推荐点击下面图片,通过本站淘宝优惠价购买:
本教程不涉及到翻墙,请勿对号入座,纯技术交流。
一、openwrt配置
1、启用代理服务
2、配置dnsmasq
3、配置默认路由,
4、配置防火墙
允许本地做转发和nat访问外部网络,openwrt本身可用上网和内网通过NAT上网(不做NAT,内网到这里也会走代理转发的,区别就是多一层nat,虚拟机里面的openwrt给的配置强,也没啥问题)
允许本地 dns解析
二、硬件防火墙配置
1、定义好内网的机器(源地址,可指定用IP,IP网段),要访问的目的地址(目的地址,可指定IP网段、网站)
目的地址,例如谷歌,如下图:
谷歌IP网段,可用参考我这篇https://www.hqyman.cn/post/3960.html
2、做策略路由,把内网机器(指定IP或者全网段)路由指向openwrt 192.168.5.2,设置定向流量的IP网段、网站
这里有一个偷懒的方法: 防火墙的策略路由,目的地址支持url模式,把 google.com 加入目的地址,*.google.com都可用访问,优点是连下面第三步都省了,这个唯一的缺点,就是一些非google.com域名下的谷歌服务器,可能无法正常访问,当然你防火墙性能强,可用进一步偷懒,把所有url加入,谷歌所有url,可参考这https://www.hqyman.cn/post/3973.html 好像也挺省心的哦?
三、内网的DNS服务器(如果策略路由不指定目的地址网段,全网流量都走代理,这里的设置非必要)
dns服务器的DNS forward到192.168.5.5、8.8.8.8 、114.114.114.114(114非必要),如设置境内当地DNS,部分境外网站走代理时会干扰到正常解析。
如果不修改DNS转发,服务器的dhcp设置下发IP时,把dns下发成192.168.5.5,否则部分境外网站走代理时,会受国内DNS会受污染(下发8.8.8.8和114.114.114.144也会受污染),造成网站无法访问。
关于设置条件转发器,我设置 google.com 解析8.8.8.8,结果也没啥作用?(防火墙的策略路由,已经加上8.8.8.8从代理出去了)估计还是给污染了。
只能设置 条件转发器 ,google.com 解析到192.168.5.5 ,同时192.168.5.5 的DNS配置,还要加上一条 /google.com/8.8.8.8 ,否则 条件转发器的 已验证 会提示错误 非权威。
四、实验结果验证
3、客户端试试访问效果
把查IP的网站也加入防火墙的目的地址,看看代理IP
http://myip.kkcha.com/
额外的需求:异地内网的vpn是在路由器上做的,所有流量都走openwrt_vpn代理出去,这样路由器的异地vpn内网要多走一层路由,对openwrt proxy路由器有压力,要如何减少这一层路由?
防火墙上的策略路由,需加上一条 策略路由,例如命名为openwrt_other,用于 路由器ipsec vpn连的异地内网,并且优先级高于openwrt_vpn,从而实现异地vpn内网不走代理
本文链接:https://www.hqyman.cn/post/3967.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下,本站随机推荐观看栏目:
