@neroxps https://t.me/+bzSRf6dtG3lhYWVl https://t.me/buaizheteng 来玩，fakeip 网关爱好者大本营。

@yinmin 他应该有现成的配合 tun 的 ipt 或者 nft 吧，也应该有现成的 bypass 内网段的规则，也应该开了 ipv4 转发，是不是直接改成转发到 sb 机就可以了

@life90 这种体验怎么忍受的…..

@Dk2014 mihomo 和 sing box 跑裸核就好了，就是 ipt 或者 nft 的事儿

@bobryjosin 游戏通过 ip 直连种确实不好弄，不玩游戏不知道有没有 ip 直连的

@mouyase 你来玩我的方案啊，openwrt 的，半小时搞定。

@mouyase 我第一看大佬的方案的时候，看哭了。

@povsister 大佬来喽，之前就拜读过你的方案了，说实话，太高深了，v2 上能搞明白搞定的也不多吧，我也有个整套的方案（小白写的小白版本），大佬要部署也是分分钟，无聊试下呢？ https://github.com/IrineSistiana/mosdns/discussions/837

dns 分流部分借助 mosdns：
1：国内域名列表的国内 dns 解析
2：国外域名列表的直发 fakeip
3：不在列表中的，带拨号的公网 IP 作为 ecs 发到 8888 ，返回国外 ip 的，丢弃，发 fakeip ，是国内 ip 就接受（很提升体验，借助谷歌 ecs 分流）。

openwrt 防火墙部分
只劫持电报 ip 、奈飞 ip 、8888 等国外 dns 、fakeip 去到 sing-box tproxy/redirect 入站。

@mouyase 不在列表中的，带本地的 ecs ip 去 8888 解析，解析之后是国外 ip 再发 fakeip ，这个逻辑加上，体验就非常棒了，不知道泡泡 dns 有没有这么搞。

@povsister 理论上如此，实际上你说的这些问题，基本上不存在了，特别是 fakeip 网关这个方案，体验极好，当然个人喜好是没有问题的，实在无聊的时候体验下，可能会有新的认识。

@bobryjosin 入侵性太强不太理解，对于一个域名获取对应的 ip ，不管是真的还是假的，只有可达不可达两种状态，科学网关挂了，不管真假，都不会可达的，结果并没有不同，现在的 fakeip ，ttl 基本上给 1 ，没什么残余的影响；另外典型的 fakeip 网关，客户端的 dns 和网关都应该是主路由，不经过 dns 的 ip 直接发起来的连接，默认是直连的。

@bobryjosin 有个电报群的群友，之前大部分是你这个方案，现在全改 fakeip 网关了。

@nilai 目前已知的，就电报 IP 、netflix ip 、国外 dnsip 、fakeip 共 4 种需要设置路由表，加起来就几十个路由条目吧，如果全劫持，就要排除内网网段等 IP ，反而更麻烦，直接粘给你算了。


table inet singbox {
set local_ipv4 {
type ipv4_addr
flags interval
elements = {
28.0.0.0/8,
8.8.8.8/32,
8.8.4.4/32,
1.0.0.1/32,
1.1.1.1/32,
9.9.9.9/32,
8.41.4.0/24,
23.23.189.144/28,
23.246.0.0/18,
34.195.253.0/25,
37.77.184.0/21,
38.72.126.0/24,
45.57.0.0/17,
52.24.178.0/24,
52.35.140.0/24,
54.204.25.0/28,
54.213.167.0/24,
64.120.128.0/17,
66.197.128.0/17,
69.53.224.0/19,
103.87.204.0/22,
108.175.32.0/20,
185.2.220.0/22,
185.9.188.0/22,
192.173.64.0/18,
198.38.96.0/19,
198.45.48.0/20,
203.75.84.0/24,
203.198.13.0/24,
203.198.80.0/24,
207.45.72.0/22,
208.75.76.0/22,
210.0.153.0/24,
91.108.56.0/22,
91.108.4.0/22,
91.108.8.0/22,
91.108.16.0/22,
91.108.12.0/22,
149.154.160.0/20,
91.105.192.0/23,
91.108.20.0/22,
185.76.151.0/24,
95.161.64.0/20
}
}

set local_ipv6 {
type ipv6_addr
flags interval
elements = {
2001:b28:f23d::/48,
2001:b28:f23f::/48,
2001:67c:4e8::/48,
2001:b28:f23c::/48,
2a0a:f280::/32,
2607:fb10::/32,
2620:10c:7000::/44,
2a00:86c0::/32,
2a03:5640::/32,
fc00::/18
}
}

set router_ipv4 {
type ipv4_addr
flags interval
elements = {
28.0.0.0/8,
8.8.8.8/32,
8.8.4.4/32,
1.0.0.1/32,
1.1.1.1/32,
9.9.9.9/32
}
}

set router_ipv6 {
type ipv6_addr
flags interval
elements = {
fc00::/18
}
}

chain singbox-tproxy {
meta l4proto udp meta mark set 1 tproxy to :7895 accept
}

chain singbox-mark {
meta mark set 1
}

chain mangle-prerouting {
type filter hook prerouting priority mangle; policy accept;
ip daddr @local_ipv4 meta l4proto udp ct direction original goto singbox-tproxy
ip6 daddr @local_ipv6 meta l4proto udp ct direction original goto singbox-tproxy
}

chain mangle-output {
type route hook output priority mangle; policy accept;
ip daddr @router_ipv4 meta l4proto udp ct direction original goto singbox-mark
ip6 daddr @router_ipv6 meta l4proto udp ct direction original goto singbox-mark
}

chain nat-prerouting {
type nat hook prerouting priority dstnat; policy accept;
ip daddr @local_ipv4 meta l4proto tcp redirect to :7899
ip6 daddr @local_ipv6 meta l4proto tcp redirect to :7899
}

chain nat-output {
type nat hook output priority filter; policy accept;
ip daddr @router_ipv4 meta l4proto tcp redirect to :7899
ip6 daddr @router_ipv6 meta l4proto tcp redirect to :7899
}
}

@mouyase 哦，明白了。那刚才我说的那个问题，我的科学网关是 sing-box puer 版本，偶发的会出现我前帖说的问题，所以干脆把 dns 网关 主路由 3 合一了，本质上也是 fakeip 分流，分流用 mosdns ，就规避了这个问题。泡泡网关用的是 mihomo ，不知道有没有在防火墙规则中添加规则，防止电报 IP 这种再发回到主路由。

感谢分享，很好，我也有一套方案，只需要 openwrt 就行了，根源也是泡泡的方案，你可以看看。另外有个问题，屏蔽掉对 FakeIP 的 NAT 是什么作用，防止回环吗？比如电报 IP ，主路由静态到网关，如果网关发回到主路由，肯定就炸了，是为了防止这种情况吗？

https://github.com/IrineSistiana/mosdns/discussions/837

@sharkli 这思路也是牛逼啊。

当然是打包引用了，没有 bug 就别改了，我估计也没人能说得清业务需求。

基本思路还是抄的泡泡的方案，核心是 mosdns 根据域名分流。

https://blog.03k.org/post/paopaogateway.html