FTTH改造实例——光猫改桥接后继续充当无线接入点

因为家里的小区宽带（RJ45入户）GG了，所以不得不改办FTTH，在此省略对联不通的种种抱怨

联不通给的设备是中兴F427，自带4口百兆LAN、wifi和路由功能，还具备一定防火墙和高级NAT转发功能。对一般家庭用户来说，这设备算比较强力了，主要功能都没阉割。不过我都不需要，现在用pfSense软路由的性能不知道比这光猫强到哪儿去了，更重要的是我不想改变使用习惯，所以首先一点就是要改光猫模式为桥接。

现在手里有的设备
中兴F427光猫，4口百兆有线，2.4G无线
华硕RT-N16无线路由器，4+1口千兆有线，2.4G无线，已改为AP模式
pfSense软路由，作为路由，详见http://bbs.pceva.com.cn/thread-96075-1-1.html及http://bbs.pceva.com.cn/thread-100070-1-1.html

直连电脑和光猫，用光猫背面贴着的IP地址和用户名密码登陆进去，在网络这一页就可以看到这样的结果（我这是已经设置好的，下同）

模式的下拉菜单是灰色不可选的。如果用的是IE的话，直接在下拉菜单上右键，选“检查元素”，然后下面就会出现F12工具，接着在那个"disabled"上面双击，删去，回车以后这个下拉菜单就可以选了，选择"bridge"，即桥接模式。改好以后点确定，模式转换可能需要重启。页面返回以后还是会自动disable，但是效果已经生效了。

另外还要把DHCP服务关闭，就在“LAN侧地址配置”这一页，把“启动DHCP服务”的复选框取消掉就行。如有必要的话，将光猫的IP地址一并改掉，确认后等待重启。

拔线插线，这个不需要教了。在pfSense里面配置WAN，这也不需要教了，有需要自己看上面链接的帖子

至此最基本的目的达到了——光猫改桥接，pfSense拨号+路由，原来的无线路由器继续做AP。

不过问题也来了，这个光猫是自带wifi的，虽然说不用可以关了，但为什么不用呢。

可能有的同学要说，现在光猫是在路由的前面，即使连上光猫的wifi也不能上网呀。

虽然我也是现学现卖，但这么弄肯定是可行的，不管你是一个个去拨号（如果ISP允许多播的话），还是用我接下来说的方式

这里稍微说一点基础知识，我们家用的宽带都是用PPPoE的方式联网，而PPPoE是一种“隧道”，跟很多VPN技术利用到的隧道类似，都是虚拟连接，而物理连接就是插在上面的网线、光纤等等。因此，我们用网线连接起光猫的LAN口和路由的WAN口的时候，是先建立了一个物理的连接，而PPPoE拨号连接以后是在这个物理通道内建立了一个虚拟通道。这个虚拟通道并不能占满整个物理通道，因此物理通道仍然是可用的，只是一般的家用设备不给你利用的机会。如果是直接用电脑PPPoE拨号上网的同学，应该会注意到，在未拨号之前就已经存在着一个“受限”的有线连接，而它一直存在着，除非你把连到猫的网线拔掉或者断电，那时候会显示为“未连接”，这就是前面说的物理通道。

再来说说桥接模式下的光猫，此时的光猫实际上是一个交换机+无线AP，只要能合理配置网络，它就能发挥跟N16一样的功能。

那么我们转入pfSense设置页面，找到"Interface"里面的"(assign)"，新建一个接口"OPT1"，也就是WAN-PPPOE所在的物理端口"em0"，点"Add"

Save保存，并点上面的Apply应用。接着点进OPT1，设置这个接口。

勾选"Enable Interface"启用这个接口，设置IPv4为"Static IPv4"即静态地址，IPv6的可以不管直接选"none"，再到下面把IPv4的地址填进去。注意不能跟已有接口在一个网段上，比如LAN口是192.168.1.1的话，OPT1就不能再用192.168.1.x，填的不对pfSense会告诉你。另外别忘了旁边的子网掩码，这个IP地址和子网掩码要跟先前给光猫设置的匹配。

然后转到"Service"选项卡下面的"DHCP Server"，并选到OPT1。

这里只需要勾选上"Enable DHCP server on OPT1 interface"以启用OPT1口上的DHCP服务即可，其余的如无特殊需要就保持默认，DHCP地址范围可以改，需要固定分配地址的可以在最下面添加。保存并应用。

最后，也是很容易被忽视的就是，要在防火墙里面放行OPT1。"Firewall"选项卡里的"Rules"，并选到OPT1。

这里应该是空的，需要自己"Add"新建规则。

照上面图的写就是，很简单的E文，然后保存。

这里我还加了一条禁止OPT1访问LAN，因为打算让光猫承载访客网络，所以这里做一个隔离。

都设置好以后右上角应用。

如果之前已经设置好了光猫的wifi，那么现在连上光猫就可以上网了，而且访问不到LAN口后面的内网设备。

---

WAN口即用作PPPOE又用作内网连接的方案早就有了，我记得早在刚有ADSL的时候就有过家庭多机联网用路由器还是交换机更好的讨论，用交换机方案的原理就跟我这个一样，那时候设备都还很贵。现在进步了，无线路由做的外观都很炫酷，广告宣传专业名词一串又一串，但这个方案却一直没有厂家提，所以只能在软路由上开花结果了。

一般ISP给的光猫，要么是阉割限制严重但又不得不用，要么是功能全面但手里的设备更加豪华，使得这样东西总如鸡肋一样。破解光猫是一条路，而我这里给出了另外一条路，不过家里用软路由的实在太少数，所以我这个方式也只能算给一个方案，是否可行就要看各自的实际情况了。

最后来一张测速图，北京联不通50M ￥4250/3年

这帝都联不通的中兴F427猫真是太豪华了，功能齐全，样子也好看，让人羡慕。不过身为盘霸，自然要改为桥接模式，来宾区与主用户区完全隔离，访客就让她们刷边缘wifi去吧。不错不错，收藏备用了。

我大小区ISP就给一条网线其他啥都没，也好后面全部能自己搞，但速度不谈了

记号一个 有时间再来研究

想请教一下，家里面的网络是光猫在弱电箱，然后入墙的网线直接连到光猫，我觉得光猫太弱鸡，也想弄pfsense，但是看LZ的方法，必须pfsense 连到光猫，然后pfsense 的LAN再分到其他的家庭设备；我的想法是能不能，光猫作为桥接之后，LAN1 是连到pfsense，LAN2是连到其他设备，然后 pfsense作为光猫LAN2的网关，这样来控制网络,然后pfsense 拨通连到外网。

ZZBOND 发表于 2016-7-17 16:35
想请教一下，家里面的网络是光猫在弱电箱，然后入墙的网线直接连到光猫，我觉得光猫太弱鸡，也想弄pfsense ...

我没看懂你的表述
我的方案需要光猫可以改桥接，而且需要光猫有多个LAN口

nighttob 发表于 2016-7-17 17:06
我没看懂你的表述
我的方案需要光猫可以改桥接，而且需要光猫有多个LAN口

这样说吧，光猫在弱电箱，家里面两条网线都是从弱电箱拉到其他房间，弱电箱比较的小，所以想把pfsense放到其他房间；假设pfsense连的是光猫的LAN1，另外一条网线连到LAN2，想法是，LAN2的网关配成LAN1 ，不知道能不能通过这种方式LAN2的网络先通过pfsense 再出到外网

你要注意pfSense需要一台PC，不论是独占还是像我一样用虚拟机
我有7x24开机的服务器可以弄个虚拟机这么玩，你要考虑你自己的实际情况
如果你是看中了软路由的性能，这完全没必要，在你家宽带超过200M之前，一般家用设备都不会遇到瓶颈

可行性上面，只要光猫可以改桥接，就可以按我这么整

nighttob 发表于 2016-7-17 17:16
你要注意pfSense需要一台PC，不论是独占还是像我一样用虚拟机
我有7x24开机的服务器可以弄个虚拟机这么玩， ...

好的，谢谢斑竹