Clash Premium 旁路网关讨论。

myhost 大佬有话说 :

Clash Premium 旁路网关讨论。

本帖最后由 myhost 于 2021-5-5 14:30 编辑

各位大佬请指点下，看看有无错误

局域网网段：10.0.0.1/24

Clash服务器IP：10.0.0.55

路由器IP：10.0.0.254

https://github.com/Dreamacro/clash/releases/tag/premium //使用的是Clash Premium，并开启TUN

Clash Premium配置：

# 以下部分不要修改！
port: 7890
socks-port: 7891
redir-port: 7892
allow-lan: true

mode: Rule

log-level: info
# external-controller 主要是用于 web 端管理页面，必须监听在 0.0.0.0
external-controller: 0.0.0.0:9090

# secret 是进入管理面板所需要的密码，可填可不填，建议填上
secret: "123456"

# external-ui 表示管理面板的路径
external-ui: dashboard

dns:
enable: true # set true to enable dns (default is false)
ipv6: false # default is false
listen: 0.0.0.0:53
enhanced-mode: redir-host # or fake-ip
fake-ip-range: 198.18.0.1/16 # if you don’t know what it is, don’t change it
nameserver:
   – 119.29.29.29
   – ‘tcp://223.5.5.5’
   – https://doh.pub/dns-query
   – https://dns.alidns.com/dns-query
   – https://i.233py.com/dns-query
fallback:
   – https://cloudflare-dns.com/dns-query
   – https://doh.opendns.com/dns-query
   – https://dns.google/dns-query
   – https://dns.nextdns.io/dns-query
   – https://doh.233py.com/dns-query
   – ‘tls://223.5.5.5:853’
   – ‘https://223.5.5.5/dns-query’
fallback-filter:
    geoip: true
    ipcidr:
      – 240.0.0.0/4

interface-name: ens160

tun:
enable: true
stack: system
dns-hijack:
    – 8.8.8.8:53
    – tcp://8.8.8.8:53
#macOS-auto-route: true # auto set global route

IPtables配置：

iptables -t nat -N clash
iptables -t nat -N clash_dns

# 这个是fake-ip对应的dns地址，一般不用动
iptables -t nat -A PREROUTING -p tcp –dport 53 -d 198.19.0.0/24 -j clash_dns
iptables -t nat -A PREROUTING -p udp –dport 53 -d 198.19.0.0/24 -j clash_dns
iptables -t nat -A PREROUTING -p tcp -j clash

# 这里需要注意的是，下面两行最后的 192.168.1.21 是当前旁路由的 IP 地址，请根据你自己的实际情况修改
# 如果你自己的旁路由 IP 跟下面的 IP 地址不对的话会造成无法上网代理
iptables -t nat -A clash_dns -p udp –dport 53 -d 198.19.0.0/24 -j DNAT –to-destination 10.0.0.55:53
iptables -t nat -A clash_dns -p tcp –dport 53 -d 198.19.0.0/24 -j DNAT –to-destination 10.0.0.55:53

# 绕过一些内网地址
iptables -t nat -A clash -d 0.0.0.0/8 -j RETURN
iptables -t nat -A clash -d 10.0.0.0/8 -j RETURN
iptables -t nat -A clash -d 127.0.0.0/8 -j RETURN
iptables -t nat -A clash -d 169.254.0.0/16 -j RETURN
iptables -t nat -A clash -d 172.16.0.0/12 -j RETURN
iptables -t nat -A clash -d 192.168.0.0/16 -j RETURN
iptables -t nat -A clash -d 224.0.0.0/4 -j RETURN
iptables -t nat -A clash -d 240.0.0.0/4 -j RETURN

# 注意, 这边的7892对应后续clash配置里的redir-port
iptables -t nat -A clash -p tcp -j REDIRECT –to-ports 7892

clash服务器网络列表：

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens160: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether 00:0c:29:9a:32:0b brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.55/24 brd 10.0.0.255 scope global dynamic ens160
       valid_lft 30328sec preferred_lft 30328sec
    inet6 fe80::20c:29ff:fe9a:320b/64 scope link
       valid_lft forever preferred_lft forever
3: utun: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 9000 qdisc fq_codel state UNKNOWN group default qlen 500
    link/none
    inet 198.18.0.1/16 scope global utun
       valid_lft forever preferred_lft forever
    inet6 fe80::89bb:e4d4:9e59:4612/64 scope link stable-privacy
       valid_lft forever preferred_lft forever

客户端配置：

IP：10.0.0.1XX   //
子网掩码：255.255.255.0
网关：10.0.0.200 //clash服务器地址
DNS：198.19.0.1 //fake-ip

目前可以正常使用

疑问：
1.是否可以把198.18.0.1作为DNS服务器，部署给所有客户端，使用dhcp下发
2.clash服务器自身的dns如何设置呢？目前使用的是8.8.8.8