我家的网络拓扑结构有属于比较负责的那一类
光猫--主路由( R6400 50.2 ) | 旁路由( openwrt,50.3 )-NAS -WIFI AP--一众 wifi 设备
其中 旁路由 NAS 跑在一台 esxi 打底的 HPE 上,旁路由主要是用来搞 openclash ,DDNS 等特殊需求
最近 R6400 总感觉出问题的频率增加了,毕竟用了 4 年多,又强行刷了个梅林进去。总是会有各种各样的问题,具体表现为:DDNS 脚本无法通过 whatismyip.akamai.com 获取本机 ip 地址,然而人家 akamai.com 的服务是好好的。拔电重启 R6400 问题就可以解决。最近又偶发看上去一切正常,但是就是不能上网,微信啥的收发都有问题。最后还是拔电重启 R6400 解决。
感觉 R6400 暴毙在即,要么我替换一台主路由设备,要么就把旁路由升级成主路由
趁着休息,就像尝试把旁路由升级到主路由,R6400 变成交换机,于是周末的噩梦开始了
首先旁路由的拨号问题,手上的 HPE 有两个网口,通过调整 esxi 的端口组等给 openwrt 添加一个网卡做拨号。 第一个噩梦,pppoe 拨号没问题,但是 ping 百度就返回一个 198 段的地址,明显数据包没出去。糗了半天,原来是没有给 wan 口添加适用的防火墙规则
第二个噩梦,OPENWRT 上 ping 百度正常,但是其他内网设备还是不能上网。具体表现为 network timeout /reset 等。再折腾了一段时间发现要添加自定义防火墙规则。
到此还算能解决的
第三个噩梦,openclash 的科学上网弄不通了,这个可以等等,毕竟能先上内网。旁路由时,openclash 用的是 fake-ip 的 Tun 模式
第四个噩梦,端口转发。NAS 上跑着一堆 web 服务,这些服务需要端口转发暴露出来。配合 Fake-ip 的 Tun 模式,我不仅要在主路由上搞一遍端口转发,我还要在 openwrt 上再搞一遍同样的转发。但是该用 openwrt 拨号后,调整转发规则后自建的服务还是不成。这个时候已经是半夜了,实在没力气继续研究,于是作罢。
第五个噩梦,由于上面没走通,我决定回滚的最初的方案,R6400 再回去做主路由坚持坚持。
说了这么多,对于 iptables 和写规则苦手的我来说,all in one 的方案太容易 all in boom ,而且大部分情况还是自己人菜瘾大 boom 的。
这样来看,替换 R6400 反而是最稳定和安全的方案了。
因此求大家推荐一款路由器,不需要 wifi 功能,仅能拨号就行。最好 8 口,但是 4 口也行。 最好能有简单做端口转发的图形界面 防火墙规则不要太复杂 XD 或者我在 esxi 上再做一个专门用来拨号的 ownert 是不是也行?
1
K8dcnPEZ6V8b8Z6 2023-05-15 12:02:36 +08:00
所以说,硬主路由+软旁路由,虽然不见得是最高效或功能最强的方案,但一定是综合起来最省时间的……
毕竟 BOOM 了就当傻瓜机器用也可以 |
2
MeteorVIP 2023-05-15 12:05:38 +08:00 via iPhone
哈哈哈,主软路由,旁软路由,爽爽的。
|
3
fish3125 2023-05-15 12:55:02 +08:00 via iPhone
明显从第一条开始就是 clash 劫持了所有 dns ,如果不熟悉建议先用官方版本的 openwrt ,在慢慢添加软件功能。
|
4
xiaoyuesanshui OP @K8dcnPEZ6V8b8Z6 现在看真的是这样,虽然回到了最初的方案,但是总觉得不太得劲,比如图片加载明显变慢了
可能是我胡乱折腾了路由器或者端口 |
5
kaedeair 2023-05-15 14:02:10 +08:00
ER2260T ?
|
6
findex 2023-05-15 14:14:18 +08:00 via iPhone
我比你更折腾。自己编译 openwrt 跑在 pve 虚拟机。x86 小主机带 4 个 2.5g 口。做了显卡直通。openwrt 多次编译失败。每次编译都很长时间。换工作站编译,结果工作站升级了系统,某些网络打不开了。编译出现问题因为我主机用的 6.1 的内核编译的时候有问题需要先解决编译机的适配问题。而且中途还换了一块硬盘,恢复分区表 efi 以及各种分区。
|
7
xiaoyuesanshui OP @kaedeair 不是,HPE GEN10
|
8
xiaoyuesanshui OP @findex 老哥给讲讲显卡直通的事情?性能损失大不大? esxi+显卡直通的 windows 用来当游戏机可行嘛
|
9
chenyx9 2023-05-15 14:43:13 +08:00 via Android
在下不搞 All on Boom 的原因就是翻车了也不至于影响家里人
|
10
xiaoyuesanshui OP @chenyx9 all in one 是一种技术自信
现在我对我自己有了清醒的认识 |
11
findex 2023-05-15 15:34:28 +08:00 via iPhone
@xiaoyuesanshui 我没对比过。但是通过自己体验上感觉有一些损失。看测评说有个 3% 左右的损失。esxi 没试过直通,我的是 n100 加 4 i226 网口,据说 esxi 不适配显卡直通现在。只有 pve 支持。
打游戏我感觉问题不大。pcie 直通过去。但是你还要调用 hdmi 或者 dp 口直通给虚拟机。我的小主机定位就是视频解码以及所以无需视频输出,只需要开个远程桌面即可。直通的 win11 无法调整分辨率目前,后期应该可调。 |
12
findex 2023-05-15 15:40:35 +08:00 via iPhone
@chenyx9 我现在在整 all in one 。现在用网就很捉急。openwrt 不太稳定。但是之前用小米路由器单刷 openwrt 也有 boom 的时候。归根结底都是固件的锅,不如原厂稳定性。然后软路由的原理和硬路由不太一样。软路由的问题还会出现在虚拟机,内核,内存使用,硬盘是否损坏,写满,不仅仅是硬路由转包那么顺畅。但是话说回来,很多人用的 pf 防火墙道理也一样,没见多少人喷。按这个路子走,后期都得上机房了…… 一般家用用不到的
|
13
findex 2023-05-15 15:56:29 +08:00 via iPhone
@chenyx9 对,我就是那种一遍开飞机一遍换引擎的飞行员。升级系统后,Linux 启动内核都 boom 过。用 live cd u 盘修复内核后发现 /boot 分区以前太小了,新内核体积过大。装不下 2 个内核。后期自己改装了精简版内核启动后,又添加了新的内核,然后从新内核启动,删掉小内核,再打上 dkms 的内核模块装显卡等驱动。再调用磁盘工具重新做分区表,扩容 /boot 分区(因为 /boot 分区在 / 前,所以需要动根目录)。然后将整个系统又迁移到更大的一块 ssd 上。全套都用的 dd 命令。工作站主机系统一路从 14.04 升级到 22.04 ,期间硬盘,cpu ,内存,主板都换过。再后来,我来个了狠的,直接把 linux 笔记本系统打包成 kvm 等虚拟机文件。我在 esxi 以及 qemu 里面都可以以单文件模式启动我的系统,从此硬件虚拟化后。我只需要一台稳定的主机,其他全部走虚拟化。
|
14
K8dcnPEZ6V8b8Z6 2023-05-15 15:58:39 +08:00
@xiaoyuesanshui 在单单实现“拨号并且 NAT”这件事上,确实没必要靠自己去挑战大厂的成熟方案
|
15
465456 2023-05-16 18:48:06 +08:00
all in boom 还有一个方案,就是 openwrt 上安装 docker ,所有应用用 docker 代替,就要学习下 docker 方面的知识
|
16
xiaoyuesanshui OP @465456 docker 倒不需要,下面的服务器上是 esxi 打底,随便搞个虚拟机跑 docker 就好
|
17
qpwo005451mark2 2023-05-17 11:20:35 +08:00
可以蹲个二手 RB5009 好价或者 mikrotik ( bugtik )其他类似的产品,有一说一,从 7.4 开始说支持容器之后(一大堆 bug ),修修补补大半年,目前 7.9 stable 的 container 总算是勉强能正常使用了,等出个 7.X 的 LTS 就可以养老了
|
18
xiaoyuesanshui OP @qpwo005451mark2 多谢多谢,我没啥 docker 需求,能稳定拨号就行了
|
19
yijiangchengming 2023-05-31 23:32:44 +08:00
返回 198 是 fake-ip 的问题,我现在的拓扑如下。
[光猫(桥接)]--[OpenWrt(拨号 /Openclash/WireGuard)(10.0.0.1),ROS(拨号 /WireGuard)(10.0.0.x),K3S(10.0.0.x),ESXI(10.0.0.x)](AIO)---[TP-Link(WIFI,桥接,关闭 DHCP)(10.0.0.x)]---[NAS(10.0.0.x)]。 网关是 OpenWrt 10.0.0.1,ROS 用来冗余。 []表示运行在一个硬件设备上 ---表示有线连接。 |
20
xiaoyuesanshui OP |
21
yijiangchengming 2023-06-01 13:12:31 +08:00
运行模式选 TUN
代理模式选 Rule 使用 Meta 内核 本地 DNS 劫持选 dnsmasq 转发,我一开始使用了 adguardhome 导致分流有问题,后面就不再使用 adguardhome 。 我的 openwrt 是主路由 @xiaoyuesanshui |
22
xiaoyuesanshui OP @yijiangchengming get get ,我学习学习 下次继续折腾
|