Clash Premium 旁路网关讨论。

myhost

各位大佬请指点下，看看有无错误

局域网网段：10.0.0.1/24

Clash服务器IP：10.0.0.55

路由器IP：10.0.0.254

1. https://github.com/Dreamacro/clash/releases/tag/premium //使用的是Clash Premium，并开启TUN

复制代码

Clash Premium配置：

1. # 以下部分不要修改！
   
2. port: 7890
   
3. socks-port: 7891
   
4. redir-port: 7892
   
5. allow-lan: true
   
6. 
   
7. mode: Rule
   
8. 
   
9. log-level: info
   
10. # external-controller 主要是用于 web 端管理页面，必须监听在 0.0.0.0
    
11. external-controller: 0.0.0.0:9090
    
12. 
    
13. # secret 是进入管理面板所需要的密码，可填可不填，建议填上
    
14. secret: "123456"
    
15. 
    
16. # external-ui 表示管理面板的路径
    
17. external-ui: dashboard
    
18. 
    
19. dns:
    
20.   enable: true # set true to enable dns (default is false)
    
21.   ipv6: false # default is false
    
22.   listen: 0.0.0.0:53
    
23.   enhanced-mode: redir-host # or fake-ip
    
24.   fake-ip-range: 198.18.0.1/16 # if you don't know what it is, don't change it
    
25.   nameserver:
    
26.      - 119.29.29.29
    
27.      - 'tcp://223.5.5.5'
    
28.      - https://doh.pub/dns-query
    
29.      - https://dns.alidns.com/dns-query
    
30.      - https://i.233py.com/dns-query
    
31.   fallback:
    
32.      - https://cloudflare-dns.com/dns-query
    
33.      - https://doh.opendns.com/dns-query
    
34.      - https://dns.google/dns-query
    
35.      - https://dns.nextdns.io/dns-query
    
36.      - https://doh.233py.com/dns-query
    
37.      - 'tls://223.5.5.5:853'
    
38.      - 'https://223.5.5.5/dns-query'
    
39.   fallback-filter:
    
40.     geoip: true
    
41.     ipcidr:
    
42.       - 240.0.0.0/4
    
43. 
    
44. interface-name: ens160
    
45. 
    
46. tun:
    
47.   enable: true
    
48.   stack: system
    
49.   dns-hijack:
    
50.     - 8.8.8.8:53
    
51.     - tcp://8.8.8.8:53
    
52. #  macOS-auto-route: true # auto set global route
    

复制代码

IPtables配置：

1. iptables -t nat -N clash
   
2. iptables -t nat -N clash_dns
   
3. 
   
4. # 这个是fake-ip对应的dns地址，一般不用动
   
5. iptables -t nat -A PREROUTING -p tcp --dport 53 -d 198.19.0.0/24 -j clash_dns
   
6. iptables -t nat -A PREROUTING -p udp --dport 53 -d 198.19.0.0/24 -j clash_dns
   
7. iptables -t nat -A PREROUTING -p tcp -j clash
   
8. 
   
9. # 这里需要注意的是，下面两行最后的 192.168.1.21 是当前旁路由的 IP 地址，请根据你自己的实际情况修改
   
10. # 如果你自己的旁路由 IP 跟下面的 IP 地址不对的话会造成无法上网代理
    
11. iptables -t nat -A clash_dns -p udp --dport 53 -d 198.19.0.0/24 -j DNAT --to-destination 10.0.0.55:53
    
12. iptables -t nat -A clash_dns -p tcp --dport 53 -d 198.19.0.0/24 -j DNAT --to-destination 10.0.0.55:53
    
13. 
    
14. # 绕过一些内网地址
    
15. iptables -t nat -A clash -d 0.0.0.0/8 -j RETURN
    
16. iptables -t nat -A clash -d 10.0.0.0/8 -j RETURN
    
17. iptables -t nat -A clash -d 127.0.0.0/8 -j RETURN
    
18. iptables -t nat -A clash -d 169.254.0.0/16 -j RETURN
    
19. iptables -t nat -A clash -d 172.16.0.0/12 -j RETURN
    
20. iptables -t nat -A clash -d 192.168.0.0/16 -j RETURN
    
21. iptables -t nat -A clash -d 224.0.0.0/4 -j RETURN
    
22. iptables -t nat -A clash -d 240.0.0.0/4 -j RETURN
    
23. 
    
24. # 注意, 这边的7892对应后续clash配置里的redir-port
    
25. iptables -t nat -A clash -p tcp -j REDIRECT --to-ports 7892

复制代码

clash服务器网络列表：

1. 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
   
2.     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
   
3.     inet 127.0.0.1/8 scope host lo
   
4.        valid_lft forever preferred_lft forever
   
5.     inet6 ::1/128 scope host
   
6.        valid_lft forever preferred_lft forever
   
7. 2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
   
8.     link/ether 00:0c:29:9a:32:0b brd ff:ff:ff:ff:ff:ff
   
9.     inet 10.0.0.55/24 brd 10.0.0.255 scope global dynamic ens160
   
10.        valid_lft 30328sec preferred_lft 30328sec
    
11.     inet6 fe80::20c:29ff:fe9a:320b/64 scope link
    
12.        valid_lft forever preferred_lft forever
    
13. 3: utun: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 9000 qdisc fq_codel state UNKNOWN group default qlen 500
    
14.     link/none
    
15.     inet 198.18.0.1/16 scope global utun
    
16.        valid_lft forever preferred_lft forever
    
17.     inet6 fe80::89bb:e4d4:9e59:4612/64 scope link stable-privacy
    
18.        valid_lft forever preferred_lft forever

复制代码

客户端配置：

1. IP：10.0.0.1XX   //
   
2. 子网掩码：255.255.255.0
   
3. 网关：10.0.0.200 //clash服务器地址
   
4. DNS：198.19.0.1 //fake-ip

复制代码

目前可以正常使用

疑问：
1.是否可以把198.18.0.1作为DNS服务器，部署给所有客户端，使用dhcp下发
2.clash服务器自身的dns如何设置呢？目前使用的是8.8.8.8

hcyme

是单口的话用vlan，其他什么都不要设置，和普通路由器一样用就行了。其他的方法容易引起莫名其妙的情况

zaojiapai

厉害了，我都是用人家整合好的，一个叫灯塔，一个叫shellclash 好像是这个，你们可以看看

myhost

hcyme 发表于 2021-5-5 14:37
是单口的话用vlan，其他什么都不要设置，和普通路由器一样用就行了。其他的方法容易引起莫名其妙的情况 ...

谢回复。主要是想咨询下，配置有无错误，是否使用的是tun模式

myhost

zaojiapai 发表于 2021-5-5 15:10
厉害了，我都是用人家整合好的，一个叫灯塔，一个叫shellclash 好像是这个，你们可以看看 ...

谢回复。主要是想用tun模式，作为内网的代理

openos

我看freebsd也支持.
难道pfSense也支持这个高级货?

zaojiapai

myhost 发表于 2021-5-5 15:19
谢回复。主要是想用tun模式，作为内网的代理

我说的这两款都支持这个tun模式！

Mankiw

clash 网上完整教程不好找，谢谢楼主，我先收藏了

团购

旁路有用OP，安装openclash，很方便啊。