OpenWrt旁路由詳解及設置

一、什麼是OpenWrt旁路由

OpenWrt旁路由是指使用OpenWrt路由器作為網絡擴展的一種方式。通常情況下，家庭或辦公室網絡使用的路由器都有一個內置的局域網和一個公網IP地址，那些需要連接公網的終端設備都會使用這個公網IP地址。但是有些情況下，我們需要在局域網內添加額外的網絡設備，而這個設備也需要連接公網，這時候OpenWrt旁路由就能夠派得上用場了。

舉個例子，如果你的原始網絡環境是由一台路由器（例如：TP-Link）和一些設備（計算機，手機，平板電腦等）組成的，現在你想要在局域網中增加一個AP設備，而這個設備需要連接到公網，那麼你就可以使用OpenWrt旁路由來解決這個問題。通過OpenWrt旁路由，AP設備可以方便的連接到公網，從而實現了網絡的拓撲擴展。

OpenWrt旁路由與主路由之間相互分離，主路由僅負責內網的出入口，可以使得其他設備在公網上獨立地運行，同時也提高了網絡安全性。

二、為OpenWrt路由器配置基礎連接信息

在設置OpenWrt旁路由之前，首先需要進行一些基礎配置工作，例如指定路由器的IP地址和DNS服務器，這樣才能夠正常訪問網絡。

以下是基本連接信息設置的步驟：

# 配置IP地址
uci set network.lan.ipaddr='192.168.1.2'
uci set network.lan.gateway='192.168.1.1'
uci set network.lan.dns='8.8.8.8'

# 配置DHCP服務器
uci set dhcp.lan.ignore=1 #忽略DHCP自動分配IP地址
uci set dhcp.lan.start=100 #從100開始自定義DHCP服務
uci set dhcp.lan.limit=150 #一共分配150個IP地址
uci set dhcp.lan.leasetime=12h #IP地址租期

uci commit # 保存配置

三、配置網絡接口

在設置OpenWrt旁路由時，需要對網絡接口配置進行調整，以適配多個子網交換的情況。

以下是網絡接口配置步驟：

# 創建子接口
uci set network.wan=interface
uci set network.wan.ifname='eth0.2' # 設置子接口名字為eth0.2
uci set network.wan.proto='dhcp' # 啟用DHCP協議

# 創建一個局域網
uci set network.lan=interface
uci set network.lan.type='bridge' # 設置連接類型為橋接
uci set network.lan.proto='static' # IP地址是靜態分配，由OpenWrt路由器分配
uci set network.lan.ipaddr='192.168.5.1' # 分配IP地址為192.168.5.1
uci set network.lan.netmask='255.255.255.0' # 子網掩碼

# 其他配置
uci set network.lan.ifname='eth0.1' # 將這個LAN接口添加到eth0.1
uci set network.lan.broadcast='192.168.5.255' # 設置廣播地址
uci set network.lan.dns='192.168.1.1' # 設置DNS服務器地址

uci commit # 保存配置

四、防火牆配置

在進行OpenWrt旁路由設置時，需要對防火牆進行相應的配置，否則後續的網絡連接將無法正常進行。

以下是防火牆配置的步驟：

# 首先創建一個自定義的防火牆區域
uci set firewall.myzone=zone
uci set firewall.myzone.name='newzone' # 命名為newzone
uci set firewall.myzone.input='ACCEPT' # 允許輸入流量
uci set firewall.myzone.output='ACCEPT' # 允許輸出流量
uci set firewall.myzone.forward='DROP' # 阻止轉發

# 添加服務和端口規則
uci add firewall rule
uci set firewall.@rule[-1].name='Allow-DHCP-Renew'
uci set firewall.@rule[-1].src='newzone'
uci set firewall.@rule[-1].proto='udp'
uci set firewall.@rule[-1].dest_port='68'
uci set firewall.@rule[-1].target='ACCEPT'

uci add firewall rule
uci set firewall.@rule[-1].name='Allow-Ping'
uci set firewall.@rule[-1].src='newzone'
uci set firewall.@rule[-1].proto='icmp'
uci set firewall.@rule[-1].icmp_type='echo-request' # 允許ping
uci set firewall.@rule[-1].target='ACCEPT'

uci add firewall rule
uci set firewall.@rule[-1].name='Accept-DNS'
uci set firewall.@rule[-1].src='newzone'
uci set firewall.@rule[-1].proto='tcpudp'
uci set firewall.@rule[-1].dest_port='53' # 允許DNS流量
uci set firewall.@rule[-1].target='ACCEPT'

# 添加 NAT 規則和端口轉發規則
uci add firewall zone
uci set firewall.@zone[-1].name='wan' # 設置WAN區域
uci set firewall.@zone[-1].input='REJECT' # 允許輸入流量
uci set firewall.@zone[-1].output='ACCEPT' # 允許輸出流量
uci set firewall.@zone[-1].forward='REJECT' # 允許轉發
uci set firewall.@zone[-1].masq='1' # 開啟 NAT

uci add firewall forwarding # 添加端口轉發規則
uci set firewall.@forwarding[-1].src='newzone'
uci set firewall.@forwarding[-1].dest='wan'
uci commit # 保存配置

五、DHCP服務器配置

在OpenWrt旁路由設置的過程中，還需要對DHCP服務器進行相關的配置，使得設備可以正常連接到網絡。

以下是DHCP服務器的配置步驟：

# 為DHCP服務器添加一個子區域
uci add dhcp dnsmasq
uci set dhcp.@dnsmasq[-1].domainneeded='1'
uci set dhcp.@dnsmasq[-1].boguspriv='1'
uci set dhcp.@dnsmasq[-1].filterwin2k='0'
uci set dhcp.@dnsmasq[-1].localise_queries='1'
uci set dhcp.@dnsmasq[-1].rebind_protection='1'
uci set dhcp.@dnsmasq[-1].rebind_localhost='1'
uci set dhcp.@dnsmasq[-1].local='/lan/'
uci set dhcp.@dnsmasq[-1].domain='lan'
uci set dhcp.@dnsmasq[-1].expandhosts='1'
uci set dhcp.@dnsmasq[-1].nonegcache='0'
uci set dhcp.@dnsmasq[-1].authoritative='1'
uci set dhcp.@dnsmasq[-1].readethers='1'
uci set dhcp.@dnsmasq[-1].leasefile='/tmp/dhcp.leases'
uci set dhcp.@dnsmasq[-1].resolvfile='/tmp/resolv.conf.auto'
uci add_list dhcp.@dnsmasq[-1].server='192.168.1.1' # 默認網關

# 添加IP地址分配規則
uci add dhcp host
uci set dhcp.@host[-1].name='my-iphone' # 設備名
uci set dhcp.@host[-1].mac='11:22:33:44:55:66' # 設備的MAC地址
uci set dhcp.@host[-1].ip='192.168.5.5' # 分配的IP地址，必須在192.168.5.0/24網段內

uci commit # 保存配置

六、總結

以上就是OpenWrt旁路由設置的流程。進行OpenWrt旁路由設置，需要對網絡接口、防火牆、DHCP服務器等方面進行配置，並進行一定的了解。上述的步驟只是基本流程，如果需要深度的網絡調整，還需要進行更高級的設置。