目前家里网络结构比较“花”,简单描述一下现状和诉求,欢迎各位大佬拍砖、给建议:
🏠 当前网络环境
1. 两条千兆宽带
-
已通过 OPNsense + 中兴 7005tv3 路由桥接双链路 做到:
- IPv4 多 WAN 负载均衡( Gateway Group / Round Robin )
- IPv6 多 WAN 负载均衡( Gateway Group + 内网下发“伪全球地址” + NPTv6 )
- 单点多线程下载可以跑到 **250MB/s+**(约 2Gbps ),效果非常满意。
2. 多台 G 口服务器
- 手里有美西、亚洲、中东等多台 g 口不限流量服务器 主要作为科学用途。
3. 内网结构
已切分为 4 个 VLAN:
| VLAN | 用途 |
|---|---|
| 主用 | 正常日常设备 |
| IoT | 物联网设备,已使用 AC 共享限速(防止再遇到网友那种“电饭锅上传几百 G”的离谱事件) |
| 访客 | 单独隔离 |
| global | 需要海淘购物的设备 |
WiFi 通过 AC/AP 的 SSID 与 VLAN 绑定 一一对应
🙋♂️ 想解决的问题:global VLAN 如何优雅出墙?
现在的问题集中在 global VLAN (给 iPhone 、iPad 、switch 、电视盒子等非 PC 设备海淘购物使用):
想实现的效果:
-
自动按最快/最稳线路进行跨境访问
- 最好能“智能选路”(如高延迟自动切换、自动 Failover 、vps 全挂了不影响国内访问)
-
稳定不被封:敏感时期依然能海外购物
-
透明代理体验
- 由网关端完成 DNS 、策略路由、流量识别与分流
- 最好是不增加旁路设备
 |
1
basncy 16 天前
bgp 或 ospf
|
 |
2
terrancesiu 16 天前 via iPhone
除了智能选路这个需求,我基本都实现,也没有用旁路设备。对于智能选路,如果不用那些用爱发电的开源软件,只能用商业的 sd-wan 设备,单纯的 bgp ,或者用 ospf 做 igp 打底跑 bgp 都解决不了。
|
 |
3
jqknono 16 天前
shellcrash, mihomo
|
 |
4
sm1314 OP @terrancesiu 内外按 ip 分流吗,是怎么实现的?
|
 |
5
maybeonly 16 天前
要不要看看我的方案?
我这除了速度没什么追求以外 但是分地区感觉不是那么重要,现在大部分网站都是全球 cdn ,个别需求个别调度就好 |
|
8
maybeonly 16 天前
自己拿(策略)路由表都能拉,虽然不确定 opnsense 上具体能做到什么程度
这边也是因为结构太复杂才分 netns 的,本质上就相当于有多个设备 按 ip 列表选路的东西我早年做过(现在我用的版本仍然支持)但是全部不使用,因为不实用 我真切感觉你这个就是我方案的简化版,特别是我也是多宽带(但是不用叠加,不追求速度)、NPT 出、多 vlan (可各自配置策略)的结构,下面你想做的三个也都有,而且还有内外分流+dns 分流之类的 相信我,其他的不说,良好设计的 netns 集群那是一个维度的提升 |
|
9
basncy 16 天前
@sm1314 #7 把 wg0 加入 ospf ,然后声明这里有某个(vlan 的)IP 段出口。ospf 会自动计算最优路径, 就像 bgp 会自动计算到 8.8.8.8 的最优解.
|
|
10
sm1314 OP @maybeonly 用 AI 学习了一下你的方案,看我理解的对不对: 1.netns 隔离主要是方便管理隧道; 2. IP 分流基于 DNS + IP 双白名单 + 递归解析; 3. 分到国外的流量根据你的 dnsroute 选 netns 里面的隧道作为出口。
我的问题是 第 1 点 freebsd 貌似可以用 VNET 实现,第 2 可以使用 mosdns 吗?第 3 点其实就是策略路由? |
|
12
terrancesiu 15 天前 via iPhone
@sm1314 过滤器,vrf 都可以啊,比如你的 vlan 的有一个 c ,那 igp 的过滤器只放这个 c 进去。
|
 |
13
skymanv2 15 天前 via Android
关注中,我家里现在三条宽带,一个 nas ,在想要不要划分 vlan ,毕竟跨 vlan 访问设备还不太好弄。有没有大佬有最佳方案。
|
 |
14
datocp 15 天前 via Android
好花的技术
Ip 分流的意义纯粹浪费时间 多线的意义墙内多线负载 能支持中继的软件,条条大路通罗马 能直接 wifi 桥接到 vps 网络的,都全局出墙切个 wifi 的事还需要考虑 ip 分流。 |
|
15
maybeonly 15 天前
@sm1314 多 netns 是为了方便管理进行隔离的,比 vrf 的隔离更严格,也更清晰(代价也比 vrf 高,但是家用嘛,不差那点)
如果需要墙内外分流,我的做法是 ip 白名单+域名双名单(但是只有白名单是经常更新的)+递归,对未知域名进行递归依赖 ip 白名单 如果不用 dns 分流就不需要 dnsroute ,直接按顺序走隧道就好,这样的话用策略路由就好了。但是当有数十个 hy+xray+openvpn 的时候,策略路由不是很好管理(可以丢给一个调度器,如 clash 或者什么 box ),这样用策略路由就够了 无视细节的话,mosdns 可以实现大部分功能。 虽然我一直想着抽一个能分发的版本出来,但是还是忙于各种事情…… |
 |
16
flynaj 6 天前 via Android
easyter 可以配置延迟优先,加上策略路由就行
|
 |
17
starinmars 2 天前 via Android
类似的结构,同样的防火墙
|
Select Language