ubnt 路由器单 WAN 双网关策略路由实例

基础环境

路由器：ubnt USG，ip 192.168.18.1
第二网关：软路由 LEDE，LAN 口 和 USG连接，手动指定同网段 ip 192.168.18.66
已配置好上网，除了路由器 作为默认网关，局域网中还有另一网关 192.168.18.66 提供各种网络服务。
本策略路由在主路由器上运行，目的是让目标域名和ip走第二网关。
第二网关 LEDE 安装服务部分略过。
以下所有命令在主路由器上运行。

创建 firewall group

通过 ipset 为域名指定 dns 服务地址，并自动将查询到的 ip 地址添加到此 address-group ，此处仅以 123cha.com 和 ipip.net 为例

ssh 登录路由器后，先运行 configure 进入编辑模式

configure

set firewall group address-group CROSS_WALL_SET
set service dns forwarding options server=/123cha.com/192.168.18.66
set service dns forwarding options ipset=/123cha.com/CROSS_WALL_SET
set service dns forwarding options server=/ipip.net/192.168.18.66
set service dns forwarding options ipset=/ipip.net/CROSS_WALL_SET

创建一条static table

指定此路由表下一跳地址为第二网关

set protocols static table 1 route 0.0.0.0/0 next-hop 192.168.18.66

创建防火墙规则

将 firewall group 中的 ip 按照上一步配置的 static table 走

set firewall modify AUTO_GW rule 20 action modify
set firewall modify AUTO_GW rule 20 destination group address-group CROSS_WALL_SET
set firewall modify AUTO_GW rule 20 modify table 1
set firewall modify AUTO_GW rule 20 protocol all

将防火墙规则应用到对应的网络接口

该网络接口为 USG 中跟 LEDE 相连的接口，可能为 switch0，可能为 wan2，也可能为 eth1 等等，本文以 eth1 为例

set interfaces ethernet eth1 firewall in modify AUTO_GW

保存并验证

先保存修改并退出编辑模式

commit;save;exit

查询 以上 address-group 和路由表防火墙等设置
注：需要先经过 dns 查询才会添加进本ip组，可以先用浏览器访问或 ping 一下

show firewall group CROSS_WALL_SET
show ip route
show ip route table 1
show firewall modify AUTO_GW statistics

好了，打开 123cha.com 和 ipip.net 验证一下。

未完待续