[BCIE] Clash自定义下一跳(Next-hop)小技巧mangle版
群友Zero Clover提到了Clash可以给数据包打上fwmark, 这样就不需要起新的网络接口了.
相当于把"routing"变成了"mangle", 习惯用RouterOS的我总是谨记着mangle是坏文明...
然而在这里没有"硬件加速"的场景 , mangle随便用...
先配置Clash :
-
name: '转发到2号网桥'
type: direct
routing-mark: 255
也就是把需要转发到2号网桥的流量全部打上" 255 "这个路由标签
根据(图1): 假设Clash网关和2号网关都在192.168.1.0/24 的网段中 . 同样先建一张路由表 2332 , 网关写192.168.1.11 (2号网关).
接下来配置 IPv4规则 , 根据(图2) , 可以看到Routing的方式中我们匹配的是源IP, 而这次我们不匹配IP, 新增规则, 切换到高级设置(图3) , "防火墙标志"写0xFF .
Clash里写的是10进制, 到了OpenWrt/Linux 就要写16进制.
这条规则在 Linux 写作 : ip rule add fwmark 0xFF table 2332
当然linux里你还需要自己save...
没有nat的masquerade了~都在同一个网段中,不需要伪装转换 .
于是我们在Linux/OpenWRT下用routing和mangle两种不同的方式将Clash匹配后的数据精准传递到了下一个网关 .
显然群友提供的方式更简单一些, 避免了一些无法起VLAN的特殊情况.
群友Zero Clover提到了Clash可以给数据包打上fwmark, 这样就不需要起新的网络接口了.
相当于把"routing"变成了"mangle", 习惯用RouterOS的我总是谨记着mangle是坏文明...
然而在这里没有"硬件加速"的场景 , mangle随便用...
先配置Clash :
-
name: '转发到2号网桥'
type: direct
routing-mark: 255
也就是把需要转发到2号网桥的流量全部打上" 255 "这个路由标签
根据(图1): 假设Clash网关和2号网关都在192.168.1.0/24 的网段中 . 同样先建一张路由表 2332 , 网关写192.168.1.11 (2号网关).
接下来配置 IPv4规则 , 根据(图2) , 可以看到Routing的方式中我们匹配的是源IP, 而这次我们不匹配IP, 新增规则, 切换到高级设置(图3) , "防火墙标志"写0xFF .
Clash里写的是10进制, 到了OpenWrt/Linux 就要写16进制.
这条规则在 Linux 写作 : ip rule add fwmark 0xFF table 2332
当然linux里你还需要自己save...
没有nat的masquerade了~都在同一个网段中,不需要伪装转换 .
于是我们在Linux/OpenWRT下用routing和mangle两种不同的方式将Clash匹配后的数据精准传递到了下一个网关 .
显然群友提供的方式更简单一些, 避免了一些无法起VLAN的特殊情况.
RouterOS v7.16beta7 屎诗级更新
更新内容 :
修复了旧的BUG , 增加了新的BUG .
BGP 启动 , 路由器死机 , 不会重启 ~
GRE6 隧道因不明原因无法与旧版本兼容 ~
切勿更新 ~
建议保持在 v7.16beta4 , 当前最好用的ROSv7版本
————————————————--
Winbox 3.41 发布
未来新版 RouterOS 系统将不再支持 3.41 之前的旧版本
请务必注意提前更新好 .
更新内容 :
修复了旧的BUG , 增加了新的BUG .
BGP 启动 , 路由器死机 , 不会重启 ~
GRE6 隧道因不明原因无法与旧版本兼容 ~
切勿更新 ~
建议保持在 v7.16beta4 , 当前最好用的ROSv7版本
————————————————--
Winbox 3.41 发布
未来新版 RouterOS 系统将不再支持 3.41 之前的旧版本
请务必注意提前更新好 .
[BoomTips] OpenClash DNS国内外分流(防污染)失效解决方法
几个月前某次OpenClash更新后 , 分流突然失效了, 我想过几个版本BUG肯定会修好 , 先外部自建了个DNS...然而过了半年依然没区别...
根据 (图2) 分流是通过geoip数据库标记为中国的IP走国内DNS , 其余走海外DNS . 原理就和ChinaDNS是一摸一样的 , 只有可能是数据库出错了...
好家伙 , 某次beta版更新之后 , GeoIP MMDB数据库下载地址改成了一个dev自定义的地址 , 进 /etc/openclash 目录下一看只有200KB...破案了.
根据 (图1) 改回完整版数据库 , 检查并更新成一个 6M+ 的数据库 , 一切问题解决...建议顺便把 GeoSite 数据库也更新一下 .
几个月前某次OpenClash更新后 , 分流突然失效了, 我想过几个版本BUG肯定会修好 , 先外部自建了个DNS...然而过了半年依然没区别...
根据 (图2) 分流是通过geoip数据库标记为中国的IP走国内DNS , 其余走海外DNS . 原理就和ChinaDNS是一摸一样的 , 只有可能是数据库出错了...
好家伙 , 某次beta版更新之后 , GeoIP MMDB数据库下载地址改成了一个dev自定义的地址 , 进 /etc/openclash 目录下一看只有200KB...破案了.
根据 (图1) 改回完整版数据库 , 检查并更新成一个 6M+ 的数据库 , 一切问题解决...建议顺便把 GeoSite 数据库也更新一下 .
Let's Fix It - 超级复合软路由
仔细看了一下 «比尔麦克复合型超级软路由 第四版图谱图» , 对于单线接入互联网 , 用3台RouterOS , 2台OPNsense , 1台OpenWRT虚拟机...我也没看出哪台算主路由...
再深入一看 , 感觉这6台虚拟机之间好像并没有"复合"在一起 , 各自做着简单的工作 , 毫无Teamwork可言 ...
于是我就帮他稍微优化了一下 ~ 这下三台虚拟机之间 FullMesh了 , 缺一不可~
欢迎大家在评论区投稿~相信大家一定有更好的方案~
同款流程图绘制网站 :
https://www.processon.com/
仔细看了一下 «比尔麦克复合型超级软路由 第四版图谱图» , 对于单线接入互联网 , 用3台RouterOS , 2台OPNsense , 1台OpenWRT虚拟机...我也没看出哪台算主路由...
再深入一看 , 感觉这6台虚拟机之间好像并没有"复合"在一起 , 各自做着简单的工作 , 毫无Teamwork可言 ...
于是我就帮他稍微优化了一下 ~ 这下三台虚拟机之间 FullMesh了 , 缺一不可~
欢迎大家在评论区投稿~相信大家一定有更好的方案~
同款流程图绘制网站 :
https://www.processon.com/
[BoomTips] Proxmox VE 7.4 EOL 然而这是最好用的版本~
三大实用功能 , 无须升级到8+版本 , 7.4 即可使用 .
1 虚拟网卡的MTU现在可以在UI调整并永久储存 . 这对需要开 Jumbo Frame的用户非常重要 . Virtio网卡将MTU设置为"1"即可直接继承网桥的MTU , 其它虚拟网卡无效 .
2 虚拟机绑定物理核心 . 这对软路由玩家很有用 . 再也不会出现 RouterOS 与 OpenWRT 之间抢资源的奇妙场景 .
3 暗色调主题 . 我谢谢你一家门 , 晚上总算不用被亮瞎狗眼了 .
一个注意点 : (图2)
CPU Units ( CPU权重 ) , 计量方式从 PVE7.3版开始由默认的 1024 (100%) 改成了100 . 然而升级后虚拟机继承原有参数 . 这下原来权重 2048 (200%)的虚拟机权重变成了 2048% ....
因此从7.3之前的旧版本更新后需要将所有虚拟机的权重手动设置为新版的计量单位 .
三大实用功能 , 无须升级到8+版本 , 7.4 即可使用 .
1 虚拟网卡的MTU现在可以在UI调整并永久储存 . 这对需要开 Jumbo Frame的用户非常重要 . Virtio网卡将MTU设置为"1"即可直接继承网桥的MTU , 其它虚拟网卡无效 .
2 虚拟机绑定物理核心 . 这对软路由玩家很有用 . 再也不会出现 RouterOS 与 OpenWRT 之间抢资源的奇妙场景 .
3 暗色调主题 . 我谢谢你一家门 , 晚上总算不用被亮瞎狗眼了 .
一个注意点 : (图2)
CPU Units ( CPU权重 ) , 计量方式从 PVE7.3版开始由默认的 1024 (100%) 改成了100 . 然而升级后虚拟机继承原有参数 . 这下原来权重 2048 (200%)的虚拟机权重变成了 2048% ....
因此从7.3之前的旧版本更新后需要将所有虚拟机的权重手动设置为新版的计量单位 .
2024奥林匹克翻墙会 - "混双"排行榜
金牌 : 上海移动GPON & OVH 新加坡
费用 : 29+6 = 35元/月
翻墙速度 : 100M
丢包率 : 0.01% (图1)
评委点评 : 29元 300M宽带+70G 5G流量 , 均支持IPv6 . OVH 新加坡 IPv6 CMI直连新加坡 0.8欧/1T 流量 . 可能是全世界需要翻墙的国家中 , 费用最低 , 网络最稳定的组合 . 别再白嫖Cloudflare了 , 真的是浪费青春在刷新节点上 ~ 35元一个月 , 任何人皆可翻出精彩人生 .
银牌 : 上海移动XGPON & Linode
费用 : 79+36 = 115元/月
翻墙速度 : 1000-2000M
丢包率 : 0.01%
评委点评 : 自从Linode 变成 Akamai之后就在部分机房接了CMI , 目前比较稳定的节点有 London, Tokyo , Fremont . 上海移动 79元 1000M宽带可以双拨成 1000X2 . 本频道将在之后为大家详解如何利用MPTCP在公网上跑出"奥林匹克"速度 ...
铜牌 : 上海电信CN2 & misaka.io日本
费用 : 250 +70= 320元/月
翻墙速度 : 1000M
丢包率 : 0.02%
评委点评 : 尊贵的上海电信CN2 配合 尊贵的NTT , 尽显尊贵 . 31ms 直达东京 , 中转后115ms即可抵达西雅图 .
竞技游戏必备线路 . 就是费用有点高 ...
恭喜来自上海的选手承包了本届比赛的前三名 ~
金牌 : 上海移动GPON & OVH 新加坡
费用 : 29+6 = 35元/月
翻墙速度 : 100M
丢包率 : 0.01% (图1)
评委点评 : 29元 300M宽带+70G 5G流量 , 均支持IPv6 . OVH 新加坡 IPv6 CMI直连新加坡 0.8欧/1T 流量 . 可能是全世界需要翻墙的国家中 , 费用最低 , 网络最稳定的组合 . 别再白嫖Cloudflare了 , 真的是浪费青春在刷新节点上 ~ 35元一个月 , 任何人皆可翻出精彩人生 .
银牌 : 上海移动XGPON & Linode
费用 : 79+36 = 115元/月
翻墙速度 : 1000-2000M
丢包率 : 0.01%
评委点评 : 自从Linode 变成 Akamai之后就在部分机房接了CMI , 目前比较稳定的节点有 London, Tokyo , Fremont . 上海移动 79元 1000M宽带可以双拨成 1000X2 . 本频道将在之后为大家详解如何利用MPTCP在公网上跑出"奥林匹克"速度 ...
铜牌 : 上海电信CN2 & misaka.io日本
费用 : 250 +70= 320元/月
翻墙速度 : 1000M
丢包率 : 0.02%
评委点评 : 尊贵的上海电信CN2 配合 尊贵的NTT , 尽显尊贵 . 31ms 直达东京 , 中转后115ms即可抵达西雅图 .
竞技游戏必备线路 . 就是费用有点高 ...
恭喜来自上海的选手承包了本届比赛的前三名 ~
爆発試験室 | BakaMai Vtuber | Tech & LifeStyle
"The Boom" Mark.III 改造项目 : 1 Intel I350-AM4 拆除 改为 Intel X520-SR1 2 RouterOS x86克隆盘拆除 改为 128G SSD 3 使用 10G-EPON STICK BoomVM 结束运营之后 , 核心路由器 "The Boom" 改造成为了一台普通10G家用路由器 ... 三张PCI-E网卡介绍 : 82576 4SFP : XPON STICK 接入1000M上海移动 , 其它SFP口等待上海联通光纤接入.... X540-T2…
"The Boom" Mark.IV
首先感谢"爆発試験センター"各位提供的技术支持 .
解答了我心中114.514个2.5G的疑惑...
本次改造 , 费用低 . 技术难度不大, 但坑特别多 , 请大家务必仔细阅读带有下划线的内容 .
改造项目 :
1 PE2G4SFPI6L-R (82576 SFPx4) → 乐扩 RTL8125BG (Rev 05)
2 XPon Stick → ZTE F7005tv3 (10G-EPON/XGPON双模 2.5G Lan光猫)
本次改造有4个契机 :
1 RouterOS v7.15 针对RTL8125网卡单独优化稳定性的驱动
2 中兴百元2.5G双模低功耗光猫大量上市
3 上海移动 1000M 降价到 79元 并可双拨叠加带宽
4 MPTCPv1 正式加入 Linux 内核
改造难点 (巨坑 ) 详解 :
1 RTL8125B 千万不能买二手卡 , 山寨卡 . 图中这款乐拓的 RTL8125BG 为 RTL8125的第五次 Revision(设计修改) 版本 . 简而言之就是 Realtek 坑了四批人 , 没问题改啥设计- -? 天猫有一款 26元的 SSU品牌 RTL8125 千万别买 , 多人反应电路设计问题炸主板供电 , 都要和厂家打官司了 .
2 RTL8125BG (Rev.5) 唯一的缺点就是在狭小的机箱空间内 7x24 小时工作的情况下一定要带散热片 . 花"巨资"购买大品牌 , 比如 TP-LINK 或 绿联的卡之后需自行增加散热片 .
3 中兴光猫祖传固件问题 : 请删除系统自带的宽带连接 , 新建一条规则 , 且不能绑定WLAN无线接口 , 否则桥接即为软桥, 无法开启硬件加速 .
4 史上最烂网卡 Intel i225/226 断流问题彻底解决了么 ? 答案是 : 基本缓解 , 但有网卡消失术 , kernel panic等致命问题需要不断刷新固件解决 , 断一下电或者电脑正好死机就直接变砖 .
由于篇幅限制 , 接下来本频道将继续发布2篇详解 :
1 Zte F7005tv3 与 RTL8125B 直通 RouterOS 全面测试
2 MPTCP在"奥林匹克翻墙会"中是如何独树一帜杀出重围的 ?
我们将逐一验证各种网络传言 , 并证明它完全是人为失误或者是"拉不出屎怪马桶没吸力"~
首先感谢"爆発試験センター"各位提供的技术支持 .
解答了我心中114.514个2.5G的疑惑...
本次改造 , 费用低 . 技术难度不大, 但坑特别多 , 请大家务必仔细阅读带有下划线的内容 .
改造项目 :
1 PE2G4SFPI6L-R (82576 SFPx4) → 乐扩 RTL8125BG (Rev 05)
2 XPon Stick → ZTE F7005tv3 (10G-EPON/XGPON双模 2.5G Lan光猫)
本次改造有4个契机 :
1 RouterOS v7.15 针对RTL8125网卡单独优化稳定性的驱动
2 中兴百元2.5G双模低功耗光猫大量上市
3 上海移动 1000M 降价到 79元 并可双拨叠加带宽
4 MPTCPv1 正式加入 Linux 内核
改造难点 (巨坑 ) 详解 :
1 RTL8125B 千万不能买二手卡 , 山寨卡 . 图中这款乐拓的 RTL8125BG 为 RTL8125的第五次 Revision(设计修改) 版本 . 简而言之就是 Realtek 坑了四批人 , 没问题改啥设计- -? 天猫有一款 26元的 SSU品牌 RTL8125 千万别买 , 多人反应电路设计问题炸主板供电 , 都要和厂家打官司了 .
2 RTL8125BG (Rev.5) 唯一的缺点就是在狭小的机箱空间内 7x24 小时工作的情况下一定要带散热片 . 花"巨资"购买大品牌 , 比如 TP-LINK 或 绿联的卡之后需自行增加散热片 .
3 中兴光猫祖传固件问题 : 请删除系统自带的宽带连接 , 新建一条规则 , 且不能绑定WLAN无线接口 , 否则桥接即为软桥, 无法开启硬件加速 .
4 史上最烂网卡 Intel i225/226 断流问题彻底解决了么 ? 答案是 : 基本缓解 , 但有网卡消失术 , kernel panic等致命问题需要不断刷新固件解决 , 断一下电或者电脑正好死机就直接变砖 .
由于篇幅限制 , 接下来本频道将继续发布2篇详解 :
1 Zte F7005tv3 与 RTL8125B 直通 RouterOS 全面测试
2 MPTCP在"奥林匹克翻墙会"中是如何独树一帜杀出重围的 ?
我们将逐一验证各种网络传言 , 并证明它完全是人为失误或者是"拉不出屎怪马桶没吸力"~
苏联人民用实际行动告诉我们 :
解决问题最好的方法 , 就是解决有问题的人 ~
RouterOS v 7.15 Changelog :
*) x86 - fixed ixgbe Tx hang by disabling TSO;
*) x86 - fixed VLAN tagged packet transmit for ice driver;
*) x86 - ice driver update to v1.13.7;
*) x86 - improved stability for RTL8125 driver;
*) x86 - ixgbe driver update to 5.19.9;
*) x86/chr - improved panic saving (increased minimal RAM requirements to 256MB);
—————————————————
番外篇 :
实际上早在半年前的RouterOS v7.12 就更新了最新版 r8169 驱动包 .
Realtek的驱动包命名挺迷惑 , r8169 驱动 , 包含了RTL8169 RTL8111 RTL8125等常见网卡...
结果大家开开心心的把 RTL8125 网卡 , 插电 , 开机 ~
直接 RouterOS 启动不出来了 ~
没错 , 每次RouterOS的更新都是修复了旧的Bug , 增加了新的Bug ~
直到v7.15才针对 RTL8125 2.5G的网卡进行单独的调整 ...
这个问题修复了半年...
后来了解到从22年底开始 , Realtek 为RTL8125 8126 分别出了 r8125 r8126 两个独立的驱动包 , 专门优化了这2张网卡的兼容性 ...
我想说 2.5G网卡 , 所有的厂家都在拉屎 ....
Realtek 拉了四坨 , Intel 根本就停不下来 , 每个月都要拉一次 ~
解决问题最好的方法 , 就是解决有问题的人 ~
RouterOS v 7.15 Changelog :
*) x86 - fixed ixgbe Tx hang by disabling TSO;
*) x86 - fixed VLAN tagged packet transmit for ice driver;
*) x86 - ice driver update to v1.13.7;
*) x86 - improved stability for RTL8125 driver;
*) x86 - ixgbe driver update to 5.19.9;
*) x86/chr - improved panic saving (increased minimal RAM requirements to 256MB);
—————————————————
番外篇 :
实际上早在半年前的RouterOS v7.12 就更新了最新版 r8169 驱动包 .
Realtek的驱动包命名挺迷惑 , r8169 驱动 , 包含了RTL8169 RTL8111 RTL8125等常见网卡...
结果大家开开心心的把 RTL8125 网卡 , 插电 , 开机 ~
直接 RouterOS 启动不出来了 ~
没错 , 每次RouterOS的更新都是修复了旧的Bug , 增加了新的Bug ~
直到v7.15才针对 RTL8125 2.5G的网卡进行单独的调整 ...
这个问题修复了半年...
后来了解到从22年底开始 , Realtek 为RTL8125 8126 分别出了 r8125 r8126 两个独立的驱动包 , 专门优化了这2张网卡的兼容性 ...
我想说 2.5G网卡 , 所有的厂家都在拉屎 ....
Realtek 拉了四坨 , Intel 根本就停不下来 , 每个月都要拉一次 ~
[全网首发] ZTE F7005tv3 上海移动双拨 & RTL8125BG 直通 RouterOSv7.15 攻略~
由于篇幅限制 , 完整版发布于 : https://blog.boom.si/index.php/archives/383/
重点摘要 :
图1 : 通过Telnet命令可以做到 ITMS伪注册 , 绕过光猫对DNS的劫持 .
图2(左) : 中兴2.5G口系列电信定制猫均支持 VLAN 透传模式 , 相比之下VSOL的猫竟然不能支持 , 必须在光猫上配置 ...
图2(右) : 通过MPTCP 成功叠加上海移动双拨后的带宽并做到均衡负载以及无感知FailOver.
图3(左) : 测得上海移动1000M宽带IPv4内网的连接数限制为10000个~
图3(右) : 连接数达到1万时 , 光猫CPU利用率始终接近 0% , 达到2G速率时 , 光猫CPU利用率低于 10% , 实锤硬桥接已开启~
总结篇 :
网络上所谓F7005/15tv3光猫无法开启硬桥接 , 连接数超过1万之后网络直接崩溃的原因有两个 :
1 不了解中兴固件的BUG , 没有删掉光猫原有宽带连接 , 直接在出厂自带的连接上进行修改.
2 运营商限制NAT连接数 , 有部分运营商限制低达2500个. 很多人在换2.5G光猫前并没有使劲测试, 换了之后去拿去跑PCDN或者 BT PT之类的P2P...导致中兴背锅.
对于RTL8125BG会断线的传言 , 我表示只有可能是过热一种情况.
在使用这张网卡的2天时间里从来没有出现过Link Down~
更没有出现Intel网卡的断流以及速率掉到100/1000M的问题 , 非常稳定~
———————————
"MPTCP在"奥林匹克翻墙会"中是如何独树一帜杀出重围的 ?" 我得想想如何表达比较直观.
在此之前会先插播一期 "Devialet Phantom I 108db 简单体验"~
由于篇幅限制 , 完整版发布于 : https://blog.boom.si/index.php/archives/383/
重点摘要 :
图1 : 通过Telnet命令可以做到 ITMS伪注册 , 绕过光猫对DNS的劫持 .
图2(左) : 中兴2.5G口系列电信定制猫均支持 VLAN 透传模式 , 相比之下VSOL的猫竟然不能支持 , 必须在光猫上配置 ...
图2(右) : 通过MPTCP 成功叠加上海移动双拨后的带宽并做到均衡负载以及无感知FailOver.
图3(左) : 测得上海移动1000M宽带IPv4内网的连接数限制为10000个~
图3(右) : 连接数达到1万时 , 光猫CPU利用率始终接近 0% , 达到2G速率时 , 光猫CPU利用率低于 10% , 实锤硬桥接已开启~
总结篇 :
网络上所谓F7005/15tv3光猫无法开启硬桥接 , 连接数超过1万之后网络直接崩溃的原因有两个 :
1 不了解中兴固件的BUG , 没有删掉光猫原有宽带连接 , 直接在出厂自带的连接上进行修改.
2 运营商限制NAT连接数 , 有部分运营商限制低达2500个. 很多人在换2.5G光猫前并没有使劲测试, 换了之后去拿去跑PCDN或者 BT PT之类的P2P...导致中兴背锅.
对于RTL8125BG会断线的传言 , 我表示只有可能是过热一种情况.
在使用这张网卡的2天时间里从来没有出现过Link Down~
更没有出现Intel网卡的断流以及速率掉到100/1000M的问题 , 非常稳定~
———————————
"MPTCP在"奥林匹克翻墙会"中是如何独树一帜杀出重围的 ?" 我得想想如何表达比较直观.
在此之前会先插播一期 "Devialet Phantom I 108db 简单体验"~