配置旁路由的注意事项

1. 动机

主路由性能难以支持clash分流等操作，clash分流时依赖CPU性能而不是硬件转发，故而存在性能瓶颈。实验证实，高性能软路由往往能支持100Mbps甚至更高速率的外网转发，这一点是普通路由器难以做到的。而对于普通的NAT转发，路由器的硬件加速较软路由有着“四两拨千斤”的效果。

器材：x86机器安装Docker，单网口也可实现软路由。

2. 注意事项

   • clash配置文件中，最好启用skip-verify并启用UDP，虽然这样不安全（中间人攻击），但是要考虑到学校内网是没有certification，IP连接的也占多数
   • 路由器在DHCP过程中会向客户机下发默认网关与IP等信息，在此过程中改变DHCP下发的网关即可对所有的客户端生效。
   • 若测试出现问题，先不要一味认为是软路由故障，网络问题多种多样，还有可能是订阅中的服务器出现连接故障，检测方法是使用4G/5G设备验证。

3. 收获

   软路由确实有效，但是仍旧需要良好的订阅作为支撑

   DHCP默认网关与路由器中路由表的默认网关不同，前者为下发给设备的默认网关，后者不是。对于本校（SNNU），若贸然更改默认网关（后者），会导致路由器掉线，原因是更改默认网关后路由器会重连，与外网无关。

   未解决的问题：

   • WLAN/Ethernet链路聚合失效，原因不明

     这里说的链路聚合，严格意义上说是负载均衡。手动指定WLAN与Ethernet网卡的跃点，可以实现两个网络连接叠加的效果。

   • 主路由的VPN连接失效，具体故障应该是DNS解析失败，IP访问外网正常（但无法接入Google）

     已解决，DHCP配置DNS时不必设为旁路由IP，无法接入Google是因为路由器自己充当了默认网关路由器下发给客户端的默认网关是服务端的IP地址，这是PPTP的特性决定的，后面的想法是对于服务端IP设定特别的网关

   原因分析：可能是下发的默认网关使二者失效，暂时的解决方法是在有需要时更换DHCP默认网关。

   下一步，在软路由上配置双网卡，真正将软路由作为路由器使用。

    

更新

• 软路由在稳定性上存在问题。若软路由死机，网络瞬间崩溃。

  • 为了解决此问题，首先要做的改变是将DHCP服务器下发的默认网关删除，不论软路由是否出现问题，至少应保证网络可用。

  • 解决此问题有两个思路，

    • 继续选择在路由器上使用代理软件，不过应进行优化，例如超频，选用ipset工具减少CPU压力，CPU压力主要来自庞杂的AES加密解密，可选用不加密的链接（此举不推荐，vps的ipv4地址已经被墙，目前使用ipv6地址苟活）。
    • 提升软路由的稳定性，换用kde或xfce桌面。

  • 解决策略：对路由器的CPU实现超频，由880MHz提升至1100MHz，使用SSR+进行代理工作。

  • 弊端：超频依赖CPU体质与主板供电情况，已经有一个路由器因超频损坏了USB3.0接口。另外，超频带来的性能提升不及软路由，连接速度在100Mbps左右，因此应考虑如何解决软路由的稳定性问题。

2024.3.17更新

• 软路由的稳定性问题已有突破口。

  • 据查，软路由的内存有问题，主要表现在随着使用时间增加，内存缓存增多，进行一些安装软件的操作时会出现段错误。为解决此问题，

    • 换内存。此方式不可取，因为电脑不是自己的，电脑归还后内存无用武之地。
    • 换机器。可行，购置一1007U ，2+32的机器，80元。此机器为工控机性质，十分稳定，但不支持硬件AES。
    • 让内存占用降低。关闭图形界面，关闭docker，清除不需要的软件与服务。

  • 尽量使用最少的资源实现功能。

    • 软路由需要配置docker形式的openwrt，不仅配置困难，且许多功能与宿主机重复，由于docker策略（macvlan），宿主机无法访问openwrt。另外，docker挂载硬盘后，宿主机再次挂载会提示设备忙，使得外界访问硬盘只能使用openwrt自带的工具。
    • 根据需求，宿主机只需完成数据包转发与代理即可，转发Linux自己即可完成，开启内核转发，iptables放行转发即可。代理则需要启用clash的tun模式，但需要root权限运行。
    • 数据包转发可以充分利用单个设备的网络连接，只需将设备网关指定为运行代理软件的机器ip即可，尤其适用于对接入设备有限制的代理提供商。

• 遇到的问题：

  • 开启内核转发与tun设备后只能用socks代理连接，无法转发数据包。

    • 使用iptables -F命令清除后成功转发数据包。说明iptables阻碍转发。
    • iptables无法保存，重启后iptables恢复原样。网络上说使用service iptables save,对ubuntu来说明显是错的，没有这个服务。有的说使用iptables-save,明显也不对，运行了依然无法保存。有的说用iptables-persistant,依然如上。
    • 要明白iptables启动的原理，iptables启动后是空的，随后使用/etc/iptables.rules加载规则。目前使用iptables -F 对其无效。观察/etc/iptables.rules 的内容，可以看出forward链中有一条REJECT操作，删除后，重启即可生效。不建议全部删除iptables中的规则，否则会有意想不到的后果。后续需要将REJECT添加回iptables表，并在forward链中添加特定网络的转发规则。

  • clash开机启动

    可以使用以下方法：Sitoi/SystemdClash: Clash 以 systemd 服务的方式开机自启 (github.com)

    需要提醒的是，不同用户运行应指定好配置文件，可用-f参数指定，建议最好将配置文件放入~/.config/clash目录下。例如，此服务以root权限运行，配置文件应放入/root/.config/clash中。

• 使用效果：

  代理可达满速

  工作稳定，内存占用<1GB，平时CPU占用在1%以下，系统负载为0.09（测速时），0.03（有连接时），0.00（无连接时），响应速度快。