【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。

Hello我是不多BB的未命名,这次分享一套武装到牙齿的异地组网方案,包含自己家、办公室、长辈家等多个异地的路由配置。现阶段异地组网常见的3种方式:

①找运营商办理数字电路业务,也就是拉点对点专线。10M带宽打折也要几千一月

②利用VPN组网,前两年我也做过相关视频了

③新兴的SD-WAN组网。

VPN依靠互联网做组网,它是点对点的,客户端连接服务端,服务端挂了整个组网就挂了。SD-WAN也是依靠互联网做组网,但它是去中心化的,任意节点挂了都不会影响其余节点,因此参与组网的节点越多优势越明显!
对个人玩家而言,SD-WAN并不强制要求公网IP,目前最新政策三大运营商已经彻底关停办理了,想要公网IP只能上专线。所以友情提醒,已有公网IP的伙伴保护好自己的宽带未来会成为稀有资源!

常见网络结构分析

图片[1]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

做SD-WAN组网前,我们先分析下常见网络结构以及改造目标。家庭组网基本就是一台路由器下接多种类型设备,只要你全家设备内网IP都是一个网段,那说明你全家只有路由器工作在3层,那么无论你增加交换机还是AP接入点最终拓扑图都能简化成这样。 因为以前说过2层设备快速理解的话可以直接当成导线。

图片[2]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

在公司,普通用户只知道自己工位电脑从墙上的网线口接了网线,然后自己电脑就能访问公司内网系统,访问网络打印机,以及其它等等局域网设备和服务。至于墙上网口是怎么组网的,自己搞不清楚也没有权限了解和做配置修改。因此改造前就要考虑权限受限的实际情况。

组网效果

我们现在开始网络改造,把家里的路由换成蒲公英,公司墙上网线以前是接自己工位电脑的现在改成接到蒲公英路由器上,具体见拓扑图:

图片[3]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

配置方法后面细说,最终实现的核心效果看文字,因为在我知识范畴内没有任何已知缺陷,优点一个个吹的话时长根本没法控制。

简述一下拓扑图上的所有设备都属于同一个局域网,依靠内网ip就能实现数据互通。无论自己家还是长辈家都能使用公司内网系统,并且白嫖打印机。在公司也同理,随时凭借内网IP访问家里设备。上述都是固定办公地点,而非固定终端通过VPN可以继续扩张组网。

虽然目前看起来好像只是换个路由器就实现了,但其实需要配置的细节非常多,因为很容易改一个设置引发连环问题,所以抄作业还得手把手来。

配置:蒲公英X6

我自己家选择蒲公英旗舰X6,因为我设备较多8个LAN口很吸引我,以及双WAN口能实现拉2条宽带做负载均衡,还有一个USB可外接打印机或U盘做存储。首次配置将外网插在WAN1口,电脑插在任意LAN口。

图片[4]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

然后PC设置成自动获取IP,打开浏览器输入网关地址进入后台设置(默认10.168.1.1),等待3秒自动跳转到上网方式配置界面。

图片[5]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

因为X6有两个WAN口,我家只有1条宽带我插在WAN1口上所以现在设置WAN1口上网方式。我家里运营商的光猫已经让师傅给改成桥接模式了,所以光猫此时就是导线,拨号工作由路由器做。输入宽带账号、密码,点击立即上网即可。如果你家是光猫拨号,那路由器就不需要拨号了,这种情况一般选择动态IP即可,路由器出厂就是这种模式。

图片[6]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

设置一下WIFI和路由器的后台管理密码,稍等片刻成功转跳到后台管理页。根据需要配置一下5G WIFI,最重要的是为以后用的舒服最好提前规划一下3台路由器的网段。

图片[7]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

比如我把办公室X3A调成了192.168.7网段,长辈家是192.168.8网段,我家因为192.168.99网段用惯了所以继续沿用。至此家里的蒲公英X6的设置暂且告一段落。

图片[8]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[9]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

因为组网必须多个蒲公英路由,长辈家选择蒲公英X4C,看重它支持SIM卡做备网,这样就算长辈家里网络故障依靠SIM卡的备网依然能正常上网并且组网不掉线,我就能顺利的远程调试。因为X4C的配置方法和X6完全一样就不展开讲解了。

图片[10]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

办公室网络分析

X3A我选择放在公司,毕竟只要一百块,在办公室没必要那么奢侈高调。虽然它最便宜,但本期组网最麻烦点却非它莫属。

图片[11]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

先分析一下自己工位的网络结构,从墙上引一根网线接工位电脑上,工位电脑设置的固定IP。建议改造前先把工位电脑的IP、掩码、网关、DNS拍照留存,之后把墙上网口插到路由WAN口上,电脑接路由的任意LAN口。

图片[12]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

路由器的配置方法和前面演示的X6A相同,最大区别是上网模式换成静态IP,并且把工位电脑的IP配置照搬过来,这样X3A的上网功能就设置好了。这里要注意,因为我工位电脑原先是固定IP所以我才给X3A设置成静态IP,如果你工位是自动获取,那路由就设置成动态IP。同样为方便管理,我将X3A的内网设置成192.168.7网段。

SD-WAN组网

此时3台路由器全部运行正常,接下来着手组网工作。分别访问每一个路由器管理页面,点击右上角“云管理服务”登录蒲公英云管理平台。

图片[13]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

这里要解释一下,与传统路由器不同的是蒲公英路由器重点在于云维护,所以路由进阶设置都得在云平台上进行,比如防火墙、端口转发、QOS限速等等功能。如果你只有一台蒲公英第一感受是比较繁琐,但如果你有好多台设备都绑定在同一个蒲公英账号上就能统一对所有设备进行远程配置调整。

在云平台上将3台蒲公英都绑定上账号,点击我要组网 – 创建网络,我希望所有节点数据互通,因此选对等网络从未组网添加将自己的3台蒲公英路由全部添加到网络内,意思是将选择的3台路由器通过互联网组件出一个虚拟局域网,也就是SD-WAN组网。

图片[14]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[15]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[16]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[17]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

组网成功后这台用向日葵远程的办公室电脑已经能成功用内网IP访问家里NAS了,也因为内网相互已经打通,所以直接用windows自带远程桌面就能异地访问。很快你会发现,公司内网网站依然只能公司访问,在家还是打不开其实现在的组网设置仅实现了用3个网段的互通,换句话说只实现了3台蒲公英下层设备的数据互通,而公司服务器都在蒲公英的上层,数据还是不通。

图片[18]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

旁路设置

发现问题解决问题,登录云管理平台,点击组网设置-旁路设置

图片[19]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

现在需求是组网内任意成员都能访问公司服务,所以目标地址写上需要访问的公司服务地址.0 代表整个网段。那这条规则由谁来处理呢,因为公司网络资源只有X3A有访问权限自然任务得交给X3A,所以旁路选择X3A。生效对象意思是你想让组网内那个路由器拥有访问这个网段的资源,我目标是整个组网内所有成员数据互通,所以直接全选整个网络。刷新网页,已经成功在家远程访问公司业务系统了。如果公司网段很多,那么同理将其余网段统统加入旁路即可。

图片[20]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

说到组网顺带提一下很多人关注的数据安全问题,蒲公英路由的组网是优先打洞实现P2P直连的,连接类型点对点就说明打洞成功,我组网的这3台路由目前均是直连状态。打洞不成功平台才帮你做内网穿透,毕竟帮用户做流量转发是有成本的一个X3A才一百块,一年内网穿透的价能顶好几个X3A。

组网测速

简单测试下直连速度,我家上传带宽30M理论最大速度3.75M/S。用公司电脑从家里NAS拷贝文件,稳定后大约3M/S;家里蒲公英X6我外挂了一个U盘,碰巧素材速度比较问题,实际浮动相交NAS还是较大,大约在2M/S左右。

图片[21]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[22]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

巧用DMZ主机

至此核心需求解决,同时有个被忽略掉的小问题。办公室电脑接在蒲公英路由下,等于给整个公司增加了一个网段,虽然工位电脑访问公司业务不受影响,但公司其它电脑是没法访问到你工位电脑的。

图片[12]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

因为对整个公司组网而言,平白无故多出一个网段是需要在公司网关设备上维护路由的,否则公司局域网设备找不到来192.168.7网段的路,偏偏普通用户又没权限修改公司网络配置怎么办呢。这里选择一个取巧的方式解决,在公司X3A上将自己工位电脑设置为DMZ主机即可。唯一需要注意,路由器WAN口是公网IP的情况下使用DMZ会有安全风险。

图片[24]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
演示略(见视频)

简单演示下开启前后的区别,现在web端控制的Windows是公司局域网电脑,开启DMZ主机前远程桌面连接失败,开启DMZ主机后弹出密码验证框说明连接成功,这里注意必须关闭Windows防火墙才能这样玩。

图片[25]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[26]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

简述一下原理,我给X3A路由器上网方式设置的固定IP,IP是192.168.106.118。所以向这个IP发送流量请求就等于向X3A本体发送流量请求,而X3A只是个路由器没有远程桌面的功能。当把工位电脑设置成DMZ主机后,X3A路由会把收到的全部端口请求转发给DMZ主机处理,如此一来表面上看192.168.106.118是X3A的IP,但逻辑上也能当成自己工位电脑IP。

共享打印机

终于三地终端完美配置,顺理成章的延伸一下,既然都三地同属一个局域网了白嫖公司打印机显然合情合理。在现有模式下有3种方式实现:

①使用带USB接口的蒲公英路由直连打印机,但我觉得没必要

②家里直接连公司其它电脑共享的打印机

③公司若有网络打印机,家里设备通过局域网直连,我采用的就是这种方式。

演示略(见视频)

额外提醒,虽然已经形成大内网但搜索不到设备是非常正常的现象,因为搜索是向局域网里发送广播,而广播止于路由。人话就是广播不能跨网段,所以任何跨网段的设备都搜不到,必须手动输入IP连接。

图片[27]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[28]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

至此基于蒲公英的SD-WAN组网就算大功告成了,有上谷歌有需求的朋友请看接下来的进阶教学。因为要配合软路由实现组网,而我的ALL IN ONE服务器为录制上期内容搞报废了,所以临时选择在家里群晖上虚拟一台OpenWRT,虽然只是J3455的CPU在油管跑小十万也根本不是问题,所以我这几年真的很匪夷所思,圈子里天天研究软路由配置是什么心态,真就只会花钱不会玩。

群晖OpenWRT安装流程

软路由的安装我快速过一遍流程不细讲了。首先下载好开源的软路由项目,因为我在虚拟机中安装,所以干脆下载.vmdk的虚拟机硬盘文件这样直接拿来就能用。

图片[29]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

打开虚拟机套件 – 上传下载好的硬盘映像

图片[30]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

新增虚拟机选择导入给虚拟机起个名字 – 资源分配4核4G

图片[31]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

在下拉菜单中选择刚刚上传的硬盘映像

图片[32]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

打开自启动 – 分配虚拟机管理权限 – 勾上创建后开机

等待虚拟机创建并开机 ,敲回车输入命令

vi /etc/config/network
图片[33]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

将光标移动到lan口配置处,按键盘 i ,进入编辑模式
这里我将软路由IP配置成192.168.99.3

图片[34]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

编辑完按ESC 退出编辑模式,输入:wq保存配置文档

图片[35]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

接着reboot重启软路由应用配置。

图片[36]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

等待软路由重新启动浏览器访问192.168.99.3来到软路由后台管理页面。我用的这个开源项目默认用户名是root 密码 password。

强制DHCP

登录成功各位自行添加上谷歌节点,我就不演示了,只说几个重要设置:

①在网络-接口中把网关设置成主路由IP,然后高级设置中打开DHCP,务必勾选上强制。

图片[37]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[38]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

因为默认蒲公英路由也是开启了DHCP的,只有开启强制DHCP才能提升软路由的DHCP优先级。这样局域网中软路由启动时,终端设备的IP、网关、DNS就由软路由负责分配。一旦软路由宕机蒲公英又会自动接管DHCP工作确保终端设备永不断网。

演示略(见视频)

简单演示下效果,安装软路由前DHCP由家里蒲公英X6做,网关是192.168.99.1。现在模拟终端设备第一次联网的效果,禁用PC网卡再启用,此时网关已经变成了软路由IP,说明软路由的强制DHCP已经生效。此时全家终端设备只要连上网全都自带访问谷歌权限,包括蒲公英X6分享出去的WIFI信号。

再模拟一下软路由宕机,我们直接把软路由虚拟机关机,会发现终端没网了,原因是不能主动切换网关。虽然插拔网线、重连WIFI就能解决,但完美主义倒也有能优化的空间。

全自动切换网关

进入OpenWRT DHCP设置,将租期设置为最小值2分钟。再到DHCP设置中,把核心终端设置成固定IP,这样可以避免核心终端每次获取到的IP都不固定,同时因为局域网内有2个DHCP服务器,所以在蒲公英路由器上也要设置DHCP的静态分配。

图片[39]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[40]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[41]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

这样终端首次联网,由于软路由开启了强制DHCP所以会优先从软路由获取IP、网关、DNS,一旦软路由宕机因为DHCP的租期只有2分钟,所以终端IP很快就要到期,到期发现联系不上之前的DHCP服务器就会重新在局域网发送广播寻找新的DHCP服务器,就这样巧妙利用DHCP特性解决了全自动更新网关的需求。

演示略(见视频)

对方案做个简单测试,现在PC网关是软路由,并且能ping通百度。

图片[42]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[43]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

关闭软路由虚拟机,访问百度超时说明已经断网。观察录屏时间,大约40秒后网络恢复,说明本次后台全自动网关切换用时40秒。之所以不是2分钟,因为客户端并不是等DHCP彻底到期后才续租,而是快到期就提前联系。

同时肉眼可见方案有2个瑕疵:

①是软路由上线后,除非重新连接网络否则DHCP服务器不会再更换回去,因为DHCP的原理是终端首次发送广播寻找DHCP服务器,找到DHCP服务器后续就是点对点的续租请求了,因此只要现有DHCP服务器在线就不会更换新的DHCP服务器。

②软路由宕机自动切换DHCP服务器会有约40秒断网真空期。若不能接受40秒真空期,可以给核心终端手动加上双网关,这样当默认软路由的网关不可达后就能快速切换到主路由网关上。这方案终端数量多了会比较麻烦,而且软路由上线后同样无法把网关切回来,再有就是会影响上谷歌的体验,因为软路由网关跃点优先级不高,上外网第一次连接会特别慢。原理是第一次访问谷歌、油管以及等等外网,只要是第一次访问,windows流量都会优先请求给主路由,当主路由不可达才会切换到优先级不高的软路由网关上。因此结合体验我觉得这样没必要,毕竟宕机也是偶发40秒真空期实战真不见得能遇上,至此家庭组网的配置全剧终。

VMware 安装软路由

办公室网络进阶增加软路由2个考量:

①为了上谷歌,以及发射能上谷歌的WIFI信号确保在办公室自己移动设备也能上谷歌

②过节点流量有一层加密,可以避开公司的流量审计软件保护自己上网隐私,当然具体加不加密做不做伪装得看你的节点服务器有没有做这样的措施。

下面进入实战,办公室自己就一台电脑所以软路由只能借助PC版虚拟机,虚拟机软件的安装我就不演示了。基于VMware WorkStation的软路由安装我依然快速过一遍。提前下载好OpenWRT开源的.vmdk硬盘文件

图片[44]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

在VMware WorkStation中新建虚拟机,一路下一步,给虚拟机起个名字,切记名字和路径都不能有中文,否则会影响后续玩法。

图片[45]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

还是分配4核4G,网络一定要选择桥接,使用现有虚拟磁盘,然后打开下载好的.vmdk文件,安装完成后开机。

图片[46]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

办公室软路由配置

OpenWRT方法都一样,见前文或视频。

敲回车输入命令
用vi命令编辑配置文档
将光标移动到lan口配置处,按键盘 i ,进入编辑模式
这里我将软路由IP配置成192.168.7.3
编辑完按ESC 退出编辑模式,输入:wq保存配置文档
接着reboot重启软路由应用配置。

重点配置和家里软路由相同:

①自行设置上谷歌节点。

②网络-接口中设置网关地址

③DHCP租期2分钟,开启强制DHCP,并且给工位电脑设置好静态DHCP

④登录办公室蒲公英路由器,同样开启静态DHCP。

至此所有设置和家里完全相同,但会出现一个家里网络环境没有的故障。公司其它同事电脑虽然可以访问自己工位电脑的共享文件夹,但是远程桌面会断流连接上根本无法操控。这问题用前文讲的手动添加双网关即可解决。

图片[47]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[48]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[49]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog
图片[50]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

VMware 虚拟机自启动

作为一个完美主义,最后的最后我们再解决一个不完美的缺点。Windows版VMware WorkStation 图形界面无法设置虚拟机自启动,这导致工位电脑重启后软路由无法自动运行。

打开VMware根目录,其中的vmrun.exe就是用来控制虚拟机自启的,复制当前路径。

图片[51]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

在计算机属性中,找到环境变量,编辑Path,新增系统环境变量,路径粘贴过来。

图片[52]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

运行输入命令,打开Windows启动文件夹

shell:startup
图片[53]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

新建一个txt文本文档,照我这样写上自启脚本

vmrun start "D:\VM\OpenWRT\OpenWRT.vmx" nogui
图片[54]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

再次强调虚拟机.vmx路径不能出现任何中文

命令中的nogiu代表后台静默启动,不弹出VMware界面

最后将自启脚本改为.bat文件

图片[55]-【终极组网】手把手配置,蒲公英SD-WAN + 软路由,能想到的一切需求都解决了。-itdog

至此本期内容全部结束,我自己对这方案打分还是很高的。我满意主要因为它不光光实现了肉眼可见的内容,还有近乎完美的拓展兼容性,更加进阶的玩家还能通过融入VPN(PPTP、L2TP)等手段继续扩张组网,时间关系就先点到这里。

相关附件




© 版权声明
THE END
原创不易,且珍惜。
点赞1赞赏 分享
评论 共16条
头像
欢迎留下宝贵见解!
提交
头像

昵称

取消
昵称表情代码图片
    • 头像sss0
    • 头像sss0
    • 头像goldentide0