家庭组网 2022

网络布局没有变化

还是AC-68U拨号，并且直接接交换机给房间的网线接口。两个易展路由器负责Wi-Fi。

关于光猫桥接、路由拨号和TP-LINK的易展功能，之前的一篇博文有介绍过，但因为目前博客在做调整，说不定那篇日后会删掉，一并重新在这里加进来：

光猫桥接和路由拨号

• 运营商：电信
• 光猫型号：HS8145C
• 需要：超级管理员帐户
  • 用户名telecomadmin
  • 密码nE7jA%5m
  • 根据型号不同，帐户密码存在差异，读者可自行搜索，或尝试获取base64加密后的密码，使用在线工具解密
    • 对于 HS8145C，通过光猫管理员帐户（一般贴好在底面）登录后，访问192.168.1.1下的backupsettings.conf
    • 搜索文件中password，使用工具解密
• 进入菜单“网络”选项，将“上网业务”3_INTERNET_B_VID_41连接方式改为“桥接”。
• （如果不知道拨号上网的帐号密码，在网关后台一并记录，帐号明文，密码一般为 SHA256 加密。也可以咨询电信营业厅获取。）

以上为光猫部分。路由器部分设置拨号即可，一般是PPPoE方式，输入帐号密码，其他一切默认即可。此处省略。

TP-LINK 易展有线回程

注意下面的步骤针对的是和我一样的布局，有上一级路由负责拨号和其他功能，只是希望通过TP-LINK的易展方案解决Wi-Fi信号问题。如果TP-LINK就是拨号的路由，接好WAN，其他易展路由接到主路由的LAN就行了。

为了确保有线回程以达到更好的效果：

1. （如果使用无线回程中，请恢复出厂设置）
2. 主路由先接好电源，关闭 DHCP，接LAN（现在一般都是自动识别了）
3. 再将其他易展路由器接好电源和LAN，（它们当前应该在同一个网段，例如都是192.168.2.*）按下其他易展路由器的易展按钮
4. 等待路由器后台或手机App上的网络拓扑图，在路由器位置右上角显示网线接口icon代表完成。
5. 建议在上一级路由将这些易展路由器的内网IP设置为静态/和mac地址绑定。

拿到公网IP了

注释

无法获取公网IP的读者，建议可以考虑改路由器拨号后，通过NAS的IPv6地址访问。下文内容需要公网IP。

在微信服务号直接跟客服说要开通之后，给填了工单，师傅打电话来确认，他那边后台操作，全程不到半小时，特别顺畅。

于是就先不折腾IPv6了，直接折腾IPv4外部访问。方案有很多，之前因为没有公网IP，用的ZeroTier，速度一般。现在可以通过公网IP直接访问，但为了安全考虑，只开一个端口转发给VPN（OpenVPN），防火墙、登录规则、二步验证等都保持开启。同时，因为是动态IP，隔三差五就会改，找了自己一个不用的域名挂在Cloudflare，通过Cloudflare DDNS插件绑好API key，监测到路由器重新拨号时，对照IP映射是否一致，不一致则更新。

群晖和华硕都自带DDNS和VPN Server服务（注意群晖的VPN Server可能要在官网下载后手动安装）。DDNS使用自带服务的话，方便的地方在于不需要再额外处理域名的问题，但因为使用https的话，自带服务是通过80端口访问Let’s Encrypt申请SSL，这个端口电信默认是封着的，一般也不会给开，SSL无法签发下来。其次，DSM 6的用户，群晖DDNS不一定能够自动修改对应的IP¹。

¹ DSM 7的界面给的是下拉框并写明是“自动”，但DSM 6不是。

VPN Server的话看个人需求，在群晖或者路由器上部署都可以。只开放VPN端口的话，做不做https问题不大，但是如果还开放其他（例如WebDAV）端口，https是必要的。至于使用哪种VPN连接方式（例如PPTP、OpenVPN、IPSec等）一样看需求/设备是否支持。我的AC-68U（386.7_2）自带PPTP和OpenVPN。

同时原先的ZeroTier仍保留，出问题的时候至少还可以通过ZeroTier回来修修补补。

我的方案小结：

• 外部访问NAS
  • 通过公网IP
    • 申请公网IP
    • 路由器设置端口转发：内网转公网
      • 相当于直接暴露，被黑风险，可能不符合规定（相当于挂载web）
  • 保留ZeroTier
    • 对应终端装好ZeroTier，填入Network ID后在管理页面勾选对应设备即可
• 问题处理
  • 处理端口转发：只转发需要的端口
    • 设置好OpenVPN服务，并只转发OpenVPN端口
    • 注意设置端口（对外网）不要采用任何默认值（如5000、5001、1194等等）
  • 处理动态IP（和SSL认证）
    • 域名+路由器DDNS插件自动更新
    • 先通过自行申请（使用了ZeroSSL）再开启Let’s Encrypt插件自动更新证书。
      • 如果域名已有其他解析记录，注意ZeroSSL可能存在的CAA和CNAME冲突问题
  • 其他安全问题自查
    • 用户设置：禁用默认管理员帐户，新帐户密码强度等
    • 登录设置：群晖NAS自带二步验证开启，设置密码错误封禁IP等
    • 通知设置：群晖NAS邮件通知（SMTP）
    • 其他：加上登录IP限制、硬件安全密钥等