|
昨天折腾小米AX6000花了几乎一整天,现在基本完美了。
最初的动机是想给小孩专门弄个无线网络并限制使用youtube等视频网站(我在国外),但是原厂ROM极为简陋,OpenWrt也刷不了。另外还有其他一些问题:
- 在原厂ROM的AP模式下,2.5G口不知为何只能协商到1Gbps速率
- 芯片应该支持完整的5G频段,但是100左右的频段不能选(避开36和149附近的频段可以减少干扰)
- 这个机器是托国内朋友买来带到美国的,所以WiFi的country code是CN而不是US,有些合规性问题
- 原厂ROM也不支持访客网络和网络隔离等功能
我的网络拓扑差不多是这样的:
软路由(OpnSense)
├── 网口0 - 连接外网(Cable Modem)
├── 网口1 - 有线网,连接2.5G交换机和NAS等
├── 网口2 - 无线网,连接AX6000的2.5G口,并设置设置VLAN
│ ├── VLAN 11 - 主力无线网
│ ├── VLAN 12 - 受限无线网(用OpnSense的ZenArmor插件过滤)
│ └── VLAN 13 - 访客网络(暂未配置)
AX6000
├── WAN - 背板上的WAN口,对应系统内的eth1,也就是2.5G口,连接软路由的网口2
├── LAN - 背板上的LAN1-3口,对应系统内的eth0,只用来连接telnet/ssh(按需直连笔记本)
AX6000内部的拓扑结构参考:https://www.acwifi.net/12699.html
我的理解是eth0对应一个1G的交换机,连接1-3的LAN口、以及CPU的一个虚拟网口。eth1类似一张2.5G网卡,通过pcie总线连接CPU。我折腾的主要是eth1。
开始折腾:
1、降级ROM,破解telnet/ssh。这个网上已经有不少文章了,我看的是这个:https://www.rokeyyan.com/2022/10 ... get-ssh-permission/
2、升级到最新的ROM版本,并在原厂的管理界面上设置好AP模式、无线网名称和密码等,记住新的IP,然后关闭网页(以后就用不到了)
3、用telnet连上(ssh在升级ROM之后就失效了,可以再次打开,但不是必须),然后开始改配置文件:
/etc/config/network(其中蓝色是修改的部分,黄色是新增的部分,mac地址都改成了11:22:33:44:55:66,具体要改成设备原先的mac)
主要的改动是,br-lan原先连接eth0、eth1和所有的无线网卡,现在改成只连接eth0用于网络管理,不走无线流量。在eth1上新增vlan11和vlan12两个vlan/bridge,用于桥接无线网卡。其他用不到的config段已经被删除了。
因为我只需要在eth1上配置所有的vlan,而且eth1直连cpu,所以用这个driver-level vlan模式最方便。参考:https://openwrt.org/docs/guide-u ... _driver-level_vlans
config device
option name 'eth1'
option macaddr '11:22:33:44:55:66'
config interface 'loopback'
option ifname 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'
config switch 'switch0'
option name 'switch0'
config switch 'switch1'
option name 'switch1'
option enable_vlan '0'
config interface 'lan'
option force_link '1'
option type 'bridge'
option proto 'static'
option multicast_querier '0'
option igmp_snooping '0'
option macaddr '11:22:33:44:55:66'
option ipaddr '10.0.0.100'
option netmask '255.255.255.128'
option gateway '10.0.0.1'
option mtu '1500'
list dns '10.0.0.1'
option ifname 'eth0'
config interface 'eth1'
option ifname 'eth1'
option keepup '1'
config interface 'eth0'
option ifname 'eth0'
option keepup '1'
config device
option type '8021q'
option ifname 'eth1'
option vid '11'
option name 'eth11'
config device
option type '8021q'
option ifname 'eth1'
option vid '12'
option name 'eth12'
config interface 'vlan11'
option type 'bridge'
option ifname 'eth11'
option proto 'static'
option ipaddr '172.16.11.1'
option netmask '255.255.255.0'
config interface 'vlan12'
option type 'bridge'
option ifname 'eth12'
option proto 'static'
option ipaddr '172.16.12.1'
option netmask '255.255.255.0'
/etc/config/wireless(无线密码改成了xxxxx,实际按需配置)
这里的主要改动是,原先的wl0/wl1修改连接到vlan12,新增wl10连接到vlan11,修改country code和5G频段。2.4G网卡(wifi0)用最低功耗模式min,5G网卡(wifi1)用最高功耗模式max。其他用不到的config段也已经被删除了。
另外如果不在意合规性问题的话,country code也可以用SG。一般来讲SG的限制最少(DFS、频段、发射功率等方面)
config wifi-device 'wifi0'
option type 'qcawificfg80211'
option hwmode '11axg'
option htmode 'HT40'
option country 'US'
option disabled '0'
option txbf '3'
option ax '1'
option channel '1'
option autoch '0'
option bw '0'
option txpwr 'min'
config wifi-iface
option device 'wifi0'
option ifname 'wl1'
option network 'vlan12'
option mode 'ap'
option he_ul_ofdma '0'
option amsdu '2'
option ssid 'XXXXX-VLAN12'
option encryption 'psk2'
option key 'xxxxx'
option wscconfigstatus '2'
option disabled '0'
option macfilter 'disabled'
option bsd '0'
option rrm '0'
option wnm '0'
option hidden '0'
config wifi-device 'wifi1'
option type 'qcawificfg80211'
option hwmode '11axa'
option htmode 'HT80'
option country 'US'
option disabled '0'
option txbf '3'
option ax '1'
option bw '0'
option txpwr 'max'
option channel '100'
option autoch '0'
config wifi-iface
option device 'wifi1'
option ifname 'wl0'
option network 'vlan12'
option mode 'ap'
option he_ul_ofdma '0'
option miwifi_mesh '0'
option disabled '0'
option ssid 'XXXXX-VLAN12'
option key 'xxxxx'
option wscconfigstatus '2'
option macfilter 'disabled'
option bsd '0'
option rrm '0'
option wnm '0'
option encryption 'psk2+ccmp'
option sae '1'
option sae_password 'xxxxx'
option ieee80211w '1'
option hidden '0'
config wifi-iface
option device 'wifi1'
option ifname 'wl10'
option network 'vlan11'
option mode 'ap'
option he_ul_ofdma '0'
option miwifi_mesh '0'
option disabled '0'
option ssid 'XXXXX-VLAN11'
option key 'xxxxx'
option wscconfigstatus '2'
option macfilter 'disabled'
option bsd '0'
option rrm '0'
option wnm '0'
option encryption 'psk2+ccmp'
option sae '1'
option sae_password 'xxxxx'
option ieee80211w '1'
option hidden '0'
然后执行/etc/init.d/network reload,设置就全部生效了,而且重启设备也不会丢失。注意上面用的100频段是DFS频段,在实际生效前网卡会自动扫描冲突以防止干扰雷达,所以命令执行完成后还需要等待一段时间才能才能在手机上看到SSID。
现在软路由上可以看到网口2的速度从1G变成了2.5G,手机上可以看到一个2.4G网和两个5G网,OpnSense上可以针对vlan11和12设置不同的管理策略。访客网络也可以按照类似步骤设置新的vlan以达成网络隔离的效果。
第一次折腾小米的路由器和OpenWrt,参考了无数资料,所以花了不少时间。熟悉OpenWrt的话应该很快就能搞好。上面的配置可能还有不完美的地方,高手路过请多指教。
|
|