本文分享了作者对家庭网络进行深度优化的过程。从最初简单的网络拓扑，到因远程访问需求和安全考虑，逐步引入VPN、零信任网络、多VLAN隔离、广告拦截、策略路由等技术，最终实现对家庭网络的完全掌控，提升了远程访问体验和网络安全，并详细阐述了改造过程中的技术细节和心得体会。

💡 **需求驱动：** 作者最初的网络架构简单，但为了解决远程访问卡顿、PT服务安全等问题，开始寻求更优的网络解决方案。

🛠️ **技术选型：** 作者尝试了多种技术，包括OpenVPN、零信任网络（Netbird），最终选择了Netbird，并逐步引入多VLAN隔离、广告拦截、策略路由等技术。

⚙️ **架构调整：** 作者将Mikrotik RB4011作为主路由，R6S作为二级路由运行OpenWrt，华为Q6也作为二级路由，实现了VLAN隔离，优化了网络安全和性能。

🚀 **性能提升：** 通过改造，远程访问延迟降低到10ms，广告拦截效果显著，网页和应用打开速度大幅提升，家庭网络体验得到全面优化。

🔐 **安全增强：** 通过关闭外网端口，仅保留Netbird管理口，并实现VLAN隔离，提高了家庭网络的安全性。

首先说在前面，生命在于折腾哈。其实本身没啥意义，因为现阶段都是千兆大带宽，早就不是当年小水管了。这不折腾没啥意义。

装修完后，就一直没弄，网络拓扑非常简单，光猫拨号->华为 Q6-〉 nas 等一堆设备。

因为是华为 Q6 子母设备，怎么说呢。其实完全够用了。每个房间我都放了子路由。全屋零死角上网。说实话，家庭用，300M 内网能稳定其实体感上没什么区别。这一套用了 3 年，也没管他，我也不用天天重启路由，也还不错，挺稳定的。

什么契机重新折腾呢？之前是所有的设备我需要啥，就在光猫开一个端口映射，再再在华为 Q6 上开一个端口映射。NAT 类型惨不忍睹不说他，也没啥影响。但是这一顿操作很烦躁，因为没 vpn ，是我家里电脑弄了个 ToDesktop 。也不是不能用。包括明日方舟挂机啊，minecraft 私服维护啊，巴拉巴拉的。ToDesktop 卡得我云里雾里，有时候还干脆连不回去，只能干看着。我忍了 2 个星期，忍不了了。自建 rustdesktop 。会好很多，但是也不太行，只能说比 ToDesktop 好一点点。

这是用的别扭的原因。第二个原因。我的 tr 开在外网天天被人猜密码，猜着猜着就自己关了。搞的我很烦躁。也就是说其实我公开的服务和端口，都一天到晚被人猜密码和扫描。于是开始折腾 vpn ，本来搞的 openvpn ，也不是不能用，但是不稳定，还是因为 nat 的缘故。vpn 回去可以，但我还有需求是从家里访问公司我自己的电脑做一些操作。再折腾，搞零信任网络，对比了一翻，netbird 符合我的需要。搞了两天，爽，确实非常爽，在公司网络体验跟在家没区别，ssh 是毫无卡顿的，甚至我一天 ssh 到家里，第二天来上班，这个 ssh 都还没断过。远程 code 着绝对是最佳体验。我公司 mac studio 用屏幕共享回家的 mac mini 。可以开启高性能模式，和在家没区别，稍微有点点卡顿，但能接受。比 xxDesktop 的解决方案绝对是秒杀。

但我有技术洁癖，其实也就 ping 不稳，偶尔卡顿，我看了一下，我所有的节点都是走的中转，也就是我自建的 nas 上的 stun 服务做的中转。研究了一下，还是因为 NAT 的原因，太烂了，光猫和路由器啥功能都没。

一咬牙，搞都搞了，就一步到位家里网络大折腾。

我的需求就很简单了

pt 等自建服务
自动梯子
广告拦截
nat 要干净，把家里的设备危险和不危险的隔离开（一堆 IoT 设备，都是连华为 Q6 上的，我就这一个 wifi 设备）。
自建 dns ，公司回家用家里的 dns ，因为我测试过，在公司的 dns 要 20-25ms ，还是没拦截的。我 vpn 回家只要 10-15ms 。。

开始翻吃灰的垃圾：

mikrotik 的 RB4011 。
R6S

开始组网：

mikrotik 作为主路由，R6S 是二级路由，华为 Q6 也是二级路由。pc ，游戏机，macmi ，nas 直接挂在主路由下。
也就是：
Work_Vlan: pc+macmini+apple tv
NAs_Vlan: 只接 NAS 。
Laod_Vlan: OpenWrt 的 R6s ，其实装 ubuntu 更合适一点，因为我没有再在底下挂设备的需求。但我懒的折腾了，又不是不能用。
Q6_Vlan: 华为 Q6 那个母路由，ps5 dmz 出来。

没有做太多复杂的东西，主要是以下几点

Q6_Vlan 只能访问其他 Vlan 的指定端口，因为这是一个娱乐设备接入点，我就简单点，我核心需求是不要访问其他设备的 22 等危险端口就好了。其他 Vlan 无所谓，直接互通就好。有需求再加。
和网络有关的什么广告拦截，dns ，梯子，都在 OpenWrt 上。R6S 。这点需求跟闹着玩一样。只要固件没 bug ，随便浪。
梯子我没有用各种教程的旁路由的模式，我也是反对旁路由模式的，访问所有东西都要经过旁路由再主路由出去，非常的奇怪。研究了一下，routeros 直接策略路由非国内 ip 到 openwrt 上。openwrt 规则出去。用了 1-2 天，基本没误会的，因为所谓梯子，作为研发，核心需求就 google ，youtube 和 github 。其他其实不怎么用。这样家庭设备国内正常使用就完全没这个 openwrt 什么事。看了一天，openwrt 一天也就处理 100-300M 流量。

还缺一个。。用 grafana 监控所有设备。。啊哈哈哈哈哈。懒得弄了，这就是真的是闲的蛋疼。

RouterOS 的 nat 是把我折腾够呛，真的不是弄一遍 NAT ，我都不知道各种 tcp/udp 的细节。为了 netbird 可以支持设备 p2p ，我折腾了 2 天整的。最后搞明白 stun 协议是根据请求包的 dst 地址决定的。发卡回流 nat ，dst 地址已经变成了内网地址。

现在效果：

外网手机，ipad ，pc ，wg 连回家，延迟 10ms 。游戏，办公，改一些东西配置，延迟都没什么特别大的感觉。已经是彻底給我解决了远程回家卡成狗了。以前是群晖的反向穿透 quickconnect ，打开慢得 1 批。我要操作什么都要以群晖为跳板去其他设备。现在：目标 ip ，connect
关闭所有外网端口，只留了 netbird 的管理口，这确实没办法，有漏洞我也只能认了。
家里所有设备广告消失了，看了一下，dns 级的过滤比例大概在 10-20%。dns 延迟在 5ms 左右，增加 dns 这一套之前也是得 20ms 。。
现在网页，网站，都是秒开了，app 里也转圈少了。
* 主路由 cpu 维持在 10%以下，pt 跑 7-80MB 的时候 cpu 大概 30%。已经完全符合我需求了，当然，以后 2.5G 外网那是另一个故事。我终于掌握了家里网络的所有权，之前光猫和华为 Q6 我除了能改个 NAT 什么都别想做。


哦。最后一句，改桥接，有个小故事。好像北京联通 FTTR 不让改桥接，我打电话到 10010 ，我刚说完，客服就说，不好意思先生，FT ，稍等，先生，我給您转給工程师。

哈哈哈，我猜他就是像说 FTTR 不能改桥接，结果我不是。后面就很顺利了，远程就給我把光猫改桥接了。