第一次接触OpenWRT确实会有一点迷茫,因为它的逻辑和我们平常使用的Web管理界面并不太相同,一方面可以配置和调整的参数更多,另一方面门槛要比其它路由器入门级的Web管理界面略高一点点。那么我们今天就来简单的聊一下,OpenWRT的基础设置。
以我刷的这个红米AX6000的OpenWRT为例,其他版本的可能略有差别,但是总体上功能是类似的,学会了一个其他的就会很容易上手。
登录到LuCI后,我们看到的界面是这样的。LuCI就是OpenWrt上的Web管理界面,因为OpenWRT除了使用LuCI配置外,还可以使用命令行配置。可以简单的理解为DOS和Windows的关系。相对复杂的命令,LuCI的Web图形界面要友好的多。
这个界面左侧是导航菜单,从上到下依次是“状态”、“系统”、“服务”、“VPN”、“网络”和“退出”。我们依次进行介绍。
概况
上图就是概况的全屏幕截图,可以看到系统信息,网络状况和DHCP的地址分配。
蓝框中的网络状态分为两个,上面的是IPV4网络,下面是IPV6网络。
为了看的清楚,我截了一个放大版的图。偏右侧信息的最左边,我们可以看到一个网口的图标和蓝色的”eth1″字样。这个”eth1″就代表此连接是路由器的网口1。上面的IPV4,从上到下依次是公网的连接类型,上图是DHCP,也就是自动获取地址,其他还有静态IP、PPPOE等等。地址则是路由器在公网的地址,如果你的路由器是用DHCP模式连接路由模式下的运营商光猫,可以看到的是一个类似的地址一般是192.168开头的。
如果路由器是PPPOE模式连接桥接模式下的运营商光猫,那么拨号成功后会看到一个公网地址,比如60开头的,如果是10开头的,那基本就是运营商的“大内网”,你可以想象成运营商建了一个超大的局域网,然后你加入这个局域网中通过这个局域网的路由器上网,这种方法对于后期的使用会造成一些麻烦,尽量让运营商给你一个公网IP,哪怕是动态IP,也要好过内网IP。网关就是拨号网络连接的网关,可以简单理解成路由的第一跳,虽然我们平常的家庭局域网,网关=路由器,但是大型网络不一定也是如此,好了,说的有点多了,咱们接着往下看。DNS就不多说了,域名解析服务器。到期时间和连接时间也是DHCP服务器提供的,可以忽略。
下面的IPV6也是类似,只不过地址信息有所不同,如果你的连接的网络支持IPV6 ,那么这里就会列出你的IPV6信息。同样,后期进行一些进阶设置,比如DDNS等等,会用到这些信息。
防火墙
防火墙的信息相对不是那么重要,在路由器状态不正常的时候我们也许会看下。其实日常中被防火墙规则拦截的数据包还是很多的,像DDOS攻击、IP伪装等等,上图我们可以看到,被转发规则扔掉了5万多个数据包,当我们畅快网上冲浪的时候,路由器在为我们负重前行。
路由表
路由表同样,基本平常也不用太关心。正常情况下我们不需要对路由表进行改动,除非要实现一些比较特殊的需求,比如建立VLAN实现内外网隔离等等,可能会需要添加一两条路由规则,否则的话,只要路由器工作正常,路由表就不需要过多关注。
系统日志
相对而言,系统日志还是挺有用的。可以通过报错信息了解那些设置有问题,以便及时更正。如果有什么功能没有正常工作,系统日志也是了解原因的好工具。
内核日志
系统日志看的是OpenWRT系统的相关信息,内核日志看的是Linux内核的相关信息。相对而言,对于终端用户,内核日志并没有太多的有用信息。
系统进程
有点类似于Windows的任务管理器,可以查看进程的系统占用,如果网络卡顿,网速变慢,可以查看下是不是某个进程占用了太多的资源。
实时信息
实时信息可以看到实时负载、实时流量和实时连接。比如我为了测试流量,临时从本地NAS上拉了个大数据包,从实时流量里就可以看到峰值134MB/s的传输速率,基本可以说跑满了千兆局域网的网速。
WireGuard 状态
这个嘛,是专门为了查看WireGuard状态的,WireGuard是一个私有VPN,适合出门在外的时候安全远程连接家庭网络使用,需要配置后才能正常使用,因为没啥需求,我也没特意去配置它,如果大家感兴趣,有机会也可以专门出一个教程,讲解下如何使用WireGuard配置私有VPN。
负载均衡
多路外网使用的功能,如果是家庭单线拨号就可以无视了。通过这个可以查询多外网负载均衡的状态,检查问题。说实话负载均衡经常会出现一些奇怪的问题,比如明明可以登录的网站,做了负载均衡就登不上去了,非常令人头大。
好了,关于状态菜单我们就简略的先说这么多,下面进入系统菜单的介绍。
系统
系统
从这里开始我们就可以做一些设置了,比如在系统中,我们把主题从Atgon改为Bootstrap_Mod,界面就会从原来的蓝色主题左右结构,变成上图这样,黑色主题上下结构的。NTP是校时服务器,同时也可以把路由器设置为NTP服务器,这样我们局域网内的设备就都可以通过它校正时间了。对于摄像头等等对时间有要求的设备,这个功能还是挺好的,定时校时,保证时间显示准确。
管理权
在这个界面可以更改管理员密码,还可以设置SSH访问权限,SSH连接的网络可以选择内网或者外网,监听的端口以及是否允许root用户登录。我们还可以通过下面绿色的添加按钮设置新的权限,比如在添加一个外网SSH连接的权限,当然这个是比较危险的。除非对自己十分有自信,否则强烈不建议大家这么干。
TTYD终端
TTYD是一个Web终端,不再需要ssh,直接打开,输入用户名和密码就可以输入命令行,十分方便。
软件包
顾名思义,安装软件的地方,可以理解为一个应用商城。把OPKG命令行模式转换为Web界面模式,同时实现数据库式搜索和安装,非常方便。
启动项
启动项中可以启动和禁止所有已安装的应用脚本,但是千万不要随意禁止脚本,否则可能会导致设备故障(只是会很麻烦,不会彻底损坏,但是还是不建议随便乱试)。
计划任务也很类似Windows的同名功能,可以通过命令行实现定时更新、定期重启某功能等效果。
挂载点
挂载点可以调整挂载存储空间,因为AX6000不能插U盘,这个功能没什么太大的用处,保持默认即可。
备份/升级
备份升级页可以恢复路由器的出厂设置,也可以备份Nvram、FIP、Factory等等数据,还可以安装其它版本的固件。升级系统或者恢复设置的时候会用到。
文件传输
可以上传文件到路由器中,在没有WinSCP的情况下,这个功能很方便,配合TTYD,能实现刷机、安装文件等等操作。同时如果知道某个文件的位置,也可以输入绝对地址将它下载下来。
重启
这个功能最简单,点击后会重启路由器,某系设置和功能需要重启后才能生效,软重启很方便。
双分区启动切换
如果是双分区双系统,可以通过启动不同分区进入不同的系统。这个功能可以无视。
PassWall
服务这个菜单下面的就是我们最感兴趣的部分了,各种插件,可以实现不同的功能。比如排在第一的这个PassWall。我原来工作的单位有防火墙和网关,其中的规则限制了对外部网站的访问,使得很多网址无法打开也无法连接,美其名曰“专注工作”。后来我们就是用公司能访问的地址的代理服务器作为跳板,代理服务器访问我们的目标地址,我们访问代理服务器, 代理服务器把他接收到的信息再传给我们,这样就完成了突破防火墙和网关的操作。本质上这类服务最终都是类似的原理,PassWall也是一样,通过添加代理服务器来实现访问被屏蔽的地址。
我们可以在节点订阅中加入可以接收到地址订阅信息的服务器,再通过节点列表进行测速,选择适合的服务器作为我们的TCP和UDP节点使用,两者可以是相同的,也可以是不同的。简单理解,区别在于TCP是带IP信息的而UDP不带,但是只要目标地址支持这两个协议中的任何一个,都可以正常访问,不影响我们的使用体验。
可以添加节点订阅,定期会更新可用的服务器地址,至于节点订阅从哪可以找到,就不属于本文的讨论范围了。
获取到的服务器都在节点列表中,同时也可以手动添加自己的服务器地址到这里。测试可用性,选择速度更快的服务器使用。
还有一些进阶的功能,比如自动切换、负载均衡等等,可以根据自己的需要进行使用。
广告屏蔽大师 Plus+
这个就是大名鼎鼎的广告屏蔽大师了,启用,一般选择plus+模式就可以了。有什么进阶需求可以自己在研究,尽量不要启用严格模式,也不要更新太多的规则,因为实际上这个功能从本质上来说是靠屏蔽地址实现广告过滤的,很可能屏蔽掉部分你需要访问的网址,造成很多莫名其妙的问题。
OpenClash
和PassWall类似,也是一个代理服务器功能。使用方法也类似,可以自己选择。
动态DNS
大名鼎鼎的DDNS,这个可以说是有外网连接需求的最佳解决方案了。有很多可以使用的服务商,原理也很简单,通过DDNS服务商将自己的IP地址发送给服务商,服务商再定期把IP和你绑定的网址注册到DNS服务器,这样就可以通过网址访问到你的IP地址了。虽然家庭的IP地址不是固定的,但是可以通过定期更新IP地址的方法使家里的主机和网址绑定,绕开IP地址,随时访问自己的家庭主机。
使用方法也很简单,选择自己使用的DDNS服务商,输入绑定的网址,然后就是路由器会定期自动更新IP了。
网络唤醒
这个功能很简单,就是通过网络将家庭局域网内的特定设备唤醒。举个例子来说,很多人喜欢远程挂机下载,平常空闲的时候,为了省电,就要让主机关机休息。而到了使用的时候,就可以通过远程唤醒功能将其唤醒,然后设置下载后自动关机,这样就可以节省能源,实现随用随开的效果。
设置也很简单,选择需要唤醒的主机就可以了,绑定的是MAC地址,即使是IP地址变化也不会影响使用。
UPnP
这是一个一般情况下不需要特别设置的功能,只要打开UPnP,需要建立连接的主机会自动添加适合的协议和地址,相当于一个微型的直连网络。
KMS 服务器设置
这个功能不需要设置,懂得都懂,不懂得百度下就懂了。
迅雷快鸟
字面的意思,就是迅雷快鸟。有快鸟账号可以直接输入使用。
VPN
ZeroTier
刚才我们说到了,如果有动态公网地址,我们可以通过DDNS实现远程访问本地服务器。如果没有公网地址呢?一般就要使用某些内网穿透服务了,但是一般使用这种服务都是需要付费的,而且带宽有限,相当于使用服务器转发,效率也比较低。这个时候,VPN就派上用场了,ZeroTier可以建立一个虚拟VPN局域网,使得我们随时随地可以访问家中的网络。
打个不恰当的比方,就是将你的路由器变成拨号服务器,你可以远程使用拨号软件登录到本地网络,这样建立连接后,你就可以像使用互联网一样访问家中的局域网了。
具体的使用其实也不算复杂,需要到ZeroTier官网注册,然后下载相关程序,进行设置后就可以使用了。相关的教程有很多,也比较简单,这里就不专门介绍了。
网络
接口
终于到了关于网络设置的部分了,先来说一下接口。应该说路由器的系统因为是基于Unix/Linux系统,所以把所有元素都作为一个设备管理,跟Windows的逻辑不太一样。但是适应了以后,会觉得这样设置会更准确,也更灵活。我们可以看到接口,里面有LAN、WAN、WAN6。LAN就是指局域网,WAN是互联网,WAN6则是IPV6的互联网连接。
最上方接口两个字上面还有三个连接,同样是WAN、WAN6和LAN。我们可以直接点进去进行相关的设置。
LAN我们要选择静态地址,因为路由器就是DHCP服务器,所以要固定局域网的地址。设置自己希望使用的网段,一般就是192.168.n.1,这个n可以任意设置,我比较习惯于设置为192.168.1.1。其他的也不需要多修改,子网掩码255.255.255.0标示本局域网最多有254台设备,如果有更多的设备,或者需要划分更小的网络,也可以通过更改子网掩码来设置。一般有这些需求的同学都会自己计算掩码,这里就不赘述了。
DHCP服务器的设置也比较简单,启动指的是分配的起始地址。比如我设置成110,这样接入路由器的设备的IP地址就会从192.168.1.110开始分配。客户数100,标示最多分配100个地址,也就是说分配地址的范围是192.168.1.110—192.168.1.209。租期不用太在意,到期会自动续约。
WAN的设置和其它路由器也类似。我们一般都是通过运营商来上网,如果是光猫拨号采用路由模式,直接选择DHCP客户端即可,光猫会自动给你的路由器分配地址。如果光猫直连采用桥接模式,就需要像我图中一样选择PPPOE拨号模式,输入运营商提供的用户名和密码,其他都不用更改,保存后接口自动拨号上网。
无线
无线设置在这个页面,2.4G和5G是分开进行设置的。上面是2.4G的信息,下面则是5G的信息。我图中蓝圈的配置可以设置使用的信道,发射功率等信息。红圈的配置可以设置无线网络的名称、密码等信息。
比如信道我们一般可以选择自动,但是如果周边的路由器比较多,而且使用的信道比较集中,就可以手动指定一个没有人用或者使用人较少的信道,较少信号干扰,要注意的是,无线电的使用是有法律规范的,不要使用非国标信道,避免造成不必要的麻烦。发射功率可以简单地理解为信号强度,这个根据个人需求进行调整就可以,一般房间面积小,没有过多的障碍物的情况下可以适当减小发射功率。
WIFI名称和密码的设置也比较简单,点进去我标红圈的配置按键。最上面的SSID就是WIFI的名称,认证模式和加密方式直接使用我上图的即可,其他设置基本不需要修改。可以看一下基本设置旁边还有一个访问控制,其中可以设置黑白名单模式防蹭网。白名单比较简单,自己家里所有无线上网设备的物理地址添加进去,就可以了。只要不是列表中的设备,就都无法连接你的无线网络。这个方法简单直接,唯一的缺点就是如果你家中来了客人,还需要专门帮他把手机的MAC地址添加进去,否则即使知道了无线的名称和密码也是无法访问的。黑名单模式则正相反,列表中的设备都无法连接路由器上网,对付那些你已经知道是在蹭你的网络的人很方便,直接把他们的MAC地址添加进去就好了。
交换机
可以通过本页面划分VLAN,简而言之就是把家里的局域网(更正确的说是把路由器的价格LAN口)分割为几个互不连接的小型网络。对于某些有特殊需求的人还是有用的,比如划分出一个LAN口连接摄像头和硬盘录像机。
DHCP/DNS
默认设置即可,这个页面可以看到通过DHCP分配到地址的所有设备。如果有蹭网的到时可以从其中发现,正好顺手把MSC地址填到我们刚才说的黑名单中。
这个页面的下方有一个静态地址分配的设置倒是挺有用的,某些设备本身不能设置固定IP地址,而我们又需要它的IP地址固定,比如我的摄像头,是服务器软件通过IP地址而不是MAC地址绑定的,所以我就需要给他们设置固定的IP地址。
最下方的自定义挟持域名也是个有用的功能,你可以通过设置域名和跳转IP来实现某些功能,比如屏蔽某软件的服务器,又或者屏蔽某一类广告。
主机名
通过IP地址进行内网的主机名映射,对于主机多的用户比较有用,便于管理和访问,对于其它大部分人,意义不是很大。
静态路由
静态路由也属于如果需要就很有用但是绝大多数人用不到的功能。如果有特别需要单独设置的路由,可以在这里添加,普通家庭用户可以无视。
网络诊断
网络诊断集成了三个比较常用的功能:Ping、Traceroute和Nslookup,用于网络出现问题时的简单自测。
防火墙
防火墙可以定义出入站数据包的规则,比较有意义的在第二页,也就是端口转发。
我把群晖用到的5000、5001等端口映射到群晖的内网IP地址,这样就可以在外网通过这些端口访问到我的NAS服务器,像远程下载、文件服务、远程录像等功能就可以直接使用了。
Turbo ACC 网络加速设置
这个版本的OpenWRT实际上已经按默认开启了硬件流量分载,可以很大程度提升路由器的效率,在某些版本是可以手动开启的。另一个比较重要的则是全锥形NAT,NAT简而言之就是通过路由器把内网地址转换为外网地址,比如我们连接家里的WIFI获得一个内网地址,然后又可以使用手机通过路由器上网。NAT有四种,我们可以简单理解为,全锥形NAT(NAT1)的体验是最接近于直连外网的。
多线多拨
多线多拨适合有多条线路的用户,可以指定WAN口外的任意LAN口为WAN2口,这样就可以在WAN2口插上第二个光猫的网线。实现用一个路由器同时拨号两个光猫或者更多的光猫,提升网络速度。某些地区是可以单线多拨的,也就是用一个光猫多次拨号实现速度叠加,鉴于现在天津已经无法使用这个伟大的功能,我也就没有开启。
负载均衡
负载均衡可以和多线多拨配合使用,最大效率的使用拨号网络。
