標題: 想問 OPENWRT 跟ROUTER 一堆問題 [打印本頁]

---

作者: Yucie    時間: 2024-5-23 01:42     標題: 想問 OPENWRT 跟ROUTER 一堆問題

因為我主要用WINDOW 關係, 好少用LINUX 系統.
研究左一星期, 開始了解LINUX 用既COMMAND
由於好多OPENWRT 插件好多係國內高手寫比國內翻牆及防中國DNS 污染等
同我期望既功能, 睇IP 行VPN GATEWAY(唔係指定邊個DEVICE 行VPN), 有好大分別.
而寫PBR 插件既大神, 研究左好耐, 終於明白個插件只係用來派GATEWAY 比指定DEVICE.
唔係用依網站地址分流 VPN.
終於要自已寫係OPENWRT ROUTING SCRIPT 先做到.

我部PC -> 開啟TIKTOK 網站 ->OPENWRT -> 分析地址 -> 行VPN GATEWAY1 -> 羅到DATA -> OPENWRT -> 我部PC 正常開啟TIKTOK

我部PC -> 開啟ABEMA TV 網站 ->OPENWRT -> 分析地址 -> 行VPN GATEWAY2 -> 羅到DATA -> OPENWRT -> 我部PC 正常睇外國視頻網站

我部PC -> 開啟唔需要VPN 既網站 ->OPENWRT -> 抓取網址 -> 行ISP 既GATEWAY, 唔行VPN. 速度會快

我部手機 -> OPENWRT -> 手機MAC ADDRESS -> OPENWRT 判斷MAC ADDRESS -> 所有流量行VPN


而家 DOWNLOAD GOOGLE DRIVER, FULL 10MB/s 使用CPU 40%, 行LAN 抄 FILE去另一個DEVICE 速度 30MB /s , CPU 使用即時變100%. 由於月尾轉換1000M, ROUTER 既CPU睇來已經頂唔到長期超過30MB/秒 處理速度. 所以想買個新ROUTER 及請教一些問題.

1. ASUS ROUTER 唔刷MERLIN 既話. 可唔可以開SSH 功能後, 使用PING, TRACEROUTE, ROUTE, IPTABLE 既COMMAND? 改變ROUTE TABLE, 同自己寫既SH SCRIPT

2. LINUX 既 IPTABLES 同 IPSET 係唔係只用來做FIREWALL?
我睇左好多文章, 都唔係太清楚IPTABLES 同IPSET, 我寫果SCRIPT 分流只係用ROUTE 呢個COMMAND , 完全用唔到IPTABLES 同IPSET. 睇得越多HOMEPAGE 講IPTABLES 同IPSET , 認知就越亂.

3. 如果我用1000M, OPENWRT 用QOS 做優先, 會唔會無乜用, SET PARAMETER 睇VIDEO 果時會流暢超多? 如果QOS SET 左相關PARAMETER 一邊睇YOUTUBE VIDEO, 一邊BT, 一邊睇網頁, 睇片速度會相差好多?

4. ADGUARD HOME 係 ROUTER, 使用2核1.5HZ 既CPU 會唔會爆? 因為我用WMWARE 測試果時, CPU 使用高果時, 佢會一時FREEZE, 而做唔到封鎖網站

5. 紅米AX 6000無2.5G LAN PORT, TP-Link XDR6088 有2.5G LAN PORT. CPU 晶片一樣/RAM 一樣, 只係差左個2.5G LAN PORT. 但價錢差左200幾蚊. 係買左個ROUTER 之後, 短期唔會再換ROUTER 既話, 邊個會好D.

問左好多問題, 希望各位CHING能夠解答

---

作者: smoke_cheese    時間: 2024-5-23 04:26


iptables 係可以用嚟做 routing 的
你應該係揾下關於 policy routing
我唔記得細節但例如哩度個 method 2

https://superuser.com/questions/ ... sed-on-domain-names

哩句就應該係 route vpn_table 嘅 packet 去經 vpn 個 device 出

ip route add 0.0.0.0/1 via $route_vpn_gateway dev $dev scope global table vpn_table

但係要點 mark 啲 packet 去放入個 table 度就係更多細節要你慢慢睇了

---

作者: pbodq    時間: 2024-5-23 05:30

超多問題, 一大串文字, 要答有排答, 而且有堆關於routing的更加麻煩 我執雞, 揀埋最容易

好奇你果隻係乜型號咁不濟? Ethernet 30MB/s都咁慘?開著左QoS?開著左FW/防毒?

1. ASUS ROUTER 唔刷MERLIN 既話. 可唔可以開SSH 功能後, 使用PING, TRACEROUTE, ROUTE, IPTABLE 既COMMAND? 改變ROUTE TABLE, 同自己寫既SH SCRIPT
>>>>>
official Asus router stock firmware有SSH, GUI ping, GUI WOL, GUI static Route, 唔使上Merlin已經有
入到去SSH就更加唔使講, 答完
https://www.asus.com/support/faq/1039292/
https://www.asus.com/us/support/faq/1011706/

4. ADGUARD HOME 係 ROUTER, 使用2核1.5HZ 既CPU 會唔會爆? 因為我用WMWARE 測試果時, CPU 使用高果時, 佢會一時FREEZE, 而做唔到封鎖網站
>>>>
ADG無用過, 用緊Pi-hole。我pihole經驗係, 佢偶然會freeze, 但由始至終CPU唔高。root cause, CPU的等I/O的時間耐, 因為係幾k幾k隨機寫log, DB入碟。我唔係用SSD, 只要隻碟大轉, 被其他software霸著, 佢就會freeze。ADG係咪都係呢個做法就唔知, NAND是否可解決等其他人答。(按理可以tune 大幾百MB cache, disable所有logs)

我亦畀另一個workaround:
每月HK$30, subscribe NextDNS/ ADG, router直指佢地server, 有account management
呢個係最robust

5. 紅米AX 6000無2.5G LAN PORT, TP-Link XDR6088 有2.5G LAN PORT. CPU 晶片一樣/RAM 一樣, 只係差左個2.5G LAN PORT. 但價錢差左200幾蚊. 係買左個ROUTER 之後, 短期唔會再換ROUTER 既話, 邊個會好D.
>>>>
我無花時間了解這兩個型號, 只能夠忠告你一句提防踩陷井。選型號宗指係2.5Gb port最起碼要一對先有意思, 如果得一個洞, 咁data流去邊? 4個1Gb ports匯集去啜奶有鬼意思?我真係見過大陸廠得一個2.5G咁樣玩野。

3. 如果我用1000M, OPENWRT 用QOS 做優先, 會唔會無乜用, SET PARAMETER 睇VIDEO 果時會流暢超多? 如果QOS SET 左相關PARAMETER 一邊睇YOUTUBE VIDEO, 一邊BT, 一邊睇網頁, 睇片速度會相差好多?

>>>>

極端情況都係會卡, 平時開著有好過無, 有少少幫助, 睇下你BT扯到乜程度
大部分firmware的QoS好食CPU, 食到連個throughput都低埋 。Openwrt有幾款MTK的QoS唔食CPU, 你search下Youtube, 但唔代表所有型號Openwrt都唔食, 亦唔代表所有MTK都唔食CPU driver對應的算法指令唔係隻隻一樣。現階段我就唔花時間掘資料, 因為我唔關心呢個功能
--------
如果CPU夠勁, 乾脆唔好開QoS好過, 你BT client limit 60%搞掂, 全屋企得你一個人BT ja ma?
CPU雞的話, 著QoS自剦叫好過無 (咁我不如client自剦)

---

作者: ecorange    時間: 2024-5-23 07:12


其實你係想分流？
某啲網站行vpn某啲直連
或者某部機行vpn某部機直連？

openclash就可以做到你想做既野

via HKEPC IR 5.1.14 - iOS(5.1.1F)

---

作者: fakeman    時間: 2024-5-23 08:41




    現時全部 SQM 都係純粹 software based，所以冇任何 OpenWrt supported SoC 係可以做到 hardware offloading + SQM，要 SQM 就只能靠 CPU 本身，不過 Mediatek 7986/Qualcomm IPQ 807x 開始以 ARM A53 做平台個 CPU 還算力大增之後就可以冇 offload 情況下都能做到比較好嘅 SQM，當然最新嘅 MTK 7998 用埋 A73 之後速度又高幾倍

---

作者: Yucie    時間: 2024-5-23 10:47



我有研究過openclash,
唔知係唔係我唔識用定係為國內用家
佢既功能
香港, 國內, 國外既做法, 係DOWNLOAD 國家分區TABLE, 然後再作分配
我既做法係指定幾個DOMAIN 走VPN, 其他唔洗做國家分區
而佢入面NETFIX 走分流功能, 因為唔可以自己做設定, 做唔到我想要既自選網站既功能.

最重要我既VPN SERVER 只係行OPENVPN, 唔走大陸用SS.
我亦唔會買機場服務, 所以用唔到(或者可能我唔識用)

最終都係要自己寫先得.

---

作者: Yucie    時間: 2024-5-23 11:08



我睇完之後, 覺得同我寫果個SH SCRIPT 做ROUTING 差唔多.
然後分別唔出IPTABLE同普通用SCRIPT 一行一行做IP ROUTE 有咩分別.
最重要既係, 如似TIKTOK 既網站, 每10幾分鐘就轉DOMAIN IP.
覺得用IPTABLE 做唔到CRONTAB 加 SCRIPT 既功能

而家我寫既SCRIPT
1.nslookup tiktok.com
2. get tiktok domain ip
3.ip route (tiktok ip) set gateway 行VPN

唔知係我對IPTABLE 既認知唔夠, 定係完全唔識用.
有望大家指教如何寫一個TABLE

定期更新DOMAIN IP 或者係可以自定DOMAIN NAME 後PUSH 流量去指定GATEWAY.

---

作者: tol4kzk    時間: 2024-5-23 13:38

本帖最後由 tol4kzk 於 2024-5-23 13:40 編輯

轉用 nftset nftable啦

openwrt 22.3 都已經用 fw4 , dnsmasq都唔support ipset啦

https://openwrt.org/docs/guide-user/firewall/misc/nftables

---

作者: tol4kzk    時間: 2024-5-23 13:44

本帖最後由 tol4kzk 於 2024-5-23 13:49 編輯


dnsmasq-full + nftset + nftable

hostname > IP > routing

但要留意大部分網站都套晒CDN, 咁分流會連帶其他唔需要分流O既網站(因為套同樣CDN 如CF, amazon)而同樣走左去VPN, 會有影響

---

作者: Yucie    時間: 2024-5-23 14:46

本帖最後由 Yucie 於 2024-5-23 14:47 編輯


[attach]2424206[/attach]

我用緊呢個ROUTER, 已經有10年. 由於而家用緊條INTERNET 既LAN 係100M, 所以用起呢個ROUTER 時唔覺得有好大分別.直到最近換光纖1000M, 個師傅裝完測試速度既時候, 佢插去我部ROUTER 再連佢部NOTEBOOK 行650M DL, 之後換直插LAN 線去光貓, 就上到950M. 即時知道我部ROUTER 可能唔夠用. 由於平時我抄FILE 都好細, 所以發覺唔到LAN TO LAN 行線會拉爆CPU. 結論之下, 換ROUTER可能係有需要. 由於我屋企用WIFI 流量唔大, 1 日行唔到200M, 平時行WIFI 5 已經足夠. 想來想去買N4500 做軟路由再插用緊ROUTER好定係買個800蚊樓下既ROUTER 好. 定係用緊部PC 有2.5G 同1G 2個LAN 口. 2.5G LAN 插光貓, 再用1G LAN 口插ROUTER 好(但關PC 時就唔知點好). 而買有2.5G LAN口既ROUTER, 只係為左唔需要再換ROUTER(因為個人唔太需要用WIFI, 換WIFI7 都無感覺, 不過有2.5G LAN 口既就影響日後用LAN 口既DEVICE , 所以先會想買2.5G LAN既ROUTER)

個人需要長期開OPENVPN 連去外邊,
而家做法我係WINDOW 寫個PYTHON SCRIPT 做ROUTING 工作.
不過有機會換ROUTER/軟路由情況下, 想買個能夠做分流既工作, 再加個ADGUARD 做多一層BLOCKING.
而家係BROWSER 睇YOUTUBE 同時開個PYTHON SCRIPT 做WEB SCRAPING, 有時會影響到YOUTUBE 斷視頻需要按RELOAD. 所以先會想開QOS.

---

作者: Yucie    時間: 2024-5-23 15:37

本帖最後由 Yucie 於 2024-5-23 15:43 編輯



    由於我唔太熟LINUX 系統. 我咁認知有無錯. 望請指教

openvpn 連線
openvpn -> call script
script ->

而家做法
OPENVPN 連接後跑TEST.SH

[attach]2424208[/attach]

如果我係用script, 直接增加ip route 會唔會好D?
因為NFTABLE 好似都係ROUTING IP 去某個 GATEWAY, 睇唔出用NFTABLE 或者IPTABLE 比起直接用
IP ROUTE 呢個COMMAND 會有咩野唔同, 或者更方便.

而且我睇到有D 人寫, 如果VPN 斷左.
個IPTABLE 係唔識UNLOAD 個TABLE, 要REFLASH 果個TABLE 先得.
而我寫果個SCRIPT, 斷左會即時將用VPN ROUTING 既IP 自動REFLASH, 斷左之後會直接使用DEFALUT GATEWAY.

如果我認知有錯, 希望大家指教.

---

作者: smoke_cheese    時間: 2024-5-23 15:44


個 concept 係哩3步用 dnsmasq 自動做，佢第3步係將個 ip 加入個 ipset
你事先 set 咗一條 rule 去 route 個 ipset 就唔使次次改 routing
我自己冇做過，應該係咁
下面師兄話現在改咗係 nftable / nftset
應該都係咁上下做法

---

作者: Yucie    時間: 2024-5-23 15:51



想問一下DNSMASQ 係唔係自動更新DOMAIN IP 定係一次過.
好似TIKTOK.COM 呢類網站, 幾分鐘就換一次DOMAIN IP.
如果DNSMASQ 行一次就以後更新IP 既話, 可能比寫SCRIPT 更方使

希望有師兄可以比個例子點寫, 我睇來睇去. 都唔識攪DNSMASQ

---

作者: smoke_cheese    時間: 2024-5-23 16:02

回覆 13# Yucie
dnsmasq 係個 DNS server，佢係你 lookup 個 domain name 果陣自動更新的

或者你睇睇哩個例子。

https://www.snbforums.com/thread ... t-and-dnsmaq.68389/

---

作者: pbodq    時間: 2024-5-23 19:27




同我一樣用緊隻十幾年的router, 我關晒所有野, NAT40MByte/s 都要40-70% CPU
LAN 90 MByte無乜記憶。那年代唔興評測, d廠瞞天過海, 話晶片1000Mbps就當1000賣, 超搵笨呃錢。 LAN內switching免強做到, 但一經過CPU gateway就唔達標, 我覺得係犯法。

好彩我幾乎唔使用VPN, 無咁多煩惱，只需解決土地問題同汪星人。PC拖ports做, 小心all-in-boom, 如果只係為左pilot / proof of concept目的, 無壞, 好建議, 滿足到需足後再另買N100, 但搭搭拆拆麻煩lor

現成的未完全合心水, 我就繼續等下先。等我收蔵呢個post, 睇下你之後搞左乜出來, 可以參考一下