5859 9 місяців тому +1

    👍🏻太强了,我用的是旁路由+ap,运气好没碰到问题,大佬直接理解透彻了

  • @mantunglee7719
    @mantunglee7719 10 місяців тому +4

    其实开启IP动态伪装也可以达到tun模式的效果,但是tun模式或IP动态伪装都相当于做了一次NAT,速度会拉垮,所以最简单的办法就是搞一个只有有线的主路由应该可以解决。MAC的surge就是很简单解决旁路由问题,缺点就是贵

  • @qiwan7071
    @qiwan7071 10 місяців тому +4

    解答了我对于openwrt国内打不开网页的疑问,感谢up主

  • @justlove8668
    @justlove8668 2 місяці тому

    UP讲的太干货了,我直接上解决方案,在旁路由openwrt防火墙打开基本设置,打开lan口的ip动态伪装 即可

  • @vincentzhang8849
    @vincentzhang8849 10 місяців тому +3

    这样的讨论是有意义的,但问题的关键在Router,但又不是所有的Router都会出现这种国内不通但海外通的情况,根本原因是Router固件功能不完整,比如MiWiFi虽然基于OpenWrt但被魔改的乱七八糟;大多数情况下,有线设备是硬交换,发出的数据包先到Router的交换芯片再处理;而无线设备是软交换,发出的数据包是由Rouer的CPU+OS内核处理(某些LAN/WAN自适应的Router也如此);如果Router性能足够,其实旁路由是完全没有必要的,甚至Linux网关也是多余的,但考虑到折腾本身也是一种学习过程,能知其然也能知其所以然;这几年主流硬件规格慢慢过渡到ARM 64-bit+256M RAM+128M Flash,只要能刷OpenWrt官网Stable Release,再根据需求安装app,是最简单+效率最高+拥有最高管理权限的方法;最后,旁路由只是一种约定俗成的叫法,也可以叫透明网关,用ubuntu等发行版实现也可以叫homelab

    • @renyibubai
      @renyibubai 2 місяці тому +1

      我现在是反过来,走旁是国内不通,国外通过

  • @垚土土
    @垚土土 Місяць тому

    梦回计算机网络,里面的很多名词都很熟悉,但是已经忘完了。 受到一些启发,解决了一些疑惑。 感谢up。

  • @jiayugz
    @jiayugz 10 місяців тому +2

    刚换了路由器,遇到同样问题。在主路由和旁路由之间加个交换机完美解决!谢谢你的思路。

    • @solariswind
      @solariswind  10 місяців тому

      没事 能解决问题就好

    • @jiayugz
      @jiayugz 10 місяців тому

      @@solariswind 排查过程中走了好多弯路,唉~

    • @langml5384
      @langml5384 7 місяців тому

      @@jiayugz您好我的节点小火箭能用R2s里面的passwall也能导入就是节点无法使用😂是什么情况

    • @zihaoLU-r9p
      @zihaoLU-r9p 5 місяців тому

      你好,请问你是怎么加的?我是主路由的lan插交换机,然后旁路由也插交换机

    • @zhousteven8897
      @zhousteven8897 3 місяці тому

      😂其实我一开始也一样,加了交换机仅仅解决了内网nat硬件转发,等你访问外网就发现。。路径对称性问题,访问外网的出站ip显示为国内

  • @sha-kc
    @sha-kc 5 місяців тому +1

    谢谢你的解答,学习了!不过如果已经用openWRT做好旁路由的朋友,可能不用passwall插件,在openWRT上用OpenClash插件,国内网站是可以访问

  • @lynnzhang3955
    @lynnzhang3955 3 місяці тому +4

    结论是对的,实际上并不是标记不转换NAT导致的,如果你不配置NAT,那么只有代理的流量默认源地址被换了,而不进入内核的数据包默认情况下是不会被更换换地址的,这时候数据直接被送出去,国内网站能收到。但是,回来的时候直接从主路由直接回复给客户端,这时候有个来回路径不一致的问题,安全设备无法建立会话,对于这种数据包会直接丢弃。所以在旁路有出方向用SNAT,那么回来的数据会直接回复给旁路有,匹配旁路有的会话后再发给客户端所以就能上网了。
    关键点是OPENWRT默认是个防火墙,如果是个纯路由器就没有这个问题

    • @mulancer1464
      @mulancer1464 Місяць тому

      是的,来回路径不一致,防火墙碰到没有出站记录的入站包会直接丢弃,跟视频里提到的什么NAT标记完全没关系

  • @jingboytiger
    @jingboytiger 10 місяців тому +3

    叫旁路由这个名字其实误导了很多人,网关都指向它了,就是所有非本地LAN的流量都要经过这个设备,所以必须开启NAT或TUN来处理源地址问题,不然上级网关收到返回的流量时直接发到客户端,流量的进出路径不一致,造成大量网络兼容问题。

    • @solariswind
      @solariswind  10 місяців тому

      请教一个问题老哥。
      网上那些教程里 去程 源 旁 主,回程 主 源,的路径理论来说是行不通的?

    • @jingboytiger
      @jingboytiger 10 місяців тому +3

      ​@@solariswind 根据实践,流量的路由路径不一致,有的系统的防火墙会判定异常把回包丢弃,部分对安全要求较高的应用,比如网银、支付平台也会判定异常断开链接。

    • @solariswind
      @solariswind  10 місяців тому

      @jingboytiger 谢谢哈.

    • @jjm-my6lr
      @jjm-my6lr 10 місяців тому

      这个问题只在wifi上出现,如果是纯有线环境,旁路由不需要NAT都行,而且旁路由不开NAT时还能利用ICMP重定向机制,让直连的流量全部交给主路由,避免旁路由成为瓶颈。

    • @jingboytiger
      @jingboytiger 10 місяців тому

      @@jjm-my6lr 同一个子网内,tcp/ip协议本来就无视网关的配置。

  • @1stboot576
    @1stboot576 10 місяців тому +1

    我觉得有点问题。7:35 位置,关于无线主路由工作分析:wifi mac层面(ip层以下)是有 目标mac和接收mac两个参数的,接收mac指向无线路由器,目标mac指示了接收该报文的是旁路由,因此,无线路由器转发给旁路由的原理是根据目标mac来实施的(而非通过路由表检测手机是发给旁路由啊)。以太网物理层的原理也是类似,ip层报文头部外网ip不变,靠mac层目标mac地址决定转发给谁。
    旁路由再次把报文转给主路由(这时以太网帧目标mac地址就是主路由的啦),主路由是明白这个报文是给自己的,这时才会涉及到NAT对照,根据ip向wan口送出去。
    请明察。

    • @solariswind
      @solariswind  10 місяців тому

      谢谢提醒。我仔细捋捋

    • @1stboot576
      @1stboot576 10 місяців тому +1

      总结一下,我的主要意思是:交换机 对报文的转发是根据mac地址来实现的(不看IP地址);路由接收到给自己的报文(目标mac地址是自己的啊),才看看ip层 目标ip,进而对照NAT转发给WAN的。所以,你的解释里面路由器两次接收到报文,前一次转给旁路由,后一次收到“不知所措”的解释,原理上是不通的(因为前一次接收的报文mac目标不是自己,自己不看ip层信息,后一次目标mac是自己,才会看目标ip,做NAT。两次接收IP层面报文一致,但是物理层不一样)。
      这个视频给我的启发很大,引起了我的思考,尘封多年的记忆又一次被复习了一遍。真诚的和你讨论,希望能判断出真正的原因。

    • @solariswind
      @solariswind  10 місяців тому +1

      谢谢你的用心留言,因为我自己是半吊子,很多资料都是做视频的时候现查的,现在在恶补OSI网络层级的知识,真的很感谢@@1stboot576

  • @wanglao605
    @wanglao605 Місяць тому

    家里是华硕86U主路由,按照梅林插件梯子,安装软路由openclash做旁路由,台式机wifi链接。感觉是DNS问题,因为台式机上面要设置DNS指向旁路由,也可以直接设本地宽带商的DNS,硬路由上面也有DNS设置,OPENclash上面也有DNS设置。

  • @zhousanford8668
    @zhousanford8668 10 місяців тому +1

    up主的视频真是为我量身定制的,解决了我很多问题。希望再出点青龙面板类的视频,比如防cookie失效之类的。。🤭

    • @zachchow3967
      @zachchow3967 10 місяців тому

      cookie现在基本就是3天,wskey也没用了

  • @Lemon0305i
    @Lemon0305i 10 місяців тому +2

    讲解的很清楚,之前也是遇到这个问题。不过后来发现官方系统剩余空间其实足够塞下mosdns+xray-core,甚至还能塞个frp,用iptables根据mac地址分流进行透明代理,就把旁路由拆了。Redmi AX6跑200M轻轻松松,测出过最高接近500M,上限不知道。

    • @solariswind
      @solariswind  10 місяців тому

      牛逼 你是直接ssh改主路由的路由表的吗

    • @Kevin-nm6fz
      @Kevin-nm6fz 8 місяців тому

      学到了很多知识,博主推荐一下科学插件吧

  • @tommymairo8964
    @tommymairo8964 10 місяців тому

    雖然但是,iptables 不是路由表,它操作的是 netfilter 模塊。netfilter 模塊對整個報文處理過程下了若干 hooks,但是本身不修改路由表(RIB)。真正操作路由表的工具是 iproute2 裡的子命令 ip route。

  • @jjm-my6lr
    @jjm-my6lr 10 місяців тому +8

    其实可以在旁路由的防火墙把LAN区域的“IP动态伪装”勾选上,也就是旁路由也NAT,这样就不会把原始数据帧发给主路由了。

    • @jingzhou5715
      @jingzhou5715 10 місяців тому +2

      正解

    • @神马完翼
      @神马完翼 10 місяців тому

      明白人,会设置旁路由的都需要设置防火墙动态伪装,不设置可不不通。

    • @jjm-my6lr
      @jjm-my6lr 10 місяців тому +1

      @@神马完翼 不是,只有wifi的情况下才需要,如果纯有线,不需要旁路由NAT,而且性能更好

    • @ratstar4252
      @ratstar4252 3 місяці тому

      请问我把这个钩上可是墙内网站还是无法访问是怎么回事

    • @李白天-z4g
      @李白天-z4g 2 місяці тому

      解决了 ,感谢

  • @RickKiang
    @RickKiang 4 місяці тому

    我在网上搜了一下教程,把istore os系统的旁路由里面的‘“网络-防火墙-LAN-IP动态伪装”勾选后,就能正常访问国内网站了,这个是什么原理呢?之前也是折腾了好久,旁路由模式下iPhone只能上外网不能上国内网站。

  • @rickchiu1014
    @rickchiu1014 9 місяців тому

    使用了旁路网关,如何外网再remote desktop protocol访问指定了DNS和gateway的Windows主机呢?

  • @like_72
    @like_72 10 місяців тому

    用passwall2的规则就行,缺点就是如果一个新的软件或者网站无法访问时就得重新抓包host添加进规则中。因为大部分需求都是科学上网,所以如果某个网站无法访问大概率是这个网站的host走的代理,虽然这样也能访问。但是一小部分网站屏蔽了国外ip

    • @solariswind
      @solariswind  10 місяців тому +1

      这是两回事。。。。

  • @pcpc9527
    @pcpc9527 10 місяців тому +1

    解答了我好久的疑惑,感谢分享。

  • @cutx8676
    @cutx8676 10 місяців тому +1

    终于知道家里旁路由,有线正常,手机国内卡的原因了👍👍👍👍

    • @龙七-u7g
      @龙七-u7g 10 місяців тому +3

      你说的这个跟作者说的不是一回事。卡和彻底上不去是有区别的。很可能你的手机被返回了不合理的CDN地址(分流常见的副作用)

  • @llkliu5543
    @llkliu5543 10 місяців тому

    同一个局域网下,虚拟网桥与交换芯片之间走不走三层路由不太清楚,但是路由做NAT时,对收到的包应该是逐包判定的吧?路由器在一小段时间内收到的包,应该内网不同程序发出的包混杂在一起,如果不逐包判断,做NAT肯定要乱了。如果有同一个数据流的数据只NAT一次的说法,麻烦给个出处的链接。谢谢
    - - - - - - - - -
    ps:问了一下chatgpt,linux的iptables是逐包判定,不过有一些其它的路由器产品可以做到同一个数据流的数据只NAT一次

  • @unHenry
    @unHenry 3 місяці тому

    up主,请教一下硬路由ssh装shellcrash插件效率高还是linux旁路网关好呀?

  • @dafeiji4689
    @dafeiji4689 9 місяців тому

    大佬,有没有旁路由不能魔法的分析呢?
    现在的问题是,旁路由里,passwall 可以魔法,但是ssr就不行,但是ssr里ping 外网是通的,就是电脑连上路由后只能访问国内的,外网双打不开。

  • @epc8113
    @epc8113 10 місяців тому +2

    我是直接让OPENWRT当主路由,路由器当AP了,这样也稳定。

  • @dengjl
    @dengjl 10 місяців тому

    7:47 这里讲错了 不做NAT “淘宝”目的IP是已知的不会NAT 是可以路由出去的但是 源IP 还是内网的IP(类似于192这种),所以这个路由是回不来的。(出口网关的反向路由检测都会过滤掉这种流量)

  • @elonlo5346
    @elonlo5346 10 місяців тому

    我就是遥遥领先做主路由,n1 做旁路由,手机连接主路由的wifi 然后手动指定路由为旁路由,用的是openclash没遇到啥问题呀

  • @即刻启程
    @即刻启程 10 місяців тому

    我的也是无线硬路由做主路由拨号,小米cr6608刷openwrt做旁路由,主路由lan口接旁路由lan口后,所有设备上网没问题,但是我的旁路由上的openwrt系统没有网络,只有旁路由上openwrt系统上下载安装包或者openclash下载核心都没网络,请问这个是什么原因呢?

    • @即刻启程
      @即刻启程 10 місяців тому

      主路由荣耀xd22拨号,dhcp,旁路由就wan口不配置协议,lan接口是静态地址协议,所有设备无论是有线无线方式,无论是通过连接主路由还是旁路由的lan口,都能自动获取到网关指向主路由的ip地址,上什么网都正常。就是我现在安装的纯净的openwrt系统,想要安装软件包没有网络在luci界面无法下载软件包,只能通过下载到电脑上传到路由器来安装了。这能不能设置旁路由也有网络能直接通过网络下载软件包呢?

    • @jznn8218
      @jznn8218 8 місяців тому

      按照你的描述,我感觉是dhcp 冲突导致旁路由无法正确获得IP。检查一下看看旁路由的dhcp有没有关掉,DNS有没有选主路由的内网IP地址。

  • @renyibubai
    @renyibubai 10 місяців тому +1

    应该是切割的700份数据帧都有报头和顺序信息吧,不然传过去,怎么组装,不就是靠报头重新组装

    • @solariswind
      @solariswind  10 місяців тому +1

      视频里也是这么说的

  • @johnphilip9773
    @johnphilip9773 10 місяців тому +1

    这问题确实遇到过,不过都是老毛子科学上网出现的,openwrt还好,就是cpu占用比老毛子高点

  • @A2024-te6pv
    @A2024-te6pv Місяць тому

    正好最近准备搞op旁路由,看看能不能复现

  • @zengcheng0613
    @zengcheng0613 6 місяців тому

    问题是多数国内网站可以上,有小数的国内网站上不了,请问老师这个要怎么解决?

  • @WeixSun
    @WeixSun 6 місяців тому

    把主路由的无线关闭充当有线路由,多连一个AP模式的无线路由充当AP,是不是也可以避免这个问题

  • @liuliam
    @liuliam 10 місяців тому

    还有一个问题,就是用旁路由测网速的话,网速会减半,不知道是因为什么引起的

  • @Michael-yj4jh
    @Michael-yj4jh 10 місяців тому +8

    我之前一直是光猫做主路由的模式,没有遇到这个问题,前两天光猫换成桥接模式,就出现了同样的问题。我的最终解决方案是在旁路由openWRT的防火墙-区域-打勾IP动态伪装,解决了这个问题

    • @solariswind
      @solariswind  10 місяців тому

      这就是让旁路由再做一次nat了。 留意一下打游戏的延迟咋样

    • @Michael-yj4jh
      @Michael-yj4jh 10 місяців тому

      @@solariswind 期待你下期分享😁

    • @yangzha460
      @yangzha460 10 місяців тому

      ip动态伪装和tun是不是重复了,开了tun就不需要再开ip动态伪装是吧?ip动态伪装这个功能,是我openwrt最不能理解的一个功能,好多人也稀里糊涂没搞懂@@solariswind

    • @solariswind
      @solariswind  10 місяців тому

      @@yangzha460 不开ip动态,开了就等于再一次nat,tun只是复制数据帧不会涉及到修改源ip的操作

    • @yangzha460
      @yangzha460 10 місяців тому

      在您的视频里面,主路由是通过数据帧报头信息判定多帧数据是否属于同一数据流。数据帧报头信息,按照您的示意图,包含了IP层和mac层的报头信息。您提到,旁路有如果直接转发,则主路由会觉得是同一个数据帧;而如果tun转发,则主路由就不会觉得是同一个数据。想请问一下,在这里,tun改变的是报头信息中的哪部分?您刚才回复我的是,tun不涉及到修改源ip的操作,我是否可以理解,tun只改变了报头中的mac层信息?@@solariswind

  • @陈诺-s8i
    @陈诺-s8i Місяць тому

    最头疼的是带宽减半,有说物理层面局限性,反正没搞定。

    • @redbrick-tech
      @redbrick-tech Місяць тому

      带宽减半是测速的时候才会,普通下载任务是可以跑满的

  • @pugongying005
    @pugongying005 10 місяців тому

    你好 ,家里是光猫桥接,一台R2S做主路由,后面接了个网管8口交换机,两台tp的路由器作ap,且mesh组网,pc是网线直连交换机。R2S上面跑bypass科学上网,感觉总是断流,科学了一会就不科学了,请问R2S的性能是瓶颈吗?如果作旁路有怎么样?有必要换成n100的软路由吗?

    • @zwu3659
      @zwu3659 10 місяців тому +1

      断流的原因有很多,1.可能是本地原因(R2S).2 可能是服务器原因比如链接时间超时丢弃了。3.可能是宽带服务端Nat端口换了。等等。。我的解决思路是写一个脚本在科学设备上面,每5分钟检查一下路由表,检查一下连接状态,不行就重拨,之后问题就压下去了

    • @pugongying005
      @pugongying005 10 місяців тому

      谢谢,我不会编程,不过想学学,这个脚本需要什么语言?R2S的性能目前是否已经落后,有更换的必要?家里是联通500m@@zwu3659

  • @andrewlin9250
    @andrewlin9250 25 днів тому

    是MTU 问题。小包。 我当时用FREEBSD做NAT转发的时候发现的。

  • @蝴蝶先生-m4j
    @蝴蝶先生-m4j 7 місяців тому

    感谢啊,搞了一下午,原来是路由器的锅!!!

  • @xianjian4
    @xianjian4 10 місяців тому

    我买的是tplink的 路由器在有线连接的情况下也出现你说的问题,因为我买的是不固定wan口的也就是自动选择哪个走wan口。这样就没有交换机了,所以有线连接也出现这种问题。

    • @xianjian4
      @xianjian4 10 місяців тому

      是自动选择哪个作为wan口

  • @jiazho31
    @jiazho31 9 місяців тому

    我这里的情况是op做旁路没问题,但是op做主,开代理之后,硬路由打开国内就很慢,不是打不开

  • @llzzh-o9u
    @llzzh-o9u 10 місяців тому

    小米4A+玩客云软路由 没遇到国内网站上不了的问题。

  • @jjm-my6lr
    @jjm-my6lr 10 місяців тому

    13:19 只要内网设备网关指向旁路由,为了解决前面你提到的NAT问题,那么旁路由也必须NAT(不管是通过iptables还是代理软件的tun模式),那么,不管是不是直连的流量,都会变成旁路由代理。只有那些网关指向主路由的内网设备才不会受旁路由的性能影响。

    • @solariswind
      @solariswind  10 місяців тому

      我想了下理论上确实是这样,但是主路由拿到ssh权限后 应该可以改路由表,或者像ros这种系统 直接就可以改

    • @jjm-my6lr
      @jjm-my6lr 10 місяців тому +1

      @@solariswind 这跟路由表没关系,而且你说的“路由表”又是指iptables,而不是route,我都搞不清你到底说的是哪个了。
      为了解决你视频前面提到的问题,旁路由需要NAT原本应该直连的流量,不管你是通过内核的iptables来实现,还是通过tun转应用层实现,从主路由视角来看,两个方案没有任何差别,但是旁路由来说,两个方案有性能差距。
      所以,我认为使用tun没有任何好处,还不如直接打开旁路由防火墙LAN区域的“IP动态伪装”,至少不需要应用层处理。

    • @jjm-my6lr
      @jjm-my6lr 10 місяців тому

      不过openclash好像跟其他插件不一样,可能不会使用iptables作为规则引擎(也就是通过iptables区分是否要代理某个数据包)。像passwall,ssr等,都是使用iptables配合dnsmasq+ipset来实现区分是否代理的,对于这些插件,也只能开旁路由的“IP动态伪装”。openclash就看是否支持iptables作为规则引擎了。

    • @bei-ji-da
      @bei-ji-da 9 місяців тому +2

      其实up主忽略一点:主/旁路由都在一个网段里,当包从主路由回来时会直接把包发回给原内网IP(源IP),而不是发回去给旁路由,结果就造成源IP再发给旁路由而被当成无效包丢弃,说白一点,up主并没有考虑到非对称路由的问题,他说的私有IP发到公网上造成迷路其实也不正确,包在旁路由就被丢弃了
      而解决这个问题的方法也不困难,只要在旁路由开启NAT就行,旁路由其实有很多连线问题,主要是TCP seq number追踪问题,设置上也需额外小心

  • @user-rw9tj7xp1d
    @user-rw9tj7xp1d 4 місяці тому

    软路由直接做主路由 应该不会有问题了吧, lan口的动态伪装要不要开

  • @louissenderler6866
    @louissenderler6866 10 місяців тому

    旧笔记本上跑OpenWRT不仅可以支持旁路由,上面的Docker环境可以让小白享受容器的便捷性(不比电脑上的docker桌面差)。
    1. 手机终端 WiFi 2.4G配置Proxy到OpenWRT,5G不配置。这样,需要科学上网就切换到2.4G,平时用5G接入。(问题来了,如果在卫生间大号儿的时候无线信号差自动切换到了 2.4G被动科学上网了,会很慢咋办? 答:本身2.4G就慢,加上卫生间信号不好,科学不科学没太大影响)。
    2. 电脑终端,自己写个小脚本儿,也可以切换自由(以MacBook为例):
    ===== 切换科学上网:proxy.sh ====
    #!/bin/bash
    e=$(networksetup -getwebproxy wi-fi | grep "No")
    if [ -n "$e" ]; then
    echo "Turning on proxy"
    sudo networksetup -setwebproxy wi-fi openwrt 8889
    sudo networksetup -setwebproxystate wi-fi on
    sudo networksetup -setsecurewebproxy wi-fi openwrt 8889
    sudo networksetup -setsecurewebproxystate wi-fi on
    sudo networksetup -setsocksfirewallproxy wi-fi openwrt 8888
    sudo networksetup -setsocksfirewallproxystate wi-fi on
    else
    echo "Turning off proxy"
    sudo networksetup -setwebproxystate wi-fi off
    sudo networksetup -setsecurewebproxystate wi-fi off
    sudo networksetup -setsocksfirewallproxystate wi-fi off
    fi
    ==== 检查自己目前是否在科学上网 proxystatus ====
    networksetup -getwebproxy Wi-Fi
    这么用了好几年了,总体感觉方便。

    • @赤心赤面
      @赤心赤面 10 місяців тому

      我的脚本是代理指向旁路由, 不代理时候切换指向主路由.

  • @longru982
    @longru982 8 місяців тому

    通俗易懂,老手补漏,新手入门

  • @jackyliu5085
    @jackyliu5085 10 місяців тому

    感谢! 您是我见过所有这些讲网络知识里讲的 最透彻 清晰的 ,我之前是。op做旁路 passwall 然后国外网站 卡的不行 油管 打开都慢。op做主路由就速度正常 奈飞什么的就更打不开 虽然节点支持 。之前以为是dns污染。这个一顿操作啊。屁用没有。今天看了您的视频 茅塞顿开!

    • @solariswind
      @solariswind  10 місяців тому

      哇 谢谢肯定

    • @jackyliu5085
      @jackyliu5085 10 місяців тому

      您能不能给研究一下 surge旁路由接管 dhcp 然后怎么和uu游戏加速器 并行的 问题 @@solariswind

  • @kitakawaseryo
    @kitakawaseryo 9 місяців тому

    請問route table 是什麼?iptables 真的是路由表嗎?

    • @bei-ji-da
      @bei-ji-da 9 місяців тому

      其实不完全一样的东西,routing table主要负责IP路由,iptables是linux防火墙(FW3)
      当包丢到路由器时,首先按routing table决定包怎么走,再由iptables决定是否放行或转发,更改包的表头/报头,Source/Destination-NAT等等,两个东西不一样功能

  • @tengzhang5098
    @tengzhang5098 10 місяців тому +1

    主路由用爱快 旁路openwrt 爱快DHCP指定静态IP 并填旁路做网关

  • @菜猫-h8j
    @菜猫-h8j 10 місяців тому

    大佬,家里有个群晖,能不能出个tpclash在群晖里docker的教程哈。

    • @solariswind
      @solariswind  10 місяців тому +1

      群晖得支持虚拟机的型号才可以

  • @DavidCheung1992
    @DavidCheung1992 7 місяців тому

    为什么我用tplink硬路由做主路由还做了mash,然后istoreOS和passwall做旁路由,网关指向软路由的电脑或者ipad上外网都很不稳定啊经常压根就不能上,或者油管视频播放几秒就停止?内网反而没问题。

    • @名轩-h1y
      @名轩-h1y 6 місяців тому +1

      最后你试一下,不要用op只直用WIN10+V2RAYN ,其他电脑或手机 用代理 IP+端口速度就好快国内国外都可以访问。而用旁路由问题好多。国内全都路外网了。

  • @gangwu799
    @gangwu799 10 місяців тому

    把主路由和无线AP分开就好了。搞个小主机装爱快当主路由,爱快里虚拟机装OpenWWRT做旁路由。另外搞个无线AP接入全屋无线设备。

  • @renyibubai
    @renyibubai 2 місяці тому +1

    我的恰恰相反,passwall后,无线只能访问内网,不能访问外网!!加一个下级路由后,问题ok,一切正常

  • @reznikovpaul6217
    @reznikovpaul6217 10 місяців тому

    会用华硕路由器,你说的这些问题都没有,华硕的梅林会用好,比OP DD 软路由强太多了,又快又方便!

  • @xiaoyiren8159
    @xiaoyiren8159 2 місяці тому

    最合理简单的办法就是更改防火墙基本设置,打开lan口的ip动态伪装。这样就可以正常上网了

    • @xiaoyiren8159
      @xiaoyiren8159 2 місяці тому

      开启lan口的动态伪装即可。实质上就是加一个对手机等无线设备的nat规则,把旁路由收到的无线设备访问国内的包都转换成旁路由自己的ip地址,然后再交给主路由

    • @土哥666
      @土哥666 2 місяці тому

      谢谢分享,不过我看我的lan口没打勾动态伪装,无线也是ok的,但是有时候电脑有线连接和手机无线连接打开百度很慢,谷歌这些都很快,请问是哪里有问题?😂

  • @王卫锋
    @王卫锋 10 місяців тому

    闲置的X240,刷了个eSir大神的佛跳墙旁路由版本的OpenWRT,Ubnt ER-4当主路由,朋友送的华硕AX68U当无线AP用,挺稳定,也不多花钱

  • @renyibubai
    @renyibubai 10 місяців тому +2

    理论讲得不错!!!!

  • @littleminwang6800
    @littleminwang6800 10 місяців тому

    請問索大,如何在路由器過濾youtube廣告?(參考他人openwrt的adguardhome,adblock作法後,均無效)

    • @solariswind
      @solariswind  10 місяців тому

      pihole试一下?

    • @littleminwang6800
      @littleminwang6800 10 місяців тому

      @@solariswind openwrt上的pihole,adguardhome ,debian版的pihole,adguardhome都試了,....才覺得一堆影片都言過其實..所以特別一問...再不行的話,想往vpn研究看看。

    • @solariswind
      @solariswind  10 місяців тому

      pihole是可以的。我正用着。只不过 谷歌最近更新了油管视频的屏蔽广告检测算法 之前部署的可能会收到 让你关闭去广告插件 的提示。这个就稍等下,等github上面的一众开发者更新脚本就好了😁

  • @wanglao605
    @wanglao605 10 місяців тому

    大佬,是不是在规则里面开启 TUN 转发就OK了??

    • @solariswind
      @solariswind  10 місяців тому

      TUN专门的内核。不仅仅是规则

    • @wanglao605
      @wanglao605 10 місяців тому

      clash里面的??
      @@solariswind

  • @zheng086
    @zheng086 10 місяців тому

    自己拍的这几个镜头给的绝了

  • @周敬力
    @周敬力 8 місяців тому

    新华三H3C的ACAP+N1旁路由,搭配SSR科学上网,国内国外都能上,但是华为的ACAP+N1旁路由,搭配SSR国内国外都不能上,但是直接连N1的WiFi国内国外都能上,不知道是怎么回事

    • @周敬力
      @周敬力 8 місяців тому

      主路由是华为路由器的那套,在连接到华为路由器的N1盒子的后台网络设置里面,lan口设置,物理设置,取消勾选桥接接口,下面的点选到lan eth0,不要点那个盒子的WiFi,保存应用,然后最好把路由器和N1盒子的断电重启,就可以正常访问国内国外的网站了。这样设置就没发连接N1盒子的WiFi了,但是连主路由的WiFi,浏览器输入N1盒子的IP地址,希望可以进去盒子的管理后台。一定要记住N1盒子自己设置的静态IP地址,后面才能通过这个地址进入N1后台

    • @周敬力
      @周敬力 8 місяців тому +1

      之前没取消桥接接口,主路由是H3C那个国内国外都能访问,主路由是华为华为路由器的只能访问外网,不能访问国内网站😂

  • @jiancao9781
    @jiancao9781 10 місяців тому

    我也是换了好多都不行,最后用了中兴路由器啥问题也没有了。

    • @solariswind
      @solariswind  10 місяців тому

      那和我的结论冲突了。我之前也换过一个中兴。我测试问题依旧

    • @jiancao9781
      @jiancao9781 10 місяців тому

      猜测中兴的代码写的更完善。或者结构性能啥的有区别。😀

    • @solariswind
      @solariswind  10 місяців тому

      @@jiancao9781 我猜测这是中兴的软留言

  • @jingzhou5715
    @jingzhou5715 10 місяців тому

    linux网关(所谓的旁路由)的确是最好形式, 这个其实就是上古的VPN服务器(网关)的概念!点赞

  • @fastboot9638
    @fastboot9638 10 місяців тому

    试过旁路由,没遇到过你说的问题

  • @nagaxel4502
    @nagaxel4502 10 місяців тому

    passwall有TUN模式吗

  • @adamcao8396
    @adamcao8396 10 місяців тому

    咨询一个问题,假设我用一个2.5g硬路由做主路由,千兆软路由做旁路由,那我电脑有线和手机WIFI连接以后,能跑满2.5g吗?还是说这种情况下内网可以2.5g,外网是千兆?

    • @solariswind
      @solariswind  10 місяців тому

      如果你是最新的wifi7的无线路由器,且手机和电脑也支持WIFI7的前提下。单独测试的话,内网无线应该是能跑满2.5g的。

    • @adamcao8396
      @adamcao8396 10 місяців тому

      @@solariswind 哈哈我这里想问的是跑外网能不能2.5g,这种连接模式如果国内网络应该能2.5g不受旁路由千兆口的限制吧?如果旁路由的千兆口只是限制了科学上网的带宽倒也无所谓。

    • @adamcao8396
      @adamcao8396 10 місяців тому

      因为目前我是j4105做主路由,小米ax6000做ap。想换个小米be7000做主路由然后j4105做旁路由了,因为家里刚换了2.5的光猫。但是又怕受到j4105千兆口的限制。@@solariswind

    • @adamcao8396
      @adamcao8396 10 місяців тому

      差不多的预算我也考虑换个n100做主路由,ax6000继续ap,毕竟ax6000也有一个2.5g网口。不知道两种方案您更推荐哪种?@@solariswind

    • @solariswind
      @solariswind  10 місяців тому

      按照你说的都上n100了。 我会选 主软路由+ap@@adamcao8396

  • @喵小能
    @喵小能 5 місяців тому

    视频中提到的状态,在防火墙当中称之为上下文context。上下文在TCP(有状态协议)流当中,是TCP的五元组关联性和窗口、数据报序号;在UDP和ICMP等无状态协议中,是一个对三元组一支的数据包产生可定义的时间窗,这个时间窗在Juniper防火墙中是2秒,超过时间窗的,被判定为一个新的session,也就是文中的状态。
    至于后面说的一次路由多次转发的算法,这个不好讲,要根据context看状态机的设计是否合理。Cisco的CEF也是这个思路,似乎没这个问题……

  • @就这-n4j
    @就这-n4j 6 місяців тому

    意味着一直得挂上梯子吗?

  • @許英典
    @許英典 10 місяців тому

    直接買台rax3000m刷op當主路由解決,科學上網又不是要時時跑滿千兆,能順播4k的速度很夠用了。

    • @question-711
      @question-711 10 місяців тому +1

      不行,我跟你同款路由器,科学上网不是速度问题,不稳定,经常打开谷歌要等

    • @許英典
      @許英典 10 місяців тому

      @@question-711 機場問題?不經路由器翻牆,直接電腦跑翻牆測試才知是哪邊出包。有時是ipv6、dns解析卡住。最無言的是電信寬帶正常,移動寬帶跑不動。

    • @question-711
      @question-711 10 місяців тому

      我压根没开启ipv6,用旁路由就比较稳定 猜测X86在加密解密方面有优势@@許英典

  • @invadori7
    @invadori7 9 місяців тому

    竟然把我一个小白讲明白了。硬路由+旁路由终于跑通

  • @渐行渐远渐无言
    @渐行渐远渐无言 9 місяців тому

    我爱快加 OP的
    现在出的现问题是 国内访问很慢 油管很快 不知道 是不是 小猫咪 设置的问题

  • @IriKa-X
    @IriKa-X 10 місяців тому +1

    实际上就是在旁路由上再做一次nat

    • @solariswind
      @solariswind  10 місяців тому

      不是的

    • @IriKa-X
      @IriKa-X 10 місяців тому

      @@solariswind 你先翻一翻NAT定义,实际上就是在做nat。只是用的不是 操作系统防火墙(netfiler)提供的nat罢了。

    • @solariswind
      @solariswind  10 місяців тому

      好的 我再学习学习

  • @gs-ms6eo
    @gs-ms6eo 10 місяців тому

    我家人一直用红米ac2100刷老毛子系统加n1盒子做旁路由器。旁路由网关指向ac2100。没有发现你说的问题一直很稳定。

    • @solariswind
      @solariswind  10 місяців тому +1

      你都刷过机了,肯定就遇不到了

  • @起飞-t9e
    @起飞-t9e 10 місяців тому

    主路由+openwrt旁路由模式在用,确实很多牌子路由器,无线会有打不开网页的问题。但水星和中兴的一些型号是可以的。目前在用中兴的AX5400 PRO就可以

    • @solariswind
      @solariswind  10 місяців тому

      友好提醒:小白看到这种明确带了品牌的留言,要注意辨别是不是软广

    • @ksww1986
      @ksww1986 9 місяців тому

      有没有可能是wifi没有独立的MAC对应地址关系导致自己发给自己。@@solariswind

  • @peteryu1528
    @peteryu1528 10 місяців тому

    “我只推荐ROS路由”是啥意思?

    • @solariswind
      @solariswind  10 місяців тому +1

      ros直接可以改路由表

    • @kaviyue3550
      @kaviyue3550 10 місяців тому

      应该说的是MikroTik OS

  • @whipenw9142
    @whipenw9142 10 місяців тому

    不错,听懂

  • @lnss3266
    @lnss3266 10 місяців тому

    期待下一期linux网关!!!

  • @question-711
    @question-711 10 місяців тому

    旁路由防火墙打开Lan口ip动态伪装就没问题了啊,哪有那么麻烦啊

    • @solariswind
      @solariswind  10 місяців тому

      动态伪装不是万能的。只是你的主路由恰好可以通过 动态伪装 解决问题。

    • @question-711
      @question-711 10 місяців тому

      那不知道了 我主路由是硬路由刷了op,难道其他系统不行?@@solariswind

    • @solariswind
      @solariswind  10 місяців тому

      你都刷系统了。…….我视频讨论的是原厂系统

  • @Macaocat
    @Macaocat 10 місяців тому

    有时候主路由也这样

  • @renyibubai
    @renyibubai 10 місяців тому +5

    普通电脑作旁路由电费贵!!!

    • @兼明-p2b
      @兼明-p2b 10 місяців тому +1

      s905l3a电视盒子刷armbian性价比高且省电

  • @neosyqsun1180
    @neosyqsun1180 10 місяців тому

    我N1也遇见过,刷回老版本的op就好了!

    • @solariswind
      @solariswind  10 місяців тому

      N1旁路由 遇见这个状况最多。

    • @mrhuang2182
      @mrhuang2182 10 місяців тому

      刷的多少版本

    • @neosyqsun1180
      @neosyqsun1180 10 місяців тому

      @@mrhuang2182 flippy-55+o

  • @fangfeng6488
    @fangfeng6488 10 місяців тому

    x-86最稳定了。arm啥的差些

  • @abnerfeng5426
    @abnerfeng5426 10 місяців тому

    用网件或者华硕没有这问题

  • @xuansongliu5278
    @xuansongliu5278 10 місяців тому

    很直观

  • @tyou5779
    @tyou5779 10 місяців тому

    你说的,这是我现碰到问题

  • @bugesan5201
    @bugesan5201 10 місяців тому

    今时今日折腾n1旁路由已经没什么意思了,很多7981的路由器只卖100元

    • @Michael-yj4jh
      @Michael-yj4jh 10 місяців тому

      不可否认N1任然有很庞大的人群

  • @xxtwistfate3433
    @xxtwistfate3433 10 місяців тому +1

    听不懂

  • @bobab932
    @bobab932 4 місяці тому

    iptables和路由表不是一个东西

    • @solariswind
      @solariswind  4 місяці тому +1

      现在知道了,谢谢指出

  • @mingwu7526
    @mingwu7526 10 місяців тому

    旁路由不支持ipv6,直接放弃。

    • @贼灿灿
      @贼灿灿 10 місяців тому

      可以支持

  • @COPOPPY
    @COPOPPY 3 місяці тому

    有点高深啊🤔

  • @marine-pg3ib
    @marine-pg3ib 10 місяців тому

    必须回一下,我现在就是这个问题,幸好没把主路由网关设到旁路由,要不然全家都要骂我

  • @yyy7523518
    @yyy7523518 10 місяців тому

    等待下一集,快点出啊。

  • @jitjit2824
    @jitjit2824 10 місяців тому

    我旁路由上就放了个内核运行的singbox(是TUN模式),一切运行正常,只是通过无线桥接(同网段)的路由下的设备,无法通过旁路由(上一级路由下)爬墙,但是国内网站能顺利打开,还没找到原因,当通过设置http代理的移动设备是没问题的。(我的所有路由器都刷过openwrt/fresh tomato),用台废弃电脑,不想高功耗的,不然我就直接虚拟机里开个就行。

  • @稍微微笑
    @稍微微笑 10 місяців тому

    没遇到过😂

  • @dtm3170
    @dtm3170 10 місяців тому +1

    所以有线路由+AP吧😊

  • @haifengdeng1760
    @haifengdeng1760 14 годин тому

    有没有telegram群拉我进去呗 😊

  • @薛皓元-o9u
    @薛皓元-o9u 6 місяців тому

    牛逼👍👍👍

  • @呵呵800
    @呵呵800 10 місяців тому +1

    是主路由器的锅,你换中兴的墙面路由器或者腾达的AX3000穿墙宝就没有这个问题,不必在旁路由防火墙中勾选" IP动态伪装“或者在防火墙自定义规则中加入那条”iptables -t nat -I POSTROUTING -j MASQUERADE“规则。