不能开 DHCP、不能作为主网关
旁路由必须保持“透明”,不能争抢主路由职责。
必须关闭:
- DHCP Server
- NAT(除非你的代理需要出国流量 MASQUERADE)
- 不要成为默认网关(0.0.0.0/0)
主路由 AX86U Pro 才是唯一网关:
网关:192.168.x.1 (AX86U Pro)
旁路 RouterOS:192.168.x.2
LAN/WAN 分工变化:WAN 不再是 ISP,而是 “接主路由的 LAN”
旁路有两种工作方式:
方式 A:RouterOS 单口旁路 —— 最简单
只用一个 LAN 口,通过 Bridge 加入主路层。
方式 B:RouterOS 双口旁路
WAN(接主路 LAN) LAN(提供旁路功能)
切记:WAN 口不拨号、不 NAT、不做默认路由。
必须保留 Mangle/Policy Routing(策略路由)
这是旁路由最核心的功能,用于:
- 把走科学代理的流量“标记”
- 再通过单独路由表导向代理出口
若要旁路科学上网,必须保留:
- Mangle
- Routing Table
- IP Rule
否则无法做分流/透明代理。
必须关闭 RouterOS 的 NAT(除非代理本身需要)
你的旁路代理类型决定 NAT 规则:
大多数情况下(例如 V2Ray/SS/SSR):
代理程序本身做转发,不需要 ROS 自带 NAT。
→ RouterOS NAT = 禁用
但如果你要做 Fake-IP 模式 / REDIRECT 透明代理:
需要 RouterOS 给流量做一次 MASQUERADE 否则代理出口会丢包。
这一点必须按你的代理方式来确定,我可以帮你检查。
不要让 RouterOS 提供 DNS(非常关键)
旁路代理最常见的问题是:
DNS 泄漏
DNS 回国导致无法打开网站
Fake-IP 不生效
必须关掉 RouterOS 自己的 DNS:
- IP → DNS → Allow Remote Requests = off
- 禁用 RouterOS DNS 缓存
- 尽量不要让客户端把 RouterOS 当 DNS
旁路代理的 DNS 应该由:
- 代理程序(Fake-IP / DoH / DoT)
- 或 AX86U Pro(如果你有设置 DNS-over-HTTPS)
来处理。
保留 RouterOS 的高级功能(根据需要)
如果你要分流,RouterOS 可以做:
- 绕过国内流量(中国 IP 段)
- 游戏走直连
- Netflix / YouTube / TG / ChatGPT 走代理
- 按设备分组走代理或不走代理
- 按端口走代理(如 22/80/443)
这些都需要:
- 地址列表(Address List)
- Mangle
- Policy Routing
- RouterOS 的路由表
旁路由需要固定 IP(Static IP)
例如:
AX86U Pro(主路由):192.168.50.1
RouterOS(旁路由):192.168.50.2
旁路 IP 必须:
- 固定
- 不随 DHCP 变动
- 主路由要在 DHCP 里设置保留地址,避免冲突
- 所有流量指向旁路的规则都用这个 IP