前言
放假在家无事,突发奇想家里之前买的openwrt工控机(四口千兆)能否改成一小台all in one 主机,话不多说马上行动,原先的配置是E3845+2G+16G,这个配置肯定是不够用的,我赶紧在淘宝上下单了8G内存条和128G硬盘,需要注意的是工控机使用的内存是DDR3L,建议购买1.35V低压,因为其兼容1.5V标压,而反之不兼容,硬盘是MSATA接口的,价格不算太贵。
这次折腾的目标是让家中网络环境增加openwrt单臂旁路由,可以进行富强、游戏加速、DNS加速等功能,DHCP服务仍由主路由完成,方便开学后将工控机撤下带走。由于是家中小环境,直接使用侵入式的设置方法,详情如下。
安装PVE虚拟化
在经过了两天的物流等待后,配件到齐了,我赶紧将原先的配件换下,尤其是硬盘,之前购买工控机时选择的是成品机,商家已经将openwrt系统刷入,万一折腾失败还可以将旧的硬盘装上去(一开始没有把握)。在PVE官网下载了最新7.1的ISO镜像,再在电脑上用软碟通UltraISO将镜像写入一块空U盘中,将U盘插入工控机开机进入BIOS选择U盘为优先启动项,进入PVE安装引导界面根据提示一步一步操作。(注意:在安装时会选择管理口,这是以后用来连接PVE管理界面用的务必谨慎选择)安装完成后在接入管理口的电脑浏览器中输入:https://ip:8006进入管理后台。(注意是htpps://!!!!!)
需要注意的是起初我在安装时管理口使用自定义地址,并在安装完成后直接用电脑连接管理口,但是一直未识别网络无法与虚拟机进行通讯,在经过多次尝试后发现将管理口接入带路由的环境后(如家中的网络环境)可以进入管理后台,目前暂未找出其中的原因。
在管理后台进入数据中心-pve-系统-网络,创建Linux Bridge,依次将网络设备创建vmbr0对应enp1s0,以此类推,有几个网口就创建几个,到这里pve虚拟化的安装告一段落。
安装OpenWrt
虽然我的工控机有四口千兆网口但是这次我只打算搭建一个单臂旁路由(用openwrt作为主路由的实践我已经在去年刚买工控机时玩过,不再重复)在恩山论坛找到一个心仪的openwrt固件,这是我使用的固件,里面包含了五个科学插件、docker、流控、ddns等等,可以根据自己的需求进行选择。创建op虚拟机,选择不使用任何安装介质,核心内存根据个人需求选择,我分配的是1H1G,将四个网口中的一个分配直通给op,注意避免将pve管理口分配出去,以免pve管理页面失联。将下载好的img固件上传到pve的local存储中,上传完成后复制img的路径,打开pve的shell输入下列命令:
1
qm importdisk 100(虚拟机ID) /地址 local-lvm
等待success跳出后返回op虚拟机的硬件页面,会发现一个新的未添加磁盘,先将已经挂载的磁盘分离删除,DVD驱动器也一并删除,然后将img镜像的磁盘添加,再到选项页面将引导顺序修改为刚刚添加的磁盘优先,至此准备工作结束,打开op虚拟机,用网线将op的网口与电脑连接,在op的控制台输入下列命令:
1
ifconfig
查看lan口的ip地址,将电脑设置在同一网段下,进入openwrt的管理后台,至此openwrt安装完成。
单臂旁路由的环境配置
进入op的网络-接口-LAN,将IPV4地址重新设置,需保证与主路由在同一网段下,这里假设主路由为192.168.1.1,旁路由为192.168.1.2,将op的网关设置为主路由192.168.1.1,DNS设置为114.114.114.114,8.8.8.8(根据自己喜好设置),禁用ipv6分配长度,关闭此接口DHCP服务,关闭高级设置中使用内置的IPV6管理,关闭物理设置中的桥接接口,保存并应用配置。
进入网络-防火墙,关闭SYN-flood 防御,关闭FullCone-NAT,勾选LAN口的IP动态伪装,自定义规则中加入下列规则:
1
iptables -t nat -I POSTROUTING -j MASQUERADE
保存并重启防火墙,至此OP的设置结束,接下来进入主路由的设置,关闭主路由IPV6,进入主路由的DHCP设置中,将网关设为192.168.1.2,首选DNS设为192.168.1.2,保存,至此主路由设置也结束了。
总结
主路由与旁路由网关互指,使局域网中的流量都经过旁路由处理,适合整个网络环境都有需求时。这种设置方法的坏处就是旁路由挂了之后整个局域网都无法正常上网,此时需要及时还原主路由的DHCP设置。因此更推荐不改变主路由的设置,将有需要的设备手动设置网关和DNS指向旁路由,其他没有需要的设备流量仍直接通过主路由,当旁路由挂掉或者要撤走时只需要还原几个设备的网关和DNS,不会影响到局域网其他用户正常上网,这样会更加安全保险。
