Openclash

2026-03-19 17:09:45 +01:00
parent 61931d7b3d
commit e4382d01bb
6 changed files with 472 additions and 13 deletions
--- a/Projects/VLESS-Reality/VLESS-REALITY-Router-iStoreOS.md
+++ b/Projects/VLESS-Reality/VLESS-REALITY-Router-iStoreOS.md
@@ -1,10 +1,20 @@
+---
+tags:
+  - openclash
+  - vless-reality
+  - iStoreOS
+  - router
+  - dns
+  - homelab
+---
+
 # iStoreOS 主网关配置文档

 > 主网关：`192.168.68.63` (iStoreOS 24.10.2, aarch64, EasePi Pro)
 > WiFi：Deco BE65（AP 模式）
 > 服务器：`8.138.1.192`（阿里云广州）
-> 用途：翻墙回国 + 全家广告拦截 + 内网 DNS
-> 状态：**已完成，正常工作** (2026-03-15)
+> 用途：国内视频/音乐翻墙回国 + 广告拦截 + 内网 DNS
+> 状态：**已完成，正常工作** (2026-03-19 规则精简)

 ---

@@ -33,8 +43,8 @@ iStoreOS (192.168.68.63) ← 主网关
         └─ 外部域名 → OpenClash (:7874, fake-ip)
                          ├─ fake-ip-filter 匹配 → 返回真实 IP
                          ├─ 广告域名 → REJECT
-                          ├─ 国内域名 → fake-ip → VLESS 代理回国
-                          └─ 海外域名 → fake-ip → 直连
+                          ├─ 国内视频/音乐域名 → fake-ip → VLESS 代理回国
+                          └─ 其余所有域名 → fake-ip → 直连
 ```

 ---
@@ -63,18 +73,31 @@ iStoreOS (192.168.68.63) ← 主网关
 > **重要：** NameServer 必须用海外 DNS，不能用国内 DNS（114、119、223 等），
 > 否则会产生 DNS 环路（国内 DNS IP 匹配 GEOIP,CN → 走代理 → 代理需要 DNS → 死循环）。

-### 流量绕过（K8s 节点直连）
+### 分流规则（2026-03-19 精简）

-配置文件 rules 中添加了 K8s 节点直连规则，避免 fake-ip 干扰容器镜像拉取：
+只有国内视频和音乐走代理回国，其余全部直连：

 ```yaml
 rules:
+  # K8s 节点直连
  - SRC-IP-CIDR,192.168.68.11/32,DIRECT   # k8s-cp1
  - SRC-IP-CIDR,192.168.68.21/32,DIRECT   # k8s-w1
  - SRC-IP-CIDR,192.168.68.22/32,DIRECT   # k8s-w2
-  # ... 其他规则
+  # 代理服务器本身直连（防环路）
+  - IP-CIDR,8.138.1.192/32,DIRECT
+  # 广告拦截
+  - GEOSITE,category-ads-all,REJECT
+  # 私有网络直连
+  - IP-CIDR,192.168.0.0/16,DIRECT
+  # 国内视频（B站/爱奇艺/优酷/芒果TV/搜狐/腾讯视频/抖音/西瓜/小红书）→ Proxy
+  # 国内音乐（网易云/酷狗/酷我/QQ音乐）→ Proxy
+  # 其余全部直连
+  - MATCH,DIRECT
 ```

+> 之前配置了 GEOSITE,cn + GEOIP,CN 导致所有国内流量走代理，
+> 2026-03-19 精简为只代理视频和音乐。
+
 K8s 节点 DNS 也改为 `8.8.8.8`（不经过 OpenClash），详见 [[家庭网络基础设施#K8s 节点绕过 OpenClash]]

 ### 配置文件
@@ -126,6 +149,8 @@ adguard.colacoder.com: 192.168.68.63
 claw.colacoder.com: 192.168.68.70
 openvas.colacoder.com: 192.168.68.70
 invest-api.k8s.home: 192.168.68.240
+argocd.k8s.home: 192.168.68.240
+drone.k8s.home: 192.168.68.240
 ```

 ### fake-ip 排除列表
@@ -223,11 +248,12 @@ DNS 相关设置必须在 LuCI 覆写设置里改，不能改 yaml。
 VPN、容器仓库等需要真实 IP 的域名，手动加到 fake-ip-filter：
 `/etc/openclash/custom/openclash_custom_fake_filter.list`

-当前已加入：
- `*.colacoder.com` / `*.k8s.home` — 内网域名
- `*.quay.io` / `*.ghcr.io` / `*.docker.io` / `*.gcr.io` / `*.k8s.io` — 容器仓库
- `*.amazonaws.com` / `*.ecr.aws` — AWS
- `*.billo.life` — 公司 VPN 域名
+当前已加入（2026-03-19 去重精简，只用 `+.` 格式）：
+- `+.colacoder.com` / `+.k8s.home` — 内网域名
+- `+.quay.io` / `+.ghcr.io` / `+.docker.io` / `+.docker.com` / `+.gcr.io` / `+.k8s.io` / `+.registry.k8s.io` — 容器仓库
+- `+.ecr.aws` — AWS ECR（不再用 `*.amazonaws.com` 全量排除）
+- `+.billo.life` — 公司 VPN 域名
+- `+.finance.yahoo.com` — Yahoo Finance API

 ---

@@ -259,7 +285,7 @@ echo "nameserver 8.8.8.8" > /etc/resolv.conf

 ---

-## 8. 更新维护
+## 9. 更新维护

 ```bash
 # 更新 mihomo 内核
@@ -272,3 +298,9 @@ mv mihomo /etc/openclash/core/clash_meta
 # 更新 OpenClash 插件
 opkg install /tmp/luci-app-openclash_*.ipk
 ```
+
+---
+
+## 10. 配置审计
+
+- [[OpenClash-Config-Review-2026-03-19]] -- 全面配置 review，含安全、规则、DNS 问题及修复优先级