我也来分享下用了多年的软路由终极方案

简单说：debian+iptables+gfwlist+mosdns+ipset+proxy tool(support redirect)+tproxy(for udp)
具体实现就不说了，会玩的一看就懂，也很简单，不会玩的说了也白说，就说可以实现什么吧

1.透明代理，所有设备自动科学上网，国内直连，国外走代理
2.未知域名自动判断(mosdns)，未知域名同时用国内国外 dns 解析，国内 dns 返回国内 ip 就直连，反之用国外 dns 的解析结果走代理，这就是目前最优化的域名解析方式，不接受反驳
3.不绑定任何代理工具，ss 、xray 、hy2 ，想用哪个用哪个，他们都支持 redirect
4.配合优质 vps+mosdns 的 lazy cache ，访问 bbc 和访问网易新浪没有区别，youtube 看视频 10w+
5.没有 fake ip ，那玩意问题太多，不详说，懂的都懂，第一原则是稳定+稳定+稳定
6.基于域名而不是 chinaip ，低性能的 arm 设备也能玩的转

N1 轻松 10w+

xgbc2077

2024-04-23 11:32:15 +08:00

请问您说的这些软件可以从软件源直接安装吗？我用克拉什当梯子，我自己写了个配置区分奈飞线路和其他线路，您这个方案可以解决吗？主要是梯子的地址都是克拉什获得的，我看获得的地址都是 ss

povsister

2024-04-23 13:11:25 +08:00

魔法师们果然都不缺创造力。
Redirect 和 Tproxy 应该是二选一的关系。有 tproxy 可用应该无条件选择 tproxy 。
你描述的这套配置下来也不轻松，除了网关是无条件走一遍软路由，以及网关故障转移外，没什么其他致命缺点了。
唯二问题就是：
* 低性能 ARM 设备需要打个引号，这个性能要能满足：使用 iptables 可以承受全部网关流量，否则哪怕不用魔法还是会卡。
* 涉及工具太多了，配置分散在各处，需要相互配合。想简化的话可以用 debian+gfwlist+mosdns+dae

lazywen

2024-04-23 13:14:14 +08:00

我是 debian + nftables + nf set ip 白名单，dns 的话 gfwlist 域名用国外解析其余国内解析，有时候国外网站还会很慢，等有空试试 mosdns

Jirajine

2024-04-23 13:24:21 +08:00

你所谓的最优化方式就是暴露所有未知域名到国内 dns ，并且你都没有提及这一 implication 。小白信了你这一套就成了和 clash 一样的潜在受害者。

wske

2024-04-23 13:35:22 +08:00

涉及的工具太多了，我现在用 op+passwa11 已经满足我的需求稳定跑了 3 年。默认的 dnsmasq+chinadns-ng 就很好，感谢以上维护项目的人

cJ8SxGOWRH0LSelC

2024-04-23 13:39:27 +08:00

@wske #10 我也是用 openwrt 的 passwall 插件，有这个就够了，搞那些花里胡哨的，累死还不省心。

另外为了不让家里所有的设备都经过代理（例如我老婆不翻墙，如果让她手机经过代理，使用一些国内的 APP 反而很慢），所以我主路由用的是爱快，把需要翻墙的设备都绑定一下静态 DHCP ，网关地址指向 openwrt 就可以了，非常完美。

YGBlvcAK

2024-04-23 13:47:40 +08:00

@ttvast
『国外很多域名不必要走代理。』如果解析出的 ip 是国外的，直连不如走 vps 代理快
『这两点不矛盾吗』不矛盾，chinaip 是指把 chinaip 全部放入 ipset ，低性能的 arm 就有点吃紧了

@Jirajine 当然还是有 direct 和 proxy 域名列表的，在此之外的才是未知域名，这些域名都是没有被墙的域名，让国内 dns 解析有什么问题？另外如果你觉得就是有问题，你也可以把所有未知域名只交给国外 dns 解析然后走代理，来实现你的绝对安全

Jirajine

2024-04-23 14:05:16 +08:00

@YGBlvcAK #12 没有问题，只要你显式告知了，不要让小白信了你的最优化的宣传不小心点到了钓鱼网站 seo 的 google 搜索结果然后被反炸上门就行。

“把所有未知域名交给国外解析绝对安全” 这个很有问题，我可从来没这样说，也没有暗示这种含义。事实上这样做仍然非常、非常**不安全**，不要继续误导不了解的人。

crysislinux

2024-04-23 14:17:15 +08:00

未知域名给国内 dns 解析也没啥的，没那么夸张。极端一点，国内大厂应用给你埋点未知域名你用国外 dns 解析不一样暴露。真要解决这个问题只能分应用代理了，其实必要性不大，形式并没有坏到那一步。

rojer12

2024-04-23 14:17:56 +08:00

我是 r86s 裸 op 主路由+rk3399 旁路由
反正默认连上就有网，要科学的设备就改个网关和 dns
科学和其他不咋影响，3399 的性能跑个 50MB/s 以上也足够了，有需要的建议还是用 3566 ，3399 发热有点大

YGBlvcAK

2024-04-23 14:18:25 +08:00

@Jirajine 『事实上这样做仍然非常、非常**不安全**，不要继续误导不了解的人。』我更改一下前面的言论，没有什么绝对的安全，差不多得了，更不要臆想和被迫害妄想了

@yjzll 我这不是主路由，dhcp 分流，参数 11 楼

@povsister 『低性能 ARM 设备需要打个引号』看你怎么定义了，N1 算高算低？我这 youtube 可以跑 10 万 w
『 Redirect 和 Tproxy 应该是二选一的关系』这个确实是这样，只是我有时候喜欢切换一下 proxy 工具玩玩，有些工具只支持 redirect ，所以就都写了

@Mrealy 『不过还缺一个基于应用分流和多线路的 SLA 』可能是我暂时不需要吧，所以没有搞这些

@lazywen mosdns 的特点是最优化的域名解析方案，同样也可以避免 dns 泄露

UXha45veSNpWCwZR

2024-04-23 14:26:36 +08:00

"不会玩的说了也白说"
"不详说，懂的都懂"
我是小白,确实什么都没看懂.我只会用 openwrt 旁路由,配合 ssr+,passwall1,2(fakedns),openclash(fakeip),看心情随机切换着用.

kgcHQbTYyvcz2w3j

2024-04-23 14:28:18 +08:00

主路由用普通的路由器给家里人用，另外 pve 开个 openwrt lxc 来做旁路由, 只安装 AdGuard Home 、Passwall2 、DDNS-GO 、wiregurad 这几个插件就够了，自己需要翻墙的设备设静态 ip 和旁路由网关，这样不折腾

之前用软路由作为拨号主路由使用，出了问题都得等到深夜家人睡着不用网络的时候才敢折腾，太痛苦了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://yangjunhui.monster/t/1034889

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.