小白设置京东云无线宝路由器当访客网络的超简单办法
购买理由
家里有一台6盘NAS,有一个软路由,有一个万兆光猫(LAN千兆),有一套H3C的AC+AP。总的来说就是耗电100多瓦。合计着,家里有100M上传,闲着也是闲着。用京豆能把电费赚回来就行。并且AC+AP的无线网络是WIFI5的,体验一下WIFI6。还有H100 AC模式没有访客网络,顺便把这个功能补齐。因为只是电费回本就行,我不追求跑最大收益。
顺便吐槽,H3C的硬件不错,软件和UI惨不忍睹。当真是舍不得给你多一点点功能。稳定是稳定,总是缺一些小众功能。大概面向企业端的都是这个毛病吧。
写这个文章主要是当笔记,顺便给有需要的人提供思路。
文章可能会有很多括号,主要是给“不持观点,但是不满文章这里没讲那里没提”的人补充阅读的。希望能增强阅读体验。
方案展示
首先说一下基本情况,我有公网IP,需要在出差的时候优雅回家,也需要远程使用家里的nas(我知道有内网穿透等等方案,我选最方便的)。我看了看京东云的配置界面,精简的设置和我的AC快一样了(夸张说法,我知道可以SSH,但是我不会,也麻烦不想学,谁知道谁发给文章教教大家,评论给我没有意义)。并且有4K留学需求。所以,还是用OPENWRT当主路由,京东云当二级路由,不折腾京东云路由了。而且使用全锥NAT收益还可以。
既然当了二级路由,并且要作为访客网络。那么,不能访问一级路由网段就是需要的功能。因为1级路由网段为192.168.0.0下有NAS,有各种安全性不好说的智能家居,有安防摄像头,有电视盒子,有NVR,有路由和交换机设置页面,有台机笔记本手机。带密码不带密码的,一旦局域网内不能信任,设置的学习和工作的量就很大。对我来说2级路由192.168.65.0的设备不能访问192.168.0.0的网段就安全一些。(家里附近没有专业黑客,估计只有按照教程利用漏洞进行攻击的小青年,防御对象假想为他们)。
方案有很多种,我只介绍想到的几种,供大家参考。我没能力全部说明。请补完党自行开文章补全。麻烦了 。我都不敢发文了。
1、VLAN隔离,这种方法网上特别好。但是OPENWRT的VLAN教程有些晦涩。京东云界面也没看到VLAN ID的页面。流通/屏蔽功能都可以,但是对于我没有搞定默认ID为1的包怎么加上其他VLAN ID,所以放弃。有办法的可以评论区留言, 。谢谢。
2、防火墙隔离。最简单的是京东云路由上配置防火墙,直接禁用192.168.0.0网段。可是京东云路由正常UI没有防火墙的详细配置。HOSTS修改对于网段没有成功(有高玩知道京东云怎么配置的,可以指条路) 。再接下来,就是在OPENWRT的界面上配置路由器防火墙了。UI界面还是用iptables进行端口屏蔽,和IP屏蔽,没有成功。不想折腾,放弃了。(这里,实测过的可以给讲一下。知道怎么弄的大佬,可以另开文章详细讲讲,我没有找到介绍openwrt防火墙做端口或者IP内网隔离的文章)。
3、ACL方法。这个相对来说就简单了。在没有配置静态路由的情况下,192.168.0.0无法访问二级路由192.168.65.0网段。那么配合ACL再隔离下192.168.65.0到192.168.0.0的网段访问就可以了。实现双向隔离。
先说一下,由于是二级路由,对于京东云路由及其下属设备来说,192.168.0.0网段就是外网,所以自带的访客网络隔离不起作用。
ACL根据你的交换机设备(绝大部分硬路由本身自带交换机芯片和交换机功能)有IP屏蔽和MAC屏蔽。MAC屏蔽相对更简单,所以我们说一下IP屏蔽。用我的QNAP M408S万兆VLAN交换机为例:
首先,指定京东云路由的wan口IP是192.168.0.2。
然后在交换机ACL页面里,来源填上192.168.0.2,子网掩码255.255.255.255。子网掩码的意思是就这个IP,而非IP段。所有京东云路由wan口出去的都会被标记为192.168.0.2。等于是涵盖了所有192.168.65.0网段的设备。(IP伪装有没有用没有测试,不放心MAC屏蔽也加上。如果邻居还能突破,亲,这边建议你直接投降呢)
目标里写上192.168.0.0,和255.255.255.0.含义是整个192.168.0.0网段。
端口简单点,选全部(或者选特定的那个端口)。
权限选择拒绝。弄成下图的样子就可以了,超简单吧。
使用测试
设置完后连接京东云路由。使用二级网段开始对一级网段的NAS和路由页面进行测试。如果访问不了,成功了一半。再测试外访能否成功,成功那就大功告成了。
总结
超简单的隔离方法。有需要的朋友可以试试。
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~
值友6749152621
校验提示文案
值友6749152621
校验提示文案