RouterOS v7 IPV4/IPV6分流玩法（基于域名列表模式）

KDE

RouterOS v7 IPV4/IPV6分流玩法（基于域名列表模式）

一、必备条件：

1、已经能上网

2、有一台可以是Linux 也可以是Windows 旁路全局V屁嗯出国

二、基于列表模式

# 新建一个路由表
/routing table
add fib name=VPM

# 标记VPM
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=VPM new-routing-mark=VPM passthrough=yes

/ipv6 firewall mangle
add action=mark-routing chain=prerouting dst-address-list=VPM new-routing-mark=VPM passthrough=yes

# 把列表时间ttl改为1天有效期
/ip/firewall/mangle/
add chain=prerouting action=add-dst-to-address-list connection-state=new dst-address-list=VPM address-list=VPM address-list-timeout=1d

/ipv6/firewall/mangle/
add chain=prerouting action=add-dst-to-address-list connection-state=new dst-address-list=VPM address-list=VPM address-list-timeout=1d

# 新建VPM路由 优先级10
/ip route
add comment=VPM routing-table=VPM distance=10 dst-address=0.0.0.0/0 gateway=VPM

/ipv6 route
add comment=VPM routing-table=VPM distance=10 dst-address=::/0 gateway=VPM

# 把ppp-out1路由 main优先级设置为低于10 比如设置成为255 模式是自动设置为1 （可选）
v4部分在pppoe-out1账号密码哪里有个add router default 勾选 把1改成255
v6部分在ipv6 dhcp-client 勾选add router default 在选项卡Advanced 1改成255
也可以不自动设置 手动添加V4 V6网关

# 把CF DNS 指定走旁路全局
/routing rule
add action=lookup-only-in-table dst-address=1.1.1.1/32 table=VPM
add action=lookup-only-in-table dst-address=1.0.0.1/32 table=VPM
add action=lookup-only-in-table dst-address=2606:4700:4700::1111/128 table=VPM
add action=lookup-only-in-table dst-address=2606:4700:4700::1001/128 table=VPM

# 添加列表 （把需要分流的域名加入进来）
/ip/dns/static/remove [find type=FWD]
/ip/dns/static/
add type=FWD match-subdomain=yes address-list=VPM forward-to=1.1.1.1 name=000webhost.com
.................

这样我们访问000webhost.com 包括*000webhost.com 的时候就把使用1.1.1.1解析000webhost.com这个域名 并把解析出来的IP地址 存放在V4 V6的Firewall Address-list 且标记为VPM

最后根据静态路由把标记为VPM走不同网关

只能说这么多 说太多 要踩缝纫机了

我知道有错别字，因为有关键词blocked

KDE

yhl 发表于 2023-3-12 22:34
我用的ipv6 nat, 如果不用nat的话 是怎么实现局域网设备ipv6分流的

/ipv6 firewall nat
add action=masquerade chain=srcnat out-interface=出口V6网关

加调规则让RouterOS下面的设备访问V屁嗯

也可以在出口网关加上本地局域网网段指向RouterOS 的V屁嗯网关 就可以不用NAT

KDE

amao000765 发表于 2023-3-12 17:03
好的  感谢。我试试看。

我写了示例 直接在路由加的 这种最简单省事

CUIPV4
27.22.58.214

CUIPV6
240e:946:6002:212:3::3e8

CUGW4
pppoe-out-cu

CUGW6
pppoe-out-cu

/ip route
add dst-address=27.22.58.214/24 gateway=pppoe-out-cu

/ipv6 route
add dst-address=240e:946:6002:212:3::3e8/64 gateway=pppoe-out-cu

testboy

求介绍下域名list怎么获取和转换，谢谢。

KDE

yhl 发表于 2023-3-12 16:25
同ROS V7, ipv4可以分流 ipv6不行, 在mikrotik论坛发帖没人回复, 大佬帮我看看
https://forum.mikrotik.com ...

# 新建表
/routing/table add name=test fib

# 把 cf的 v6地址存 v6 firewall address-list 列表名 “ISP_1_Out”
/ipv6/firewall/address-list add list=ISP_1_Out address=www.cloudflare.com

# v6 firewall address-list 列表名 “ISP_1_Out” IPv6地址打标为 “test”
/ipv6/firewall/mangle add chain=prerouting dst-address-list=ISP_1_Out action=mark-routing new-routing-mark=test passthrough=yes

# 把打标“test” 走“PPPoE_ISP_1”
/ipv6/route add dst-address=::/0 gateway=PPPoE_ISP_1 distance=1 routing-table=test

# 其他的全部走PPPoE_ISP_2
/ipv6/route add dst-address=::/0 gateway=PPPoE_ISP_2 distance=2 routing-table=main

我看了写的没问题啊

firewall应用于RouterOS下面，你在下面mtr看看走那个网关

KDE

amao000765 发表于 2023-3-12 16:28
找到ROS组织了？  大佬们能教教怎么做双线分流吗？比如我现在联通和移动接入，怎么让移动的目标IP走移动， ...

找到ROS组织了？  大佬们能教教怎么做双线分流吗？比如我现在联通和移动接入，怎么让移动的目标IP走移动，其余国内国外全部走联通，还有对移动友好的小鸡走移动。。。我特么血亏，买了个P10的ROS正版。

首先找到联通、移动的IPV4 IPV6地址

加入表的地方有：
1、Firewall address-list
2、Routing rules
3、直接在route加

在route直接加
/ip route
add dst-address=cu的ip地址 gateway=cu的pppoe-out

在Firewall address-list需要打标，在route新建根据打标的走哪条线路

routing rule这里应用于RouterOS和RouterOS下面的
Firewall 只应用于RouterOS下面的

KDE

Kvm 发表于 2023-3-12 16:04
开个vultr收全表

K总您好！

按照AS号来分流，我觉得还是美中不足，比如google的as，cf的as，有很多都没强。

按照主流用法，没特殊需求的，要么按域名列表，要么!CN.

AS BGP PEER那是大佬搞大型网络的玩法了 对设备性能要求更高了

我就拿台6代CPU 跑esxi 如果按照AS BGP PEER分流 我觉得性能够呛……

diocat

域名还会根据你的ip地址和dns服务器的不同，解析出国外或者国内的ip，不精准的。最好还是接BGP按照AS号来分流

chinni

找域名很累 小站可能就一个域名 大站很难找全 推荐 列表里直接 放 国内地址 然后排除 其他都走VPM

Kvm

  开个vultr收全表

KDE

diocat 发表于 2023-3-12 15:54
域名还会根据你的ip地址和dns服务器的不同，解析出国外或者国内的ip，不精准的。最好还是接BGP按照AS号来分 ...

DNS地址跟随VPM网关走了，地区跟解析出来的地址相匹配。锅内用运营商的DNS就行，CDN也有效。

Kvm

KDE 发表于 2023-3-12 16:16
K总您好！

按照AS号来分流，我觉得还是美中不足，比如google的as，cf的as，有很多都没强。

在vultr上分好表再把CT CU CMI的表分出来 还有其他的要的分出来后再发回本地

yhl

同ROS V7, ipv4可以分流 ipv6不行, 在mikrotik论坛发帖没人回复, 大佬帮我看看
https://forum.mikrotik.com/viewtopic.php?p=984711#p984711

diocat

KDE 发表于 2023-3-12 16:13
DNS地址跟随VPM网关走了，地区跟解析出来的地址相匹配。锅内用运营商的DNS就行，CDN也有效。 ...

同一个域名，国内外均有解析，手动维护这些东西，未免太繁琐

amao000765

找到ROS组织了？  大佬们能教教怎么做双线分流吗？比如我现在联通和移动接入，怎么让移动的目标IP走移动，其余国内国外全部走联通，还有对移动友好的小鸡走移动。。。我特么血亏，买了个P10的ROS正版。