V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kyonn
V2EX  ›  宽带症候群

[软路由] 需求与方案讨论,请各位 v 友支招。

  •  
  •   kyonn · 2018-07-01 11:42:03 +08:00 · 1599 次点击
    这是一个创建于 2365 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前几日刚下单了 x86 软路由,一台工控机,4 个千兆网口,硬件支持 aes,avx2。趁快递到之前先理了下需求,有些疑惑的地方请各位支招。 目前我的已有需求如下:

    1. 部署科学上网软件,但是希望能有策略筛选能通过软路由科学上网的设备。
    2. 屏蔽广告。
    3. 实现网页秒开( ddns ?透明代理?不晓得该搜索哪个关键字)
    4. 远程唤醒局域网内主机。(例如从公司唤醒家里的台式机)
    5. 本地 /远程下载机(主要是公司下载东西很慢,看能否有办法把下载请求同步给家里的软路由?下载完再通过什么渠道拿回来?这个方案上还没思路,请各位指教)
    6. 本地局域网内的网络拓扑疑问:是直接拿软路由剩下的 3 个口连 AP 呢?还是先连到交换机,再交换机连 AP,各有什么优劣势,不是很清楚。
    7. 多播。
    8. 硬件上会拿 SSD 当系统盘,再接一个 HDD,应该做不了 NAS 了。
    9. 流控。

    暂时先有这么些需求,请教各位 v 友。是不是用虚拟机方案比较好实现?需要虚拟出什么系统来分别实现上述需求? 个人有些 linux 基础,也愿意折腾,还请各位 v 友指教。

    第 1 条附言  ·  2018-07-01 12:47:16 +08:00
    新增个需求,软路由上能否新增一个认证上网的功能,比如网页输入账号密码?防止客人来了,被他们手机里的万能 wif 等软件收集密码。
    30 条回复    2018-07-08 23:20:03 +08:00
    dorothyREN
        1
    dorothyREN  
       2018-07-01 11:48:07 +08:00
    我没看懂第五个需求是想干啥
    yexm0
        2
    yexm0  
       2018-07-01 11:52:37 +08:00 via iPhone   ❤️ 1
    上 esxi 开虚拟机,然后用爱快之类的做流控,koolshare 的 lede x64 版解决科学上网,屏蔽广告,ddns 之类。性能有富余的再装个黑群晖做 nas 以及下载之类
    kyonn
        3
    kyonn  
    OP
       2018-07-01 11:54:48 +08:00
    kyonn
        4
    kyonn  
    OP
       2018-07-01 11:56:22 +08:00
    @dorothyREN
    举个例子,公司屏蔽了一些国外网站访问,我想把下载请求发给软路由,下载完毕后再从软路由这里导回到公司。
    cwbsw
        5
    cwbsw  
       2018-07-01 12:01:46 +08:00
    路由接交换机,交换机接所有 LAN 侧设备。
    kyonn
        6
    kyonn  
    OP
       2018-07-01 12:04:50 +08:00
    @cwbsw 你好,请问下这样跟软路由 LAN 口直接接所有 AP 有什么区别?
    kyonn
        7
    kyonn  
    OP
       2018-07-01 12:06:19 +08:00
    @yexm0 感谢回复。爱快之前似乎有黑历史,暂时不作为第一考虑了。
    leafleave
        8
    leafleave  
       2018-07-01 12:07:53 +08:00 via iPhone
    @kyonn 那不如在家里这个机器上放一个代理服务器,然后从公司连回来
    kyonn
        9
    kyonn  
    OP
       2018-07-01 12:08:58 +08:00
    @leafleave 在软路由上做一个反向代理吗?一般用什么方案?
    dorothyREN
        10
    dorothyREN  
       2018-07-01 12:09:14 +08:00
    @kyonn 那你在公司挂个代理不就搞定了。
    kyonn
        11
    kyonn  
    OP
       2018-07-01 12:11:01 +08:00
    @dorothyREN 不让挂。。。。不然我就直接挂了。
    kyonn
        12
    kyonn  
    OP
       2018-07-01 12:11:22 +08:00
    @dorothyREN 而且公司通过认证上网的。
    leafleave
        13
    leafleave  
       2018-07-01 12:26:28 +08:00 via iPhone
    @kyonn 哦,原来公司不让挂代理那就算了,我开始想的是弄一个 open vpn 或者 ss 的服务器。
    ijimmy
        14
    ijimmy  
       2018-07-01 12:54:24 +08:00 via iPhone
    ESXI,LEDE 或 LEDE 加爱快
    kyonn
        15
    kyonn  
    OP
       2018-07-01 13:07:14 +08:00
    @ijimmy 跟 proxmox 方案有什么优劣对比吗?
    ijimmy
        16
    ijimmy  
       2018-07-01 14:37:02 +08:00 via iPhone
    @kyonn 没对比过,不过个人喜好吧……
    KenGe
        17
    KenGe  
       2018-07-01 15:55:42 +08:00
    esxi 然后爱快做主,lede 做网关给你要的第一项功能
    我现在就是这么搞在,就是不知道爱快什么时候支持 ipv6
    zhaoxiting1997
        18
    zhaoxiting1997  
       2018-07-01 16:16:32 +08:00
    http://firmware.koolshare.cn/LEDE_X64_fw867/
    LEDE X64 解决你的所有问题
    exdriver
        19
    exdriver  
       2018-07-01 18:26:40 +08:00 via iPhone
    exdriver
        20
    exdriver  
       2018-07-01 18:27:10 +08:00 via iPhone
    @exdriver #19
    cwbsw
        21
    cwbsw  
       2018-07-01 19:14:29 +08:00
    @kyonn 桥接路由器端口的话 LAN 侧内部流量都要由路由器做转发,会占用路由器 CPU。而交换机都有专用芯片直接二层转发,轻松跑满线速。
    shinko
        22
    shinko  
       2018-07-01 19:15:21 +08:00
    每次看到软路由总会有人推荐爱快这个黑历史满满的系统。哈哈哈哈
    避免又给人说回复对楼主没用,就推荐个方案吧。

    碧海威做流控,linux 系统做网关利用 iptables+ipset 转发特定的域名 ip 地址到透明代理,利用 chinadns+Pi-hole 解决 dns 污染和广告屏蔽。再虚拟一台 linux 系统安装各种 docker 来下载共享的,包括 timemachine。

    楼主要是会 proxmox 就用 proxmox。
    sunnygaofan
        23
    sunnygaofan  
       2018-07-02 01:56:31 +08:00 via iPhone
    我说下你第 5 个需求,在软路由上用 docker 启用 aria2,及 nginx,实现远程下载及取回,不过前提是有固定 ip 或者配好花生壳什么的
    fleetwood
        24
    fleetwood  
       2018-07-02 04:09:08 +08:00
    RouterOS
    https://mikrotik.com/download

    告訴你關鍵:Google 是你的朋友。
    yooping
        25
    yooping  
       2018-07-02 13:29:18 +08:00
    这些 LEDE 都能做到啊, 如果使用个人版的话, 这些功能基本都自带了, 用官方就得手动折腾一下
    ggllioio
        26
    ggllioio  
       2018-07-08 21:25:40 +08:00
    第三条网页秒开,用 squid 做透明代理可实现。不过只能代理 http,https 不建议。正向代理是典型的中间人,https 正是要避免这一点的。

    其实只要网络不是太差,换上软路由后感觉跟秒开其实差不多了。

    我是 n3700+k 坛的 openwrt
    ggllioio
        27
    ggllioio  
       2018-07-08 21:30:24 +08:00
    第二点屏蔽广告我个人体验是在客户端来做,pc 上 chrome 配合一大票扩展,手机上 Brave 浏览器吧
    ggllioio
        28
    ggllioio  
       2018-07-08 21:34:56 +08:00
    6.看你需要随便连。ap 接在交换下边,那么交换机下所有设备互传数据不经过路由。
    ap 接在路由口上,跟交换机下设备互传数据需要经过路由 cpu (软交换),要消耗一部分性能。但交换机挂了不影响 ap。
    ggllioio
        29
    ggllioio  
       2018-07-08 21:50:03 +08:00
    8.你需要 pve 或 esxi 虚拟平台,不知道你软路由什么配置。
    7.国内爱快,高恪,海蜘蛛,碧海威,panabit。国外 pfsense,opnsense,openwrt。都可实现。
    9.想流控必须上国内系统,这功能靠规则实现。国外的在迅雷面前全是渣。
    补充下 3,别折腾代理了,以后都是 https 了。搞搞 dns 解析加速还靠点谱,缓存后起码每次解析能省个几十 ms。
    补充下 2,屏蔽广告问题其实也是规则问题,一旦误伤或未生效,或者加个白名单,难道还进路由里边去调?哪有扩展方便。

    想到哪写到哪,多回复了几层楼主别见怪
    kyonn
        30
    kyonn  
    OP
       2018-07-08 23:20:03 +08:00
    感谢楼上各位出谋划策,不一 一 @了。
    目前不死心,搞了 ubuntu server 在折腾。直接上了 iptable 实现 nat,oveture 实现 dns 解析,科学上网老方案。
    透明代理的 ss-redir 还没设置 iptable。。。晚点折腾完再更新。

    现在有个疑问,看到 overture 作者说 调大 ttl min 值实现秒解析,但是如果有 ddns 需求,配合 dnsmasq 搞一波就可以了,不晓得稍微具体点如何实现?是在 dnsmasq 里加例外规则吗(其余规则走上游到 overture 去解析)?

    等折腾不动了估计就上 lede,pfsense 这些现成方案了。。。。
    我的软路由是 intel 5300u @ggllioio

    https://www.v2ex.com/t/334691 37#楼
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2825 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 09:39 · PVG 17:39 · LAX 01:39 · JFK 04:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.