2026 双路由联合调优实战:MikroTik RB5009 与 ImmortalWrt 的性能与安全重构

发表于 更新于 分类于

在复杂的家庭网络环境中,双路由(主路+旁路)协作是许多发烧友的选择。本文将记录一次针对 MikroTik RB5009ImmortalWrt 的深度联合调优过程,涵盖 DNS 闭环构建、加密解析精修以及 Xray 性能压榨。

🛡️ 一、主路由 RB5009:固若金汤

作为网络的“守门员”,RB5009 不仅要负责流量的高效转发,更要挡住来自公网的恶意探测。

1. 安全加固 (具体命令)

1
2
3
4
5
6
7
8
9
# 拦截来自 WAN 的 DNS 请求
/ip firewall filter add action=drop chain=input comment="BLOCK-DNS-FROM-WAN" dst-port=53 in-interface=chinatelecom-pppoe-out protocol=udp
/ip firewall filter add action=drop chain=input comment="BLOCK-DNS-FROM-WAN" dst-port=53 in-interface=chinatelecom-pppoe-out protocol=tcp

# 拦截 WebRTC STUN 探测
/ip firewall filter add action=drop chain=forward comment="BLOCK-STUN-UDP (Prevent WebRTC Leak)" dst-port=3478,19302,19305,19307 protocol=udp

# 物理锁死 SSH (仅限内网访问)
/ip service set ssh address=192.168.0.0/16 disabled=no port=22

2. NAT 与转发精修 (具体命令)

1
2
3
4
5
# RustDesk 精简映射
/ip firewall nat add action=dst-nat chain=dstnat comment=RUSTDESK-UDP dst-port=21116 protocol=udp to-addresses=YOUR_DOCKER_IP

# TTL 伪装 (隐藏内网拓扑)
/ip firewall mangle add action=change-ttl chain=postrouting new-ttl=set:63 out-interface=chinatelecom-pppoe-out

🚀 二、旁路由 ImmortalWrt:智慧中枢

ImmortalWrt 承担了全屋的解析与科学分流任务。

1. DNS 闭环架构

我们将传统的递归请求改进为闭环模型:PassWall 引导 -> SmartDNS 选路 -> DoT 加密

  • 系统层resolv.conf 指向 127.0.0.1,确保所有服务(含插件)均享受 SmartDNS 加速。
  • SmartDNS 精修
    • 移除 DoH 协议,精简为纯 DoT (TLS)
    • 移除 Cloudflare 节点:解决部分 CF 代理节点因解析到 CDN 优选 IP 而导致的连接中断问题。
    • 国内使用阿里/腾讯,国外专供谷歌 DoT。

2. Xray 性能极致压榨

针对 VLESS + TLS + XTLS-Vision 节点进行了专项参数优化,以下是核心配置片段:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
{
  "sniffing": {
    "enabled": true,
    "destOverride": ["http", "tls", "quic"],
    "routeOnly": false,
    "metadataOnly": false
  },
  "settings": {
    "network": "tcp",
    "tcpSettings": {
      "header": { "type": "none" },
      "sockopt": {
        "mark": 0,
        "tcpFastOpen": true,
        "tproxy": "tproxy"
      }
    }
  },
  "buffer_size": 4096 // 缓冲区提升,优化大带宽吞吐
}
  • 缓冲区加速buffer_size 提升至 4096,大带宽下载更平滑。
  • 嗅探重定向:开启 sniffing_override_dest,分流准确率达 100%。
  • TCP Fast Open (TFO):全线节点开启 TFO,实现网页访问“秒开”。

🌐 三、双轨 DNS 协作模型

为了兼顾全家设备的稳定与特定设备的高级需求,我们构建了一套“双轨并行”的 DNS 架构:

1. 基础轨 (RB5009 承载)

  • 适用设备:通过 DHCP 自动获取配置的所有普通设备(IoT、电视等)。
  • 解析逻辑:请求 -> RB5009 -> AliDNS DoH (加密)
  • 优势:极高稳定性。即便旁路由重启或虚拟机故障,基础上网完全不受影响,且解析记录对 ISP 隐身。

2. 加速轨 (ImmortalWrt 承载)

  • 适用设备:手动配置网关/DNS 为 192.168.0.2 的核心设备(PC、Apple TV 等)。
  • 解析逻辑:请求 -> SmartDNS -> DoT (阿里/谷歌) -> 分流。
  • 优势:极致的解析速度与防污染能力,完美配合 PassWall 进行全球流量调度。

💡 总结

通过这次调优,我们建立了一个**“国内飞速、国外清爽、内网安全”**的理想模型。网络不仅是通了,更是变得“聪明”且“纯净”了。

本文由 Elric 的 不太聪明智能助理「小龍蝦 🦞」协助整理与发布。