1.設(shè)置PPPoE

在上一篇文章《?[Linux軟路由第二彈] - 4.設(shè)置基礎(chǔ)網(wǎng)絡(luò)和系統(tǒng)參數(shù) 》中，Linux 路由器已經(jīng)初步就緒，現(xiàn)在開始設(shè)置PPPoE撥號以及防火墻。

在上版構(gòu)建 Linux 路由器的文章中，使用了?pppoeconf?工具來創(chuàng)建撥號配置。

但該工具已多年未更新，導(dǎo)致其設(shè)置 PPPoE 撥號的配置文件為?/etc/network/interfaces?。

這與當(dāng)前使用?Systemd Network?進(jìn)行網(wǎng)絡(luò)配置的方式不太一致。

因此，本文以創(chuàng)建?systemd?服務(wù)的方式來進(jìn)行 PPPoE 撥號。

1.1.創(chuàng)建撥號配置文件

PPPoE 撥號的主配置文件一般位于?/etc/ppp/peers?目錄下。

配置文件名可自定義，演示值為?serverwan?。

使用?nano?編輯器創(chuàng)建?PPPoE撥號?配置文件，執(zhí)行以下命令：

在編輯器對話框中輸入以下內(nèi)容，并保存。

注意：配置文件中?mtu?參數(shù)默認(rèn)值為?1492?，這個參數(shù)與運(yùn)營商相關(guān)，請根據(jù)實(shí)際情況進(jìn)行調(diào)整。

PPPoE 撥號的密碼配置文件一般位于?/etc/ppp?目錄下。

使用?nano?編輯器編輯?PPPoE密碼?配置文件，執(zhí)行以下命令：

注意：如果撥號失敗，可能運(yùn)營商不支持?CHAP?加密認(rèn)證，則嘗試改用?PAP?認(rèn)證：

在編輯器對話框中輸入以下內(nèi)容，并保存：

使用以下命令對密碼配置文件的權(quán)限進(jìn)行修正：

注意：當(dāng)使用 PAP 認(rèn)證時，則改用以下命令：

1.2.創(chuàng)建撥號服務(wù)

根據(jù)之前的內(nèi)容，用于撥號的物理網(wǎng)口為?enp6s18?，撥號配置文件名為?serverwan?。

在創(chuàng)建 PPPoE systemd 撥號服務(wù)的過程中會用到這兩個參數(shù)，請根據(jù)實(shí)際情況進(jìn)行調(diào)整。

撥號服務(wù)命名規(guī)則：

pppd-<physical_port_name>@<pppoe_name>.service

因此本文中演示服務(wù)名為：

pppd-enp6s18@serverwan.service

使用?nano?編輯器創(chuàng)建?PPPoE服務(wù)?配置文件，執(zhí)行以下命令：

在編輯器對話框中輸入以下內(nèi)容，并保存：

由于修改了服務(wù)項(xiàng)，需要使用以下命令進(jìn)行重載：

使用以下命令讓 PPPoE 撥號服務(wù)開機(jī)自啟動：

由于現(xiàn)在防火墻暫未設(shè)置，不建議現(xiàn)在啟動服務(wù)進(jìn)行撥號，以避免安全隱患。

如果后續(xù)使用中，PPPoE 撥號服務(wù)出現(xiàn)異常，使用以下命令進(jìn)行檢查：

1.3.配置撥號接口

由于撥號服務(wù)可能意外退出，為了在服務(wù)重啟后能再次拿到 IPv6 地址，需要對撥號接口進(jìn)行調(diào)整。

使用?nano?編輯器創(chuàng)建?撥號接口?配置文件，執(zhí)行以下命令：

在編輯器對話框中輸入以下內(nèi)容，并保存。

注意：cake?部分為 QoS 參數(shù)，請根據(jù)實(shí)際情況進(jìn)行調(diào)整。

如果后續(xù)使用過程中，遇到系統(tǒng)啟動緩慢，使用以下命令進(jìn)行檢查：

2.設(shè)置防火墻

在上版構(gòu)建 Linux 路由器的文章中，使用了?iptables?進(jìn)行防火墻配置，以及?iptables-restore?對防火墻進(jìn)行持久化。

但 OpenWrt 從 22.03 版本開始，防火墻后端不再使用?iptables?，取而代之的是?nftables?。

當(dāng)然，不僅 OpenWrt 有這樣的變化，其他 Linux 發(fā)行版也有類似的情況，具體原因請查閱?Netfilter?官網(wǎng)相關(guān)信息。

因此，本文中防火墻配置工具同步變更為?nftables?，防火墻命令從 OpenWrt 22.03.2 版本中導(dǎo)出。

主要修改有：

• 默認(rèn)啟用?flowtable?，并對監(jiān)聽接口進(jìn)行修改（OpenWrt 的?flowtable?監(jiān)聽了端口?pppoe-wan?）

• 默認(rèn)禁止外網(wǎng) IPv4 / IPv6 對本機(jī)的 Echo Request

• 防火墻默認(rèn)行為從?reject?變更為?drop

• 定義了內(nèi)網(wǎng) DNS 服務(wù)器組，非組內(nèi) IP 的 DNS 請求將重定向到本機(jī)

• 訪問光貓的網(wǎng)口與PPPoE接口共享防火墻策略，簡化防火墻命令

根據(jù)內(nèi)核相關(guān)文檔?Netfilter’s flowtable infrastructure?中的描述：

Since Linux kernel 5.13, the flowtable infrastructure discovers the real netdevice behind VLAN and PPPoE netdevices. The flowtable software datapath parses the VLAN and PPPoE layer 2 headers to extract the ethertype and the VLAN ID / PPPoE session ID which are used for the flowtable lookups. The flowtable datapath also deals with layer 2 decapsulation.

You do not need to add the PPPoE and the VLAN devices to your flowtable, instead the real device is sufficient for the flowtable to track your flows.

考慮到 OpenWrt 22.03 內(nèi)核版本為?5.10.*?，Ubuntu Server 22.10 內(nèi)核版本為?5.19.*?，因此將 PPPoE 撥號后生成的端口從?flowtable?中移除是個更好的選擇，這樣不僅能向前兼容，還能解決?nftables?服務(wù)與 PPPoE撥號?服務(wù)啟動順序帶來的沖突。

配置防火墻之前，需要檢查?nftables.service?服務(wù)狀態(tài)，確保該服務(wù)開機(jī)自啟動。

前文提過，服務(wù)狀態(tài)為?enabled; preset: enabled?，表示該服務(wù)已開機(jī)自啟動。

而當(dāng)前服務(wù)實(shí)際狀態(tài)為?disabled; preset: enabled?，則表示該服務(wù)并未開機(jī)自啟動：

執(zhí)行以下命令，將該服務(wù)設(shè)置為開機(jī)自啟動：

nftables.service?啟動時會自動加載?/etc/nftables.conf?配置文件 ，也就是防火墻的默認(rèn)配置。

修改防火墻設(shè)置之前，使用以下命令將其備份：

使用?nano?編輯器創(chuàng)建?nftables?配置文件，執(zhí)行以下命令：

注意：在應(yīng)用防火墻配置之前請仔細(xì)閱讀防火墻命令條目，并根據(jù)實(shí)際情況修改以下內(nèi)容

• 訪問光貓網(wǎng)口名稱，演示值為：enp6s18

• flowtable?包含的網(wǎng)口，演示值為：enp6s18, enp6s19, enp6s20, enp6s21, enp6s22

• 網(wǎng)橋接口名稱，演示值為：bridge1

• PPPoE 接口名稱，演示值為：pppoe-out1

• 內(nèi)網(wǎng) DNS 服務(wù)器組，除了本機(jī)地址（演示值為?172.16.1.1?、?fd10::1?），其余均可自定義或移除

至此，服務(wù)器 PPPoE 撥號以及防火墻設(shè)置步驟完成。