近期网络后门风波不断
各家路由都有可能被骇
所以我用了第三方韧体 FreshTomato 的 Router 来当主路由
并且使用 XDR1850 x2 当作无线网络 Mesh 接入点
以下是我的网络架构，希望对大家有帮助
小乌龟
│
WAN
│
RT-AC68U (FreshTomato 2022.2) [192.168.1.2, PPPoE to ISP]
│
LAN
│
├─XDR1850 Master (原厂1.0.10) [192.168.1.11 static DHCP by FreshTomato]
│
└─XDR1850 Slave (原厂1.0.10) [192.168.1.12 static DHCP by FreshTomato]
重点不是以上的图，重点是我用 FreshTomato 的 Mac Filter 把 XDR1850 的 Mac 封锁
(Access Restriction)
毕竟我发现 XDR1850 在 WAN 没有连接的时候，还能远端管理，肯定很有问题需要封锁！
除了要封锁 XDR1850 的 Mac Address 之外，我还封锁了它前后 ±3的 Mac Address
那我们来谈谈如何设定 XDR1850 吧，首先 WAN 使用自动取得IP 让它可以上网
然后先用内建的在线升级韧体功能，升级到 1.0.10 (没升级可能会有异常)
之后到 [上网设置] 把 [WAN口设置] 设为 [固定WAN网口]
这样的话电源口旁边的千兆网口就会是唯一的 WAN ，其两个是 LAN 孔
设定好后建议到 [LAN口设置] 设定 Master 的 IP 为 192.168.1.11/255.255.255.0
之后就可以到 [DHCP服务器] 设定 DHCP服务器 为 [关] ，并把上层路由网线接入 LAN
如此一来，就已完成 Master 的设定，并且会透过主 Router 的 DHCP 发放 IP 给 Mesh
那我们来谈谈 Slave 如何设定吧，同时按下 Master 及 Slave 的 [易展按键] 实体按钮
它就会自己配对并且设定完成。
之后只要到 FreshTomato 设定好 static DHCP 就能指定 Slave 的 IP 位址 (需重开)
那我们来谈谈 WPA 吧，建议不要用 WPA1 ，只使用 WPA2 及 WPA3
当然理论上 WPA3 会比 WPA2 更安全，只是目前韧体都没有选项可以强迫用 WPA3
我的笔电使用 Mediatek MT7921 可以强迫使用 WPA3 且网速不错且稳定，虽然风评很烂
最后一件事情非常重要，就是 XDR1850 Master 的 LED 灯必须亮红灯，否则远端可管理

讲个有趣的故事给大家听，我的XDR1850分别放一楼跟四楼如此一来一楼到四楼的实体网络异常，就会切进Mesh模式因为有一台老旧的千兆HUB竟然会降速及当机...我最后喷了WD40电子接电清洁剂在所有的LAN及电源Port就好了....而且另一部没清洁的HUB也因此不再降速，是量子纠缠吧！

我也有想过要是设备自己用虚拟MAC Address到底封不封得了..

如果到了这一步，那我只好通通ARP Binding才能过我这关

ap就没有wan啊这有什么好封锁的

有点看不懂什么叫远端可管理，远端是指lan里面的其他机器还是wan外面

所有wifi client分到的是192.168.1.0/24?

我也看不懂 没有WAN要怎么远端管理? 有云服务吗

我也看不懂，从外面可以直接跳过主路由，远端控制?

逆向穿透 类似VPN 很多靠手机能连上物连网的家电都是都是先连到官方提供服务器，反向建立通道，变成可以由外网直接打洞控制区网的家电，就跟翻墙一样