使用RouterOS，OSPF 和OpenWRT给国内外 IP 分流

博主： sagit
发布时间：2021 年 12 月 13 日
22778 次浏览
74 条评论
5677字数
分类：路由

[哔哩哔哩](https://www.bilibili.com/video/BV1ZZ4y1978v/)

# 前言

介绍啥的我就不说了，想必对这个有兴趣的已经搜了很多文章了。
这个实现的过程就是利用GitHub上的一个项目拉取apnic 和 ipip的中国地址列表，然后取反，将列表生成bird的静态路由格式，通过OSPF把路由表传给ROS，国内IP直接通过ros出去，国外IP ROS根据路由表转发给Openwrt科学出去，从而实现国内外IP分流。
这样做的好处是，Openwrt关机不会影响国内IP的正常上网，Openwrt开机ROS自动分流。本教程没有涉及DNS的分流，至于获取无污染的DNS，大家可以建一个adguard类的DNS服务器，获取一些国外DOH的DNS。

# 准备

## 软件下载

Openwrt上我们需要一些软件所有IPK都在[openwrt.org](https://downloads.openwrt.org/releases/packages-21.02/x86_64/)，注意选对版本和架构
在`routing`里搜索**bird**
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1265944841.png)
我们需要安装这些软件

在`packages`搜索**git**

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1932500492.png)

我们需要安装这些软件
继续搜索**nano**,安装nano
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/51360387.png)

继续搜索**make**,安装make
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/2016177656.png)
另外固件里要有Python3和curl如果没有和也要下载安装

## 安装方法

用ssh工具链接Openwrt
比如要下载make
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1468795075.png)

右击复制链接地址，然后在ssh里wget 链接地址
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/30229892.png)
然后ls查看名字
然后okpg install 名字
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/4134845757.png)

**注意有些应用安装提示错误的是因为要先安装别的，换换安装顺序就可以装上了**

## 现成的openwrt

[蓝奏云](https://www.lanzouv.com/in7WZxl88za)
这个是我自用的openwrt，里面包含了以上软件，以下的配置也都已经弄好了，但是软件比较少只有ssrp。
使用我的固件只需要设置好科学全局，和定时任务就可以了

### 已知问题

我的固件ssh远程无法链接，解决办法：
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/683229730.png)

把关于ssh的删掉，安装这两个

## GitHub项目

我们需要用到这个项目[dndx/nchnroutes](https://github.com/dndx/nchnroutes)，GitHub里面介绍已经很全了，我这里就不重复了

我们需要把它clone到Openwrt上

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1831241363.png)

`git clone https://github.com/dndx/nchnroutes.git`

# OpenWRT

首先需要OpenWRT 以旁路由的模式运行。并且可以正常上网，打开科学上网，并且选择全局。防火墙转发全部允许

进入到刚刚clone的目录
`cd nchnroutes/`
然后需要编辑**produce.py**
输入`nano produce.py`
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1374681128.png)
将这里改成br-lan
按`ctrl + x` 回车保存

然后执行`make`
然后会生成` routes6.conf`和 `routes4.conf`

打开openwrt的webui
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/442393295.png)
将bird4和6的这个取消勾选，保存应用

然后我们修改`/etc/bird4.conf`文件
`nano /etc/bird4.conf`**先把里面的内容删除干净**，然后粘贴下面的内容

```
router id 10.0.0.253;

# The Kernel protocol is not a real routing protocol. Instead of communicating
# with other routers in the network, it performs synchronization of BIRD's
# routing tables with the OS kernel.
protocol kernel {
	scan time 60;
	import none;
	export all;   # Actually insert routes into the kernel routing table
}

# The Device protocol is not a real routing protocol. It doesn't generate any
# routes and it only serves as a module for getting information about network
# interfaces from the kernel. 
protocol device {
	scan time 60;
}

protocol static {
    include "routes4.conf";
}

protocol ospf {
    export all;

area 0.0.0.0 {
        interface "*" {
            #authentication cryptographic;
            #password "foobar";
        };
    };
}
```

**router id**改成你的openwrt的IP
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/3646856602.png)

同理替换`/etc/bird6.conf`

```
router id 10.0.0.253;

protocol kernel {
	scan time 60;
	import none;
	export all;   # Actually insert routes into the kernel routing table
}

protocol static {
    include "routes6.conf";
}

protocol ospf {
    export all;

area 0.0.0.0 {
        interface "*" {
        };
    };
}
```

**如果你不需要IPV6的分流的话，`/etc/bird6.conf`就不需要动**

如果粘贴格式不对的话，也可以在PC上创建好文件，用文件管理替换掉源文件

然后将刚才生成的`routes6.conf`和`routes4.conf`移动到`/etc`下面

```
mv routes4.conf /etc/routes4.conf
mv routes6.conf /etc/routes6.conf
```

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/11170494.png)

点击bird4和6的restart，如果不需要ipv6分流的不需要点击bird6的restart

# RouterOS

打开OSPF面板

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/3679255346.png)

如果你没有的话，那就是你没有安装或者没有启用`routing` package。

点击**instance**，点击＋
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/731496233.png)

名字随便，router ID填ros的IP

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1788850140.png)

点击**Areas**,点击＋
名字随便，**instance**选刚刚创建的，如图

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/595727762.png)

点击**interface templates**，点击＋

**interfaces**选择你内网的接口（桥接接口），**Areas**选择刚刚创建的

全部创建完成点击neighbors就可以看到Openwrt的router ID了
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/393301696.png)
以上就是IPV4分流
同理IPV6只需要再添加一条**instance**，**version**选择3就可以了
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1591886387.png)

最后可以看到传过来的路由表了
![image.png](https://www.truenasscale.com/usr/uploads/2021/12/4170400354.png)

# 热更新路由

我们需要修改openwrt上面那个Makefile
`nano Makefile`

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/1446337631.png)

图片上只执行ipv4的如果你需要IPV6把图片上的#删掉就可以了**birdc4 configure改成/etc/init.d/bird4 reload**

最后加上定时任务

```
crontab -e
```

按`i`编辑 按`Esc`退出编辑，输入`:wq`保存退出

![image.png](https://www.truenasscale.com/usr/uploads/2021/12/2875742295.png)

`0 0 * * 0 make -C /root/nchnroutes`

每周日0点更新

# 附件

[route4.conf,route6.conf](https://www.lanzouv.com/iR9Pexmg9ej)

**`如果你觉得本教程对你有帮助，请随意打赏，谢谢。`**

最后修改：2021 年 12 月 18 日

如果觉得我的文章对你有用，请随意赞赏

74 条评论

jack
October 29th, 2023 at 07:10 pm

bird启动后，ssr+就连接超时

回复
1. zz
  November 27th, 2023 at 10:13 am
  
  @jack
  
  对的，我的也是的，不知道楼主是怎么解决的
  
  回复
ol
December 11th, 2022 at 03:19 pm

你好，问一下执行make后出错了怎么办？
root@OpenWrt:~/nchnroutes# make
git pull
curl -o delegated-apnic-latest https://ftp.apnic.net/stats/apnic/delegated-apnic-latest
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 3622k 100 3622k 0 0 693k 0 0:00:05 0:00:05 --:--:-- 888k
curl -o china_ip_list.txt https://raw.githubusercontent.com/17mon/china_ip_list/master/china_ip_list.txt
curl: (6) Could not resolve host: raw.githubusercontent.com
make: * [Makefile:4: produce] Error 6

回复
不知名的匿名人士
December 8th, 2022 at 03:40 pm

前面的工具都安装了。到git clone https://github.com/dndx/nchnroutes.git这一步的时候提示fatal: unable to access 'https://github.com/dndx/nchnroutes.git/': Could not resolve host: github.com是什么原因啊？

回复
潜心学习的男孩
December 8th, 2022 at 03:34 pm

前面所有的工具都安装了。到git clone https://github.com/dndx/nchnroutes.git 这一步的时候提示fatal: unable to access 'https://github.com/dndx/nchnroutes.git/': Could not resolve host: github.com，这是什么原因啊？

回复
luncu
October 3rd, 2022 at 10:42 pm

生成路由表的时候我用--exclude排除了VPS的IP(X.X.X.X/32)，但是好像VPS的路由还是发往了OP，我现在都是两边分别下静态路由表来防止VPS回环，有什么别的方案么

回复
liwai
September 24th, 2022 at 09:54 am

root@cssth-k3:~/nchnroutes# make
git pull
Already up to date.
curl -o delegated-apnic-latest https://ftp.apnic.net/stats/apnic/delegated-apnic-latest
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
8 3584k 8 320k 0 0 84388 0 0:00:43 0:00:03 0:00:40 84431
curl: (18) transfer closed with 3343307 bytes remaining to read
make: * [Makefile:3: produce] Error 18
root@cssth-k3:~/nchnroutes#
Error 18

回复
1. yeminny
  September 24th, 2022 at 04:44 pm
  
  @liwai
  
  升级python3.6到3.7+以上便可
  
  回复
ryan
August 25th, 2022 at 03:41 pm

问个不相关的问题
原本是ikuai+openwrt，ikuai不做与旁路由关联的配置，正常终端不走代理，要出国海淘学习就把网关和dns配置成openwrt的ip，这样保证openwrt挂了，也不会影响其他人上网
前天装了ros，也是没有做关联旁路由的配置，但是发现电脑没办法上国内网站了
其他自动获取IP的设备都正常，但是网关成到openwrt的设备就只能上外网（深造插件改成全局代理的话也能上国内网站）
而且nslookup www.douyu.com 可以正常返回ip，但是无法打开网页,大佬知道为啥吗？

回复
1. sagit
  August 28th, 2022 at 06:31 pm
  
  @ryan
  
  不知道。。
  
  回复
kakalaka
June 14th, 2022 at 06:28 pm

ros ospf收到bird4的路由表优先级都是110 ros 默认路由0.0.0.0/0 优先级也调整了 111 还是访问不了外面的网(ó﹏ò｡)

回复
1. sagit
  June 17th, 2022 at 03:00 pm
  
  @kakalaka
  
  排除VPS的IP了吗
  
  回复
seancheng
May 1st, 2022 at 07:23 pm

启用bird后opencl*sh节点全部超时，需要怎么设置？谢谢

回复
lanhun
April 25th, 2022 at 03:25 am

您好,我现在ros已经接收到路由表,但是客户机走科学的比如1.1.1.1不通.
我在openwrt上traceroute 1.1.1.1
traceroute to 1.1.1.1 (1.1.1.1), 30 hops max, 46 byte packets
1 10.99.8.8 (10.99.8.8) 3071.455 ms !H 3060.914 ms !H^C
第一跳10.99.8.8是openwrt地址,就一直失败.如果关闭bird就能成功.

回复
1. sagit
  April 27th, 2022 at 09:27 am
  
  @lanhun
  
  ICMP的包是发布出去的，你只能用wget curl之类的测试网通不通
  
  回复
qk833
February 28th, 2022 at 02:35 pm

你好，如果局域网客户端连上router os后通过路由表找到openwrt，这样的话openwrt接受到的请求全部来自routeros，则openwrt下ssr或者任何隧道软件的内网客户端访问控制失效。如何在router os侧做某个设备的访问控制不让他走隧道，局域网内有个pt下载器。

回复
1. sagit
  March 2nd, 2022 at 08:49 pm
  
  @qk833
  
  ros ospf设置个路由表然后标记就可以了实现了
  
  回复
  1. sumdy
    April 14th, 2022 at 03:24 pm
    
    @sagit
    
    请问能说下具体怎么设置路由表和标记让特定的内网客户端不经过op吗，比如楼上说的pt下载器，小白对ros有些蒙，感谢。
    
    回复
frankie
February 11th, 2022 at 04:37 pm

请教一下能不能bird用一个op，科学用另外一个op，把国外的网关指向科学的op？

回复
1. sagit
  February 11th, 2022 at 06:00 pm
  
  @frankie
  
  不能
  
  回复
  1. frankie
    February 11th, 2022 at 09:26 pm
    
    @sagit
    
    感谢回复，那请问固件能安装openclash？习惯了oc
    
    回复
    
    sagit
    February 13th, 2022 at 06:03 pm
    
    @frankie
    
    自己找到对应版本的ipk应该就能安装
    
    回复
niko
January 28th, 2022 at 09:16 am

请问你提供的openwrt.img的root密码是多少？

回复
1. sagit
  January 29th, 2022 at 01:21 pm
  
  @niko
  
  password
  
  回复
2. niko
  January 28th, 2022 at 09:27 am
  
  @niko
  
  知道怎么改了
  
  回复
chen
January 26th, 2022 at 02:23 am

搞了很多次，依然没有成功，表现为ros接收不到op的路由表

回复
1. niko
  February 2nd, 2022 at 06:35 pm
  
  @chen
  
  我也是，路由表没有接收到
  
  回复
  1. sagit
    February 3rd, 2022 at 12:01 am
    
    @niko
    
    这种一般就是produce.py里面的接口设置的和op接口名不对，你可以终端输入ip addr看看有ip地址的接口名是什么
    
    回复
keke
January 15th, 2022 at 10:47 pm

ors7.1前的版本，没找到那个version的地方，不知道怎么下手了

回复
1. sagit
  January 16th, 2022 at 01:12 am
  
  @keke
  
  有问题加tg群问
  
  回复
  1. frankie
    February 11th, 2022 at 04:17 pm
    
    @sagit
    
    请问tg群是多少？
    
    回复
    
    sagit
    February 11th, 2022 at 06:01 pm
    
    @frankie
    
    https://t.me/SagitGroup
    
    回复
sharkman2008cn
January 12th, 2022 at 10:37 am

arm架构的r2s可以使用吗？软件包不一样

回复
1. sagit
  January 13th, 2022 at 08:22 am
  
  @sharkman2008cn
  
  应该是可以的
  
  回复
七界传说
December 28th, 2021 at 03:57 pm

是opkg install +名字吧

回复
clazzi
December 18th, 2021 at 12:45 am

git pull
Updating 9134f8c..15ae84b
error: Your local changes to the following files would be overwritten by merge:
produce.py
Please commit your changes or stash them before you merge.
Aborting
make: * [Makefile:2: produce] Error 1

回复
1. sagit
  December 18th, 2021 at 01:31 am
  
  @clazzi
  
  你可以把git pull注释掉
  
  回复
clazzi
December 18th, 2021 at 12:29 am

请教下我按照设置每天0点10分更新但是查询文件route4.conf,route6.conf 都是第一次建立的日期没更新ip

回复
slools
December 17th, 2021 at 10:12 am

设置搞定了，国内外都通，但是ios的微信基本不推送，不打开微信收不到信息，就很尴尬

回复
1. sagit
  December 17th, 2021 at 04:40 pm
  
  @slools
  
  可以把OP的科学分流也打开试试
  
  回复
幕后之黑手
December 15th, 2021 at 11:16 am

爱快+openwrt能不能同样实现？如果能，出一个爱快的教材吧φ(￣∇￣o)

回复
1. frankie
  February 15th, 2022 at 05:00 pm
  
  @幕后之黑手
  
  你好，我试了https://op.dllkids.xyz/packages/x86_64/下载从oc和passwall都不能安装，能不能提供一个你的下载地址，谢谢
  
  回复
  1. sagit
    February 18th, 2022 at 08:27 pm
    
    @frankie
    
    我的没有编译oc和passwall，我现在用的是v2raya，在我的Github
    
    回复
2. frankie
  February 15th, 2022 at 04:44 pm
  
  @幕后之黑手
  
  你好，我在这下载的oc和passwall都不能安装
  
  回复
3. frankie
  February 14th, 2022 at 12:49 pm
  
  @幕后之黑手
  
  在git作者的页面下载装不成功，不知道缺什么组件
  
  回复
  1. sagit
    February 15th, 2022 at 02:13 pm
    
    @frankie
    
    看看报错什么
    
    回复
4. frankie
  February 14th, 2022 at 10:25 am
  
  @幕后之黑手
  
  我下载了git上面的版本，但是安装不成功，不知道是不是缺支持软件。我有个想法我是否能将你这个op生成的routes4.conf拷贝到另外一台有bird4和oc的op上，用这个有bird4和oc的op推送osfp给ros，但是我试验过是失败了
  
  回复
5. frankie
  February 11th, 2022 at 10:42 am
  
  @幕后之黑手
  
  请问怎么联系？tg或者其他都可以。另外请教一下能不能bird用一个op，科学用另外一个op？
  
  回复
6. niko
  February 3rd, 2022 at 10:08 pm
  
  @幕后之黑手
  
  只能用桥接的br-lan，可以接收到路由表，不用桥接时，改为eth0就不行。
  
  回复
  1. sagit
    February 4th, 2022 at 09:29 am
    
    @niko
    
    很奇怪，我以前试过都行的来着
    
    回复
7. sagit
  December 15th, 2021 at 11:39 am
  
  @幕后之黑手
  
  爱快没有动态路由协议。不支持OSPF
  
  回复
  1. 幕后之黑手
    December 15th, 2021 at 11:42 am
    
    @sagit
    
    哦哦哦~~看来没希望了＞﹏＜
    
    回复
    
    小有名气的匿名人士
    May 7th, 2022 at 03:30 pm
    
    @幕后之黑手
    
    您好，单独设置成国外的DNS，像淘宝之类的会解析到国外，如何解决？
    
    回复
    
    sagit
    May 12th, 2022 at 09:08 am
    
    @小有名气的匿名人士
    
    你需要弄DNS分流
    
    回复
clazzi
December 15th, 2021 at 11:13 am

现在测试的时候客户机trace国内地址是走ros直接出国外地址trace全不通但是实际访问都ok
dns和dhcp现在都是ros负责 openwrt只有单lan口防火墙等都关闭了不知道科学您用的什么我passwall ping显示通过
但是在ttyd trace 国外地址都是失败

回复
1. sagit
  December 15th, 2021 at 11:39 am
  
  @clazzi
  
  icmp好像发不出去，我也发现了，你要测试的话用 curl和wget
  
  回复
J.
December 15th, 2021 at 11:13 am

有成功的吗？

回复
1. sagit
  December 15th, 2021 at 11:39 am
  
  @J.
  
  有啊
  
  回复
  1. J.
    December 15th, 2021 at 04:02 pm
    
    @sagit
    
    我这边试了好几次，能打开国外网站，但打开YouTube视频加载不出来。
    
    回复
    
    sagit
    December 17th, 2021 at 04:39 pm
    
    @J.
    
    应该和你的机场有关，我一切正常
    
    回复
clazzi
December 15th, 2021 at 11:08 am

请教下这种方式dns您那边怎么处理的 ros设定dns服务器为openwrt的地址?
然后openwrt用adg或者mosdns 等 dns 软件

回复
1. sagit
  December 15th, 2021 at 11:39 am
  
  @clazzi
  
  对
  
  回复
clazzi
December 14th, 2021 at 10:18 pm

多谢已经搞定了应该是python依赖没安装安装就ok了。
还想请教下，科学的必须全局吗？有什么影响还有科学里面的黑白名单是不是都要删除了。多谢解答

回复
1. sagit
  December 14th, 2021 at 10:27 pm
  
  @clazzi
  
  全局是因为分流已经交给ros了，没必要让op再分流，黑白名单是有效的，不用删除
  
  回复
clazzi
December 14th, 2021 at 09:28 pm

python3报错。博客能更新下都有哪些吗？

回复
clazzi
December 14th, 2021 at 09:09 pm

我这里生成不了 routes4.conf和routes6.conf 这2个文件能贴下吗谢谢

回复
1. sagit
  December 15th, 2021 at 10:35 am
  
  @clazzi
  
  已经贴了
  
  回复
2. sagit
  December 14th, 2021 at 09:11 pm
  
  @clazzi
  
  明天贴
  
  回复
clazzi
December 14th, 2021 at 08:12 pm

然后都配置完重启bird4的时候报的 bird4: Failed - bird: /etc/routes4.conf:15:1 syntax error

回复
1. sagit
  December 14th, 2021 at 09:11 pm
  
  @clazzi
  
  油管回复你了
  
  回复
clazzi
December 14th, 2021 at 08:05 pm

你好请问我执行make的时候报错了
我的openwrt 端口改成eth0
Traceback (most recent call last):
File "/root/nchnroutes/produce.py", line 3, in
import urllib.request
ModuleNotFoundError: No module named 'urllib'
make: * [Makefile:5: produce] Error 1

回复
1. sagit
  December 14th, 2021 at 09:12 pm
  
  @clazzi
  
  油管回复你了
  
  回复
x
December 13th, 2021 at 12:03 pm

我快吧

回复
1. dsm
  December 13th, 2021 at 12:23 pm
  
  @x
  
  (ฅ´ω`ฅ)
  
  回复