OpenWrt旁路由詳解及設置

一、什麼是OpenWrt旁路由

OpenWrt旁路由是指使用OpenWrt路由器作為網路擴展的一種方式。通常情況下，家庭或辦公室網路使用的路由器都有一個內置的區域網和一個公網IP地址，那些需要連接公網的終端設備都會使用這個公網IP地址。但是有些情況下，我們需要在區域網內添加額外的網路設備，而這個設備也需要連接公網，這時候OpenWrt旁路由就能夠派得上用場了。

舉個例子，如果你的原始網路環境是由一台路由器（例如：TP-Link）和一些設備（計算機，手機，平板電腦等）組成的，現在你想要在區域網中增加一個AP設備，而這個設備需要連接到公網，那麼你就可以使用OpenWrt旁路由來解決這個問題。通過OpenWrt旁路由，AP設備可以方便的連接到公網，從而實現了網路的拓撲擴展。

OpenWrt旁路由與主路由之間相互分離，主路由僅負責內網的出入口，可以使得其他設備在公網上獨立地運行，同時也提高了網路安全性。

二、為OpenWrt路由器配置基礎連接信息

在設置OpenWrt旁路由之前，首先需要進行一些基礎配置工作，例如指定路由器的IP地址和DNS伺服器，這樣才能夠正常訪問網路。

以下是基本連接信息設置的步驟：

# 配置IP地址
uci set network.lan.ipaddr='192.168.1.2'
uci set network.lan.gateway='192.168.1.1'
uci set network.lan.dns='8.8.8.8'

# 配置DHCP伺服器
uci set dhcp.lan.ignore=1 #忽略DHCP自動分配IP地址
uci set dhcp.lan.start=100 #從100開始自定義DHCP服務
uci set dhcp.lan.limit=150 #一共分配150個IP地址
uci set dhcp.lan.leasetime=12h #IP地址租期

uci commit # 保存配置

三、配置網路介面

在設置OpenWrt旁路由時，需要對網路介面配置進行調整，以適配多個子網交換的情況。

以下是網路介面配置步驟：

# 創建子介面
uci set network.wan=interface
uci set network.wan.ifname='eth0.2' # 設置子介面名字為eth0.2
uci set network.wan.proto='dhcp' # 啟用DHCP協議

# 創建一個區域網
uci set network.lan=interface
uci set network.lan.type='bridge' # 設置連接類型為橋接
uci set network.lan.proto='static' # IP地址是靜態分配，由OpenWrt路由器分配
uci set network.lan.ipaddr='192.168.5.1' # 分配IP地址為192.168.5.1
uci set network.lan.netmask='255.255.255.0' # 子網掩碼

# 其他配置
uci set network.lan.ifname='eth0.1' # 將這個LAN介面添加到eth0.1
uci set network.lan.broadcast='192.168.5.255' # 設置廣播地址
uci set network.lan.dns='192.168.1.1' # 設置DNS伺服器地址

uci commit # 保存配置

四、防火牆配置

在進行OpenWrt旁路由設置時，需要對防火牆進行相應的配置，否則後續的網路連接將無法正常進行。

以下是防火牆配置的步驟：

# 首先創建一個自定義的防火牆區域
uci set firewall.myzone=zone
uci set firewall.myzone.name='newzone' # 命名為newzone
uci set firewall.myzone.input='ACCEPT' # 允許輸入流量
uci set firewall.myzone.output='ACCEPT' # 允許輸出流量
uci set firewall.myzone.forward='DROP' # 阻止轉發

# 添加服務和埠規則
uci add firewall rule
uci set firewall.@rule[-1].name='Allow-DHCP-Renew'
uci set firewall.@rule[-1].src='newzone'
uci set firewall.@rule[-1].proto='udp'
uci set firewall.@rule[-1].dest_port='68'
uci set firewall.@rule[-1].target='ACCEPT'

uci add firewall rule
uci set firewall.@rule[-1].name='Allow-Ping'
uci set firewall.@rule[-1].src='newzone'
uci set firewall.@rule[-1].proto='icmp'
uci set firewall.@rule[-1].icmp_type='echo-request' # 允許ping
uci set firewall.@rule[-1].target='ACCEPT'

uci add firewall rule
uci set firewall.@rule[-1].name='Accept-DNS'
uci set firewall.@rule[-1].src='newzone'
uci set firewall.@rule[-1].proto='tcpudp'
uci set firewall.@rule[-1].dest_port='53' # 允許DNS流量
uci set firewall.@rule[-1].target='ACCEPT'

# 添加 NAT 規則和埠轉發規則
uci add firewall zone
uci set firewall.@zone[-1].name='wan' # 設置WAN區域
uci set firewall.@zone[-1].input='REJECT' # 允許輸入流量
uci set firewall.@zone[-1].output='ACCEPT' # 允許輸出流量
uci set firewall.@zone[-1].forward='REJECT' # 允許轉發
uci set firewall.@zone[-1].masq='1' # 開啟 NAT

uci add firewall forwarding # 添加埠轉發規則
uci set firewall.@forwarding[-1].src='newzone'
uci set firewall.@forwarding[-1].dest='wan'
uci commit # 保存配置

五、DHCP伺服器配置

在OpenWrt旁路由設置的過程中，還需要對DHCP伺服器進行相關的配置，使得設備可以正常連接到網路。

以下是DHCP伺服器的配置步驟：

# 為DHCP伺服器添加一個子區域
uci add dhcp dnsmasq
uci set dhcp.@dnsmasq[-1].domainneeded='1'
uci set dhcp.@dnsmasq[-1].boguspriv='1'
uci set dhcp.@dnsmasq[-1].filterwin2k='0'
uci set dhcp.@dnsmasq[-1].localise_queries='1'
uci set dhcp.@dnsmasq[-1].rebind_protection='1'
uci set dhcp.@dnsmasq[-1].rebind_localhost='1'
uci set dhcp.@dnsmasq[-1].local='/lan/'
uci set dhcp.@dnsmasq[-1].domain='lan'
uci set dhcp.@dnsmasq[-1].expandhosts='1'
uci set dhcp.@dnsmasq[-1].nonegcache='0'
uci set dhcp.@dnsmasq[-1].authoritative='1'
uci set dhcp.@dnsmasq[-1].readethers='1'
uci set dhcp.@dnsmasq[-1].leasefile='/tmp/dhcp.leases'
uci set dhcp.@dnsmasq[-1].resolvfile='/tmp/resolv.conf.auto'
uci add_list dhcp.@dnsmasq[-1].server='192.168.1.1' # 默認網關

# 添加IP地址分配規則
uci add dhcp host
uci set dhcp.@host[-1].name='my-iphone' # 設備名
uci set dhcp.@host[-1].mac='11:22:33:44:55:66' # 設備的MAC地址
uci set dhcp.@host[-1].ip='192.168.5.5' # 分配的IP地址，必須在192.168.5.0/24網段內

uci commit # 保存配置

六、總結

以上就是OpenWrt旁路由設置的流程。進行OpenWrt旁路由設置，需要對網路介面、防火牆、DHCP伺服器等方面進行配置，並進行一定的了解。上述的步驟只是基本流程，如果需要深度的網路調整，還需要進行更高級的設置。