想問 OPENWRT 跟ROUTER 一堆問題

Yucie

因為我主要用WINDOW 關係, 好少用LINUX 系統.
研究左一星期, 開始了解LINUX 用既COMMAND
由於好多OPENWRT 插件好多係國內高手寫比國內翻牆及防中國DNS 污染等
同我期望既功能, 睇IP 行VPN GATEWAY(唔係指定邊個DEVICE 行VPN), 有好大分別.
而寫PBR 插件既大神, 研究左好耐, 終於明白個插件只係用來派GATEWAY 比指定DEVICE.
唔係用依網站地址分流 VPN.
終於要自已寫係OPENWRT ROUTING SCRIPT 先做到.

我部PC -> 開啟TIKTOK 網站 ->OPENWRT -> 分析地址 -> 行VPN GATEWAY1 -> 羅到DATA -> OPENWRT -> 我部PC 正常開啟TIKTOK

我部PC -> 開啟ABEMA TV 網站 ->OPENWRT -> 分析地址 -> 行VPN GATEWAY2 -> 羅到DATA -> OPENWRT -> 我部PC 正常睇外國視頻網站

我部PC -> 開啟唔需要VPN 既網站 ->OPENWRT -> 抓取網址 -> 行ISP 既GATEWAY, 唔行VPN. 速度會快

我部手機 -> OPENWRT -> 手機MAC ADDRESS -> OPENWRT 判斷MAC ADDRESS -> 所有流量行VPN


而家 DOWNLOAD GOOGLE DRIVER, FULL 10MB/s 使用CPU 40%, 行LAN 抄 FILE去另一個DEVICE 速度 30MB /s , CPU 使用即時變100%. 由於月尾轉換1000M, ROUTER 既CPU睇來已經頂唔到長期超過30MB/秒 處理速度. 所以想買個新ROUTER 及請教一些問題.

1. ASUS ROUTER 唔刷MERLIN 既話. 可唔可以開SSH 功能後, 使用PING, TRACEROUTE, ROUTE, IPTABLE 既COMMAND? 改變ROUTE TABLE, 同自己寫既SH SCRIPT

2. LINUX 既 IPTABLES 同 IPSET 係唔係只用來做FIREWALL?
我睇左好多文章, 都唔係太清楚IPTABLES 同IPSET, 我寫果SCRIPT 分流只係用ROUTE 呢個COMMAND , 完全用唔到IPTABLES 同IPSET. 睇得越多HOMEPAGE 講IPTABLES 同IPSET , 認知就越亂.

3. 如果我用1000M, OPENWRT 用QOS 做優先, 會唔會無乜用, SET PARAMETER 睇VIDEO 果時會流暢超多? 如果QOS SET 左相關PARAMETER 一邊睇YOUTUBE VIDEO, 一邊BT, 一邊睇網頁, 睇片速度會相差好多?

4. ADGUARD HOME 係 ROUTER, 使用2核1.5HZ 既CPU 會唔會爆? 因為我用WMWARE 測試果時, CPU 使用高果時, 佢會一時FREEZE, 而做唔到封鎖網站

5. 紅米AX 6000無2.5G LAN PORT, TP-Link XDR6088 有2.5G LAN PORT. CPU 晶片一樣/RAM 一樣, 只係差左個2.5G LAN PORT. 但價錢差左200幾蚊. 係買左個ROUTER 之後, 短期唔會再換ROUTER 既話, 邊個會好D.

問左好多問題, 希望各位CHING能夠解答

smoke_cheese

2. LINUX 既 IPTABLES 同 IPSET 係唔係只用來做FIREWALL?
Yucie 發表於 2024-5-23 01:42

iptables 係可以用嚟做 routing 的
你應該係揾下關於 policy routing
我唔記得細節但例如哩度個 method 2

https://superuser.com/questions/ ... sed-on-domain-names

哩句就應該係 route vpn_table 嘅 packet 去經 vpn 個 device 出

ip route add 0.0.0.0/1 via $route_vpn_gateway dev $dev scope global table vpn_table

但係要點 mark 啲 packet 去放入個 table 度就係更多細節要你慢慢睇了

pbodq

超多問題, 一大串文字, 要答有排答, 而且有堆關於routing的更加麻煩 我執雞, 揀埋最容易

好奇你果隻係乜型號咁不濟? Ethernet 30MB/s都咁慘?開著左QoS?開著左FW/防毒?

1. ASUS ROUTER 唔刷MERLIN 既話. 可唔可以開SSH 功能後, 使用PING, TRACEROUTE, ROUTE, IPTABLE 既COMMAND? 改變ROUTE TABLE, 同自己寫既SH SCRIPT
>>>>>
official Asus router stock firmware有SSH, GUI ping, GUI WOL, GUI static Route, 唔使上Merlin已經有
入到去SSH就更加唔使講, 答完
https://www.asus.com/support/faq/1039292/
https://www.asus.com/us/support/faq/1011706/

4. ADGUARD HOME 係 ROUTER, 使用2核1.5HZ 既CPU 會唔會爆? 因為我用WMWARE 測試果時, CPU 使用高果時, 佢會一時FREEZE, 而做唔到封鎖網站
>>>>
ADG無用過, 用緊Pi-hole。我pihole經驗係, 佢偶然會freeze, 但由始至終CPU唔高。root cause, CPU的等I/O的時間耐, 因為係幾k幾k隨機寫log, DB入碟。我唔係用SSD, 只要隻碟大轉, 被其他software霸著, 佢就會freeze。ADG係咪都係呢個做法就唔知, NAND是否可解決等其他人答。(按理可以tune 大幾百MB cache, disable所有logs)

我亦畀另一個workaround:
每月HK$30, subscribe NextDNS/ ADG, router直指佢地server, 有account management
呢個係最robust

5. 紅米AX 6000無2.5G LAN PORT, TP-Link XDR6088 有2.5G LAN PORT. CPU 晶片一樣/RAM 一樣, 只係差左個2.5G LAN PORT. 但價錢差左200幾蚊. 係買左個ROUTER 之後, 短期唔會再換ROUTER 既話, 邊個會好D.
>>>>
我無花時間了解這兩個型號, 只能夠忠告你一句提防踩陷井。選型號宗指係2.5Gb port最起碼要一對先有意思, 如果得一個洞, 咁data流去邊? 4個1Gb ports匯集去啜奶有鬼意思?我真係見過大陸廠得一個2.5G咁樣玩野。

3. 如果我用1000M, OPENWRT 用QOS 做優先, 會唔會無乜用, SET PARAMETER 睇VIDEO 果時會流暢超多? 如果QOS SET 左相關PARAMETER 一邊睇YOUTUBE VIDEO, 一邊BT, 一邊睇網頁, 睇片速度會相差好多?

>>>>

極端情況都係會卡, 平時開著有好過無, 有少少幫助, 睇下你BT扯到乜程度
大部分firmware的QoS好食CPU, 食到連個throughput都低埋 。Openwrt有幾款MTK的QoS唔食CPU, 你search下Youtube, 但唔代表所有型號Openwrt都唔食, 亦唔代表所有MTK都唔食CPU driver對應的算法指令唔係隻隻一樣。現階段我就唔花時間掘資料, 因為我唔關心呢個功能
--------
如果CPU夠勁, 乾脆唔好開QoS好過, 你BT client limit 60%搞掂, 全屋企得你一個人BT ja ma?
CPU雞的話, 著QoS自剦叫好過無 (咁我不如client自剦)

ecorange

因為我主要用WINDOW 關係, 好少用LINUX 系統.
研究左一星期, 開始了解LINUX 用既COMMAND
由於好多OPENWRT  ...
Yucie 發表於 2024-5-23 01:42

其實你係想分流？
某啲網站行vpn某啲直連
或者某部機行vpn某部機直連？

openclash就可以做到你想做既野

via HKEPC IR 5.1.14 - iOS(5.1.1F)

fakeman

大部分firmware的QoS好食CPU, 食到連個throughput都低埋 。Openwrt有幾款MTK的QoS唔食CPU
pbodq 發表於 2024-5-23 05:30

    現時全部 SQM 都係純粹 software based，所以冇任何 OpenWrt supported SoC 係可以做到 hardware offloading + SQM，要 SQM 就只能靠 CPU 本身，不過 Mediatek 7986/Qualcomm IPQ 807x 開始以 ARM A53 做平台個 CPU 還算力大增之後就可以冇 offload 情況下都能做到比較好嘅 SQM，當然最新嘅 MTK 7998 用埋 A73 之後速度又高幾倍

Yucie

其實你係想分流？
某啲網站行vpn某啲直連
或者某部機行vpn某部機直連？

openclash就可以做到你想做既野
...
ecorange 發表於 2024-5-23 07:12

我有研究過openclash,
唔知係唔係我唔識用定係為國內用家
佢既功能
香港, 國內, 國外既做法, 係DOWNLOAD 國家分區TABLE, 然後再作分配
我既做法係指定幾個DOMAIN 走VPN, 其他唔洗做國家分區
而佢入面NETFIX 走分流功能, 因為唔可以自己做設定, 做唔到我想要既自選網站既功能.

最重要我既VPN SERVER 只係行OPENVPN, 唔走大陸用SS.
我亦唔會買機場服務, 所以用唔到(或者可能我唔識用)

最終都係要自己寫先得.

Yucie

iptables 係可以用嚟做 routing 的
你應該係揾下關於 policy routing
我唔記得細節但例如哩度個 method 2
...
smoke_cheese 發表於 2024-5-23 04:26

我睇完之後, 覺得同我寫果個SH SCRIPT 做ROUTING 差唔多.
然後分別唔出IPTABLE同普通用SCRIPT 一行一行做IP ROUTE 有咩分別.
最重要既係, 如似TIKTOK 既網站, 每10幾分鐘就轉DOMAIN IP.
覺得用IPTABLE 做唔到CRONTAB 加 SCRIPT 既功能

而家我寫既SCRIPT
1.nslookup tiktok.com
2. get tiktok domain ip
3.ip route (tiktok ip) set gateway 行VPN

唔知係我對IPTABLE 既認知唔夠, 定係完全唔識用.
有望大家指教如何寫一個TABLE

定期更新DOMAIN IP 或者係可以自定DOMAIN NAME 後PUSH 流量去指定GATEWAY.

tol4kzk

轉用 nftset nftable啦

openwrt 22.3 都已經用 fw4 , dnsmasq都唔support ipset啦

https://openwrt.org/docs/guide-user/firewall/misc/nftables

tol4kzk

我睇完之後, 覺得同我寫果個SH SCRIPT 做ROUTING 差唔多.
然後分別唔出IPTABLE同普通用SCRIPT 一行一行做 ...
Yucie 發表於 2024-5-23 11:08

dnsmasq-full + nftset + nftable

hostname > IP > routing

但要留意大部分網站都套晒CDN, 咁分流會連帶其他唔需要分流O既網站(因為套同樣CDN 如CF, amazon)而同樣走左去VPN, 會有影響

Yucie

超多問題, 一大串文字, 要答有排答, 而且有堆關於routing的更加麻煩 我執雞, 揀埋最容易

好奇你果隻 ...
pbodq 發表於 2024-5-23 05:30

我用緊呢個ROUTER, 已經有10年. 由於而家用緊條INTERNET 既LAN 係100M, 所以用起呢個ROUTER 時唔覺得有好大分別.直到最近換光纖1000M, 個師傅裝完測試速度既時候, 佢插去我部ROUTER 再連佢部NOTEBOOK 行650M DL, 之後換直插LAN 線去光貓, 就上到950M. 即時知道我部ROUTER 可能唔夠用. 由於平時我抄FILE 都好細, 所以發覺唔到LAN TO LAN 行線會拉爆CPU. 結論之下, 換ROUTER可能係有需要. 由於我屋企用WIFI 流量唔大, 1 日行唔到200M, 平時行WIFI 5 已經足夠. 想來想去買N4500 做軟路由再插用緊ROUTER好定係買個800蚊樓下既ROUTER 好. 定係用緊部PC 有2.5G 同1G 2個LAN 口. 2.5G LAN 插光貓, 再用1G LAN 口插ROUTER 好(但關PC 時就唔知點好). 而買有2.5G LAN口既ROUTER, 只係為左唔需要再換ROUTER(因為個人唔太需要用WIFI, 換WIFI7 都無感覺, 不過有2.5G LAN 口既就影響日後用LAN 口既DEVICE , 所以先會想買2.5G LAN既ROUTER)

個人需要長期開OPENVPN 連去外邊,
而家做法我係WINDOW 寫個PYTHON SCRIPT 做ROUTING 工作.
不過有機會換ROUTER/軟路由情況下, 想買個能夠做分流既工作, 再加個ADGUARD 做多一層BLOCKING.
而家係BROWSER 睇YOUTUBE 同時開個PYTHON SCRIPT 做WEB SCRAPING, 有時會影響到YOUTUBE 斷視頻需要按RELOAD. 所以先會想開QOS.