延期了 3 年的事，这一周全部干完了，把家庭网络重新梳理了一遍

首先说在前面，生命在于折腾哈。其实本身没啥意义，因为现阶段都是千兆大带宽，早就不是当年小水管了。这不折腾没啥意义。

装修完后，就一直没弄，网络拓扑非常简单，光猫拨号->华为 Q6-〉 nas 等一堆设备。

因为是华为 Q6 子母设备，怎么说呢。其实完全够用了。每个房间我都放了子路由。全屋零死角上网。说实话，家庭用，300M 内网能稳定其实体感上没什么区别。这一套用了 3 年，也没管他，我也不用天天重启路由，也还不错，挺稳定的。

什么契机重新折腾呢？之前是所有的设备我需要啥，就在光猫开一个端口映射，再再在华为 Q6 上开一个端口映射。NAT 类型惨不忍睹不说他，也没啥影响。但是这一顿操作很烦躁，因为没 vpn ，是我家里电脑弄了个 ToDesktop 。也不是不能用。包括明日方舟挂机啊，minecraft 私服维护啊，巴拉巴拉的。ToDesktop 卡得我云里雾里，有时候还干脆连不回去，只能干看着。我忍了 2 个星期，忍不了了。自建 rustdesktop 。会好很多，但是也不太行，只能说比 ToDesktop 好一点点。

这是用的别扭的原因。第二个原因。我的 tr 开在外网天天被人猜密码，猜着猜着就自己关了。搞的我很烦躁。也就是说其实我公开的服务和端口，都一天到晚被人猜密码和扫描。于是开始折腾 vpn ，本来搞的 openvpn ，也不是不能用，但是不稳定，还是因为 nat 的缘故。vpn 回去可以，但我还有需求是从家里访问公司我自己的电脑做一些操作。再折腾，搞零信任网络，对比了一翻，netbird 符合我的需要。搞了两天，爽，确实非常爽，在公司网络体验跟在家没区别，ssh 是毫无卡顿的，甚至我一天 ssh 到家里，第二天来上班，这个 ssh 都还没断过。远程 code 着绝对是最佳体验。我公司 mac studio 用屏幕共享回家的 mac mini 。可以开启高性能模式，和在家没区别，稍微有点点卡顿，但能接受。比 xxDesktop 的解决方案绝对是秒杀。

但我有技术洁癖，其实也就 ping 不稳，偶尔卡顿，我看了一下，我所有的节点都是走的中转，也就是我自建的 nas 上的 stun 服务做的中转。研究了一下，还是因为 NAT 的原因，太烂了，光猫和路由器啥功能都没。

一咬牙，搞都搞了，就一步到位家里网络大折腾。

我的需求就很简单了

* pt 等自建服务
* 自动梯子
* 广告拦截
* nat 要干净，把家里的设备危险和不危险的隔离开（一堆 IoT 设备，都是连华为 Q6 上的，我就这一个 wifi 设备）。
* 自建 dns ，公司回家用家里的 dns ，因为我测试过，在公司的 dns 要 20-25ms ，还是没拦截的。我 vpn 回家只要 10-15ms 。。

开始翻吃灰的垃圾：

* mikrotik 的 RB4011 。
* R6S

开始组网：

mikrotik 作为主路由，R6S 是二级路由，华为 Q6 也是二级路由。pc ，游戏机，macmi ，nas 直接挂在主路由下。
也就是：
Work_Vlan: pc+macmini+apple tv
NAs_Vlan: 只接 NAS 。
Laod_Vlan: OpenWrt 的 R6s ，其实装 ubuntu 更合适一点，因为我没有再在底下挂设备的需求。但我懒的折腾了，又不是不能用。
Q6_Vlan: 华为 Q6 那个母路由，ps5 dmz 出来。

没有做太多复杂的东西，主要是以下几点

* Q6_Vlan 只能访问其他 Vlan 的指定端口，因为这是一个娱乐设备接入点，我就简单点，我核心需求是不要访问其他设备的 22 等危险端口就好了。其他 Vlan 无所谓，直接互通就好。有需求再加。
* 和网络有关的什么广告拦截，dns ，梯子，都在 OpenWrt 上。R6S 。这点需求跟闹着玩一样。只要固件没 bug ，随便浪。
* 梯子我没有用各种教程的旁路由的模式，我也是反对旁路由模式的，访问所有东西都要经过旁路由再主路由出去，非常的奇怪。研究了一下，routeros 直接策略路由非国内 ip 到 openwrt 上。openwrt 规则出去。用了 1-2 天，基本没误会的，因为所谓梯子，作为研发，核心需求就 google ，youtube 和 github 。其他其实不怎么用。这样家庭设备国内正常使用就完全没这个 openwrt 什么事。看了一天，openwrt 一天也就处理 100-300M 流量。

还缺一个。。用 grafana 监控所有设备。。啊哈哈哈哈哈。懒得弄了，这就是真的是闲的蛋疼。

RouterOS 的 nat 是把我折腾够呛，真的不是弄一遍 NAT ，我都不知道各种 tcp/udp 的细节。为了 netbird 可以支持设备 p2p ，我折腾了 2 天整的。最后搞明白 stun 协议是根据请求包的 dst 地址决定的。发卡回流 nat ，dst 地址已经变成了内网地址。

现在效果：

* 外网手机，ipad ，pc ，wg 连回家，延迟 10ms 。游戏，办公，改一些东西配置，延迟都没什么特别大的感觉。已经是彻底給我解决了远程回家卡成狗了。以前是群晖的反向穿透 quickconnect ，打开慢得 1 批。我要操作什么都要以群晖为跳板去其他设备。现在：目标 ip ，connect
* 关闭所有外网端口，只留了 netbird 的管理口，这确实没办法，有漏洞我也只能认了。
* 家里所有设备广告消失了，看了一下，dns 级的过滤比例大概在 10-20%。dns 延迟在 5ms 左右，增加 dns 这一套之前也是得 20ms 。。
* 现在网页，网站，都是秒开了，app 里也转圈少了。
* 主路由 cpu 维持在 10%以下，pt 跑 7-80MB 的时候 cpu 大概 30%。已经完全符合我需求了，当然，以后 2.5G 外网那是另一个故事。我终于掌握了家里网络的所有权，之前光猫和华为 Q6 我除了能改个 NAT 什么都别想做。


哦。最后一句，改桥接，有个小故事。好像北京联通 FTTR 不让改桥接，我打电话到 10010 ，我刚说完，客服就说，不好意思先生，FT ，稍等，先生，我給您转給工程师。

哈哈哈，我猜他就是像说 FTTR 不能改桥接，结果我不是。后面就很顺利了，远程就給我把光猫改桥接了。