家庭组网 2022

光猫桥接、路由拨号、外部访问

17 January 2023

网络布局没有变化 #

还是AC-68U拨号，并且直接接交换机给房间的网线接口。两个易展路由器负责Wi-Fi。

关于光猫桥接、路由拨号和TP-LINK的易展功能，之前的一篇博文有介绍过，但因为目前博客在做调整，说不定那篇日后会删掉，一并重新在这里加进来：

光猫桥接和路由拨号 #

运营商：电信
光猫型号：HS8145C
需要：超级管理员帐户
- 用户名telecomadmin
- 密码nE7jA%5m
- 根据型号不同，帐户密码存在差异，读者可自行搜索，或尝试获取 base64 加密后的密码，使用在线工具解密
  - 对于 HS8145C，通过光猫管理员帐户（一般贴好在底面）登录后，访问192.168.1.1下的backupsettings.conf
  - 搜索文件中password，使用工具解密
进入菜单“网络”选项，将“上网业务”3_INTERNET_B_VID_41连接方式改为“桥接”。
（如果不知道拨号上网的帐号密码，在网关后台一并记录，帐号明文，密码一般为 SHA256 加密。也可以咨询电信营业厅获取。）

以上为光猫部分。路由器部分设置拨号即可，一般是PPPoE方式，输入帐号密码，其他一切默认即可。此处省略。

TP-LINK 易展有线回程 #

注意下面的步骤针对的是和我一样的布局，有上一级路由负责拨号和其他功能，只是希望通过TP-LINK的易展方案解决Wi-Fi信号问题。如果TP-LINK就是拨号的路由，接好WAN，其他易展路由接到主路由的LAN就行了。

为了确保有线回程以达到更好的效果：

（如果使用无线回程中，请恢复出厂设置）
主路由先接好电源，关闭 DHCP，接LAN（现在一般都是自动识别了）
再将其他易展路由器接好电源和LAN，（它们当前应该在同一个网段，例如都是192.168.2.*）按下其他易展路由器的易展按钮
等待路由器后台或手机App上的网络拓扑图，在路由器位置右上角显示网线接口icon代表完成。
建议在上一级路由将这些易展路由器的内网IP设置为静态/和mac地址绑定。

拿到公网IP了 #

无法获取公网IP的读者，建议可以考虑改路由器拨号后，通过NAS的IPv6地址访问。下文内容需要公网IP。

在微信服务号直接跟客服说要开通之后，给填了工单，师傅打电话来确认，他那边后台操作，全程不到半小时，特别顺畅。

于是就先不折腾IPv6了，直接折腾IPv4外部访问。方案有很多，之前因为没有公网IP，用的ZeroTier，速度一般。现在可以通过公网IP直接访问，但为了安全考虑，只开一个端口转发给VPN（OpenVPN），防火墙、登录规则、二步验证等都保持开启。同时，因为是动态IP，隔三差五就会改，找了自己一个不用的域名挂在Cloudflare，通过Cloudflare DDNS插件绑好API key，监测到路由器重新拨号时，对照IP映射是否一致，不一致则更新。

群晖和华硕都自带DDNS和VPN Server服务（注意群晖的VPN Server可能要在官网下载后手动安装）。DDNS使用自带服务的话，方便的地方在于不需要再额外处理域名的问题，但因为使用https的话，自带服务是通过80端口访问Let’s Encrypt申请SSL，这个端口电信默认是封着的，一般也不会给开，SSL无法签发下来。其次，DSM6的用户 DSM 7的界面给的是下拉框并写明是“自动”，但DSM 6不是。，群晖DDNS不一定能够自动修改对应的IP。

VPN Server的话看个人需求，在群晖或者路由器上部署都可以。只开放VPN端口的话，做不做https问题不大，但是如果还开放其他（例如WebDAV）端口，https是必要的。至于使用哪种VPN连接方式（例如PPTP、OpenVPN、IPSec等）一样看需求/设备是否支持。我的AC-68U（386.7_2）自带PPTP和OpenVPN。

同时原先的ZeroTier仍保留，出问题的时候至少还可以通过ZeroTier回来修修补补。

我的方案小结：

外部访问NAS
- 通过公网 IP
  - 申请公网IP
  - 路由器设置端口转发：内网转公网
    - 相当于直接暴露，被黑风险，可能不符合规定（相当于挂载web）
- 保留 ZeroTier
  - 对应终端装好ZeroTier，填入Network ID后在管理页面勾选对应设备即可
问题处理
- 处理端口转发：只转发需要的端口
  - 设置好OpenVPN服务，并只转发OpenVPN端口
  - 注意设置端口（对外网）不要采用任何默认值（如5000、5001、1194等等）
- 处理动态 IP（和 SSL 认证）
  - 域名+路由器DDNS插件自动更新
  - 先通过自行申请（使用了 ZeroSSL）再开启 Let’s Encrypt 插件自动更新证书。
    - 如果域名已有其他解析记录，注意ZeroSSL可能存在的CAA和CNAME冲突问题
- 其他安全问题自查
  - 用户设置：禁用默认管理员帐户，新帐户密码强度等
  - 登录设置：群晖NAS自带二步验证开启，设置密码错误封禁IP等
  - 通知设置：群晖NAS邮件通知（SMTP）
  - 其他：加上登录IP限制、硬件安全密钥等

Comment

No Login

Nickname

Website

0/500

0 comments

Webmention

What is Webmention?

Hypothes.is