这是一个创建于 2857 天前的主题,其中的信息可能已经有所发展或是发生改变。
楼主坐标福南,线路情况如下:
电信 PPPOE 套餐 100M 公网 IP:TCP RESET。国际出口慢。
铁通(移动)专线 100M 对等固定 IP:全 UDP 劫持 ,TCP 过滤( include custom ports ),GRE 通道过滤,HE.NET 通道过滤。国际出口快。
今年早些时候,铁通并没有使用移动出口,那一个酸爽。。。到 HE.NET 香港节点 20ms。10 月份统一切成移动后悲剧了。
之前方案比较简单直接移动+HE.NET+ 干净 DNS,现在有些纠结。 一是用习惯移动的国际出口,再回电信有些吃不消。 二是移动的过滤太过份。
所以 移动+HE.NET TUNNEL 无法正常使用。
第一步先解决 DNS 的问题:
之前我做的比较复杂,一个请求过来先直接从 114 返回结果并设置 TTL10 秒,然后后台并发几十个线程扫描各种国际 TCP DNS 并返回结果,再 PING 校验得到线路最优化的 IP。。。不过这个方案现在放弃了。
现在重写了转发器,规则很简单: 除开 CN 域名以及 IP 在 CN 的域名,其它域名连接远程非标准 PORT TCP 的 DNS 解析结果。
也就是除非国内网站,否则都是认为 114 的数据是不可信的,直接从海外获取,所以简单解决。
第二,在电信线路上做 HE.NET TUNNEL, 目前电信上的 IPV6 未被过滤,这个可以解决 GOOGLE 系大部分的网站访问问题。
第三,主要 IPV4 出口还是使用移动专线。因为出国快么。。。。连 SSH 传文件什么的真心比电信快。
第四,在移动线路还有一路 SOFTETHER VPN。 留着特殊情况下做静态路由。
这样子做的结果是:
1,国内网站速度不影响,不会解到慢速 CDN 上去。
2,GG 系或其它 IPV6 网站可以使用。不需要切换。
3,国外大部分网站如下载之类的,因为走移动线路,速度可观
4,偶尔一个域名没有 IPV6 又被 BAN 的话,可以静态路由一个网段直接走 VPN。
知道你们会问: 移动的专线 6K/年,100M 上下行固定 IP,跑了些数据量大的代码,租服务器成本太高,干脆穿回来处理。图管理方便来着。。
专线路由用的:debian+自制 DNS 转发
电信路由+HE.NET 使用:pfsense
VPN:SOFTETHER
电信 PPPOE 套餐 100M 公网 IP:TCP RESET。国际出口慢。
铁通(移动)专线 100M 对等固定 IP:全 UDP 劫持 ,TCP 过滤( include custom ports ),GRE 通道过滤,HE.NET 通道过滤。国际出口快。
今年早些时候,铁通并没有使用移动出口,那一个酸爽。。。到 HE.NET 香港节点 20ms。10 月份统一切成移动后悲剧了。
之前方案比较简单直接移动+HE.NET+ 干净 DNS,现在有些纠结。 一是用习惯移动的国际出口,再回电信有些吃不消。 二是移动的过滤太过份。
所以 移动+HE.NET TUNNEL 无法正常使用。
第一步先解决 DNS 的问题:
之前我做的比较复杂,一个请求过来先直接从 114 返回结果并设置 TTL10 秒,然后后台并发几十个线程扫描各种国际 TCP DNS 并返回结果,再 PING 校验得到线路最优化的 IP。。。不过这个方案现在放弃了。
现在重写了转发器,规则很简单: 除开 CN 域名以及 IP 在 CN 的域名,其它域名连接远程非标准 PORT TCP 的 DNS 解析结果。
也就是除非国内网站,否则都是认为 114 的数据是不可信的,直接从海外获取,所以简单解决。
第二,在电信线路上做 HE.NET TUNNEL, 目前电信上的 IPV6 未被过滤,这个可以解决 GOOGLE 系大部分的网站访问问题。
第三,主要 IPV4 出口还是使用移动专线。因为出国快么。。。。连 SSH 传文件什么的真心比电信快。
第四,在移动线路还有一路 SOFTETHER VPN。 留着特殊情况下做静态路由。
这样子做的结果是:
1,国内网站速度不影响,不会解到慢速 CDN 上去。
2,GG 系或其它 IPV6 网站可以使用。不需要切换。
3,国外大部分网站如下载之类的,因为走移动线路,速度可观
4,偶尔一个域名没有 IPV6 又被 BAN 的话,可以静态路由一个网段直接走 VPN。
知道你们会问: 移动的专线 6K/年,100M 上下行固定 IP,跑了些数据量大的代码,租服务器成本太高,干脆穿回来处理。图管理方便来着。。
专线路由用的:debian+自制 DNS 转发
电信路由+HE.NET 使用:pfsense
VPN:SOFTETHER
 | 1 jarchinwang53 2017-12-15 06:48:34 +08:00 国内的人想着法子翻出来,国外的人想着办法翻回去....lol |
 | 2 thetast 2017-12-15 10:44:25 +08:00 via Android 为啥要这么复杂搞个 softether 出去差不多了 |
 | 4 ccav OP |
| 5 ccav OP @thetast 追求墙内墙外都顺,单纯的 SE 的话,不是最优方案。 A,一刀切,所有的流量走 SE VPN 出去:国内慢,QQ 图破什么的。VPS 流量大。 B,维护静态路由表:海外有可能慢,VPS 流量大。关键是没有一份靠谱的路由表。 |
| 6 ccav OP @jarchinwang53 双向墙。。。。有些悲剧。 | |
| 7 thetast 2017-12-15 18:34:18 +08:00 via Android @ccav 国内 ip 从 apnic 拿,基本变化很少。VPS 流量大不是问题,够快就行,追求速度的话 |
| 9 ccav OP @mandymak 铁通自有线路没迁移之前,是走的香港直达 HE 香港节点。。。。 现在迁移到移动了,一样绕路美国再到香港了,已经废了。不过好在 US 节点 PING 高但是可以跑满。 SSL 中间人攻击的问题比较麻烦。我得继续想办法。。今天测试了电信,一样比较严重了。 |
 | 11 tomhuang 2018-01-06 12:38:23 +08:00 via Android 移动专线多少钱大概?坐标? |
Select Language