freshtomato做主路由配合op或linux，国内外分流

tr***

之前totolink a3004ns刷了rb750gr3,卖了原版rb750gr3。

今天totolink也卖了，翻出linksys ea6200先顶上。

六七年的东西了，还是可以的，PT下载，40M/s，cpu占用46%，比7621弱一点。

顺便记录一下，配合op或linux，进行国内外流量分流。

开启硬件加速


pppoe拨号


设置dns


我们假定你的op或linux是可以防止dns污染的，如果不能，请设法使能。

1. server=/#/192.168.1.x

复制代码

192.168.1.x请替换为你的op或linux 的ip地址。

流量分流
我们假定你的op或linux是可以出国的，如果不能，请使能。

下载附件中国IP.zip，解压，得到chn.set和chn6.set，放入u盘，u盘插入路由。没有usb接口的可以用jffs，如何使用jffs，自行google一下。

设定开机脚本

1. modprobe xt_set
   
2. modprobe ip_set
   
3. modprobe ip_set_hash_ip
   
4. modprobe ip_set_hash_net

复制代码

加载4个内核模块

防火墙分流规则

1. ipset restore -f /tmp/mnt/DNS/chn.set
   
2. ip rule add fwmark 1 table 100
   
3. ip route add default via 192.168.1.x table 100
   
4. iptables -t mangle -A PREROUTING -d xxxxxx -j RETURN
   
5. iptables -t mangle -A PREROUTING -m mac --mac-source xxxxxxxx -j RETURN
   
6. iptables -t mangle -A PREROUTING -m mac --mac-source xxxxxxxx -j RETURN
   
7. iptables -t mangle -A PREROUTING -m set ! --match-set chnroutes dst  -j MARK --set-mark 1
   
8. iptables -t mangle -A OUTPUT -m set ! --match-set chnroutes dst  -j MARK --set-mark 1
   
9. ipset restore -f /tmp/mnt/DNS/chn6.set
   
10. ip -6 rule add fwmark 0x6666 table 666
    
11. ip -6 route add table 666 default via xxxxxxxxxx dev br0
    
12. ip6tables -t mangle -A PREROUTING -m mac --mac-source xxxxxxx -j RETURN
    
13. ip6tables -t mangle -A PREROUTING -m mac --mac-source xxxxxxxxx -j RETURN
    
14. ip6tables -t mangle -A PREROUTING -m set ! --match-set chnroutes6 dst -j MARK --set-mark 0x6666

复制代码

解释

ipset restore -f /tmp/mnt/sda1/chn.set 导入中国ipv4 注意路径替换为你的
ip rule add fwmark 1 table 100 标记1的流量走路由表100
ip route add default via 192.168.1.x table 100 路由表100的下一跳是192.168.1.x，这是op或linux的ip地址
iptables -t mangle -A PREROUTING -d xxxxxx -j RETURN xxxxxx替换为vpsip，意思目的ip为vps的流量忽略
iptables -t mangle -A PREROUTING -m mac --mac-source xxxxxxxx -j RETURN  xxxxxx替换为op或linux mac地址，如果有多台设置，请再加一条。
iptables -t mangle -A PREROUTING -m set ! --match-set chnroutes dst  -j MARK --set-mark 1 来自局域网内的目的ip不是中国ip的流量打上标记1
iptables -t mangle -A OUTPUT -m set ! --match-set chnroutes dst  -j MARK --set-mark 1 本机发出的目的ip不是中国ip的流量打上标记1

以上打上标记1的流量不再从主路由直接出去，它们将去往op或linux，由op或linux封装百隧道再出国。

ipset restore -f /tmp/mnt/sda1/chn6.set 导入中国ipv6 注意路径替换为你的
ip -6 rule add fwmark 0x6666 table 666 标记0x6666的流量走路由表666
ip -6 route add table 666 default via xxxxxxxxxx dev br0 xxxxxxxxxxx替换为op或linux的ipv6地址,是fe80::打头的，不是公网ip,并且一定要加上dev br0，不加的话不通
ip6tables -t mangle -A PREROUTING -m mac --mac-source xxxxxxx -j RETURN xxxxx替换为op或linux mac地址，如果有多台设置，请再加一条。

ip6tables -t mangle -A PREROUTING -m set ! --match-set chnroutes6 dst -j MARK --set-mark 0x6666 来自局域网内的目的ip不是中国ip的流量打上标记0x6666

ip6tables -t mangle -A OUTPUT -m set ! --match-set chnroutes6 dst -j MARK --set-mark 0x6666 本机发出的目的ip不是中国ip的流量打上标记0x6666

以上打上标记0x6666的流量不再从主路由直接出去，它们将去往op或linux，由op或linux封装百隧道再出国。

设置完毕了。重启一下就OK了。

你不用进行本论坛里很常见的各种旁路由旁路网关操作。
不需要在主路由上装任何梯&子。
主路由不需要很强大的心脏。
你手机或电视或电脑发出去的流量，国内的流量，自动从主路由出去，国外的流量，它们不过主路由，自动去往op或linux，由op或linux进行隧道封装，最后出国。

afe***

BCM47081单核心，性能肯定不如双核心的7621

jingl***

我是用 Tomato+N1x2，上面跑 iptables ---> xray（ipt2socks） ---> haproxy ---> N1x2 做自动分流、负载均衡、自动切换、故障隔离，两台 N1 跑 2x2 的线路加密。。。

5614***

不错不错，旧物利用这个路由器看起来还有玩头。

天生***

多谢分享！

网际***

你这个规则很好，能解决电脑没有WIFI打倒美帝问题，但是当旁路由去掉（也就是坏了），主路由也不能上网，只有注销掉这个才行。server=/#/192.168.1.x怎么才能去掉旁路由能正常上网呢？

网际***

jingleeboy 发表于 2021-9-8 21:19
我是用 Tomato+N1x2，上面跑 iptables ---> xray（ipt2socks） ---> haproxy ---> N1x2 做自动分流、负载均 ...

哥你是怎么设置的啊，我也想用你这个设置。

jingl***

网际飞扬 发表于 2021-9-23 18:36
哥你是怎么设置的啊，我也想用你这个设置。

xray

1. {
   
2.   "log": {
   
3.     "loglevel": "warning"
   
4.   },
   
5.   "inbounds": [
   
6.     {
   
7.       "protocol": "dokodemo-door",
   
8.       "port": 1888,
   
9.       "settings": {
   
10.         "network": "tcp,udp",
    
11.         "followRedirect": true
    
12.       }
    
13.     }
    
14.   ],
    
15.   "outbounds": [
    
16.     {
    
17.       "tag": "socks",
    
18.       "protocol": "socks",
    
19.       "settings": {
    
20.         "servers": [
    
21.           {
    
22.             "address": "127.0.0.1",
    
23.             "port": 1088
    
24.           }
    
25.         ]
    
26.       }
    
27.     }
    
28.   ]
    
29. }

复制代码

haproxy

1. global
   
2.         maxconn 32000
   
3.         ulimit-n 65535
   
4. 
   
5. defaults
   
6.         mode    tcp
   
7.         log     global
   
8.         option  dontlognull
   
9.         timeout connect 5000
   
10.         timeout client  50000
    
11.         timeout server  50000
    
12. 
    
13. listen  haproxy_stats
    
14.         bind    *:8888
    
15.         mode    http
    
16.         stats   refresh 30s
    
17.         stats   uri     /haproxy
    
18.         stats   realm   Haproxy
    
19.         stats   auth    admin:admin
    
20.         stats   admin   if TRUE
    
21. 
    
22. listen  xray
    
23.         bind    *:1088
    
24.         server  server1 192.168.x.1:1088 check
    
25.         server  server2 192.168.x.2:1088 check

复制代码

网际***

jingleeboy 发表于 2021-9-26 14:42
xray

这个真的好啊