OpenWrt网络配置是利用其强大的路由功能实现自定义网络管理的核心,本文将从基础网络架构、接口配置、DHCP服务、防火墙规则到高级功能(如多WAN、VPN)展开详细说明,帮助用户全面掌握OpenWrt的网络配置方法。
基础网络架构与接口配置
OpenWrt的网络架构基于Linux的Netfilter框架,通过接口(Interface)和防火墙区域(Zone)实现流量管理,默认情况下,OpenWrt会识别物理接口(如eth0、eth1)和虚拟接口(如br-lan、eth0.1),用户需通过“网络-接口”页面进行配置。
物理接口配置
物理接口对应路由器的网口,例如LAN口通常桥接至br-lan接口,WAN口独立为eth1,配置时需设置接口协议:
- 静态IP:适用于固定公网IP,需填写IP地址、子网掩码、网关和DNS服务器。
- DHCP客户端:适用于动态获取公网IP,多用于家庭宽带。
- PPPoE:适用于ADSL拨号,需输入用户名和密码。
虚拟接口配置
- VLAN划分:通过“网络-交换机”页面划分VLAN,例如将LAN口划分为VLAN 1(LAN)和VLAN 2(WAN),实现端口隔离。
- 桥接配置:多个物理接口可桥接为一个逻辑接口(如
br-lan),扩大LAN覆盖范围,桥接后接口IP由主接口分配。
无线网络配置
在“网络-无线”页面可配置AP模式、中继模式或客户端模式,需设置:
- 设备接口:选择无线网卡(如radio0)。
- 网络接口:桥接至LAN(
br-lan)或独立WAN。 - 安全设置:WPA2/WPA3加密,密码长度建议12位以上。
- 信道与带宽:2.4GHz推荐信道1/6/11,5GHz避开雷达干扰频段。
DHCP服务配置
DHCP服务为局域网设备自动分配IP地址,配置路径为“网络-接口-br-lan-DHCP服务器”:
- 地址分配范围:设置起始IP和结束IP(如192.168.1.100-192.168.1.200),避免与静态IP冲突。
- 租约时间:默认12小时,可延长至24小时以减少设备频繁请求。
- DNS设置:可使用ISP提供的DNS,或手动指定公共DNS(如8.8.8.8、114.114.114.114)。
- 忽略接口:若需禁用DHCP,勾选“忽略此接口”。
DHCP静态分配
为特定设备(如打印机、NAS)固定IP,在“DHCP服务器-静态 leases”中填写MAC地址、IP地址和主机名,确保设备IP不变。
防火墙与区域策略
OpenWrt防火墙通过区域(Zone)控制流量流向,默认分为lan(信任区域)、wan(外部区域)和wan6(IPv6外部区域)。
区域规则配置
- 入站规则:控制外部流量访问内网,例如
wan区域默认拒绝所有入站连接,仅允许已建立的连接( Established/Related)。 - 出站规则:控制内网设备访问外网,
lan区域默认允许所有出站流量。 - 转发规则:控制跨区域流量,如LAN到WAN的转发默认允许,WAN到LAN默认拒绝。
端口转发(DNAT)
在“网络-防火墙-端口转发”中配置,将WAN口的端口映射到内网设备:
- 名称:自定义(如Web服务器)。
- 外部IP地址:留空表示绑定WAN口IP。
- 外部端口:映射的端口(如80)。
- 内部IP地址:内网设备IP(如192.168.1.50)。
- 内部端口:目标端口(如80)。
端口触发(UPNP)
在“服务-UPnP”中启用,允许内网设备自动申请端口转发,适用于P2P下载或在线游戏。
多WAN与负载均衡
多WAN配置可提升网络冗余和带宽,需先添加多个WAN接口(如eth1、eth2),再通过“网络-负载均衡”设置:
- 接口成员:将多个WAN接口加入负载均衡组。
- 调度算法:
- Round Robin:轮询,适用于带宽均衡。
- Weighted:按权重分配,如WAN1带宽100M,WAN2带宽50M,权重设为2:1。
- 故障转移:勾选“当连接丢失时禁用接口”,实现WAN故障自动切换。
VPN服务配置
OpenVPN客户端
在“系统-软件包”中安装luci-app-openvpn,配置时需上传CA证书、客户端证书和密钥,设置服务器地址、端口和协议(UDP/TCP),并启用redirect-gateway让所有流量走VPN。
WireGuard客户端
安装luci-app-wireguard,生成公私钥对,在配置文件中填写服务器公钥、本地IP和端口,通过PostDown和PostUp脚本设置流量转发(如iptables -A FORWARD -i wg0 -j ACCEPT)。
高级网络优化
- QoS流量控制:在“网络-流量控制”中设置带宽限制,为特定IP或应用分配优先级。
- DNSMasq优化:在“网络-接口-DHCP/DNS”中关闭
dns-forwarder,使用dnsmasq缓存DNS,提升解析速度。 - IPv6支持:在WAN接口启用IPv6,配置DHCPv6或前缀 delegation,实现双栈网络。
相关问答FAQs
Q1:OpenWrt无法获取WAN口IP怎么办?
A:首先检查物理线路连接,确认WAN口协议(DHCP/PPPoE)配置正确,若为PPPoE,检查用户名和密码是否无误,登录系统执行ifconfig eth1查看接口状态,若无IP,尝试重启网络服务(/etc/init.d/network restart),或检查ISP是否绑定MAC地址(需克隆路由器MAC)。
Q2:如何限制内网设备访问特定网站?
A:可通过防火墙规则实现,进入“网络-防火墙-自定义规则”,添加以下命令:
iptables -I FORWARD -p tcp -d www.example.com --dport 80 -j DROP
或使用dnsmasq的address选项将目标域名解析至无效IP(如0.0.0),实现域名屏蔽,更灵活的方式是安装luci-app-blockhost,通过Web界面配置黑名单。
