全网只有你和不良林老师把无线不能访问国内网站问题讲清楚了，谢谢

不错，原理讲解得很清楚，一般小白都在旁路照抄一条iptables -t nat规则解决这个问题了，加一级nat多点延时也问题不大。熟悉iptables的可以在主路由做基于route规则的分流策略到独立的加密网关方案，更加灵活高效和稳定。

👍🏻太强了，我用的是旁路由+ap，运气好没碰到问题，大佬直接理解透彻了

解答了我对于openwrt国内打不开网页的疑问，感谢up主

梦回计算机网络，里面的很多名词都很熟悉，但是已经忘完了。 受到一些启发，解决了一些疑惑。 感谢up。

UP讲的太干货了，我直接上解决方案，在旁路由openwrt防火墙打开基本设置，打开lan口的ip动态伪装 即可

刚换了路由器，遇到同样问题。在主路由和旁路由之间加个交换机完美解决！谢谢你的思路。

其实开启IP动态伪装也可以达到tun模式的效果，但是tun模式或IP动态伪装都相当于做了一次NAT，速度会拉垮，所以最简单的办法就是搞一个只有有线的主路由应该可以解决。MAC的surge就是很简单解决旁路由问题，缺点就是贵

谢谢你的解答，学习了！不过如果已经用openWRT做好旁路由的朋友，可能不用passwall插件，在openWRT上用OpenClash插件，国内网站是可以访问

这样的讨论是有意义的，但问题的关键在Router，但又不是所有的Router都会出现这种国内不通但海外通的情况，根本原因是Router固件功能不完整，比如MiWiFi虽然基于OpenWrt但被魔改的乱七八糟；大多数情况下，有线设备是硬交换，发出的数据包先到Router的交换芯片再处理；而无线设备是软交换，发出的数据包是由Rouer的CPU+OS内核处理(某些LAN/WAN自适应的Router也如此)；如果Router性能足够，其实旁路由是完全没有必要的，甚至Linux网关也是多余的，但考虑到折腾本身也是一种学习过程，能知其然也能知其所以然；这几年主流硬件规格慢慢过渡到ARM 64-bit+256M RAM+128M Flash，只要能刷OpenWrt官网Stable Release，再根据需求安装app，是最简单+效率最高+拥有最高管理权限的方法；最后，旁路由只是一种约定俗成的叫法，也可以叫透明网关，用ubuntu等发行版实现也可以叫homelab

讲解的很清楚，之前也是遇到这个问题。不过后来发现官方系统剩余空间其实足够塞下mosdns+xray-core，甚至还能塞个frp，用iptables根据mac地址分流进行透明代理，就把旁路由拆了。Redmi AX6跑200M轻轻松松，测出过最高接近500M，上限不知道。

结论是对的，实际上并不是标记不转换NAT导致的，如果你不配置NAT，那么只有代理的流量默认源地址被换了，而不进入内核的数据包默认情况下是不会被更换换地址的，这时候数据直接被送出去，国内网站能收到。但是，回来的时候直接从主路由直接回复给客户端，这时候有个来回路径不一致的问题，安全设备无法建立会话，对于这种数据包会直接丢弃。所以在旁路有出方向用SNAT，那么回来的数据会直接回复给旁路有，匹配旁路有的会话后再发给客户端所以就能上网了。 关键点是OPENWRT默认是个防火墙，如果是个纯路由器就没有这个问题

解答了我好久的疑惑，感谢分享。

up主的视频真是为我量身定制的，解决了我很多问题。希望再出点青龙面板类的视频，比如防cookie失效之类的。。🤭

叫旁路由这个名字其实误导了很多人，网关都指向它了，就是所有非本地LAN的流量都要经过这个设备，所以必须开启NAT或TUN来处理源地址问题，不然上级网关收到返回的流量时直接发到客户端，流量的进出路径不一致，造成大量网络兼容问题。

终于知道家里旁路由，有线正常，手机国内卡的原因了👍👍👍👍

家里是华硕86U主路由，按照梅林插件梯子，安装软路由openclash做旁路由，台式机wifi链接。感觉是DNS问题，因为台式机上面要设置DNS指向旁路由，也可以直接设本地宽带商的DNS，硬路由上面也有DNS设置，OPENclash上面也有DNS设置。

我觉得有点问题。7:35 位置，关于无线主路由工作分析：wifi mac层面（ip层以下）是有 目标mac和接收mac两个参数的，接收mac指向无线路由器，目标mac指示了接收该报文的是旁路由，因此，无线路由器转发给旁路由的原理是根据目标mac来实施的（而非通过路由表检测手机是发给旁路由啊）。以太网物理层的原理也是类似，ip层报文头部外网ip不变，靠mac层目标mac地址决定转发给谁。 旁路由再次把报文转给主路由（这时以太网帧目标mac地址就是主路由的啦），主路由是明白这个报文是给自己的，这时才会涉及到NAT对照，根据ip向wan口送出去。 请明察。

雖然但是，iptables 不是路由表，它操作的是 netfilter 模塊。netfilter 模塊對整個報文處理過程下了若干 hooks，但是本身不修改路由表(RIB)。真正操作路由表的工具是 iproute2 裡的子命令 ip route。

其实可以在旁路由的防火墙把LAN区域的“IP动态伪装”勾选上，也就是旁路由也NAT，这样就不会把原始数据帧发给主路由了。

用passwall2的规则就行，缺点就是如果一个新的软件或者网站无法访问时就得重新抓包host添加进规则中。因为大部分需求都是科学上网，所以如果某个网站无法访问大概率是这个网站的host走的代理，虽然这样也能访问。但是一小部分网站屏蔽了国外ip

感谢啊，搞了一下午，原来是路由器的锅！！！

我是直接让OPENWRT当主路由，路由器当AP了，这样也稳定。

理论讲得不错！！！！

感谢！ 您是我见过所有这些讲网络知识里讲的 最透彻 清晰的 ，我之前是。op做旁路 passwall 然后国外网站 卡的不行 油管 打开都慢。op做主路由就速度正常 奈飞什么的就更打不开 虽然节点支持 。之前以为是dns污染。这个一顿操作啊。屁用没有。今天看了您的视频 茅塞顿开！

这问题确实遇到过，不过都是老毛子科学上网出现的，openwrt还好，就是cpu占用比老毛子高点

视频中提到的状态，在防火墙当中称之为上下文context。上下文在TCP（有状态协议）流当中，是TCP的五元组关联性和窗口、数据报序号；在UDP和ICMP等无状态协议中，是一个对三元组一支的数据包产生可定义的时间窗，这个时间窗在Juniper防火墙中是2秒，超过时间窗的，被判定为一个新的session，也就是文中的状态。 至于后面说的一次路由多次转发的算法，这个不好讲，要根据context看状态机的设计是否合理。Cisco的CEF也是这个思路，似乎没这个问题……

我之前一直是光猫做主路由的模式，没有遇到这个问题，前两天光猫换成桥接模式，就出现了同样的问题。我的最终解决方案是在旁路由openWRT的防火墙-区域-打勾IP动态伪装，解决了这个问题

我在网上搜了一下教程，把istore os系统的旁路由里面的‘“网络-防火墙-LAN-IP动态伪装”勾选后，就能正常访问国内网站了，这个是什么原理呢？之前也是折腾了好久，旁路由模式下iPhone只能上外网不能上国内网站。

通俗易懂，老手补漏，新手入门

up主，请教一下硬路由ssh装shellcrash插件效率高还是linux旁路网关好呀？

我的恰恰相反，passwall后，无线只能访问内网，不能访问外网！！加一个下级路由后，问题ok，一切正常

自己拍的这几个镜头给的绝了

linux网关（所谓的旁路由）的确是最好形式， 这个其实就是上古的VPN服务器（网关）的概念！点赞

大佬，有没有旁路由不能魔法的分析呢？ 现在的问题是，旁路由里，passwall 可以魔法，但是ssr就不行，但是ssr里ping 外网是通的，就是电脑连上路由后只能访问国内的，外网双打不开。

最合理简单的办法就是更改防火墙基本设置，打开lan口的ip动态伪装。这样就可以正常上网了

应该是切割的700份数据帧都有报头和顺序信息吧，不然传过去，怎么组装，不就是靠报头重新组装

13:19 只要内网设备网关指向旁路由，为了解决前面你提到的NAT问题，那么旁路由也必须NAT（不管是通过iptables还是代理软件的tun模式），那么，不管是不是直连的流量，都会变成旁路由代理。只有那些网关指向主路由的内网设备才不会受旁路由的性能影响。

使用了旁路网关，如何外网再remote desktop protocol访问指定了DNS和gateway的Windows主机呢？

同一个局域网下，虚拟网桥与交换芯片之间走不走三层路由不太清楚，但是路由做NAT时，对收到的包应该是逐包判定的吧？路由器在一小段时间内收到的包，应该内网不同程序发出的包混杂在一起，如果不逐包判断，做NAT肯定要乱了。如果有同一个数据流的数据只NAT一次的说法，麻烦给个出处的链接。谢谢 - - - - - - - - - ps:问了一下chatgpt，linux的iptables是逐包判定，不过有一些其它的路由器产品可以做到同一个数据流的数据只NAT一次

我就是遥遥领先做主路由，n1 做旁路由，手机连接主路由的wifi 然后手动指定路由为旁路由，用的是openclash没遇到啥问题呀

是MTU 问题。小包。 我当时用FREEBSD做NAT转发的时候发现的。

还有一个问题，就是用旁路由测网速的话，网速会减半，不知道是因为什么引起的

正好最近准备搞op旁路由，看看能不能复现

7：47 这里讲错了 不做NAT “淘宝”目的IP是已知的不会NAT 是可以路由出去的但是 源IP 还是内网的IP（类似于192这种），所以这个路由是回不来的。（出口网关的反向路由检测都会过滤掉这种流量）

最头疼的是带宽减半，有说物理层面局限性，反正没搞定。

不错，听懂

问题是多数国内网站可以上，有小数的国内网站上不了，请问老师这个要怎么解决？

把主路由和无线AP分开就好了。搞个小主机装爱快当主路由，爱快里虚拟机装OpenWWRT做旁路由。另外搞个无线AP接入全屋无线设备。

你好 ，家里是光猫桥接，一台R2S做主路由，后面接了个网管8口交换机，两台tp的路由器作ap，且mesh组网，pc是网线直连交换机。R2S上面跑bypass科学上网，感觉总是断流，科学了一会就不科学了，请问R2S的性能是瓶颈吗？如果作旁路有怎么样？有必要换成n100的软路由吗？

很直观

我买的是tplink的 路由器在有线连接的情况下也出现你说的问题，因为我买的是不固定wan口的也就是自动选择哪个走wan口。这样就没有交换机了，所以有线连接也出现这种问题。

主路由用爱快 旁路openwrt 爱快DHCP指定静态IP 并填旁路做网关

大佬，家里有个群晖，能不能出个tpclash在群晖里docker的教程哈。

我这里的情况是op做旁路没问题，但是op做主，开代理之后，硬路由打开国内就很慢，不是打不开

试过旁路由，没遇到过你说的问题

我的也是无线硬路由做主路由拨号，小米cr6608刷openwrt做旁路由，主路由lan口接旁路由lan口后，所有设备上网没问题，但是我的旁路由上的openwrt系统没有网络，只有旁路由上openwrt系统上下载安装包或者openclash下载核心都没网络，请问这个是什么原因呢？

把主路由的无线关闭充当有线路由，多连一个AP模式的无线路由充当AP，是不是也可以避免这个问题

软路由直接做主路由 应该不会有问题了吧， lan口的动态伪装要不要开

闲置的X240，刷了个eSir大神的佛跳墙旁路由版本的OpenWRT，Ubnt ER-4当主路由，朋友送的华硕AX68U当无线AP用，挺稳定，也不多花钱

請問route table 是什麼？iptables 真的是路由表嗎？

竟然把我一个小白讲明白了。硬路由+旁路由终于跑通

大佬，是不是在规则里面开启 TUN 转发就OK了？？

小米4A+玩客云软路由 没遇到国内网站上不了的问题。

牛逼👍👍👍

普通电脑作旁路由电费贵！！！

会用华硕路由器，你说的这些问题都没有，华硕的梅林会用好，比OP DD 软路由强太多了，又快又方便！

passwall有TUN模式吗

期待下一期linux网关!!!

你说的，这是我现碰到问题

我N1也遇见过，刷回老版本的op就好了！

旧笔记本上跑OpenWRT不仅可以支持旁路由，上面的Docker环境可以让小白享受容器的便捷性（不比电脑上的docker桌面差）。 1. 手机终端 WiFi 2.4G配置Proxy到OpenWRT，5G不配置。这样，需要科学上网就切换到2.4G，平时用5G接入。（问题来了，如果在卫生间大号儿的时候无线信号差自动切换到了 2.4G被动科学上网了，会很慢咋办? 答：本身2.4G就慢，加上卫生间信号不好，科学不科学没太大影响）。 2. 电脑终端，自己写个小脚本儿，也可以切换自由（以MacBook为例）： ===== 切换科学上网：proxy.sh ==== #!/bin/bash e=$(networksetup -getwebproxy wi-fi | grep "No") if [ -n "$e" ]; then echo "Turning on proxy" sudo networksetup -setwebproxy wi-fi openwrt 8889 sudo networksetup -setwebproxystate wi-fi on sudo networksetup -setsecurewebproxy wi-fi openwrt 8889 sudo networksetup -setsecurewebproxystate wi-fi on sudo networksetup -setsocksfirewallproxy wi-fi openwrt 8888 sudo networksetup -setsocksfirewallproxystate wi-fi on else echo "Turning off proxy" sudo networksetup -setwebproxystate wi-fi off sudo networksetup -setsecurewebproxystate wi-fi off sudo networksetup -setsocksfirewallproxystate wi-fi off fi ==== 检查自己目前是否在科学上网 proxystatus ==== networksetup -getwebproxy Wi-Fi 这么用了好几年了，总体感觉方便。

意味着一直得挂上梯子吗？

直接買台rax3000m刷op當主路由解決，科學上網又不是要時時跑滿千兆，能順播4k的速度很夠用了。

我也是换了好多都不行，最后用了中兴路由器啥问题也没有了。

咨询一个问题，假设我用一个2.5g硬路由做主路由，千兆软路由做旁路由，那我电脑有线和手机WIFI连接以后，能跑满2.5g吗？还是说这种情况下内网可以2.5g，外网是千兆？

实际上就是在旁路由上再做一次nat

新华三H3C的ACAP+N1旁路由，搭配SSR科学上网，国内国外都能上，但是华为的ACAP+N1旁路由，搭配SSR国内国外都不能上，但是直接连N1的WiFi国内国外都能上，不知道是怎么回事

有时候主路由也这样

“我只推荐ROS路由”是啥意思？

有点高深啊🤔

为什么我用tplink硬路由做主路由还做了mash，然后istoreOS和passwall做旁路由，网关指向软路由的电脑或者ipad上外网都很不稳定啊经常压根就不能上，或者油管视频播放几秒就停止？内网反而没问题。

听不懂

是主路由器的锅，你换中兴的墙面路由器或者腾达的AX3000穿墙宝就没有这个问题，不必在旁路由防火墙中勾选" IP动态伪装“或者在防火墙自定义规则中加入那条”iptables -t nat -I POSTROUTING -j MASQUERADE“规则。

主路由+openwrt旁路由模式在用，确实很多牌子路由器，无线会有打不开网页的问题。但水星和中兴的一些型号是可以的。目前在用中兴的AX5400 PRO就可以

等待下一集，快点出啊。

必须回一下，我现在就是这个问题，幸好没把主路由网关设到旁路由，要不然全家都要骂我

x-86最稳定了。arm啥的差些

用网件或者华硕没有这问题

我旁路由上就放了个内核运行的singbox（是TUN模式），一切运行正常，只是通过无线桥接（同网段）的路由下的设备，无法通过旁路由（上一级路由下）爬墙，但是国内网站能顺利打开，还没找到原因，当通过设置http代理的移动设备是没问题的。（我的所有路由器都刷过openwrt/fresh tomato），用台废弃电脑，不想高功耗的，不然我就直接虚拟机里开个就行。

旁路由防火墙打开Lan口ip动态伪装就没问题了啊，哪有那么麻烦啊

没遇到过😂

牛逼

旁路由不支持ipv6，直接放弃。

我家人一直用红米ac2100刷老毛子系统加n1盒子做旁路由器。旁路由网关指向ac2100。没有发现你说的问题一直很稳定。

iptables和路由表不是一个东西

索拉里斯风在上，受小弟一拜。

真有那么麻烦吗？都是些什么人这么折腾、一个很简单的胖路由搞不定玩个鸡毛啊

无线早就能开硬转了

所以有线路由+AP吧😊