“旁路由”，在传统网络上是不存在这种说法，只有单臂路由，策略路由。
其实什么路由都无所谓，能解决问题就是好路由。
每个人也有适合他自己的解决方案，自己觉得好就行了。
最佳实践，这个看哪个角度了，例如你觉得硬路由做主路由，其他需要爬的机器采用修改网关 dns 来实现出墙功能，那么你觉得这样方便维护，那么是没问题的。
我最早折腾是搞 openwrt 做主路由，当年还没有什么插件，都是自己手动搭的，根据 IP 表分流，dnsmasq+ipset+ iptables+ss-libev （ redir ）+pdnsd 组合来解决 dns 污染和分流代理
但是这种组合维护特别不方便，ss 的服务更新，分流出问题了调试麻烦（组件太多）
后来 surge 出现后，陆陆续续的 ios 小火箭 qx 等基于规则的代理工具也出现，clash 也同步出现，逐渐成为了主流工具。
我也把 openwrt 的代理工具换成了 openclash 。
优点是：有 web 面板，切换节点，日志查看都非常方便。
缺点：openclash 想做 clash 的 web ui 客户端，想把 clash 的配置全部丢到 web 上方便用户配置和修改，确实做的很棒，但这样脚本的代码量非常大。试过几次因为 openclash 更新订阅的时候可能因为网络抖动问题下载下来的是空文件，但他不会校验（现在不知道会不会）。导致 clash 直接不启动了，不启动他也没有清理 iptables 等配置导致直接断网。（现在应该修复了？没再用了）

后来了解到 Mikrotik RouterOS ，就入了一台弱电箱神器。开始玩 Mikrotik 系列路由
对于本来就是学网络的人，routeros 其实比较适合，界面直观，配置概念完全是按照网络概念设计，如果你熟悉网络通信原理，熟悉防火墙配置，那么玩 ros 其实并不难。

但换了这个硬路由，爬墙怎么搞呢。我一开始也学大家一样，做“旁路由”（其实就是多层 NAT 路由），那么根本没法解决 openwrt 单点故障的问题。而且 NAT 转换效率，根本没有发挥硬路由的优势。

后来搜到的解决方案都是说例如你某个机器要爬，可以让 dhcp 服务器根据不同的 mac 地址分配不同的网关，或者是手动设置网关和 dns 。

我觉得这种方案太麻烦了，例如我某个设备今天突然需要访问一下 google ，只是突然需求，我还得电脑开机路由上配置，即使 Mikrotik 有手机客户端，我也需要等待 dhcp 生效，或是手动配置网关和 dns 。

我认为这个需求能直接从主路由上解决他们，后来也了解到各种代理工具都在用 faek-ip 方案。理解了工作原理之后，我就针对家里现有的网络拓扑进行修改。

最终采用 硬路由+dns 分流+fake-ip （ shellclash ） 的方案：
优点：
- 完美的分流：分流完全取决 dns 规则，只要匹配规则才能拿到 fake-ip ，fake-ip 的流量才会跑到 openwrt 那边，国内流量是直接从主路由就出去了。根本不会到 openwrt 那边。
- 网络性能：所有流量都先到主路由，主路由根据路由表进行流量转发，这是硬件路由的强项，所以基本不会有性能消耗，即使是最垃圾的 tplink 家用路由器，他也能完美的完成这个需求。因为得益于 fake-ip 方案（出自 https://www.rfc-editor.org/rfc/rfc3089 ），出墙的流量不需要获得真实的 DNS ，也不需要等待 DNS 答复，能以最快的速度封装 IP 层后发起访问。
- 维护便利性：因为只采用 dns 分流，所以只需要关注 dns 分流情况即可，拿到 fakeip 的流量才会跑到 openwrt 那边去。如果 dns 炸了，脚本能够自动检查并切换主路由的 dns （ Mikrotik 带脚本功能）
- 完美兼容 ipv6：因为对于局域网设备而言，他们只有一个网关就是主路由，所以和普通的网络是一样的，ipv6 自然就不受影响，而爬墙流量，因为 dns 服务器回答 fake-ip ，根本没有 ipv6 地址，所以自然也不受影响。
- 自动愈合（ Mikrotik 独有）：通过 Mikrotik RouterOS 的脚本功能，定期检查 openwrt dns 服务，如果出现故障，立即切换 ROS 的 DNS 上游服务器为运营商 DNS 。路由表则完全不需要管，因为运营商的 dns 不会回应 fake-ip 给你。
缺点：
- 依然存在（非主路由的）单点故障：因为 DNS 分流靠第三方服务，所以如果 DNS 服务器挂了，会导致整个网络的域名解析出现问题。我做法上面也说了，如果出现故障，立即切换 ROS 的 DNS 上游服务器为运营商 DNS 。
- 对非网络专业人员而言，有配置难度。（其实所有透明代理都需要解决 dns 和路由问题，只是人家把这个过程放到 openwrt 脚本里帮你自动配置而已）

这方案我已经用了快两年，几乎 0 运维。这也是我个人认为翻墙网络的最好实践

删除没用的，他要控制你，直接可以加回来的。

@YongXMan #9 那么最好的做法还是用主路由来控制转发流量，这样就有一个很清晰的路由表去表达流量的走向。iptables 的 redir 或者 tproxy 方式，调试起来也是很费劲。特别是 openwrt 这种系统，各个网络插件都要对 iptables 修改一下。难免出现兼容问题，前端按一下，不看他又臭又长脚本，根本不知道他做了啥。

@YongXMan #5 https://www.v2ex.com/t/947864#r_13206481 参考这里的方案，不一定要旁路由，可以部署在一个路由上的。

原理是前置 DNS 分流，匹配 fake-ip 才发送给 clash 。如果嫌麻烦就直接虚拟多一个 op 。

dns 分流，匹配域名才用 clash 解析。

443 80 默认被 ben 如果路由是光猫，需要配光猫的防火墙。另外先试试 fe80 的地址通不通，不通检查程序是否监听在 ipv6 上

@MSIAM https://www.v2ex.com/t/947864
参考这个帖子我的方案

管理区域其实就是 IP 段嘛，openclash 不支持只代理某个 IP 段嘛？

打开他又臭又长的 bash 脚本，然后找到 iptables 命令 改成你自己的。
https://github.com/vernesong/OpenClash/blob/9ee0f02ed7615a62f960c9ee2f951dd1b47e2411/luci-app-openclash/root/etc/init.d/openclash#L2337-L2338

一坨坨。

冷知识 1 英里（迈）约等于 1.609 千米(公里)

# 允许 DHCPv6 客户端尝试前缀代理
/ipv6 firewall filter add action=accept chain=input \
comment="Accept DHCPv6 client prefix delegation" \
dst-port=546 protocol=udp src-address=fe80::/10

先确认 ipv6 dhcp client 端口在防火墙那边 input 是允许先吧。

@LisaSue 惜字如金。

回楼主：“你可样，房牵融，需包烟可解”

拿去当地电脑城找人修吧。

话说 445 安全吗？感觉还是套个 vpn 或者 ss 最好吧。
@Leslie5205912 看剧套个 webdav 安全很多。至少只能下载不能上传啊。445 有命令通道。隔三差五会爆 0day

@strp 额 是没听过 https://acme.sh ？要 80 443 才能更新证书已经上古时代的事。

openwrt 是用 dnsmasq 代理的，所以本机 nslookup 就是 127.你得看 dnsmasq 的上游 dns ，命令行是 uci show dhcp

话说 445 安全吗？感觉还是套个 vpn 或者 ss 最好吧。

只能事件查看器，但是卡的一批

@redial39 #75 抱歉，昨天玩别的东西去了，忘记发出来。

```
. {

# 运营商 dns
forward . 202.96.128.166:53 202.96.134.33:53

#clash dns
wormhole 127.0.0.1:1053 {
#RemoteServers 127.0.0.1:7874
# ROS 10.89.0.1:8728 admin 123456 GFWList
# ROS_Timeout 2592000
# ROS_Enabled_Ipv6

DomainSuffix speedtest.net archive.ubuntu.com
List clash https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/Microsoft/Microsoft.yaml
List clash https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/Bing/Bing.yaml
List clash https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/Global/Global_Classical.yaml
#List clash https://ghproxy.com/https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/Global/Global_Domain.yaml
List clash https://raw.githubusercontent.com/blackmatrix7/ios_rule_script/master/rule/Clash/Netflix/Netflix.yaml

# balancing parallel fastTest
Policy balancing
DomainSuffix fast.com npmjs.org nflxvideo.net openmediavault.org api.met.no packagecloud.io cip.cc cdn.hklive.tv tvboxnow.com
DomainSuffix image.themoviedb.org api.themoviedb.org www.themoviedb.org api.thetvdb.com
#Domain www.facebook.com www.google.com
DomainSuffix youtube.com ytimg.com ggpht.com golang.org debian.org fastlydns.net
#DomainKeyword github ytimg ggpht googlevideo
#RegexlistRules github

IgnoreDomainKeyword m-team.cc
#IgnoreList dnsmasq https://raw.githubusercontent.com/felixonmars/dnsmasq-china-list/master/accelerated-domains.china.conf
#IgnoreDomain www.baidu.com.com www.sina.com
#IgnoreDomainSuffix bilibili.com
#IgnoreDomainKeyword taobao
#IgnoreRegexlistRules taobao

HttpRenewalInterval 300
FileRenewalInterval 10
RetryCount 10
RetryInterval 10
# DisableAutoUpdate
}
debug
log
cache 300
reload 10s
}


```