ALL In Boom全家桶
背景:传统路由在性能&功能限制较大,无法满足例如MERP、BT、DDNS等需要常驻服务,且Modem端口速率受限不能跑满千兆 |
目的:优化路由结构并提高家庭网络安全性,拆分路由结构提高容错率,通过各类插件和虚拟系统实现路由功能多样性 |
警告:ALL In Boom,如其名,纯小白慎入,适合对网络技术具有一定了解人群 |
- 装好内存(内存最好8G及以上),硬盘(最低32G)
- 硬盘可以买金储星的,便宜,128G大约才60不到,64G的也要50,买128就行(只做路由系统的话,最低32,因为Esxi要占用很大部分)
小知识:俗称软路由的目的,是为了与传统路由器进行区分。它可以安装路由系统作为一个路由器来使用,而不是本身作为路由器而存在,实质上是一台miniPC,如7840HS的主机性能足够当成主力的办公PC来使用。 传统路由器胜在集成化、稳定性、简单易用,但拓展性不足。虽有华硕的梅林固件可用,也有个别型号的官方OP固件,只是传统的ARM架构CPU性能不足以负担额外的任务功能,且价格都有些过于亲民 软路由通常使用x86架构CPU,大多性能远超ARM架构,在AES加密方面有固定优势。因为本身多数属于工控类设备(成品品牌小主机除外),价格相对低廉,拓展性也很不错,功耗对比ARM也没有明显增加 |
- 用于连接小主机,需要有线,笔记本不行(不能显示小主机画面,前期设置需要使用)
- 16G以上,最好3.0
- 对应每个需要有线连接的设备(至少3条,需要连接光猫、PC、无线AP,超五及以上)
- 待补,这是用于突破光猫千兆速率的....
- 待补,这是用于突破光猫千兆速率的....
- 下载
Bash |
- 安装
- 如图、设备选择空U盘,直接安装,完事后拔出就行
这是一个U盘启动工具,可以让你在启动设备时选择下面放置的各类系统工具和包,如PE、ESXI、Windows系统安装包等 |
- 下载
Bash |
- 安装
- 打开后选择右下角,生成ISO文件,等待完成就行
- 完成后把文件丢进U盘。(记得先完成1.2.1步骤)
- 下载
- 地址
Bash |
- 选项
- 第一个别选错,其余随意
- 安装
- 安装除了安装位置外,全默认即可(安装路径不能有中文)
1.2.4、Xshell7/Xshell8(个人非商用免费了)
- 下载
Bash |
- 安装
- 一样的下一步,不能有中文路径
- 下载
- 官网下载链接
Bash |
- 安装
- 一路下一步就行,记得改安装路径,不要有中文路径
- 下载地址
- VM被博通收购,要下载只能去博通,官宣个人非商用免费,但是真的不好申请, 找入口都不好找,还是用收购前下载的Esxi8-Update吧
Bash |
- 依旧官网
- 下免费版64位ISO,放到桌面备用
Bash |
- 官方镜像站
Bash |
64位,EFI也不是不行,没必要麻烦
- 这就没必要官网了
- 官网的版本很简陋,对于新手来说并不是很友好,还是整通用较多的吧
Bash |
- 不贴图,太简单,且各个品牌主板进入方式不同,稍微百度下就行。插上U盘,在BOOT中第一启动项设置成U盘(UEFI开头,注意看是U盘品牌的名称),然后F10保存并退出
- 机器重启后会让你选择WePE或者WmwareEsxi,选WePE,一路默认
- 进入PE后打开DiskGenius,找到你的金储星硬盘(为例,根据实际买的硬盘选)
- 右键硬盘选择格式化,表类GPT,一个分区,不需要ESP和MSR分区,4096扇区
- 一定要重新分区,或者是BUG或什么原因导致,不自行分区,直接安装可能导致进入Esxi以后,存储不显示硬盘
- 没出错就重启设备
- 接上一步,重启设备后进入,在WePE或者WmwareEsxi选项界面,选择Esxi8.0
2.3.2、修改Esxi的默认占用盘大小(集中精神,关键操作,)
- 这里修改大小是因为如果不手动调整直接安装,ESXI会直接吃完硬盘,如果你只装一块硬盘,就没有空间可以用来安装其他虚拟系统,如果你的小主机只有一个硬盘接口,那就没得玩了
- 进入以下界面后快速按shift+o
- 前面出现的代码不管也不要删,空格一个,输入下面的代码,检查代码,然后回车
Bash |
- 改完等它自动跑码,可能会报错,基本都可以忽略。
- 直接回车
- F11同意
- 选择安装到小主机中的硬盘,不要选成U盘了
- 如果装了多个硬盘,选你要当系统盘的那个
- US,过
- 设置你的密码,重复两次,回车确认
- 注意大小写,忘记了只能重装
- 直接F11通过
- 这里就结束了
- 输入回车重启然后拔U盘、拔U盘、拔U盘、拔U盘
前期提示:因为Esxi在10代及以上CPU上运行本身会存在一些不确定的bug,所以在启动时会有一些红字报错,忽略就行 |
- 进来以后是这样
- 按F2进入登陆,输入你之前设置的密码
- 2.4.3.1、配置位置
- 2.4.3.2、改管理网口
- Esxi中的网口顺序跟机器物理上的顺序可能是不一致的(原因是因为不同设备厂商在设计主板时调整的PCIE线路不同),要一个个网口接上网线去试,试完要给机器网口打个标记(贴个便签或者是印记笔),不然影响后面的配置。
- 上下左右移动光标选择你需要设置的管理网口,一般设置为物理上第一个或者最后一个,图个方便
- 管理口的作用,就是在没路由的情况下,能访问到Esxi。因为除了管理口,其余网口要给配置的虚拟机直通,不然你还想都用虚拟网卡?
|
- 2.4.3.3、改管理IP
- 如下图:上下键移动,到第三个,空格确认,然后往下,设置IP、子网掩码、网关
- IP:10.0.0.9
- 掩码:255.255.255.0
- 网关:10.0.0.2
- 不要管为什么是这个,懂的不会问、不懂就更不要问
- 2.4.3.4、最后
- 还有个IPV6config,根据自身需求,我习惯关掉,如需要使用IPTV直播源需开启IPV6。关掉选项类似IPv4,选第一个,空格,回车,然后它会重启
- 3.1.1.1、改本机ip,用于连接
- 另:连接小主机的网线要插在之前配置的管理口上
- 3.1.1.2、如图修改
- 3.1.1.3、打开浏览器
- 输入10.0.0.9,进入管理页
- 账号:root,密码就是之前安装时设置的密码
- 3.1.2.1、网卡直通
- 如图,主机>管理>硬件
- 虚拟化网卡会有一定的性能损失,所以这里需要直通,尽可能提高性能
- 切换直通的时候有概率失败,原因不明,重试就行
- 3.1.2.2、硬盘直通
- 我的主机是只有一个SATA控制器,没得直通。除非你想在小主机上装NAS且作为主力使用,才可能需要做硬盘直通,硬盘直通可以降低因为虚拟化产生的性能损耗
- 直通方式与网卡一致,找到名称是你硬盘生产厂商的那个带有SATA Controller的设备开启直通即可,如果开启不了或者是灰色,基本是你主板只有一个SATA控制器,那就没得玩
- 如图,改为高性能
- 端口组&交换机配置
- 如图示操作,额外的配置,避免一些奇奇怪怪的问题。需要修改的内容包含俩端口组和虚拟交换机
|
|
- 3.2.1.1.1、前三步
- 3.2.1.1.2、系统选择
- 只需要保留这几项,其余删除
- 内存记得锁定
- Ikuai的64位内存要求最低4G,但是没必要,2G它都用不完
- 3.2.1.1.3、添加直通网卡
- 如图,增加PCI设备,然后再拉到下面,选择需要直通的网卡。需要新增俩口,选择临近的口即可。
- 直通的俩网口一个做WAN口用于连接光猫拨号联网,一个做LAN口用于连接下面的其他设备
|
|
- 3.2.1.1.4、添加硬盘
- 如图添加
- 修改硬盘参数
- 如图,厚置备置零性能会更好些,但是相当于独占,部署会稍慢一点,体量较小的可以这么搞,体量大的就算了,创建起来慢的不行
- 3.2.1.1.5、关联系统镜像
- 上传ISO
- 如图,将CD驱动器选择为ISO文件后,勾选打开电源时连接,上传镜像文件后选中
|
|
- 3.2.1.1.6、配置启动引导
- 选择EFI,并关闭安全引导
- 3.2.1.1.7、最后
- 完成以上步骤后记得检查一遍,避免出错,没有问题就保存,进入下一步操作
- 在ESXI虚拟机列表中选择IkuaiOS启动电源
- 第一次启动会执行安装操作,全程下一步,完事后重启Ikuai
- 如图,选错了q+回车退出
- 改完后一定记得哪个是wan和lan
|
|
Bash |
- 如图,把LAN口地址设置为10.0.0.1,不要改WAN口,默认IP不在我们想要配置的同一网段,不改没法访问Ikuai
- 改完后重启Ikuai
|
|
- LAN口:先把网线接到设置好的IkuaiOS的LAN口上,忘记设置的哪一个可以一个个试。如何判断有没有接对?接上线路以后浏览器打开10.0.0.1,能进管理页就对了。这里是因为虚拟化的原因,网口没配置完,所以非LAN口连接的就无法通过IP访问,需要把线接到已经配置的LAN口上才能访问。稍后配置完后可以再转接到ESXI的管理口上
- WAN口:把从光猫接出来的线接在之前配置的Ikuai的WAN口上,如果不记得了也没关系,等下配置好Ikuai以后再试就行
- 主页
Ikuai默认账户:admin,默认密码:adminadmin |
- 进来后会显示未连接,且多了一个网口未配置,图示是已经配置好的,先忽略
- WAN配置(拨号)
- 网络设置>内外网设置>外网端口>wan1>点击打开
- 设置拨号,添加拨号账户。当然,接入方式直接选择PPPOE也行
- 检查拨号状态
- 拨号已经配置完了,检查下主页上的外网连接是否正常。只要操作正确,基本不会有问题,如果显示未连接,记得确认宽带账号密码,以及光猫中出来的线有没有接到Ikuai的WAN口上
- LAN配置
- 网络设置>内外网设置>内网端口>Lan1>点击打开
- 网口绑定
- 如图,将配置的LAN口与多出来的空网口进行绑定,绑定后可以直接通过ESXI的管理网口访问到Ikuai,不绑定也会有无法联网的问题
- DHCP配置(给下面的设备分配IP地址)
- 位置
- 配置
- 配置IP池、网关、DNS
备选DNS可以设置为腾讯或阿里的DNS服务器,我的是用习惯了懒得改
补充:我的配置是需要OpenWRT来提供DNS解析和其余如KMS、去广告、分流、Magic服务的,所以网关和DNS都指向后面会配置的OpenWRT的地址10.0.0.2,这里只是提前配置后,免得后面又过来改 另外:如果你并不想用OpenWRT或类似系统来提供额外服务,那这份文档基本对你无用,单弄个小主机装Ikuai,基本毫无意义 |
- DNS配置
- 同上
- 备用DNS可以改,需要使用IPV6的可以取消禁用
- 最后
- 基础的配置已经结束,进阶的如动态域名解析,端口映射等,可以看章节四
- 添加外网配置
|
|
- 添加内网配置
- 自动转发端口
- 3.2.2.1.1、基础内容
- 跟Ikuai类似,区别较小,没写的,就是一样的,只需要保留下面这些,其余的删除
- 3.2.2.1.2、硬件选择
- 注意:内存1G且开启锁定,新增一个PCI设备,选择之前直通的三个网卡中,没有使用的那一个
- 3.2.2.1.3、改引导选项
- 因为OpwenWRT不是ISO镜像,不能用EFI,需要改成BIOS,不然没法启动,
这里必须在完成创建之前选好,保存虚拟机后再改可能会出问题,反正我的改了启动不了。 你可以简单理解,ISO镜像的需要用EFI,除此的都基本用BIOS |
- 3.2.2.1.4、检查步骤
- 检查之前的操作步骤,确认无误就保存虚拟机
- 3.2.2.1.5、上传镜像
- 打开StarWind V2V Converter
- 解压OpenWRT固件
- eSir的GDQ固件解压会报含额外数据的小报错,忽略即可,解压后保留IMG文件到桌面
- 上传镜像
- 从本地文件选择
- 如图,选择桌面保存的IMG文件
|
|
- 上传到服务器
- 从左至右,选择传输类型、Esxi地址&账密、虚拟机
|
|
|
- 等待上传
- 其实在这步上传前还有一个选项,默认,Next
- 上传成功后会自动打开V2V的官网,点击Finish
- 说明
- 因为OpenWRT默认IP是192.168.5.1,跟配置的网络不在同一网段,所以需要修改,不然进不了管理页
- 编辑配置文件(切换成系统自带英语输入法,避免手残)
- 进入配置
Bash |
- 修改内容
- 如图示,需要修改ipaddr(即ip地址)
- 修改命令
- 输入上述vi命令进入编辑器后还未开启编辑,最下一行会显示
- 编辑命令为i,输入后最先下一行显示INSERT就可以开始编辑
- 小键盘上下左右,移动到需要修改的内容后面,使用删除键删除后输入10.0.0.2
- 修改完成后按ESC,最下一行会置空不显示内容
Bash |
- 最后
- 修改完成后输入reboot,回车重启OP
- 原因说明
这步骤的原因是因为这种方式安装虽然方便,速度快(主要是),但是会有硬盘容量不足的问题,使用一段时间后容易出现无法保存配置、无法更新插件的问题,所以需要手动修改硬盘容量 |
- 修改容量
- ESXI修改
- 不着急启动虚拟机,先修改容量
- 修改到5G就很足够了,容量用不出去可以给10G
- 改完后点击保存,并启动虚拟机
- OpenWRT修改
- 使用Xshell7/8
这里说明下:在ESXI管理页打开虚拟机的控制台可以输入代码,但是不能直接粘贴代码内容进去,长代码输入会比较麻烦,所以需要使用Xshell来辅助 |
- 打开Xshell并创建会话
- 连接OP
- 账号密码
|
|
- 进入磁盘管理
Bash |
- 新增容量
- 如图,看好后面的Size容量,不要选错了
- 写入分区
- 对比上下两张图,可以看出操作成功与否的区别
- 方向键左右移动到Write,并回车写入新分区
- 写入前会提示确认写入,输入yes并回车
- 写入完成后移动到Quit,回车退出
- 格式化分区
- 输入下列代码,等待自动跑码完成
Bash |
- 生成配置
- 浏览器输入10.0.0.2进入OpenWRT管理页
- 初始无密码
- 进入后点击生成配置
- 修改挂载点
修改代码记得在桌面新建个文本文件保存
Bash |
- 重启验证
- 重启后进入op管理页>系统>软件包,扩容完了如下图,如果没有,那就重来一遍,检查操作步骤
- 可用空间大小基于你给的总体容量,我这是已经用了一段时间且包含有其他安装的内容
- 稍后配置好网络后再来这里刷新列表,更新下内容
- 删除多余配置
- 如图只保留以下4个
- WAN配置
- 不需要提供DHCP,已经有Ikuai提供了
|
|
- LAN配置
- 设置IP&网关&DNS
- IP为10.0.0.2,网关指向10.0.0.1,DNS可以留空,也可以先设置个,免得配置的DNS服务出问题了直接断网上网
- IPV6一样的,不用可以关了,需要的可以看后面的配置
|
|
- 防火墙配置
- 更改入栈和转发为允许
- 增加自定义规则
Bash |
- 检查操作
- 联网配置已经结束了,看看有没有数据在跑了,也试试能不能上网,如果没有,检查上述步骤
- 广告屏蔽大师Plus+
- 也可以用AdGuard Home,但这是基础配置,大差不差就行,已经能免除很多广告了
- 手动更新下规则,在高级设置中可以开启每天6点更新重启
- AdGuard Home的配置因为相对的复杂,后面后放在第四章的进阶篇
- 自带有部分激活码,可以在配置文件中替换成自己的,大多数人是用不上的
- 自动转发端口,对于游戏很重要,以及内网挂服务的
因为OP是旁路配置,所以需要
- 网络>接口
要开启全锥NAT,对于游戏有一定提升
- 创建lan口,如图配置
- 基本设置
|
|
- 配置Lan口(注意,是Lan口,不是之前创建的Lan6)
- 允许ipv6解析
- 最后
配置完成后回到接口,查看Lan6是否已获取了IPV6地址,如果未获取,记得检查一遍操作
- 一定不要用OpenWRT自带的系统升级功能(这里指OP系统,不是内部的插件),会有BUG,可能导致升级后某些功能出问题
3.2.3.1、待补...得空再来,在这个体系里应该是要写在前面的,但是因为这不是刚需,所以放后面
3.2.4.1、待补....另一张8G内存条给正版群晖了,小主机8G内存撑不起...等新的内存到货再补
3.2.5.1、待补....另一张8G内存条给正版群晖了,小主机8G内存撑不起...等新的内存到货再补
操作步骤OpenWRT>Ikuai>Esxi OP中配置好才有服务支持,Ikuai配置好才能通过域名+端口访问 |
- 因为是国内使用,推荐使用腾讯云&阿里云,阿里云>腾讯云,因为便宜,但是要实名
- 当然GoDaddy、namesilo也行,优势是不需要实名,劣势是网站反应慢,且价格要贵一截
- 购买过程简单,搜索域名,注册账户,付款,然后实名,操作不难
Bash |
- 4.1.1.2.1、获取DNSPod Token秘钥
- 地址
Bash |
- 创建
- 记得一定创建的是DNSPod Token,名称随意
- Token只在创建时显示一次,记得一定要保存下来,虽然可以删除重新来,但是免得麻烦
|
|
- 4.1.1.2.2、设置解析记录
- 地址
Bash |
- 配置
- 选择要解析的域名
- 添加记录
Bash |
- 4.1.1.2.3、下载SSL证书
- 回到域名页面
Bash |
- 配置
Bash |
申请这个免费的
|
|
填写注册信息
保存记录信息,然后写入到解析记录里面,如果不记得怎么操作了,参照4.1.1.2.1步骤
狗贼的腾讯阿里把证书期限改90天了,一年的证书还要付费,不愧是....
|
|
返回证书申请页面,选择域名点击下载
选择Apache类型,相对通用
如果需要给NAS配置,比如群晖,可以直接用群晖的DDNS,或者直接下载其它类型,需要使用pem的文件
|
|
查看下载
下载下来的内容是压缩包,解压,重要的是crt和key文件,记得,不是最下面那个root的crt
最后,需要使用的东西已经准备齐了,进入下一步操作
- 因为要上传文件,这里使用WinSCP演示,操作方式跟Xshell类似,你要用Xftp也行
Bash |
- 位置
- 服务>uHTTPd
- 配置
- 指定端口&证书秘钥路径
- 只需要定义好内网端口。尽量不用常见端口(只配置HTTPS就行),修改好路径即可,保存应用
- 上传证书
- OP默认证书文件名是uhttpd,用上一步的WinSCP将之前下载的证书和秘钥复制一份并改名,然后丢到etc目录下覆盖原始文件
- 位置
- 网络>腾讯云DDNS
- 配置Token
- 如图设置,如果之前保存的Token没了,那就删除后重新创建
- 确认无误后就保存应用,保存后不会立即生效,要过大约一两分钟才会刷新出如图的记录
- 检查历史步骤,没有问题就重启OpenWRT
Markdown |
- 如图填写内容
- 文本的信息来源,需要找到之前腾讯云下载的crt和key,右键选择打开方式,方式选择记事本,复制里面的文本信息,粘贴到选框中,推荐使用sublime text4,NotePad++也行,都免费
Ctrl+A全选,不要漏了,不要漏了,不要漏了
- 位置
- 配置
- 如图配置
这里的原理,其实就是对应内外网关系。不想看可以直接按图设置 在内网我可以通过10.0.0.1直接访问到ikuai,这里其实用的是ikuai的HTTP的80端口,正确内容是10.0.0.1:80。但是在外网环境下HTTP不加密,风险太高,也容易被入侵,所以需要使用HTTPS的默认的443端口。 之前也说了,外网访问不要使用常见端口,所以需要自定义。另外,国内非备案线路是被运营商封禁了443端口的,外网也访问不了,只有内网可以。外网用443优势是直接输入域名就可以访问,不用再加端口号,个人用途来说聊胜于无,但你要知道备案是多么麻烦个事情 再说下配置的关系 内网我通过10.0.0.1:1001,可以直接访问Ikuai,但是内网地址和外网地址不能直接在互联网上通信,所以需要Ikuai这个主路由帮我把这个内网地址转换成我申请到的公网IP地址,且向外接收&发送我的访问和被访问请求。 举个例子: 我是青龙帮的王老三家的孙子,我想找黑虎门的刘小五一家的孙女谈恋爱再借个500块,但是我王老三的孙子并不知道黑虎门在哪儿,刘小五一家的孙女就更不知道在哪儿了。 且武林盟又不准各个帮派下面的人私自和别的门派的人直接对话,帮派内部之间才可以随意对话。 要跨帮派沟通,就要求帮派指定固定的人员当对外的话事人,所有对话必须经过话事人,且每个话事人负责的业务也都不一样,就有了多个话事人,且某些人是有特殊的,不能用来当话事人 这里面 武林盟可以简单是DNS服务器,可以理解成记了域名和IP地址之间关系的小本本,比如baidu.com对应202.108.22.5,它还有一些其他的规矩,不过不是现在要讲的 帮派就是公网IP或者说外网地址,假设青龙帮64.33.35.126、黑虎门202.108.22.5 话事人就是公网IP开放给外部访问的端口,假设青龙帮1001、黑虎会1901 王老三和刘小五一家是内网地址,例如192.168.1.1,10.0.0.1,172.16.1.1等 王老三的孙子和刘小五的孙女这个个体就是内网端口,假设孙子1011、孙女1911 这个配置就是说,青龙帮的、王老三家的、孙子、要找黑虎门的、刘小五家的、孙女谈个恋爱,或者是借点钱。 按照上面的这套关系运行就变成了 内网的10.0.0.1:1011,在路由器转换成公网的64.33.33.126,通过1001这个话事人端口,经过ISP(运营商,就是电信之类)给武林盟写了个信问黑虎门的地址是多少,武林盟回信说是202.108.22.5 然后青龙帮的话事人就把信转发给了黑虎门,黑虎门负责对外事务的话事人收到信后一看是刘小五一家的,就把信转发给了刘小五一家,刘小五一看是孙女的信,就给了孙女(10.0.0.1:1011>64.33.33.126:1001>ISP>202.108.22.5:1901>192.168.1.1:1911) 孙女一看是谈恋爱,正想回消息又看到要借钱,就回复了句滚,信就按原来路径回去(192.168.1.1:1911>202.108.22.5:1901>ISP>64.33.33.126:1001>10.0.0.1:1011) 端口映射就是关联内网IP:端口和外网IP:端口的关系,简单来说就是,我知道我是谁我在哪儿我是干嘛的,但是别人不知道。 映射出去的端口就是为了别人来找我处对象的时候可以找到我,而不会出现路由器&话事人说:我也不造哇,我这人没人处对象,你搞错了。 这个映射不会主动对外宣传说自家有个谁是干嘛的,只会在别人来问的时候给反应 再延伸一下,内外网端口一一对应,一个内网端口对应一个服务,服务可以包含多个功能,但是只能通过指定的外网端口来访问服务,但是不能直接访问功能(其实也可以,但是这就又包含了IP+端口后面的Url的知识,太昂长),端口映射就是指定特定的外网端口可以访问我内网的某个服务。 那为什么我又要开启UPNP来实现端口自动转发呢? 因为某些游戏,例如星际战甲需要使用4960/4965等端口来实现游戏联机服务,总不能还要去手动操作,太麻烦。 |
配置完后保存
- 检查操作内容,无误就在系统设置中重启Ikuai
- 不用了记得关闭
- 参照4.1.2.1的步骤
- 目录是/etc/vmware/ssl
- 名称是rui.key,rui.crt
- 先右键把原文件下载到桌面备份(也可以不用)
- 把之前从腾讯云下载下来的crt、key文件修改成同名的rui.key和rui.crt,记得不要改错名字
- 把修改好的文件从桌面直接拖到上图的文件列表窗口内,回提示确认覆盖,点击确认
- 因为需要映射的不止一个,参考4.1.3.3步骤操作
- ESXI内网通信用的443和902端口,这点要记住
- 无误就先关闭正在运行的虚拟机,比如ikuai+op,在它们的系统设置中点击关机,不要在ESXI中直接关闭电源,然后关机Esxi,确认断电后再重启。更换证书的步骤不重启不生效
Bash |
2、为什么要分成俩路由系统,为什么不用OP或者IStoreOS直接包圆?
Bash |
Bash |
Bash |