使用路由器上的静态路由来绕过 VPN 动态 IP？

Question 1

TL-WR841 只是一台带有 TP-Link 提供的 UI 的 Linux 计算机。

如果您在其上使用 VPN，它将有两个网络接口（一个用于 VPN，另一个用于 ISP 的 WAN）。Linux 具有路由规则，可以根据目标 IP 地址决定使用哪个接口（即所谓的“静态路由”）。Linux 还有一个称为策略路由您可以根据源地址进行路由。

因此，如果您将路由器配置为通过 DHCP（有时称为“静态 DHCP”）为所有设备分配相同的 IP 地址，则您可以使用 IP 地址来识别设备，并进行相应的路由。

现在的问题是如何设置。如果 TP-Link 说您无法按设备路由，他们可能没有用于策略路由的 UI。如果您有“静态路由”的 UI，您当然可以按目的地路由。

另一种方法是用不同的固件（例如 OpenWRT）重新刷新路由器。你必须小心一点，TL-WR841N 基于非常不同的硬件，具体取决于版本，对于某些类型（主要是较旧的硬件），它可以工作，对于某些类型，它没有。

一旦你拥有了设备的完全访问权限，你就可以配置你想要的一切，包括按源地址进行策略路由。不过，你需要熟悉 Linux 命令行才能做到这一点。

还有其他固件变体，如 DD-WRT（基于 OpenWRT，相同的硬件限制），具有更加用户友好的用户界面。这里是 DD-WRT 的策略路由 wiki 页面。如果我理解正确的话，它确实有一些 UI 支持，但你仍然可能需要为 VPN 编写脚本（但我还没有在 DD-WRT 上这样做过，所以我的理解可能是错误的）。

可以将您的路由器重新刷新到原始 TP-Link 固件（下载或在第一次刷新之前保存它），以便您可以进行实验。

编辑

对于静态路由：我不知道 TP-Link UI 是什么样子的，但一般来说，您需要一个目标 IP 地址集合，例如与 Amazon Prime Video 相关的所有 IP 地址（其中可能涉及多个服务器，并且它们可能使用多个 IP 地址进行负载平衡）。这些可能是单个地址，在这种情况下，您需要一个 /32 或 255.255.255.255 的网络掩码。或者可能是完整的 IP 范围，例如 Amazon 公共 IP 范围，在这种情况下，您可以使用不同的网络掩码将它们分组在一起。

网关（下一跳）将是您要路由的连接的网关，无论是 WAN 还是 VPN。查找接口应该会为您提供网关。建立连接时，WAN 和 VPN 的网关可能会发生变化，因此静态分配网关可能很困难。

Answer

TL-WR841 只是一台带有 TP-Link 提供的 UI 的 Linux 计算机。

如果您在其上使用 VPN，它将有两个网络接口（一个用于 VPN，另一个用于 ISP 的 WAN）。Linux 具有路由规则，可以根据目标 IP 地址决定使用哪个接口（即所谓的“静态路由”）。Linux 还有一个称为策略路由您可以根据源地址进行路由。

因此，如果您将路由器配置为通过 DHCP（有时称为“静态 DHCP”）为所有设备分配相同的 IP 地址，则您可以使用 IP 地址来识别设备，并进行相应的路由。

现在的问题是如何设置。如果 TP-Link 说您无法按设备路由，他们可能没有用于策略路由的 UI。如果您有“静态路由”的 UI，您当然可以按目的地路由。

另一种方法是用不同的固件（例如 OpenWRT）重新刷新路由器。你必须小心一点，TL-WR841N 基于非常不同的硬件，具体取决于版本，对于某些类型（主要是较旧的硬件），它可以工作，对于某些类型，它没有。

一旦你拥有了设备的完全访问权限，你就可以配置你想要的一切，包括按源地址进行策略路由。不过，你需要熟悉 Linux 命令行才能做到这一点。

还有其他固件变体，如 DD-WRT（基于 OpenWRT，相同的硬件限制），具有更加用户友好的用户界面。这里是 DD-WRT 的策略路由 wiki 页面。如果我理解正确的话，它确实有一些 UI 支持，但你仍然可能需要为 VPN 编写脚本（但我还没有在 DD-WRT 上这样做过，所以我的理解可能是错误的）。

可以将您的路由器重新刷新到原始 TP-Link 固件（下载或在第一次刷新之前保存它），以便您可以进行实验。

编辑

对于静态路由：我不知道 TP-Link UI 是什么样子的，但一般来说，您需要一个目标 IP 地址集合，例如与 Amazon Prime Video 相关的所有 IP 地址（其中可能涉及多个服务器，并且它们可能使用多个 IP 地址进行负载平衡）。这些可能是单个地址，在这种情况下，您需要一个 /32 或 255.255.255.255 的网络掩码。或者可能是完整的 IP 范围，例如 Amazon 公共 IP 范围，在这种情况下，您可以使用不同的网络掩码将它们分组在一起。

网关（下一跳）将是您要路由的连接的网关，无论是 WAN 还是 VPN。查找接口应该会为您提供网关。建立连接时，WAN 和 VPN 的网关可能会发生变化，因此静态分配网关可能很困难。

Question 2

以下文章介绍了使用标准固件实现目标的详细步骤：
如何将 PS3 或 PS4 置于 DMZ。

我总结如下：

为控制台指定一个静态 IP 地址设置 > 网络设置。此地址应在您本地网络的范围内，可能类似于192.168.0.X，但请确保它不在 DHCP 地址范围内。
以管理员身份登录到您的路由器，然后搜索名为的选项DMZ。作为 DMZ 的 IP 地址，请输入您之前为控制台提供的 IP 地址。
在控制台上的“网络设置”中，再次选择网络连接测试。
如果成功，您的 NAT 类型可能会显示“2”。

这应该会将您的控制台直接连接到互联网，实际上绕过 VPN。它的成功还取决于您的路由器如何同时处理指定的 VPN 和 DMZ。

欲了解更多详情，请参阅上述文章。

Answer

以下文章介绍了使用标准固件实现目标的详细步骤：
如何将 PS3 或 PS4 置于 DMZ。

我总结如下：

为控制台指定一个静态 IP 地址设置 > 网络设置。此地址应在您本地网络的范围内，可能类似于192.168.0.X，但请确保它不在 DHCP 地址范围内。
以管理员身份登录到您的路由器，然后搜索名为的选项DMZ。作为 DMZ 的 IP 地址，请输入您之前为控制台提供的 IP 地址。
在控制台上的“网络设置”中，再次选择网络连接测试。
如果成功，您的 NAT 类型可能会显示“2”。

这应该会将您的控制台直接连接到互联网，实际上绕过 VPN。它的成功还取决于您的路由器如何同时处理指定的 VPN 和 DMZ。

欲了解更多详情，请参阅上述文章。

Question 3

这是一组无序的答案：

我遇到的问题是它确实允许静态路由。我只是不确定如何正确设置它（例如目标 IP 是什么、子网掩码和网关是什么？）。

在路由中，目标 IP + 掩码（或 IP/前缀长度）定义要到达的目标，是特定地址还是范围。网关定义如何您将到达它，即将数据包传递到的“下一跳”。

您的路由器上将会有一个页面显示所有积极的路由（静态和动态）。其中您将看到 0.0.0.0/0（掩码 0.0.0.0）的路由，也称为“默认”路由，因为它匹配任何地址。这是您的路由器通常用于 Internet 访问的路由，其网关/下一跳将是属于您的 ISP 的某个路由器地址。

启动 VPN 连接将添加更多路由 – 当 VPN 用于互联网访问时，它将添加第二0.0.0.0/0 路由，但这次使用 VPN 服务器的地址作为网关（或者根本没有地址，只有一个接口名称）。

如果同一个数据包与多条路由匹配，则前缀最长（或网络掩码中“1”位最多）的路由将具有最高优先级。（例如，掩码=255.255.255.0 的路由将优先于掩码=0.0.0.0 的路由。）如果有多条路由具有相同的目标+掩码，则使用“metric”参数设置优先级。

因此，当 VPN 处于活动状态时，您有两个针对 0.0.0.0/0 的“默认”路由，但 VPN 路由具有更高的优先级（更低的度量），因此所有 Internet 访问都将通过 VPN。要针对特定目的地覆盖它，您需要添加一条针对该目的地的新路由，并从 ISP 的主要默认路由复制网关参数。

具体来说，我想告诉路由器，除游戏机外，我的所有设备都应通过 VPN 连接。但我被告知这是不可能的。

使用常规 IPv4 路由确实是不可能的。

（尽管在 Linux 上将会使用常规 IPv6 路由可以实现这一点，因为 IPv6 路由不仅可以匹配目标，还可以匹配源。遗憾的是 IPv4 尚未实现此功能，而且无论如何您都不会在 TP-Link 的配置屏幕中找到它。）

不过，@dirkt 提到的“策略路由”功能是可以实现的。策略路由会插入一个额外的步骤前常规路由——它允许您创建几个独立的路由表并定义何时使用哪个表的规则。

例如，你可以定义来自游戏机的数据包将使用表 1（其中包含常规 ISP 的默认路由），而来自其他设备的数据包将使用表 2（其中包含 VPN 的默认路由）。

亚马逊发布了其 IP 范围列表，但其数量超过 1000 个。如果静态路由确实是答案，我是否需要为所有已发布的 IP 添加一个案例？

是的，使用标准路线，您需要列出所有目的地。

策略路由改变了这种情况，因为它允许设备根据其他参数（例如源地址或正在使用的协议/端口）做出路由决策。

Answer