20201203更新：Routeros V7的分流方法参考Routeros V7配置策略路由
20201202更新：Routeros V7连接境外服务器的vpn方式可以参考Routeros 配置WireGuard
20200503更新：添加dnsmasq白名单分流解析
20200416更新：添加使用ipip.net的大陆ip列表生成命令并添加了私有ip地址

ros使用pppoe连网，ros上配置vpn连接香港服务器上的ros。目标：内网需要翻墙的ip通过大陆ip列表分流，大陆ip走默认路由，境外ip走vpn。其他内网ip全部走默认路由。
首先下载大陆ip列表，推荐方法2
方法1:

curl 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | grep ipv4 | grep CN | awk -F\| '{ printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > chnroute.txt

生成的txt文件使用sublime的多行编辑功能或其他方式转换成ros的cn-ip.rsc脚本格式。

/ip firewall address-list
add list=cn-ip address=1.0.1.0/24
add list=cn-ip address=1.0.2.0/23
。。。

方法2:使用ipip.net发布在github的大陆ip列表生成

curl -s https://raw.githubusercontent.com/17mon/china_ip_list/master/china_ip_list.txt |sed -e 's/^/add address=/g' -e 's/$/ list=CNIP/g'|sed -e $'1i\\\n/ip firewall address-list' -e $'1i\\\nremove [/ip firewall address-list find list=CNIP]' -e $'1i\\\nadd address=10.0.0.0/8 list=CNIP comment=private-network' -e $'1i\\\nadd address=172.16.0.0/12 list=CNIP comment=private-network' -e $'1i\\\nadd address=192.168.0.0/16 list=CNIP comment=private-network'>cnip.rsc

以上脚本在CNIP列表里添加了私有ip地址192.168.0.0/16，172.16.0.0/12和10.0.0.0/8

方法3:下载别人制作好的脚本
http://www.iwik.org/ipcountry/mikrotik/CN

使用import cnip.rsc导入ros。添加内网需要翻墙的ip列表。
配置ip firewall的mangle
prerouting,source address list,destination address list取反，destination address type,address type local,invert,mark routing,cross-gfw。
配置ip routes的网关
0.0.0.0/0，gateway设置为vpn对端地址，routing mark 使用上面的cross-gfw。

现在解决dns问题，由于ros的dns功能比较弱，这里使用dnsmasq
内网一台linux系统，可以是虚拟机，可以是容器，安装dnsmasq。配置dnsmasq的源dns为google dns，然后使用github上的大陆网址白名单生成脚本添加需要使用大陆解析的域名。https://github.com/felixonmars/dnsmasq-china-list
具体方法参考使用dnsmasq基于大陆域名白名单分流解析域名

先写个坑：设置服务端静态路由后客户端要重新拨号才能生效
分支机构访问总部，可以有两种路由方式，服务端推送路由，客户端自己添加路由
总部访问分支机构，设定客户端为固定ip，服务端设置静态路由，客户端需要重新连接一下静态路由才会生效。

没事画了家里网络拓扑，家用肯定是超出很多了，但是个人平时爱好玩这些，大家轻喷。
待升级的是ap，3702只支持千兆上联，打算更换3802i，还有就是nas716+2，当时买到时候有些保守了，链路聚合后只能2000m，打算换ds1817+加上x540T2网卡，或者组个黑裙。
图中没有画上米家智能家居的设备，尤其是智能开关控制哪些设备，万一关了之后断网就尴尬了，但是zigbee版的开关可以不联网用开关控制，以后有机会画一个米家智能家居的拓扑

此文是我在chiphell上更新的，转到这里

帝都200m光纤，换了光猫之后电脑拨号速度飙到260m，用MW4530R刷openwrt只能到不到200m，openwrt没有硬件nat，想换个路由器，目前纠结newifi d1，r7800，ac88u，
d1可以上老毛子固件可玩性高，兼顾客户端0配置看世界，
r7800和ac88u省心，asus的路由器用的比较习惯，网件的路由器没有过但是交换机用着还不错。
再或者上个软路由，无线现在有cisco 的ap2702i，信号不是问题

求意见，或者有更好的建议

7月31日更新

已入newifi d1
刷了老毛子华硕改，目前一切都不错

d1官方固件nat性能居然不如老毛子这个固件。。。官方固件测试210m，老毛子250m+

我的情况应该适合帝都城区朋友

联通200m光纤，给的是f427百兆带wifi猫，安装师傅说很久没有千兆猫了，所以自己首富家买了华为ma5671塑料壳版（据js说除了壳没有其他区别）
然后路由是newifi d1+ap2702i

cisco ap2702i是买的洋垃圾，自己刷了胖ap固件，目前稳定运行半年有余，强大的无线就不多说了

8月3日更新
今天有空测了一下老毛子固件的其他方面
1.mt7621的读取速度比7620有了很大提升，使用usb3.0移动硬盘，读取能到100m/s左右，台式机约120m/s，cpu使用30-40%
2.写入没有什么变化，基本还是每1m/s占用1%，使用usb3.0移动硬盘，写入速度在28m/s左右，cpu使用30%
3.处理php等还是不行，试用了自带的lnmp一键安装，使用探针测试1+1运算300万次使用1.645秒，圆周率开平方300万次使用了8.173秒，使用owncloud，简单的查看图片等操作，cpu最高到70%+，而且卡到影响使用

所以mips的路由器还是安安静静的做他的路由器吧，newifi d1折腾到此为止。

这两天撸了个新玩具，WT3020F，使用的是mtk7620n芯片，8mflash 64m内存，配置不错，带usb口，重点是便携，比703n还笑比ipad充电器稍微长2厘米，麻雀虽小五脏俱全。

到手刷了不死uboot，使用了老毛子改的华硕固件，测试nat性能很好，迅雷能吃满百兆光纤；usb速度也可以，有线10m，无线6.5m，看片拖动基本无压力，还有ss、adbyby等插件，测试带移动硬盘电源也没问题，总之是个神器。