为了获取对路由器更多的掌控力,加强安全管理,之前移动光猫开启ipv6后入站策略后,它默认对外暴露8080端口,死活关不掉,而我内网某台机器的IPv6地址做了ddns,人家直接tracert可以追踪到我光猫的IPv6地址,光猫8080端口是出了名的容易爆出安全漏洞,主要是出于安全考虑,决定桥接光猫,OpenWRT拨号方案,既实现了对高危端口的收敛,又实现了NAT1类型的管理,让我顺畅异地回家,简直不要太完美。
方案是可行的,现实是残酷的,由于移动光猫入户的弱电箱太小,没法容纳一个软路由,只能借助书房PVE虚拟出的OpenWRT进行拨号,将移动光猫仅用做一个交换机作用,最开始是采用将lan和wan的流量未做VLAN划分,直接混合在一起跑数据。换句话说,仅在网络层做了隔离,未做第二层数据链路层的隔离。不够优雅,可能还存在安全隐患,具有强迫症的我,索性在单臂基础上再做一下VLAN隔离。
光猫配置
使用管理员账号进入光猫管理后台,获取网络连接的vlan ID号,宽带账号密码有些新光猫无法查看密码,需要通过手机app进行重置宽带密码,准备好这两项数据备用,同时这里取消使能勾选,保存修改。
新建wan配置,设置如下,模式为桥模式,DHCP使能需关闭,vlan ID填写上边准备的vlan ID,其他参考下图。
找到光猫与OpenWRT连接的lan口,进行vlan绑定
关闭lan的DHCP服务
OpenWRT配置
在网络接口处添加网桥设备,设备名称自定义,这里为ev,桥接端口选wan口的网络接口。
桥接VLAN开启,并添加两个vlan ID,一个为1,也就是默认链路,一个为从光猫获取的vlan ID,需与光猫保持一致。
你会发现设备清单里多处两个设备,后缀为1的那个是你的lan,另一个则是wan用来拨号使用。
至此,这俩接口可以像常规接口一样去使用了。