Clash Premium 旁路网关讨论。

各位大佬请指点下，看看有无错误

局域网网段：10.0.0.1/24

Clash服务器IP：10.0.0.55

路由器IP：10.0.0.254
https://github.com/Dreamacro/clash/releases/tag/premium //使用的是Clash Premium，并开启TUN复制代码

Clash Premium配置：
# 以下部分不要修改！ port: 7890 socks-port: 7891 redir-port: 7892 allow-lan: true mode: Rule log-level: info # external-controller 主要是用于 web 端管理页面，必须监听在 0.0.0.0 external-controller: 0.0.0.0:9090 # secret 是进入管理面板所需要的密码，可填可不填，建议填上 secret: “123456” # external-ui 表示管理面板的路径 external-ui: dashboard dns:   enable: true # set true to enable dns (default is false)   ipv6: false # default is false   listen: 0.0.0.0:53   enhanced-mode: redir-host # or fake-ip   fake-ip-range: 198.18.0.1/16 # if you don’t know what it is, don’t change it   nameserver:      – 119.29.29.29      – ‘tcp://223.5.5.5’      – https://doh.pub/dns-query      – https://dns.alidns.com/dns-query      – https://i.233py.com/dns-query   fallback:      – https://cloudflare-dns.com/dns-query      – https://doh.opendns.com/dns-query      – https://dns.google/dns-query      – https://dns.nextdns.io/dns-query      – https://doh.233py.com/dns-query      – ‘tls://223.5.5.5:853’      – ‘https://223.5.5.5/dns-query’   fallback-filter:     geoip: true     ipcidr:       – 240.0.0.0/4 interface-name: ens160 tun:   enable: true   stack: system   dns-hijack:     – 8.8.8.8:53     – tcp://8.8.8.8:53 #  macOS-auto-route: true # auto set global route 复制代码

IPtables配置：
iptables -t nat -N clash iptables -t nat -N clash_dns # 这个是fake-ip对应的dns地址，一般不用动 iptables -t nat -A PREROUTING -p tcp –dport 53 -d 198.19.0.0/24 -j clash_dns iptables -t nat -A PREROUTING -p udp –dport 53 -d 198.19.0.0/24 -j clash_dns iptables -t nat -A PREROUTING -p tcp -j clash # 这里需要注意的是，下面两行最后的 192.168.1.21 是当前旁路由的 IP 地址，请根据你自己的实际情况修改 # 如果你自己的旁路由 IP 跟下面的 IP 地址不对的话会造成无法上网代理 iptables -t nat -A clash_dns -p udp –dport 53 -d 198.19.0.0/24 -j DNAT –to-destination 10.0.0.55:53 iptables -t nat -A clash_dns -p tcp –dport 53 -d 198.19.0.0/24 -j DNAT –to-destination 10.0.0.55:53 # 绕过一些内网地址 iptables -t nat -A clash -d 0.0.0.0/8 -j RETURN iptables -t nat -A clash -d 10.0.0.0/8 -j RETURN iptables -t nat -A clash -d 127.0.0.0/8 -j RETURN iptables -t nat -A clash -d 169.254.0.0/16 -j RETURN iptables -t nat -A clash -d 172.16.0.0/12 -j RETURN iptables -t nat -A clash -d 192.168.0.0/16 -j RETURN iptables -t nat -A clash -d 224.0.0.0/4 -j RETURN iptables -t nat -A clash -d 240.0.0.0/4 -j RETURN # 注意, 这边的7892对应后续clash配置里的redir-port iptables -t nat -A clash -p tcp -j REDIRECT –to-ports 7892复制代码

clash服务器网络列表：
1: lo: mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00     inet 127.0.0.1/8 scope host lo        valid_lft forever preferred_lft forever     inet6 ::1/128 scope host        valid_lft forever preferred_lft forever 2: ens160: mtu 1500 qdisc mq state UP group default qlen 1000     link/ether 00:0c:29:9a:32:0b brd ff:ff:ff:ff:ff:ff     inet 10.0.0.55/24 brd 10.0.0.255 scope global dynamic ens160        valid_lft 30328sec preferred_lft 30328sec     inet6 fe80::20c:29ff:fe9a:320b/64 scope link        valid_lft forever preferred_lft forever 3: utun: mtu 9000 qdisc fq_codel state UNKNOWN group default qlen 500     link/none     inet 198.18.0.1/16 scope global utun        valid_lft forever preferred_lft forever     inet6 fe80::89bb:e4d4:9e59:4612/64 scope link stable-privacy        valid_lft forever preferred_lft forever复制代码

客户端配置：
IP：10.0.0.1XX   // 子网掩码：255.255.255.0 网关：10.0.0.200 //clash服务器地址 DNS：198.19.0.1 //fake-ip复制代码

目前可以正常使用

疑问：
1.是否可以把198.18.0.1作为DNS服务器，部署给所有客户端，使用dhcp下发
2.clash服务器自身的dns如何设置呢？目前使用的是8.8.8.8

甘肃省网友说：是单口的话用vlan，其他什么都不要设置，和普通路由器一样用就行了。其他的方法容易引起莫名其妙的情况

江西省网友说：厉害了，我都是用人家整合好的，一个叫灯塔，一个叫shellclash 好像是这个，你们可以看看

黑龙江省网友说：谢回复。主要是想咨询下，配置有无错误，是否使用的是tun模式

云南省网友说：谢回复。主要是想用tun模式，作为内网的代理

陕西省网友说：我看freebsd也支持.
难道pfSense也支持这个高级货?

湖南省网友说：我说的这两款都支持这个tun模式！