Digi IX20是一款工业无线路由器,支持4G,5G上网,设备带有Wifi和两个以太网口。虽说这是一款工业路由器,可用在商业设施里也能大长拳脚。
本次演示案例的网络场景如下:
在外企办公室内网已有VPN直达境外,但微信由于境内境外是两个系统,所以如果连着办公室的VPN反而上不了。办公室的网络本地电信运营商线路有多个公网IP,想要实现:
1. 两个以太网口,一个连接办公室内网,一个连接公网(公网IP)
2. Wifi提供给办公室内的员工接入,使用户在使用内网服务和微信服务不冲突
3. 员工在家时,可通过VPN接入办公室内网,连着VPN时,也能正常使用微信,在访问国内常用的一些网站或服务时,走国内线路,而大部分其它访问像Github,Google,Twitter,Facebook等则走办公室境外线路。
4. 4G,5G上网作为国内线路的冗余备份,在有线网络故障时保障上网功能。
实现步骤:
1. 在ETH1上正确配置设备的公网IP地址,运营商在设备安装时就会给出上网的配置方法,只需照搬,用还未被使用的公网IP即可。一般类似如下配置,请把相应的公网IP和网段改成运营商提供的对应公网IP:
2. 接下来配置内网的有线连接,参考如下,注意把接口本身的DHCP关了,虽然接口地址也可用DHCP获取,但给个固定的内网IP,以方便记忆,此时也要配置好内网DNS以保证intranet的站点可以正确访问:
3. 公网进行IX20远程配置
默认地,防火墙的的external zone将会阻止对设备非授权端口的访问,并且国内一般是封杀web口,如果希望能公网访问IX20配置界面,还需要把web服务端口从默认的80/443改为10080和10443。需要注意的是,你将需要在URL后加上端口后才能访问设备。如果我们用10443替换原来的443端口,则还需要在防火墙上做个custom rule,同时,在web administration>Access Control List里添加external zone来实现远程配置。
iptables -I INPUT -p tcp -dport 10443 -j ACCEPT
同样地,为了远程ssh,也需要把在ssh服务的Access Control List里加external zone.
4. 创建WifiLAN和对应的AP
由于默认的LAN是把wifi和Eth2桥接在一起,而我们希望wifi是独立的接口,可以根据路由规则选择走ETH1或ETH2,因此需要另外创建LAN。在Interface配置栏下,添加一个WifiLAN接口,默认IP为192.168.10.1/24并开户启DHCP服务器。
在上面创建的 LAN用到AP是 CHINA-AP,这需要先在WiFi中创建:
5. 禁掉LAN Bridge网桥
默认地,Wifi是和LAN口桥接,为了让wifi能作为独立接口正常工作,需要把LAN Bridge禁掉,否则Wifi也就是LAN的一部分,就无法自由选择从LAN还是从WAN口走路由了。删除或禁用网桥后,上面创建的Wifi接口就能正常工作。
6. 配置路由策略
主要是让微信,网易云笔记,百度网盘等常用的国内服务走国内,其它走办公室网络。 这里收集了一些常用的需要走国内线路的路由表,已经能满足大部分需求:
附:批量更改路由表
开启admin组的Interactive Shell Access,这主要是为了上传路由表方便,也可以不操作这一步,在web界面添加静态路由表。
用ssh登陆和修改/etc/config/accns.json ,可以在vi中操作,也可以下载下来修改再上传,下图显示一条记录的改法
"route": {
"static": [
{
"dst": "101.230.0.0/15",
"gateway": "101.231.59.65",
"interface": "/network/interface/eth1",
"label": "same-sub",
"metric": 10
},
{
"dst": "1.0.1.0/24",
"interface": "/network/interface/eth1"
}
]
},
首先利用脚本获取国内的IP地址网段,然后同样用脚本改成上面两种格式中的一种,先试试后一种,应该就能满足要求,只需在每行的前面和后面添加固定字段。
