路由器集成总览
MSM 默认以旁路由方式工作。对主路由来说,真正需要完成的只有两件事:
- 把需要分流设备的 DNS 请求交给 MSM 上的 MosDNS
- 把 FakeIP 以及你希望强制进入代理的目标网段路由到 MSM
先确认你的拓扑
MSM 文档默认假设 MosDNS 与 Clash / Sing-Box 运行在同一台 MSM 主机。
- 单机部署:DHCP DNS 和静态路由都指向同一台 MSM 主机
- 分体部署:DHCP DNS 指向 MosDNS 所在主机;FakeIP、Telegram、Netflix 等静态路由指向透明代理所在主机
变量约定
{MSM主机IPv4}:MSM 在局域网中的 IPv4 地址{MSM主机IPv6}:MSM 在局域网中的 IPv6 地址,推荐使用 ULA 或 GUA,例如fd00::2- 默认 FakeIP v4 网段:
28.0.0.0/8 - 默认 FakeIP v6 网段:
f2b0::/18
重要
28.0.0.0/8 与 f2b0::/18 必须和 MSM 中 MosDNS / Clash / Sing-Box 实际启用的 FakeIP 网段一致。主路由只负责把这些网段送到 MSM,不负责还原域名。
必要配置
1. DHCP DNS
默认只下发 MSM 的 一个 IPv4 DNS 即可。
| 场景 | 建议 |
|---|---|
| 标准做法 | DHCP DNS 下发 {MSM主机IPv4} |
| 主路由作为 DNS 转发器 | 主路由上游 DNS 指向 MSM,再由 DHCP 下发主路由地址 |
IPv4/IPv6 共存指的是 FakeIP 路由双栈共存。DHCP DNS 一般只需要下发 MSM 的 IPv4 地址,不需要额外再下发一个 IPv6 DNS。
2. FakeIP 静态路由
| 类型 | 目标地址 | 下一跳 |
|---|---|---|
| FakeIP v4 | 28.0.0.0/8 | {MSM主机IPv4} |
| FakeIP v6 | f2b0::/18 | {MSM主机IPv6} |
3. 可选的补充路由
这些网段不是每个网络都必须配置,但在一些 FakeIP 规则集里会一起用到。
公共 DNS
| 目标地址 | 下一跳 |
|---|---|
8.8.8.8/32 | {MSM主机IPv4} |
8.8.4.4/32 | {MSM主机IPv4} |
1.1.1.1/32 | {MSM主机IPv4} |
1.0.0.1/32 | {MSM主机IPv4} |
Telegram
| 类型 | 目标地址 | 下一跳 |
|---|---|---|
| IPv4 | 149.154.160.0/20 | {MSM主机IPv4} |
| IPv4 | 91.105.192.0/23 | {MSM主机IPv4} |
| IPv4 | 91.108.4.0/22 | {MSM主机IPv4} |
| IPv4 | 91.108.8.0/22 | {MSM主机IPv4} |
| IPv4 | 91.108.12.0/22 | {MSM主机IPv4} |
| IPv4 | 91.108.16.0/22 | {MSM主机IPv4} |
| IPv4 | 91.108.20.0/22 | {MSM主机IPv4} |
| IPv4 | 91.108.56.0/22 | {MSM主机IPv4} |
| IPv4 | 95.161.64.0/20 | {MSM主机IPv4} |
| IPv6 | 2001:b28:f23d::/48 | {MSM主机IPv6} |
| IPv6 | 2001:b28:f23f::/48 | {MSM主机IPv6} |
| IPv6 | 2001:b28:f23c::/48 | {MSM主机IPv6} |
| IPv6 | 2001:67c:4e8::/48 | {MSM主机IPv6} |
| IPv6 | 2a0a:f280::/32 | {MSM主机IPv6} |
Netflix
| 目标地址 | 下一跳 |
|---|---|
23.246.0.0/18 | {MSM主机IPv4} |
37.77.184.0/21 | {MSM主机IPv4} |
45.57.0.0/17 | {MSM主机IPv4} |
64.120.128.0/17 | {MSM主机IPv4} |
66.197.128.0/17 | {MSM主机IPv4} |
69.53.224.0/19 | {MSM主机IPv4} |
103.87.204.0/22 | {MSM主机IPv4} |
108.175.32.0/20 | {MSM主机IPv4} |
185.2.220.0/22 | {MSM主机IPv4} |
185.9.188.0/22 | {MSM主机IPv4} |
192.173.64.0/18 | {MSM主机IPv4} |
198.38.96.0/19 | {MSM主机IPv4} |
198.45.48.0/20 | {MSM主机IPv4} |
207.45.72.0/22 | {MSM主机IPv4} |
208.75.76.0/22 | {MSM主机IPv4} |
210.0.153.0/24 | {MSM主机IPv4} |
185.76.151.0/24 | {MSM主机IPv4} |
路由策略约定
MSM 文档统一按“主路由直接添加静态路由”来写:
- IPv4 网段直接指向
{MSM主机IPv4} - IPv6 网段直接指向
{MSM主机IPv6} - 不把
mangle、routing rule、策略路由当作 MSM 的标准接入方式
验证方式
- 客户端执行
nslookup google.com或dig A google.com,结果应落在28.0.0.0/8。 - 再执行
dig AAAA google.com,结果应落在f2b0::/18。 - 白名单设备可以访问国外站点,非白名单设备保持原有直连策略。
- 如果是分体部署,确认“DNS 指向 MosDNS 主机,路由指向代理主机”没有配反。
常见问题
为什么只改 DNS 还不够?
因为 FakeIP 是虚拟地址。没有静态路由时,客户端访问 28.0.0.0/8 或 f2b0::/18 会被主路由按默认路由处理,结果要么丢包,要么直接出 WAN,无法回到 MSM 还原域名。
为什么开了 IPv6 还访问不了 AAAA 目标?
通常是以下几种原因:
- 主路由没有添加
f2b0::/18 - MSM 主机没有稳定可达的 IPv6 地址
- 路由器把
f2b0::/18指到了 DNS 主机,而不是真正做透明代理的主机 - Clash / Sing-Box 的 FakeIP v6 网段与路由器配置不一致