真的非常简单,简单到简陋,先上图,第一次接触,画得很不专业,见谅
这套已经运行半个月,虽然还有一些未完成的部分,但已经证明还是能满足我的简单需求的。
我的需求以及我的做法:
-
安全
- 拥抱开源: 只使用主线 OpenWRT
- 做好隔离: 划了三个 VLAN ,分别是「信任区」(顾名思义,这个区的设备值得我信任,例如我的个人 PC 、我的手机、存储服务器、小家庭服务器等)、「访客区」(不那么信任,所以防火墙禁止它们访问网关和光猫,但允许它们互相之间通信)和「危险区」(不信任,例如各类不得不联网的智能家居,禁止它们互相之间通信,并且设计方便调试的流程来给它们上更细致的防火墙)
- 及时更新: 关注 OpenWRT 等社区的动态,有重要更新就立刻更新路由器设备
-
稳定
- 光猫拨号,让主路由和几个 AP 只干路由器的活,没有任何插件,而且做减法,例如主路由删掉 USB PPPoE 之类不需要的包,AP 删掉防火墙、DNS 、LUCI 等等,需要的服务都跑在「信任区」的小服务器上,也就是很多人常说的“旁路由”
- 可复现: 受够了以前用 LUCI 时改配置边改边截图记录,升级个大版本结果逻辑又变了,于是这次我通过 uci-defaults 和 OpenWRT Image Builder 和 Docker 实现声明式配置,用 git 管理变更,再也不怕了
-
应用
- 双栈: 对于家庭网络使用 IPv6 还很陌生和畏惧,所以仅在「信任区」启用了 IPv6
- 外网访问 VPN: VPN 跑在「信任区」的小服务器上,固定后缀,从而仅允许公网到 VPN 所在服务器的指定端口的 UDP
- 无线漫游: 在主路由和几个 AP 上,三个 VLAN 都分别对应一组 2.4G 和 5G 的相同 SSID 的 Wi-Fi (「危险区」只有 2.4G ),开启 802.11r 来实现无线漫游,查资料时看到有人说这样是假漫游,不过我的设备用着还行,用 WiFiAnalyzer 移动观察确实切换了,也就没有纠结
感谢配置过程中帮助我的很多网友
欢迎批评和指点~
Select Language