近期網路後門風波不斷
各家路由都有可能被駭
所以我用了第三方韌體 FreshTomato 的 Router 來當主路由
並且使用 XDR1850 x2 當作無線網路 Mesh 接入點
以下是我的網路架構，希望對大家有幫助
小烏龜
│
WAN
│
RT-AC68U (FreshTomato 2022.2) [192.168.1.2, PPPoE to ISP]
│
LAN
│
├─XDR1850 Master (原廠1.0.10) [192.168.1.11 static DHCP by FreshTomato]
│
└─XDR1850 Slave (原廠1.0.10) [192.168.1.12 static DHCP by FreshTomato]
重點不是以上的圖，重點是我用 FreshTomato 的 Mac Filter 把 XDR1850 的 Mac 封鎖
(Access Restriction)
畢竟我發現 XDR1850 在 WAN 沒有連接的時候，還能遠端管理，肯定很有問題需要封鎖！
除了要封鎖 XDR1850 的 Mac Address 之外，我還封鎖了它前後 ±3的 Mac Address
那我們來談談如何設定 XDR1850 吧，首先 WAN 使用自動取得IP 讓它可以上網
然後先用內建的在線升級韌體功能，升級到 1.0.10 (沒升級可能會有異常)
之後到 [上網設置] 把 [WAN口設置] 設為 [固定WAN網口]
這樣的話電源口旁邊的千兆網口就會是唯一的 WAN ，其兩個是 LAN 孔
設定好後建議到 [LAN口設置] 設定 Master 的 IP 為 192.168.1.11/255.255.255.0
之後就可以到 [DHCP服務器] 設定 DHCP服務器 為 [關] ，並把上層路由網線接入 LAN
如此一來，就已完成 Master 的設定，並且會透過主 Router 的 DHCP 發放 IP 給 Mesh
那我們來談談 Slave 如何設定吧，同時按下 Master 及 Slave 的 [易展按键] 實體按鈕
它就會自己配對並且設定完成。
之後只要到 FreshTomato 設定好 static DHCP 就能指定 Slave 的 IP 位址 (需重開)
那我們來談談 WPA 吧，建議不要用 WPA1 ，只使用 WPA2 及 WPA3
當然理論上 WPA3 會比 WPA2 更安全，只是目前韌體都沒有選項可以強迫用 WPA3
我的筆電使用 Mediatek MT7921 可以強迫使用 WPA3 且網速不錯且穩定，雖然風評很爛
最後一件事情非常重要，就是 XDR1850 Master 的 LED 燈必須亮紅燈，否則遠端可管理

講個有趣的故事給大家聽，我的XDR1850分別放一樓跟四樓如此一來一樓到四樓的實體網路異常，就會切進Mesh模式因為有一台老舊的千兆HUB竟然會降速及當機...我最後噴了WD40電子接電清潔劑在所有的LAN及電源Port就好了....而且另一部沒清潔的HUB也因此不再降速，是量子糾纏吧！

我也有想過要是設備自己用虛擬MAC Address到底封不封得了..

如果到了這一步，那我只好通通ARP Binding才能過我這關

ap就沒有wan啊這有什麼好封鎖的

有點看不懂什麼叫遠端可管理，遠端是指lan裡面的其他機器還是wan外面

所有wifi client分到的是192.168.1.0/24?

我也看不懂 沒有WAN要怎麼遠端管理? 有雲服務嗎

我也看不懂，從外面可以直接跳過主路由，遠端控制?

逆向穿透 類似VPN 很多靠手機能連上物連網的家電都是都是先連到官方提供伺服器，反向建立通道，變成可以由外網直接打洞控制區網的家電，就跟翻牆一樣