V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ccav
V2EX  ›  宽带症候群

分享一下折腾过程~只能这样子了好像。

  •  
  •   ccav · 2017-12-15 02:26:47 +08:00 · 3983 次点击
    这是一个创建于 2541 天前的主题,其中的信息可能已经有所发展或是发生改变。
    楼主坐标福南,线路情况如下:

    电信 PPPOE 套餐 100M 公网 IP:TCP RESET。国际出口慢。
    铁通(移动)专线 100M 对等固定 IP:全 UDP 劫持 ,TCP 过滤( include custom ports ),GRE 通道过滤,HE.NET 通道过滤。国际出口快。

    今年早些时候,铁通并没有使用移动出口,那一个酸爽。。。到 HE.NET 香港节点 20ms。10 月份统一切成移动后悲剧了。
    之前方案比较简单直接移动+HE.NET+ 干净 DNS,现在有些纠结。 一是用习惯了移动的国际出口,再回电信有些吃不消。 二是移动的过滤太过份。
    所以 移动+HE.NET TUNNEL 无法正常使用。


    第一步先解决 DNS 的问题:
    之前我做的比较复杂,一个请求过来先直接从 114 返回结果并设置 TTL10 秒,然后后台并发几十个线程扫描各种国际 TCP DNS 并返回结果,再 PING 校验得到线路最优化的 IP。。。不过这个方案现在放弃了。

    现在重写了转发器,规则很简单: 除开 CN 域名以及 IP 在 CN 的域名,其它域名连接远程非标准 PORT TCP 的 DNS 解析结果。
    也就是除非国内网站,否则都是认为 114 的数据是不可信的,直接从海外获取,所以简单解决。


    第二,在电信线路上做 HE.NET TUNNEL, 目前电信上的 IPV6 未被过滤,这个可以解决 GOOGLE 系大部分的网站访问问题。

    第三,主要 IPV4 出口还是使用移动专线。因为出国快么。。。。连 SSH 传文件什么的真心比电信快。

    第四,在移动线路还有一路 SOFTETHER VPN。 留着特殊情况下做静态路由。

    这样子做的结果是:
    1,国内网站速度不影响,不会解到慢速 CDN 上去。
    2,GG 系或其它 IPV6 网站可以使用。不需要切换。
    3,国外大部分网站如下载之类的,因为走移动线路,速度可观
    4,偶尔一个域名没有 IPV6 又被 BAN 的话,可以静态路由一个网段直接走 VPN。


    知道你们会问: 移动的专线 6K/年,100M 上下行固定 IP,跑了些数据量大的代码,租服务器成本太高,干脆穿回来处理。图管理方便来着。。

    专线路由用的:debian+自制 DNS 转发
    电信路由+HE.NET 使用:pfsense
    VPN:SOFTETHER
    11 条回复    2018-01-06 12:38:23 +08:00
    jarchinwang53
        1
    jarchinwang53  
       2017-12-15 06:48:34 +08:00
    国内的人想着法子翻出来,国外的人想着办法翻回去....lol
    thetast
        2
    thetast  
       2017-12-15 10:44:25 +08:00 via Android
    为啥要这么复杂搞个 softether
    出去差不多了
    mandymak
        3
    mandymak  
       2017-12-15 13:49:21 +08:00
    @ccav 电信加 he 不慢吗?
    ccav
        4
    ccav  
    OP
       2017-12-15 18:02:41 +08:00
    @mandymak 慢。PING 值 GG 节点 200ms,但是 WEB 查资料什么的无障碍。
    移动的 HE.NET 最快(可以百兆跑满)但 SSL 中间人攻击 ,所以的证书握手被主动 CLOSE。
    ccav
        5
    ccav  
    OP
       2017-12-15 18:05:36 +08:00
    @thetast 追求墙内墙外都顺,单纯的 SE 的话,不是最优方案。
    A,一刀切,所有的流量走 SE VPN 出去:国内慢,QQ 图破什么的。VPS 流量大。
    B,维护静态路由表:海外有可能慢,VPS 流量大。关键是没有一份靠谱的路由表。
    ccav
        6
    ccav  
    OP
       2017-12-15 18:05:51 +08:00
    @jarchinwang53 双向墙。。。。有些悲剧。
    thetast
        7
    thetast  
       2017-12-15 18:34:18 +08:00 via Android
    @ccav 国内 ip 从 apnic 拿,基本变化很少。VPS 流量大不是问题,够快就行,追求速度的话
    mandymak
        8
    mandymak  
       2017-12-15 20:26:11 +08:00
    @ccav 没记错的话好像是除 cn2 外,3 大连 HE 香港都绕路。
    ccav
        9
    ccav  
    OP
       2017-12-16 00:12:17 +08:00
    @mandymak 铁通自有线路没迁移之前,是走的香港直达 HE 香港节点。。。。
    现在迁移到移动了,一样绕路美国再到香港了,已经废了。不过好在 US 节点 PING 高但是可以跑满。

    SSL 中间人攻击的问题比较麻烦。我得继续想办法。。今天测试了电信,一样比较严重了。
    kenbody
        10
    kenbody  
       2017-12-16 11:49:07 +08:00 via Android
    @mandymak 现在 cn2 连 he 香港走 sgix 了,以前的确直连
    tomhuang
        11
    tomhuang  
       2018-01-06 12:38:23 +08:00 via Android
    移动专线多少钱大概?坐标?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5562 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 08:37 · PVG 16:37 · LAX 00:37 · JFK 03:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.