记一次家庭科学网络架构调整

背景

年初入了折腾软路由的坑，买了个 R66s 玩了玩。考虑到是头一次折腾，各个地方的配置都比较保守，没有默认将所有的网关都设置成 R66s ，而是由各个客户端手动配置到软路由网关。用了一段时间下来感觉在正常使用的情况下都还是很稳的，于是打算配置的更激进一点。

刚巧，之前移动的人总是打电话过来，说他们之前给我装的光猫有故障，把某个什么设备的端口打满了，导致影响了其他用户的使用（不过我用起来都很正常），希望能上门我换一个新的光猫。

考虑到一直接电话实在不胜其烦，于是就同意让他们上门换了一波。意外的收获是，这次不仅免费帮我多续费了四个月，而且除了给光猫之外，还多给了一个 WIFI 路由器🥹。

趁着新 WIFI 路由器的余威加持，就把家庭科学网络架构调整了一下，使其更好的符合家庭网络的两大宗旨（by jack stone）：

1. 所有设备统一在一个网段下，只有一层 NAT 转换，只有一个负责 NAT 的设备。
2. 所有网络控制功能都应该尽力收归 OpenWrt 服务器。

设备说明

• Raspi 是用来冒充 NAS，并另外部署一些 Docker 服务的树莓派4B。
• OpenWrt 是用来科学工作的 R66s 软路由。
• Modem 是移动安装的带 WIFI 功能的光猫路由器，使用默认的 NAT 模式。
• Wifi Router 是移动后来多送的一个 WIFI 路由器。

旧架构（旁路由）

最初的需求只是想保守地尝试使用软路由进行科学工作，因此对原生的网络结构没有做任何调整。只是在初始的网络环境下新增了一个 Openwrt 作为网关服务器。

配置要点：

1. Modem 配置不做任何变更（其实也没权限配置），默认自动拨号、默认使用 NAT 模式、默认开启 DHCP 服务。
2. OpenWrt 的 LAN 口接入 Modem LAN 口，手动配置 IP 为 Modem 子网下的一个固定IP。
3. 其他设备均正常接入。默认连上 WIFI 的设备不走 OpenWrt。需要时不时讲科学的机器就配置网关和 DNS 指向 OpenWrt 的 IP。

优点：

1. 无需打电话找运营商改光猫配置。这一点对于经常搬家的社恐租房党还是很省事的。
2. 设备要求少。无需额外 WIFI 路由器也能让手机等无线设备实现简单的科学功能。
3. 网络层级简单。只有光猫的一层 NAT ，一层 DHCP。
4. 容错能力强，OpenWrt 挂了也不影响正常设备的使用。

缺点：

1. 科学配置比较麻烦。设备需要手动修改网关和 DNS 指向 OpenWrt。
2. OpenWrt 无法获得完整的网络控制功能。由于 DHCP 使用的是 Modem 的，因此无法通过 OpenWrt 对家庭网络进行完整的控制。
3. OpenWrt 无法获得完整流量。对于不走加密信道的情况，即使设备将网关配置指向了 OpenWrt，也只会让上行流量经过；下行流量则会直接由 Modem 返回设备。这就导致在 OpenWrt 部署的流量监控服务其实无法检测到完整流量。

新架构（主路由）

在有了白嫖的 WIFI 路由器之后，网络架构就可以灵活很多了。我们可以抛弃掉 Modem 自带的 WIFI，改用配置更方便的的 WIFI 路由器，并自动配置网关指向 OpenWrt。这样可以使得 OpenWrt 对下游的网络拥有完整的控制能力。

配置要点：

1. Modem 仍然无需任何配置变更。不过出于效率，可以关闭 WIFI 功能。
2. OpenWrt 用 WAN 口连接 Modem 的 LAN 口。WAN 口使用 DHCP 即可，LAN 口配置静态地址 IP 为一个与 Modem 不同的新网段，并开启 DHCP 服务。
3. Wifi Router 用 WAN 口连接 OpenWrt 的 LAN 口。调整配置为桥接模式，使得后续接入 WIFI 或者接入 LAN 口的其他设备都进入和 WAN 口的同一个子网。
4. OpenWrt 在管控面板中为下游需要访问的设备配置静态IP。
5. 后续如果需要添加有线设备，则直接接入 Wifi Router 空余的LAN口，或者在 OpenWrt 到 Wifi Router 之间新增小交换机即可。不要接入 Modem 上的空余 LAN 口（因为会不受 OpenWrt 管理）。

优点：

1. 仍然无需打电话找运营商改光猫配置。
2. OpenWrt 拥有对下游网络的全面控制权。
3. 科学配置方便，无线设备等只要接入 WIFI 就科学了，不用做任何配置。
4. OpenWrt 作为主路由能获得子网下的全部流量。

缺点：

1. 配置稍显复杂，容易配错。
2. 看起来有了两层 NAT ，网络略微复杂。但其实这里也可以把 Modem+OpenWrt 看成一个整体，其实真正用到的设备还是只在一层 NAT 下的。当然如果硬是想改成一层 NAT 也简单，只需要找运营商把光猫改下桥接，再让 OpenWrt 拨号即可。