Dante’s Site

Stay curious, stay hungry, and never stop hunting.

0%

家庭科学上网环境搭建:DHCP+软路由+Surge方案

Posted on In

软硬件依赖项

前置准备

  1. 华硕路由器:推荐型号 RT - AC86U,可刷 Merlin(梅林)固件(如 386.xx 系列),价格约 1000 元,梅林固件支持更多自定义功能。
  2. Mac mini:建议安装最新的 macOS 系统(如 macOS Ventura 及后续版本),硬件配置根据预算选择,基础款(8GB 内存 + 256GB 存储)价格约 5000 - 6000 元,如需更好性能可升级配置。
  3. Surge 软件:运行于 Mac mini 或客户端设备,用于实现流量规则分流与代理协议解析。官网 https://macos.surge.sh,费用约 200 - 300 元(一次性买断)。
  4. 千兆局域网环境:确保内网数据传输无瓶颈。(网络套餐可以与自己的手机套餐绑定)

网络架构逻辑

采用分层代理 + DNS 分流架构:

  1. 第一层:华硕路由器作为主路由,负责 DHCP 分配、局域网管理及基础网络策略;
  2. 第二层:Mac mini 作为软路由,承担 DNS 解析、流量加密 / 解密及代理协议转发(如 Shadowsocks);
  3. 第三层:Surge 规则引擎实现精细化流量控制,区分国内 / 国际流量路径,确保国内服务直连、国际服务走代理。

VPS 搭建(以搬瓦工为例)

云主机服务

  1. 访问 搬瓦工官网,注册账号后选择套餐。推荐含 CN2 GIA 线路的套餐(如 “CN2 GIA-E” 系列),该线路对国内优化较好,延迟低、速度快。购买时选择合适的配置(如 1GB 内存 + 20GB 硬盘 + 1Gbps 带宽),价格约 100 - 200 美元/年。
  2. 购买后在搬瓦工后台获取 VPS 的 IP 地址、用户名、密码等信息。通过 SSH 工具(如 Putty)连接 VPS,安装 Shadowsocks 服务端程序(具体安装命令需根据 VPS 系统选择,如 CentOS 系统可参考 yum install -y python-pip && pip install shadowsocks,然后编辑配置文件 ssserver -c /etc/shadowsocks.json -d start),并设置加密方式(如 chacha20-ietf-poly1305)。

固件升级与 SSH 开启

通过官方渠道将华硕路由器固件升级至 Merlin 系统最新版本,进入「系统管理 - 系统设置」启用 SSH 服务,建议采用密钥认证提升安全性。

Shadowsocks 插件配置

在「科学上网」插件模块中配置 Shadowsocks 服务:

  • 服务器参数:填写搬瓦工 VPS 提供的 IP 地址、端口号、加密方式(推荐 chacha20-ietf-poly1305)。
  • 混淆设置:启用 HTTP 混淆模式,规避网络审查机制。
  • 全局模式:关闭路由器级全局代理,采用终端设备独立调度策略。

Mac mini 软路由功能实现

系统环境准备

安装 macOS Server 或 Ubuntu Server 系统,启用 “共享互联网” 功能,配置为双向网络桥接(一端连接路由器 LAN 口,另一端作为虚拟网卡承载代理流量)。

DNS 分流系统搭建

安装 Dnsmasq 并配置分流规则,将国际域名解析指向公共 DNS(如 Cloudflare 1.1.1.1),国内域名解析保留本地 DNS:

server=/abc.com/1.1.1.1          # 特定域名强制走代理DNS  
server=/google.com/1.1.1.1  
server=/local/192.168.50.1      # 局域网域名解析指向路由器

双网络接口配置

  1. 物理接口 1(有线):连接路由器 LAN 口,设置静态 IP(如 192.168.50.2),作为内网通信入口。
  2. 物理接口 2(有线/无线):作为软路由出口(若 Mac mini 仅单网口,需通过 USB 转网口扩展)。

DNS 解析服务迁移

  1. 安装 dnsmasq 服务并配置:
    echo "server=114.114.114.114" >> /usr/local/etc/dnsmasq.conf  # 国内 DNS 上游服务器  
    echo "server=8.8.8.8" >> /usr/local/etc/dnsmasq.conf          # 境外 DNS 上游服务器
  2. 启用系统级代理转发,通过 pf 防火墙规则实现流量分流:
    sysctl net.inet.ip.forwarding=1  
    pfctl -ef /etc/pf.conf  # 加载自定义流量转发规则

性能优化策略

  1. 关闭 Mac mini 系统休眠功能,确保 7×24 小时稳定运行。
  2. 通过「活动监视器」监控 CPU 与内存占用,若处理 8K 视频出现卡顿,可升级至 64 位处理器型号。

Surge 规则编写与流量调度

规则文件结构设计

在 Surge 配置文件中定义分流逻辑,以下是常用网站清单:

[Proxy]
SS, SS_SERVER, 192.168.50.2, 8388, password=your_secure_password, method=chacha20 - ietf - poly1305
[Rule]
; 境外常用网站(Top 20)
DOMAIN - SUFFIX,google.com,PROXY
DOMAIN - SUFFIX,youtube.com,PROXY
DOMAIN - SUFFIX,facebook.com,PROXY
DOMAIN - SUFFIX,twitter.com,PROXY
DOMAIN - SUFFIX,instagram.com,PROXY
DOMAIN - SUFFIX,netflix.com,PROXY
DOMAIN - SUFFIX,linkedin.com,PROXY
DOMAIN - SUFFIX,dropbox.com,PROXY
DOMAIN - SUFFIX,github.com,PROXY
DOMAIN - SUFFIX,quora.com,PROXY
DOMAIN - SUFFIX,pinterest.com,PROXY
DOMAIN - SUFFIX,reddit.com,PROXY
DOMAIN - SUFFIX,stackoverflow.com,PROXY
DOMAIN - SUFFIX,twitch.tv,PROXY
DOMAIN - SUFFIX,zoom.us,PROXY
DOMAIN - SUFFIX,spotify.com,PROXY
DOMAIN - SUFFIX,airbnb.com,PROXY
DOMAIN - SUFFIX,booking.com,PROXY
DOMAIN - SUFFIX,nytimes.com,PROXY
DOMAIN - SUFFIX,bloomberg.com,PROXY
; 境内常用网站(Top 20)
DOMAIN - SUFFIX,baidu.com,DIRECT
DOMAIN - SUFFIX,taobao.com,DIRECT
DOMAIN - SUFFIX,jd.com,DIRECT
DOMAIN - SUFFIX,qq.com,DIRECT
DOMAIN - SUFFIX,weibo.com,DIRECT
DOMAIN - SUFFIX,zhihu.com,DIRECT
DOMAIN - SUFFIX,aliyun.com,DIRECT
DOMAIN - SUFFIX,tmall.com,DIRECT
DOMAIN - SUFFIX,163.com,DIRECT
DOMAIN - SUFFIX,sina.com.cn,DIRECT
DOMAIN - SUFFIX,gov.cn,DIRECT
DOMAIN - SUFFIX,csdn.net,DIRECT
DOMAIN - SUFFIX,meituan.com,DIRECT
DOMAIN - SUFFIX,ele.me,DIRECT
DOMAIN - SUFFIX,kanzhun.com,DIRECT
DOMAIN - SUFFIX,zhongan.com,DIRECT
DOMAIN - SUFFIX,douban.com,DIRECT
DOMAIN - SUFFIX,xin.com,DIRECT
DOMAIN - SUFFIX,guazi.com,DIRECT
DOMAIN - SUFFIX,lianjia.com,DIRECT
; 通用规则
GEOIP,CN,DIRECT
DEFAULT,PROXY
; 原有示例补充(可根据实际调整)
DOMAIN - SUFFIX, iqiyi.com, DIRECT
DOMAIN - SUFFIX, qq.com, DIRECT
IP - CIDR, 192.168.0.0/16, DIRECT
[DNS]
server = 192.168.50.2, 114.114.114.114, 8.8.8.8

性能优化配置

在 Surge 设置中启用 “硬件加速” 选项(若 Mac mini 支持 AVX 指令集),并调整 TCP 缓冲区参数以提升 8K 视频流传输稳定性: 

net.inet.tcp.rfc1323=1
net.inet.tcp.window_scale=1

网络细节配置

DHCP 与 IP 分配

  1. 路由器 DHCP 配置:设置 Mac mini 的 IP 为静态(如 192.168.50.2),保留该 IP 不参与自动分配。其他设备 IP 分配区间可设为 192.168.50.3 - 192.168.50.254
  2. 终端设备设置:将设备的 DNS 地址手动设置为 Mac mini 的 IP(192.168.50.2),确保解析请求通过 Mac mini 处理。

路由器信号增强与中继配置

  1. 信号增强:进入路由器「无线设置」,将无线信号强度调至「高」(不同路由器界面名称可能不同)。
  2. 中继配置:若使用多个路由器中继,需统一所有路由器的 SSID 和密码,关闭从路由器的 DHCP 功能,并将其 LAN 口连接主路由器 LAN 口(或通过无线桥接),确保所有设备在同一局域网内,且 DNS 均指向 Mac mini。

高性能访问优化方案

加密算法选择

针对 YouTube 8K 视频等高带宽需求场景,在 Shadowsocks 客户端配置中选用 aes - 256 - gcm 算法,利用 Mac mini 的硬件加密加速功能降低延迟。

内网传输优化

  1. 路由器开启 802.11ac Wave 2 协议,启用 MU - MIMO 技术提升多设备并发性能。
  2. Mac mini 与路由器通过 CAT6 网线直连,确保代理数据转发速率达千兆级别。

系统验证与故障排查

带宽压力测试

通过 YouTube 8K 测试视频(如《Sailing》)验证传输稳定性,确保 Mac mini CPU 负载低于 70%,内存占用低于 80%。

分流规则验证

使用 dig 命令检查域名解析路径:

dig @192.168.50.2 netflix.com   # 应返回代理DNS解析结果  
dig @192.168.50.2 qq.com        # 应返回本地DNS解析结果
  1. 终端设备设置 DNS 为 Mac mini IP,访问 youtube.com 验证 8K 视频加载速度。
  2. 打开爱奇艺客户端,确认视频播放不触发代理流量。

性能监控

  1. 通过路由器后台查看实时带宽占用,确保代理通道未出现拥塞。
  2. 在 Mac mini 终端执行 top 命令,监控 ss - localdnsmasq 进程资源占用。

常见故障处理

若视频加载卡顿,检查 Shadowsocks 节点带宽及加密算法性能,可尝试切换至更高效的混淆模式(如 simple - obfs);若国内应用走代理,需修正 Surge 规则中的域名匹配逻辑,确保国内域名未被错误标记为代理目标。

后续

  1. 多用户管理:通过 Shadowsocks 多用户配置文件(user - config.json)实现家庭成员独立账号分配,设置流量配额限制。
  2. 数据加密增强:在 Mac mini 与路由器之间部署 IPsec 隧道(如 StrongSwan),对代理流量进行二次加密,提升传输安全性。
  3. 合规性提示:本方案仅用于技术研究与合法合规场景,使用者需严格遵守国家网络安全相关法律法规,禁止用于非法用途。

通过上述架构设计,可实现家庭网络环境下的精细化流量管理,在保障国内服务访问效率的同时,满足高质量国际流媒体内容的稳定传输需求。系统部署完成后,建议定期进行固件版本升级与安全策略审计,确保网络环境的长期可靠性。