RouterOS使用IP地址列表分流，分流给旁路由或者VPN

博主： sagit
发布时间：2022 年 04 月 23 日
12437 次浏览
31 条评论
3461字数
分类：路由

[ ](https://www.youtube.com/watch?v=NB7YHAAZFQQ)

# 2022.5.27更新：添加一个prerouting不匹配OP流量

# 2022.5.9更新：排除部分端口

# 20220426更新自动更新地址列表

# 序

其实在wireguard那期使用的就是这个分流，目前来说分流的方法有三种：IP地址分流，OSPF分流，BGP分流。今天单独写了这个也算齐全了。
ROS分流一直涉及一个问题，DNS分流。DNS分流可以使用七层协议，但是我觉的不是特别好用，所以建议大家DNS放在OP或者单独的系统，我推荐的是[MosDNS](https://www.truenasscale.com/2022/02/20/654.html)，所以这篇文章不涉及DNS分流了。

# 获取CN地址列表

## 方法一

我们需要使用curl命令下载生成IPIP发布在github的中国地址列表ROS的脚本

```
curl -s https://raw.githubusercontent.com/17mon/china_ip_list/master/china_ip_list.txt |sed -e 's/^/add address=/g' -e 's/$/ list=CNIP/g'|sed -e $'1i\\\n/ip firewall address-list' -e $'1i\\\nremove [/ip firewall address-list find list=CNIP]' -e $'1i\\\nadd address=10.0.0.0/8 list=CNIP comment=private-network' -e $'1i\\\nadd address=172.16.0.0/12 list=CNIP comment=private-network' -e $'1i\\\nadd address=192.168.0.0/16 list=CNIP comment=private-network'>cnip.rsc
```

这个已经添加了内网地址

## 方法二

下载别人制作好的脚本
[http://www.iwik.org/ipcountry/mikrotik/CN](http://www.iwik.org/ipcountry/mikrotik/CN)

这个导入后记得添加自己的内网地址

## 方法三

使用我制作的每天生成的脚本
[www.truenasscale.com/cnip.rsc](https://www.truenasscale.com/cnip.rsc)

这个已经添加了内网网段192.168.0.0/16和10.0.0.0/24

## 导入

使用import命令导入ROS

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/3628140899.png)

# 排除openwrt

因为这个IP地址分流，分流指向的网关可以是内网其他的设备（如openwrt），所以我们这提前给它排除一下，以防止分流规则重复匹配openwrt

![图片.png](https://www.truenasscale.com/usr/uploads/2022/05/2957217709.png)

![图片.png](https://www.truenasscale.com/usr/uploads/2022/05/1982370274.png)

![图片.png](https://www.truenasscale.com/usr/uploads/2022/05/4018799194.png)

# 标记分流

我们需要创建一个routing table

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/2429384288.png)

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/2280147659.png)

我们还需要建立一个proxy的地址列表，里面写我们让走代理的IP地址

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/2459687363.png)

然后标记

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/3001809806.png)

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/3119592472.png)

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/3342658417.png)

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/3190353425.png)

然后设置路由表

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/1664269453.png)

网关就是你要分流到的地址，可以是OpenWRT，wireguard等等。

# 自动更新地址列表

地址列表虽然简简单，但是不会自动更新，不过我们可以写一个脚本让他更新，我已经做好了更新的服务器，我们只需要直接用就可以了。

注意：前面导入的地址列表最好一开始就用方法三的（也就是我做的）

## 创建脚本

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/1248799155.png)

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/1760631290.png)

名字最好和我一样：update-cnip

脚本：

```
/tool fetch mode=http url="https://www.truenasscale.com/cnip.rsc" \
dst-path=cnip.rsc
/im file=cnip.rsc
/file remove [find name="cnip.rsc"]
:log info ("update done")
```

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/1316132529.png)

创建定时任务

![图片.png](https://www.truenasscale.com/usr/uploads/2022/04/3465310414.png)

名字：update-cnip

内容：

```
:execute script="update-cnip"
```

我这里设置的每7天执行一次脚本，IP地址列表一般不会有什么变动，所以不用经常更新，服务器上的列表是每天更新。

# 排除部分端口

有粉丝想要排除一些高端口，其实只需要一步

![图片.png](https://www.truenasscale.com/usr/uploads/2022/05/627704834.png)

如图在我们创建的标记里面，协议选择tcp（根据自己需求），dst port里面填我们要排除的端口

写法可以是像图片一样用冒号分隔，也可以是个范围如：1300-65535

![图片.png](https://www.truenasscale.com/usr/uploads/2022/05/3480603313.png)

最后修改：2022 年 05 月 27 日

如果觉得我的文章对你有用，请随意赞赏

31 条评论

zayne
October 2nd, 2023 at 11:48 am

我想了一下，你这步骤里漏了关键的一步。导致大部分人估计都没搞明白发生了什么。
你这是通过主路由的ROS做了转发代理。这样在旁路由那里所有的流量输入都应该来自主路由。意思就是在下发DHCP的时候Gateway不能像通常的那样配置成旁路由，而是必须配置成主路由。按照大部分人的认知这样应该是不能访问外网的。
至于DNS服务，同样配置成主路由也不影响连接，但是会造成DNS泄露。也就是说除非通过container方式部署mosdns这样的服务让主路由进一步接管DNS分流，还是应该把DNS服务分配给旁路由。
没想明白这些的人可能忙了个寂寞。这对你这样的大佬来说可能是常识，对大部分小白来说很容易踩坑。如果我的理解不错的话，建议在文章中做出更新。如果我理解的不对请指正，谢谢！

回复
牛牛
September 26th, 2023 at 09:14 am

排除端口的规则是不是需要放在分流的规则之上，这样才有效

回复
看透一切的人士
September 14th, 2023 at 02:59 am

作者你好！排除openwrt的设置是不是重复了呀？？？在标记分流的时候只有proxy的ip才会打标记，proxy应该是不包含op的吧？？？

回复
大猫
September 6th, 2023 at 09:58 am

你好，这边添加一条新的Mangle Rule的advance里没有src.Address List，版本是7.11的，现在这个功能被砍掉啦吗~

回复
1. penn
  September 13th, 2023 at 09:22 pm
  
  @大猫
  
  在第一个标签页General的第4-5行看下。
  
  回复
blanch
August 10th, 2023 at 01:53 am

您好，按照您的教程，我的ROS突破不了1000兆，但是ikuai可以。请问哪的问题

回复
zzbb
July 3rd, 2023 at 05:27 pm

你好，按文章配置后，还需要把routeros的DHCP server的DNS与网关设置为openwrt的ip地址才能生效，请问是正确的吗？

回复
自然
June 20th, 2023 at 09:42 pm

Passthroug不勾选才能用，勾选后就是无法分流？请问是操作问题，还是？ 7.10

回复
ken
March 29th, 2023 at 04:43 pm

我的ros不能下载你方法三的文件。用随意其他设备都能下载，就是只有ros下载不了，使用命令/tool fetch mode=http url="https://www.truenasscale.com/cnip.rsc" 尝试其他国内网站的图片都可以下载。

回复
ken
March 29th, 2023 at 04:43 pm

我的ros不能下载你方法三的文件。用随意其他设备都能下载，就是只有ros下载不了，使用命令/tool fetch mode=http url="https://www.truenasscale.com/cnip.rsc" 尝试其他国内网站的图片都可以下载。

回复
LCWW
March 3rd, 2023 at 04:26 pm

ros7.7，用ip地址表分流，电脑手机都能科学上网，就是Apple TV不行，不知道agit 大佬有没有排查问题的方法可以提供一二。

回复
1. samxh
  March 3rd, 2023 at 05:53 pm
  
  @LCWW
  
  我是apple TV的homekit只要梯子挂了就不能用了，说明是被分配到国外了，还不知道怎么解决。
  
  回复
躲闪的道士
February 10th, 2023 at 05:48 pm

自从开了动态公网ip之后，一直有国外的vps扫端口，气死了，现在根据CN地址表用防火墙拦一下清净多了

回复
1. 梅茶茶
  February 21st, 2023 at 08:38 am
  
  @躲闪的道士
  
  怎么操作呀我也一直被扫
  
  回复
小韦
January 1st, 2023 at 09:45 pm

方法二如何定时更新啊

回复
小韦
January 1st, 2023 at 09:45 pm

方法二如何定时更新啊

回复
小老黑
December 31st, 2022 at 01:41 pm

请问站长，我在双线接入的前提下，参考这篇文章进行的分流操作不生效，请问该从何入手呢？

回复
最后一名组织成员
November 26th, 2022 at 01:54 pm

博主，这几天我一直看着你的视频搭建了ROS，也做了不同运营商的接入，也使用了PCC完成了网络叠加，可是在使用过程我发现了新问题，由于不同运营商导致游戏效果不太理想，我看了下ROS好像对于协议分流指定出口似乎很蛋疼啊，不知道是不是自己对ros的7层分流理解不到位还是啥的，我看大家都是用IP左的分流。。。。难道还要不停的抓IP吗？难道ROS域名分流或协议分流啥的，没有内置的模版直接使用吗？
我的需求就是，全部游戏走电信出口，短视频走移动，下载走叠加。。。。

回复
卷毛
October 21st, 2022 at 02:14 am

请教一个问题，ip分流的时候，能否同时设置国内国外不同dns分流

回复
五千万啊
October 16th, 2022 at 08:08 pm

请问下，pt下载的网站基本上都是国外ip，怎么设置？在旁路由（vps）里面设置白名单吗？

回复
dfb
August 5th, 2022 at 10:32 pm

非常感谢，按照教程成功了。
有个疑问，我是双线接入，如果想实现旁路由走另一条宽带出口的话应该怎么设置呢。

回复
21321
July 15th, 2022 at 02:15 pm

dst type ! local 是啥作用呢

回复
leo
May 5th, 2022 at 11:27 am

我按你的教程设置成功了,可以分流了,但是youtube可以打开,就是播放视频的时候一直转圈圈,其他都是正常的,是dns设置的原因吗,需要如何设置呢?

回复
1. sagit
  May 6th, 2022 at 04:16 pm
  
  @leo
  
  是的，参考mosdns分流
  
  回复
leo
May 5th, 2022 at 11:27 am

我按你的教程设置成功了,可以分流了,但是youtube可以打开,就是播放视频的时候一直转圈圈,其他都是正常的,是dns设置的原因吗,需要如何设置呢?

回复
丢丢
April 24th, 2022 at 09:48 pm

我想咨询一下，用你这个分流方式配置好，想steam这样的软件会查询不到服务器，有没有什么办法解决呢

回复
1. sagit
  April 27th, 2022 at 09:27 am
  
  @丢丢
  
  应该是分流不全的原因吧，你可试试我做的那个脚本，有一万多地址列表
  
  回复
ccc
April 24th, 2022 at 06:49 pm

三种分流方式的优缺点，可以简单归纳下么。。给小白看看到底选用哪种比较好

回复
1. sagit
  April 27th, 2022 at 09:28 am
  
  @ccc
  
  主要是分流的全不全，和更新及不及时。bgp最全，实时更新，门槛最高，其次是OSPF，最后是ip地址列表
  
  回复
  1. ccc
    April 29th, 2022 at 09:15 am
    
    @sagit
    
    ok，怪不得
    现在用的ip分流，感觉有时候还是会有问题，特别是淘宝的应用，好像问题比较多
    
    回复
    
    阿拉蕾
    September 2nd, 2022 at 06:40 am
    
    @ccc
    
    DNS 解析问题,需要处理DNS.OωO
    
    回复