家用智能路由器
路由器技术选型
我将目前主要的方案分成三类:
-
软路由
使用高性能的台式机或者服务器配合软件实现路由器的所有功能。同等硬件条件下,软路由往往不如硬路由。但是 PC 价格真的太低了。 尤其是目前某宝有许多专门为软路由设计的硬件。同等价格下的家用路由器,软路由非常不错。知乎上一位大佬对于软路由的评价非常真切:
其实很多家用路由器都是工作在软路由模式下。虽然会有 NAT 转发芯片,但是只要你在路由器里启用了家长控制、流量统计、QOS 限速、广告过滤、不可描述之类的功能,这个芯片就歇菜了。包处理的担子还是要交给 CPU。然后就是 MIPS/ARM 的性能被 X86 吊打。
另外,软路由安装和使用更简单。交互也更加友好。非常适合新人入门使用。
-
硬路由
这只是相对软路由的称呼,也就是指的传统的路由器。不过直接从厂商买来的路由器功能并不太强大。需要用于手动刷固件从而获得更强大的功能。
-
智能路由
直接购买将“智能”作为噱头的路由器。这类路由器无法提供一些不可描述的功能。
我家中选择的是硬路由的方案。一是因为家中有多台网络设备,高端的硬路由能提供更大的宽带和更好的性能。二是我自信能解决遇到的复杂技术问题。
设配选购/技术选型
-
路由器:WRT3200ACM
WRT 系列路由器与OpenWRT大有渊源。可以轻易刷成 OpenWRT 系统,并且不需要担心路由器变砖的问题。 WRT3200ACM 更是 WRT 系列中的高配版本,开启一系列插件后依旧能否轻松负载千兆宽带。
-
路由固件:OpenWRT
OpenWRT其实是一个轻量级的 Linux。潘多拉和受软路由钟爱的LEDE固件均源于OpenWRT。 另外两个流行的固件:Padavan(又称老毛子)和Merlin(又称梅林)都源于华硕的官方固件。 之所以选择OpenWRT,最主要的原因是其官方网站具有最完善的官方说明文档; 其次官方版本的OpenWRT也是最轻量的,可以根据自己的需要进行定制。
-
NAS: Synology DS720+
虽然OpenWRT可以通过安装
samba插件为局域网提供文件共享服务,但是在路由器上安装的扩展磁盘无处安放且散热不畅。 更何况,独立的 NAS 能够提供更友好的操作界面、磁盘备份、图片/视频管理软件、邮件服务等。NAS 本身也非常适合安装的软路由的,不过我并不打算这样做。如果资金不足又想要得到所有功能,购买一个 NAS 搭配软路由也是不错的选择。
知识储备
- 了解 Linux 系统的基本原理,并能熟练的编写 Shell 脚本。
- 有一定的编码基础和较强的动手能力。我们需要动手编译一些OpenWRT官方未提供的不可描述的插件。
- 能顺畅使用Docker。我们需要搭建一个可重复使用的编译环境。
上传固件
- 首先需要进入OpenWRT 官网下载最新版本的 OpenWRT 固件。需要根据购买的路由器型号进行选择。
- WRT 系列路由器可以直接上传OpenWRT固件,上传完成后重启路由器即可。其他路由器请自行查找刷固件的技术方案。
OpenWRT 基础配置
OpenWRT虽然也提供配置页面。但既然是一个 Linux 系统,便可以通过ssh登录到命令行进行配置。
虽然配置页面听起来虽然不错。但是在配置完成前,页面交互体验还是非常不友好的。
并且使用shell命令进行配置,我们便可将之整理成脚本以备重置路由器时使用。
包管理工具
每个 Linux 系统都有自己的包管理工具。OpenWRT使用opkg 命令作为包管理工具。使用方法详见说明文档。
我们第一步便是更新可用软件包列表:
opkg update # 升级所有的软件包 opkg list-upgradable | cut -f 1 -d ' ' | xargs opkg upgrade
为了以后使用方便,我们设定定时任务每日更新软件包列表
touch /etc/root/root echo "0 4 * * * opkg update" > /etc/crontabs/root /etc/init.d/cron enable
支持 HTTPS
OpenWRT 并没有默认安装openssl,导致无法在命令行发送https请求。由于我们之后配置需要的一些文件必须通过https下载,因此先安装这个插件:
opkg install libustream-openssl
页面美化
luci-theme-argon是一个使用较为广泛且比较好看的页面样式插件。我非常喜欢 Material Design,便选择了此插件。
# 汉化 opkg install luci-i18n-base-zh-cn luci-i18n-opkg-zh-cn luci-i18n-firewall-zh-cn # 安装 luci-theme-argon wget --no-check-certificate https://github.com/jerrykuku/luci-theme-argon/releases/download/v2.2.5/luci-theme-argon_2.2.5-20200914_all.ipk -O luci-theme-argon.ipk opkg install luci-theme-argon.ipk
安装完成后,重新访问配置页面即可。
如果发现页面依旧存在部分英文,是由于浏览器缓存导致。删除浏览器缓存后再次刷新页面即可。
路由器实时监控
luci-app-statistics:实时监控插件luci-i18n-statistics-zh-cn:实时监控的汉化插件collectd-mod-curl:扩展实时监控插件功能:使用curl指令实时监控网络连通性和响应时间。
opkg install luci-app-statistics luci-i18n-statistics-zh-cn collectd-mod-curl # 启用 collectd-mod-curl uci set luci_statistics.collectd_curl.enable='1' # 监控baidu.com的响应时间 uci add luci_statistics collectd_curl_page uci set luci_statistics.@collectd_curl_page[-1].enable='1' uci set luci_statistics.@collectd_curl_page[-1].name='BaiDu' uci set luci_statistics.@collectd_curl_page[-1].url='baidu.com' # 监控google.com的响应时间 uci add luci_statistics collectd_curl_page uci set luci_statistics.@collectd_curl_page[-1].enable='1' uci set luci_statistics.cfg288c80.name='Google' uci set luci_statistics.cfg288c80.url='google.com' uci commit
uci是“Unified Configuration Interface”(统一配置界面)的缩写,意在 OpenWrt 整个系统的配置集中化。
uci指令用于管理 OpenWRT 的配置。使用指令比直接修改配置文件方便太多了,使用方法详见说明文档
无线网络配置
此配置建议进入配置页面进行配置。如果打算整理初始化脚本,以下代码可做参考:
PASSWORD="changeme" ESSID="无线账户" uci set wireless.radio0.channel='auto' uci set wireless.radio0.htmode='VHT160' uci set wireless.default_radio0.key=$PASSWORD uci set wireless.default_radio0.ssid=$ESSID uci set wireless.default_radio0.encryption='psk2' uci set wireless.default_radio1.key=$PASSWORD uci set wireless.default_radio1.ssid=$ESSID uci set wireless.default_radio1.encryption='psk2' uci set wireless.radio2.channel='auto' uci set wireless.default_radio2.key=$PASSWORD uci set wireless.default_radio2.ssid=$ESSID uci set wireless.default_radio2.encryption='psk2' uci commit
WRT3200ACM 有三个频段(radio0、radio1、radio2)。这与路由器硬件息息相关,需要根据路由器型号编写脚本。
wireless.radio0.htmode='VHT160'也是 WRT3200ACM 独有的带宽,也因此导致了 WRT3200ACM 无法在国内上市。
编译 OpenWRT 软件包
很多不可描述的插件并不能直接从 OpenWRT 官方软件源安装,需要自己动手编译。 不过由于路由器性能比较低,并不适合直接在路由器上编译 ipk 包。我们需要通过 OpenWRT SDK 交叉编译软件包。
构建编译环境
相比安装一个 Linux 系统,使用 Docker 来构建编译环境会方便许多。 首先,需要根据路由器型号下载对应的 OpenWRT SDK。 这里我们使用 WRT3200ACM 需要的 SDK:
FROM ubuntu WORKDIR /root ENV DEBIAN_FRONTEND noninteractive ENV OPENWRT_SDK openwrt-sdk-19.07.4-mvebu-cortexa9_gcc-7.5.0_musl_eabi.Linux-x86_64 COPY ${OPENWRT_SDK}.tar.xz /root/${OPENWRT_SDK}.tar.xz RUN apt-get update && \ apt-get install xz-utils vim -y && \ tar -xvf /root/${OPENWRT_SDK}.tar.xz && \ mv /root/${OPENWRT_SDK} /root/sdk && cd /root/sdk &&\ apt-get install build-essential ccache flex gawk gettext git liblzma-dev libncurses5-dev libssl-dev python subversion u-boot-tools unzip wget xsltproc zlib1g-dev python3 rsync -y && \ ./scripts/feeds update -a && \ ./scripts/feeds install -a
更多细节参考GitHub
构建完成后,为之后方便使用可以发布至 DockerHub。至此我们便准备好了编译环境。
编译软件包
我们需要的软件包:
- openwrt-shadowsocksr: ssr 插件
- luci-app-shadowsocksr: ssr 插件管理界面
- openwrt-ckipver: ssr 订阅功能
- openwrt-dns-forwarder: ssr 的 DNS 防污染功能
- openwrt-cdns: ssr 的 DNS 防污染列表扩展之一
- openwrt-pdnsd: ssr 的 DNS 防污染列表扩展之一
- ddns-scripts_aliyun: 阿里云 DDNS 服务
使用我们刚刚构建的编译环境:
FROM valistarguo/openwrt-sdk-arm_cortex-a9_vfpv3-d16 as builder WORKDIR /root/sdk COPY .config /root/sdk/.config RUN cd /root/sdk && \ git clone https://github.com/Hill-98/luci-app-shadowsocksr.git package/luci-app-shadowsocksr && \ git clone https://github.com/Hill-98/openwrt-ckipver.git package/ckipver && \ git clone https://github.com/Hill-98/openwrt-cdns package/cdns && \ git clone https://github.com/Hill-98/openwrt-shadowsocksr package/shadowsocksr-libev && \ git clone https://github.com/sensec/ddns-scripts_aliyun.git package/ddns-scripts_aliyun && \ git clone https://github.com/aa65535/openwrt-dns-forwarder.git package/dns-forwarder && \ git clone https://github.com/Hill-98/openwrt-pdnsd package/pdnsd && \ cd package/luci-app-shadowsocksr/tools/po2lmo && \ make && make install && \ cd /root/sdk RUN make package/shadowsocksr-libev/compile package/ddns-scripts_aliyun/compile package/luci-app-shadowsocksr/compile package/ckipver/compile package/cdns/compile package/dns-forwarder/compile package/pdnsd/compile -j$((`nproc`+1)) V=s && \ make package/index V=s
更多细节参考GitHub
搭建软件源
虽然直接在 Docker 中构建好 ipk 软件包,然后直接上传到OpenWRT安装没什么问题。但是这并不方便长久的管理软件包。 搭建独立的软件源,非常方便后续重置路由器时再次安装需要的软件。接下来我们需要做的事情:
- 生成软件源的公钥和私钥,OpenWRT 添加新的软件源需要对软件源进行验证。
- 添加 Nginx 服务,提供软件包和公钥下载服务
我们从上一节dockerfile的基础上继续改动:
FROM valistarguo/openwrt-sdk-arm_cortex-a9_vfpv3-d16 as builder WORKDIR /root/sdk COPY .config /root/sdk/.config RUN cd /root/sdk && \ git clone https://github.com/Hill-98/luci-app-shadowsocksr.git package/luci-app-shadowsocksr && \ git clone https://github.com/Hill-98/openwrt-ckipver.git package/ckipver && \ git clone https://github.com/Hill-98/openwrt-cdns package/cdns && \ git clone https://github.com/Hill-98/openwrt-shadowsocksr package/shadowsocksr-libev && \ git clone https://github.com/sensec/ddns-scripts_aliyun.git package/ddns-scripts_aliyun && \ git clone https://github.com/aa65535/openwrt-dns-forwarder.git package/dns-forwarder && \ git clone https://github.com/Hill-98/openwrt-pdnsd package/pdnsd && \ cd package/luci-app-shadowsocksr/tools/po2lmo && \ make && make install && \ cd /root/sdk RUN make package/shadowsocksr-libev/compile package/ddns-scripts_aliyun/compile package/luci-app-shadowsocksr/compile package/ckipver/compile package/cdns/compile package/dns-forwarder/compile package/pdnsd/compile -j$((`nproc`+1)) V=s && \ make package/index V=s && \ ./staging_dir/host/bin/usign -G -s mime.key -p mime.pub && \ ./staging_dir/host/bin/usign -S -m bin/packages/arm_cortex-a9_vfpv3-d16/base/Packages -s mime.key -x bin/packages/arm_cortex-a9_vfpv3-d16/base/Packages.sig && \ mv mime.pub bin/packages/arm_cortex-a9_vfpv3-d16/base/mime.pub FROM nginx RUN mkdir /usr/share/nginx/packages COPY nginx.conf /etc/nginx/nginx.conf COPY --from=builder /root/sdk/bin/packages/arm_cortex-a9_vfpv3-d16/base/ /usr/share/nginx/packages RUN chown -R nginx /usr/share/nginx/packages && chgrp -R nginx /usr/share/nginx/packages
更多细节参考GitHub
接下来我们只需要将编译完成的 docker 镜像部署在一台服务器上。也可以部署在家中的 NAS 上,访问速度更快也更安全。
OpenWRT 高级配置
添加软件源
添加我们刚部署好的软件源:
wget http://openwrt.val-istar-guo.com/mime.pub opkg-key add mime.pub echo "src/gz vg http://openwrt.val-istar-guo.com/" > /etc/opkg/customfeeds.conf opkg update
动态 DNS
由于我们没有固定 IP,即使联系网络供应商也只能获得一个动态 IP。动态 DNS(DDNS)便可以帮助我们自动的修改域名的主机记录值。 这里需要根据自己的域名供应商进行选择和配置:
opkg install ddns-scripts luci-app-ddns luci-i18n-ddns-zh-cn ddns-scripts_aliyun DDNS_USERNAME="username" DDNS_PASSWORD="password" DDNS_HOST="myhost.example.com" DDNS_DOMAIN="myhost@example.com" uci set ddns.ddns_ipv4=service uci set ddns.ddns_ipv4.service_name='aliyun.com' uci set ddns.ddns_ipv4.lookup_host=$DDNS_HOST uci set ddns.ddns_ipv4.domain=$DDNS_DOMAIN uci set ddns.ddns_ipv4.username=$DDNS_USERNAME uci set ddns.ddns_ipv4.password=$DDNS_PASSWORD uci set ddns.ddns_ipv4.enabled='1' uci commit
这里需要注意,如果doamin是二级域名,需要使用@代替.作为分隔符(也不知道是哪个傻逼这么设计的,搞得跟邮箱似的)。
不可描述的上网方式
我们要使用刚才编译好的软件源安装相关插件:
# 必要依赖 opkg install libpcre libev libsodium libudns opkg install ipset # 支持UDP协议透明代理 opkg install iptables-mod-tproxy ip # DNS污染列表解析 opkg remove dnsmasq opkg install dnsmasq-full # 获取 DNS 域名污染列表和服务器订阅数据 opkg install curl # base64 解码 DNS 域名污染列表和服务器订阅数据 opkg install coreutils-base64 # 服务器订阅脚本使用 bash 解释器运行 opkg install bash # 用于订阅脚本解析域名 opkg install bind-dig # 后续安装需要私搭的软件源 # 用于订阅脚本检测 IP 地址合法性 opkg install ckipver # 防污染包 opkg install cdns dns-forwarder pdnsd opkg install shadowsocksr-libev luci-app-shadowsocksr
安装完成后,我们可以进入路由器的配置页面添加相关配置。配置完成后需要重启路由器才能生效。
首次安装后需要重启路由器,可能是由于
shadowsocksr-libev没有在安装时启动导致。
NAS
Synology DS720+并不需要在路由器中添加太多配置,我们需要做的只是为Synology DS720+的两个网卡其提供固定的局域网 IP:
uci add dhcp host uci set dhcp.@host[-1].mac=$NAS_MAC_1 uci set dhcp.@host[-1].dns='1' uci set dhcp.@host[-1].name='NAS' uci set dhcp.@host[-1].ip='192.168.1.2' uci set dhcp.@host[-1].mac=$NAS_MAC_2 uci set dhcp.@host[-1].dns='1' uci set dhcp.@host[-1].name='NAS' uci set dhcp.@host[-1].ip='192.168.1.3' uci commit
Synology DS720+ 提供了许多不错的软件:Photo Station、Vidio Station、MAIL邮箱服务。
为了能够在外网访问这些服务,我们需要修改防火墙配置:
# NAS管理界面 uci add firewall redirect uci set firewall.@redirect[-1].dest_port='5000' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='NAS' uci set firewall.@redirect[-1].src_dport='5000' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' # Photo Station服务 uci add firewall redirect uci set firewall.@redirect[-1].dest_port='80' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='Photo Station' uci set firewall.@redirect[-1].src_dport='19000' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' # Vidio Station服务 uci add firewall redirect uci set firewall.@redirect[-1].dest_port='9007' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='Vidio Station' uci set firewall.@redirect[-1].src_dport='18000' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' # MAIL邮箱服务 uci add firewall redirect uci set firewall.@redirect[-1].dest_port='25' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='SMTP' uci set firewall.@redirect[-1].src_dport='25' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' uci add_list firewall.@redirect[-1].proto='tcp' uci add firewall redirect uci set firewall.@redirect[-1].dest_port='143' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='IMAP' uci set firewall.@redirect[-1].src_dport='143' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' uci add firewall redirect uci set firewall.@redirect[-1].dest_port='110' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='POP3' uci set firewall.@redirect[-1].src_dport='110' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' uci add_list firewall.@redirect[-1].proto='tcp' uci add firewall redirect uci set firewall.@redirect[-1].dest_port='465' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='SMTP-SS' uci set firewall.@redirect[-1].src_dport='465' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' uci add_list firewall.@redirect[-1].proto='tcp' uci add firewall redirect uci set firewall.@redirect[-1].dest_port='587' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='SMTP-TLS' uci set firewall.@redirect[-1].src_dport='587' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' uci add_list firewall.@redirect[-1].proto='tcp' uci add firewall redirect uci set firewall.@redirect[-1].dest_port='993' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='IMAP-SSL/TLS' uci set firewall.@redirect[-1].src_dport='993' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' uci add_list firewall.@redirect[-1].proto='tcp' uci add firewall redirect uci set firewall.@redirect[-1].dest_port='995' uci set firewall.@redirect[-1].src='wan' uci set firewall.@redirect[-1].name='POP3-SSL/TLS' uci set firewall.@redirect[-1].src_dport='995' uci set firewall.@redirect[-1].target='DNAT' uci set firewall.@redirect[-1].dest_ip='192.168.1.2' uci set firewall.@redirect[-1].dest='lan' uci add_list firewall.@redirect[-1].proto='tcp' uci commit firewall
OpenWRT 初始化脚本
上述所有的脚本已经整理至GitHub。 至此,我所需要的路由器功能都已添加。本文若对你有帮助,还请在 GitHub 点个 Star。