小米R2D做二级路由，修改防火墙实现一级路由访问R2D lan口设备

hwbest

背景:




网络拓扑如图所示, 目标是192.168.1.3的电脑能够访问二级路由(R2D,原厂固件)以及子路由下的所有设备
当然直接开启中继模式肯定是可以的, 只是想折腾思考一下, 查了一些资料, 特此总结做笔记

个人理解大概有以下几种方式解决:
1. 二级路由中继模式, 这样子路由以及所属设备的IP段都跟上级路由设备在同一个网段, 可以直接局域网访问, 最省事的方法
2. 二级路由DHCP开启不同网段, 通过端口映射, R2D可能太老了, 尝试网上的方式配置"端口转发"比如80端口都不可以
3. 配置静态路由, 也是本文所做的笔记方法, 最折腾的方法

Step-1: 配置R2D静态IP上网方式, IP为192.168.1.2, 网关为上级路由IP



Step-2: 配置静态路由
由于我的光猫比较新, 超级密码都是动态下发的, 所以尝试在PC上设置静态路由, 规则如下:
route add 二级路由IP网段 mask 255.255.255.0 二级路由wan-IP
通过查询, 我的R2D:
1) DHCP分配的是192.168.0.100-192.168.249, 因此第一个参数为192.168.0.0, 最后一位0(结合255.255.255.0)表示匹配所有地址
2) 二级路由wan-IP是192.168.1.2
// 临时添加, 重启PC失效
route add 192.168.0.0 mask 255.255.255.0 192.168.1.2
// 永久添加, 重启PC生效
route -p add 192.168.0.0 mask 255.255.255.0 192.168.1.2
// 查询是否配置成功:
route print 192.168.0.0


// 删除
route delete 192.168.0.0 mask 255.255.255.0 192.168.1.2

Step-3: 配置R2D防火墙允许并重启
ssh 连接, 并修改"vi /etc/config/firewall", 主要是把下面几个都改成ACCEPT:
-开头表示删除这行
+开头表示添加这样
比如下面就表示先删除整行, 再添加下面这行, 也就是修改ACCPET
-       option forward 'ACCEPT'
+       option forward 'REJECT'

@@ -2,25 +2,25 @@
config defaults
        option syn_flood '0'
        option input 'ACCEPT'
        option output 'ACCEPT'
-       option forward 'ACCEPT'
+       option forward 'REJECT'
        option drop_invalid '1'
        option disable_ipv6 '0'

config zone
        option name 'lan'
        option network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
-       option forward 'ACCEPT'
+       option forward 'REJECT'

config zone
        option name 'wan'
        option network 'wan'
-       option input 'ACCEPT'
+       option input 'REJECT'
        option output 'ACCEPT'
-       option forward 'ACCEPT'
+       option forward 'REJECT'
        option masq '1'
        option mtu_fix '1'

配置完成后重启防火墙:
/etc/init.d/firewall restart
检查是否生效:
cat /var/run/fw3.state

结果:
PC(192.168.1.3)打开192.168.0.1或者192.168.1.2都可以访问, 且可以跟192.168.0.X ping通


备注:
1. 如果只配置Step-1, Step-3, 192.168.1.2可以访问路由器, 192.168.0.1无法访问, 且不能ping通192.168.0.X

2. 在子路由下的设备(192.168.0.101)可以直接打开上级路由管理地址(192.168.1.1), 因此我没有在二级路由配置静态路由, 如果二级路由以及所属设备(192.168.0.X)无法访问主路由网段设备192.168.1.X, 可以参考下面的帖子在二级路由添加静态路由:
https://www.right.com.cn/forum/thread-6773664-1-1.html
我理解命令如下, 但是我这边没有问题, 所以不保证成功:
vi /etc/rc.local
route add -net 192.168.1.0/24 gw 192.168.1.1

3. 重启防火墙的时候, 我发现mixbox和shellclash也在初始化, 通过查询:
1) mixbox
a) /etc/config/firewall
config include 'firewalluser'
        option path '/etc/firewall.user'
        option reload '1'
b) /etc/firewall.user
/etc/mixbox/scripts/init.sh

2) shellclash
config include 'ShellClash'
        option type 'script'
        option path '/data/clash/misnap_init.sh'
        option enabled '1'

我理解就是跟随防火墙自动加载自己的脚本, 经常有朋友需要路由器开机加载一些配置, 这里是不是也是一个不错的入口

参考文档:
https://www.right.com.cn/forum/thread-6773664-1-1.html
https://my.oschina.net/liuleidefeng/blog/5058266
https://www.right.com.cn/forum/thread-8266463-1-1.html
https://www.zhihu.com/question/510501979
https://www.zhihu.com/question/620767757
https://www.luyouqi.net/xiaomi/844.html
https://blog.csdn.net/madianding/article/details/123845321