Постановка задачи.

Последнее время на некоторых территориях тема обработки транзитного трафика на домашнем роутере стала популярна как никогда раньше. Интервал между новыми вызовами сократился с нескольких лет до нескольких дней. Задачи становятся всё интересней и сложней.

Перешитый на OpenWRT роутер пока справляется и наверное справлялся бы еще какое-то время. Но софт становится тяжелее, времени на его отладку и установку всё меньше. При всех преимуществах OpenWRT, начинают всплывать недостатки - специфическая архитектура и ограниченные ресурсы. Кроме того роутер лично для меня место интимное и не всякий софт хочется на него ставить не глядя. Ситуация в моем случае усугубляется еще и тем, что настройка происходит удалённо через этот самый роутер, поэтому неудачные попытки чреваты большими сложностями.

Как и у многих, у меня рядом с роутером есть небольшой NAS на базе PC. Который с помощью второй сетевухи мог бы легко превратиться в роутер. Но как это сделать удаленно? И как сделать из сервера роутер, не трогая по-возможности сервер и роутер? Легко!

Подразумевается, что читатель имеет базовые навыки администрирования сетей и линукса. Инструкция выглядит как пошаговая, но по факту является концептом, писалась по памяти, добуквенно тестировать в данный момент негде.

Конфигурация

Используем OpenWRT + сервер на Debian + LXC. Опытные товарищи тут уже всё поняли и дальше могут не читать.

Кабели мы договорились не трогать. По этому трафик на сервер входить и выходить будет через 1 сетевуху включенную в LAN порт роутера. Мешать всё в кучу не будем и для разделения используем 802.1Q VLAN.

Трафик будет ходить следующим образом:
клиент - роутер - контейнер_на_сервере - роутер - интернет.

Добавляем VLAN для клиентов (описываю действия в веб-морде):
Network - Switch - Add VLAN
VLAN ID указываем первый свободный номер (например "3")
Порты СPU и LAN к которому подключен сервер ставим "tagged", остальные "off"
здесь и далее после каждого изменения жмём "save&apply"

Добавляем новую сеть WiFi
Network - Wireless - Add
AccessPoint - <SSID> - сеть пока не указываем
SSID, пароль и т.п. указываем по вкусу, это будет вайфай сеть для клиентов с обработанным трафиком.

Добавляем мост
Network - Interface - Devices - Add device
Bridge Device - brLAN3 - eth0.3
Bridge ports надо будет выбрать из списка. eth0 это интерфейс CPU, у вас может быть другой. 3 - VLANID вы указывали выше.

Добавляем интерфейс без IP
Network - interfaces - Add interface ("LAN3" - "Unmanaged" - "brLAN3")
LAN3 - имя сети, я для удобства добавляю номер VLAN

Возвращаемся и добавляем интерфейс к Wi-Fi
Network - Wireless - SSID_Name - Edit
Network: LAN3

Должна появится сеть но при попытке подключения не должен выдаваться IP.

Если к этой сети нужно подключить клиента кабелем например к порту №4, то идём
Network - Switch
в столбце соответствующем нужному порту
Для VLANID 1: untagged меняем на off
Для VLANID 3: off меняем на untagged

На этом с роутером всё.

Идём на сервер.

Ставим LXC по инструкции. (в простейшем случае sudo apt install lxc)

Выбор между привилегированными и непривилегированными контейнерами оставлю за кадром, всё прекрасно описано по ссылке.

создаем контейнер (я использую тот же дебиан)
lxc-create -n containerouter -t download -- --dist debian --release bookworm --arch amd64

Далее (я это делал в графической оболочке еще давно при установке системы, сей-час нет под рукой машины проверить комманды nmcli)
1. удаляем локальное кабельное подключение.
2. создаём мост br0 указав сетевую карту (что-то типа "enpXsY") в bridged connections.
3. Настройки IP указываем в параметрах br0

br0 будет у нас виртуальным коммутатором аналогичным физическому в роутере.

lxcbr0 вместе со штатной сетевой системой контейнеров мы оставим и использовать в данном примере не будем.

Открываем /var/lib/lxc/containerouter/config

192.168.1.103 это адрес контейнера в вашем роутере. Зарезервируйте его в настройках DHCP на всякий случай. 192.168.1.1 - адрес роутера.

192.168.3.1/24 это подсеть из которой будут получать адреса клиенты контейнерного роутера.

enpXsY это наш физический сетевой интерфейс хоторый мы добавили в бридж на хосте выше.

обращаем внимание на номер vlan.id, тот же номер мы настраивали в роутере.

IP адрес 192.168.1.103 в этом конфиге в данном случае приведен для декорации, т.к. я не советую использовать дефолтный DHCP клиент в контейнере из-за его кривизны. Вернёмся к этому ниже. Как сделать более красиво пишите в комментариях.

Если в роутере будут туннели на базе tun интерфейса, например openvpn, добавляем ниже строчку

lxc.mount.entry = /dev/net/tun dev/net/tun none bind,create=file

Запускаем контейнер.

lxc-start --name=containerouter

Если нет ошибок подключаемся

lxc-attach containerouter

тут у нас почти обычный дебиан.

Первым делом идём настроим настоящий IP в /etc/systemd/network/eth0.network

[Match]
Name=eth0

[Network]
Address=192.168.1.103/24
Gateway=192.168.1.1
DNS=192.168.1.1

выходим, перегружаем, заходим

ставим сразу обновления, я обычно сразу ставлю midnight commander (apt install mc)

ставим dnsmasq

apt install dnsmasq

/etc/dnsmasq.d/dhcp.conf

port=0

interface=eth1

dhcp-range=192.168.3.100,192.168.3.150,255.255.255.0,12h
dhcp-option=3,192.168.3.1 # Gateway
dhcp-option=6,8.8.8.8,8.8.4.4 # DNS servers правим если надо
dhcp-leasefile=/var/lib/misc/dnsmasq.leases
dhcp-authoritative

log-dhcp
log-queries
log-facility=/var/log/dnsmasq.log

Выходим, перезапускаем контейнер, переподключаемся. Между остановкой и запуском контейнера возможно понадобится подождать минуту пока сетевой сервис контейнеров удалит тегированный VLAN с сетевого интерфейса хоста, иначе контейнер не запустится.

В простейшем случае можно добавить что-то типа

iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j MASQUERADE

проверяем что

root@containerouter# cat /proc/sys/net/ipv4/ip_forward
1

И клиенты новой сети должны получать адреса и интернет

Настраиваем фаервол, ssh и т.п. по вкусу. Не забываем поставить пароль на рута. В системе два сетевых интерфейса eth0 это внешний смотрит на локальную сеть роутера. eth1 внутренний раздаёт адреса клиентам.

Пишите замечания, если не возникнет сложностей с интерфейсом буду дополнять и исправлять.

UPD 2024-08-27: исправлено несколько опечаток.