背景
随着家里设备的越来越多,笔记本,平版,手持设备,智能家居设备等等的陆续接入网络,对网络的要求也越来越高了,从 22 年 10 月份开始陆续开始改造居住地网络环境,本文章主要是记录在这几个月折腾和踩过的坑,希望能给你一些建议和帮助。
由于博主毕业工作一直在成都租房住,所以本人所做的操作和设计均考虑到迁移和携带的便捷性,这篇文章本来年前就想写,但是一直拖拖拖,终于在开工大吉的前一天趁着好天气完成了此文。
先前网络环境
第一阶段:最初网络就非常的简单,也是大多数人的拓扑图一样,光钎宽带接入,光猫进行拨号和发射 WIFI ,所有设备都直接连接光猫自带的 WIFI 进行上网,当时的宽带还是 100M 下行和 30M 上行。
弊端:随着设备和下载的宽带增大,会导致光猫的性能持续下降和发热,达不到理论速率,因为光猫是光电设备,主要作用是将光信号转换为电信号的收发设备,让它同时做多种功能往往结果很不理想,这也是很多直接使用光猫 WIFI 测速达不到理论签约速度的原因,可能很多人也遇到过光猫运行时间很长就会感觉到网络很卡,要重启光猫才能缓解。
第二阶段:由于有第一阶段存在的弊端,所以我将光猫的 WIFI 关掉,光猫改为桥接模式,使用 斐讯 k2 进行宽带拨号,单独开启 WIFI 进行使用,后续由于各种折腾,又将 斐讯 k2 刷了 Openwrt 做广告过滤,内网穿透,访问国外网站等功能。
弊端:斐讯 k2 最大支持速率只有 100M ,宽带免费升级到 300M 了,然而无法享受到升级后的速率,由于喜欢折腾 Openwrt 里面的各种功能,每次都导致家里网络各种不稳定,甚至要开热点查资料。
现有网络环境
第三阶段就来到了我现在改造完成的网络拓扑。
为了解决免费升级 300M 宽带并且享受上,还要保证折腾网络不让家里的网络不稳定,所以在 22 年 10 月开始陆续购入设备 J4125 工控机当软路由,TP-6086 无线路由器,千兆网线若干。截止目前写文章已经稳定运行了 1 个多月,感觉不错,在后文我将一一说明我具体的想法,大家有好的建议也可以评论区留言一起交流。
目前网络拓扑如下图:
规划思路
考虑因素
- 便捷性高,方便搬家,灵活性高,三网宽带极小切换代价;
- 安全性较高,自用网络和访客网络进行隔开,防止蹭 WIFI 访问到了家里服务和智能设备;
- 外网跑满运营商带宽,内网跑满千兆;
- 支持策略访问国外网站,广告过滤,折腾的时候不影响家庭正常设备上网;
- 动态公网 IP,按需开放映射端口,支持 IPV4/IPV6 防火墙设置。
选型
选型这个东西我自己尝试了目前很多主流的方案:
对于工控机来说有 PVE 和 ESXI 或者裸机安装 Windows 再开虚拟机,经过各种对比和易用性,最终选择了 ESXI,因为很早以前有用过 esxi6,感觉操作确实挺方便,并且是企业虚拟机选择,稳定性有保证,再加上 J4125 的 i225-v3 支持。我目前安装的是ESXI 7.0 Update 3 。
对于拨号来说,网上大多数都是安排 RouteOS、Openwrt、iKuai、高恪、pfsense/opnsense,这几款我都自己安装试过,说说我的体验,最开始使用 iKuai ,宽带叠加和流控功能很强大,简简单单配置一下就可以实现,但是 bug 比较多,即便是直通了网口测速也不理想,并且吃的内存比较多,至少要给 2g 才行,并且不支持 ipv6 防火墙,分配了 ipv6 相当于设备在外网裸奔;Openwrt 插件很强大,由于我会虚拟一个 Openwrt 专门用来访问国外网站,所以拨号没有选择同样的了,跳过;高恪和 iKuai 是竞争对手,高恪功能分类不大好,找起来很麻烦,一句话用了几天不喜欢哈哈哈哈,pfsense 和 opnsense 体验差不多,主要是做防火墙的,也有一些插件支持,但是吃内存也比较多,用来拨号多少有点大材小用,所以也放弃了,所以最终还是使用 RouteOS v7.6 ,除了上手有点成本,需要花时间了解原理,但是占用内存小也很稳定,能够腾出更多内存折腾好玩的东西。
网络规划细节
主要对现有网络环境进行一个细节描述。
家庭网络网段主要分为 3 个,光猫网段:192.168.1.0/24,管理网段:192.168.99.0/24;WIFI:192.168.100.0/24
工控机直接逻辑安装 ESXI,不进行直通网卡,因为直通后切换虚拟机麻烦,并且不能直接备份虚拟机,亲测过不直通性能也损耗不了多少,毕竟我外网带宽也没有千兆,所以没必要了。LAN1 为 ESXI 管理网口,自己的笔记本上网就插这个口,不但可以管理网络还同时可以上网;LAN2 为 WAN 口,光猫改的桥接,直接将千兆口(这里一定注意,光猫不是所有的口都是千兆)插入到 LAN2 即可,LAN3 网口物理接通 TP-6086 当 AP 时用,LAN4 和 LAN4 做了桥接,对于有合租的可以使用这个口再下接路由器,分配其他网段使用,自由发挥。
ESXI 虚拟服务:
- RouteOS 接入所有网口,LAN1 分配 192.168.99.0/24,LAN2 进行 pppoe 拨号,LAN3 和 LAN4 进行桥接分配网段为 192.168.100.0/24,开启 DNS 缓存,统一拦截 DNS 和 NTP 服务到内网服务;
- 虚拟 Openwrt,LAN1、LAN3 单臂接入,用于访问国外网站网关,开启 passwall,内网穿透,AdGuard-Home 插件;
- 虚拟 ubuntu,安装 docker,安装 alist、e5 自动续期、青龙、samba 等等....
- 虚拟 windows 映射外网当跳板机;
- 虚拟其他机器做实验玩,不用的时候直接关机~
策略设置
其中 99.0 网段可以访问 100.0 网段,反之则不能,需要 100.0 网段访问的设备,手动做策略,或者直接虚拟的时候加入 100.0 网段的网卡。
所有外网防火墙策略都在 RouteOS 里面手动源地址 NAT,基本上所有的限制都可以在 RouteOS 里搞定,包括指定设备走科学网关。
效果一览
ESXI
RouteOS
Ad-GuardHome
总结
目前使用这套拓扑已经很稳定的运行了 1 个多月,随意折腾家里都不会导致断网了,不仅能从外网直接访问家里,也能在自己家跑一些娱乐服务,剩下了买云服务器的费用,整理来说满足自己考虑的 5 点因素,当然以后的时间还会针对不合理的地方进行优化,最后说一句,所有折腾重要资料一定要提前备份,数据无价!!!若你对家庭网络改造有更好的建议,欢迎评论区留言一起探讨。
