开启SSH
1. 将项目路由器ROM升级到开发版
稳定版是不支持开启ssh功能。升级到开发版后,默认放弃了产品的质保。
下载地址:http://www.miwifi.com/miwifi_download.html 升级到开发版后,登录小米路由器管理页面可以看到如下的信息
2. 根据小米路由器官方说明进行开启ssh功能
需要准备一个U盘
开启ssh工具方法:https://d.miwifi.com/rom/ssh
3. ssh登录路由器
就像登录linux服务器一样,在内网通过ssh工具可以直接登录
默认地址:192.168.31.1 用户:root 密码:(https://d.miwifi.com/rom/ssh上面显示的密码)
ssh工具个人觉得比较好用的有:MobaXterm、Xshell、Putty 等
登录成功后的欢迎界面 ARE U OK
此时可以发挥想象,为所欲为了。
DDNS动态DNS解析
动态域名解析(Dynamic DNS,简称DDNS)是把互联网域名指向可变IP地址的系统。DNS只是提供了域名和IP地址之间的静态对应关系,当IP地址发生变化时,DNS无法动态的更新域名和IP地址之间的对应关系,从而导致访问失败。但是DDNS系统是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络时,客户端程序通过信息传递把该主机的动态IP地址传送给位于服务商主机上的服务器程序,实现动态域名解析。
由于家庭网络的特殊性,电信运营商基本都是分配的动态ip(目前联通是分配的公网ip,而电信分配的是电信内部的ip,类似于10.1.1.100,到公网ip做了net,这种情况下需要在公网访问到你家的网络比较麻烦,简单的做法是找一个正当理由打电话给电信客服让其分配一个公网ip给你家;另外的做法是采用“内网穿透”的技术。一般重启路由器会被重新分配一个IP)给每个家庭用户。由于ip是变化的,因此想在外网访问到自己家里的网络,就可以通过DDNS,让其自动绑定动态的ip。大多数路由器都支持这个功能。
推荐的免费ddns提供商
- 花生壳:https://www.oray.com/ 申请免费的壳域名
- NO-IP:https://www.noip.com/ 可以创建3个
外网访问小米路由管理后台
由于小米路由器的限制,其他域名(非miwifi.com)禁止访问管理界面,要解除这个限制需要修改/etc/sysapihttpd/miwifi-webinitrd.conf
这个文件。在下图中的位置写入如下的参数set $isluci "1";
vi /etc/sysapihttpd/miwifi-webinitrd.conf
通过下面的命令重启服务
/etc/init.d/sysapihttpd restart
接下来打开wlan口对80端口的访问。配置防火墙运行80端口对外网暴露。
vi /etc/config/firewall
在文件最后加入下面到的配置
config rule
option name 'wan-open'
option src 'wan'
option dest_port '80'
option proto 'tcp'
option target 'ACCEPT'
dest_port的写法也可以是option dest_port '80 81 82 83'
表示对外开放80、81、82、83端口,也可以是option dest_port '80-1000 2000-5000'
表示的是对外开放 80到1000范围及2000到5000范围的端口。
编辑完成保存退出,在重启防火墙:
/etc/init.d/firewall restart
此时80端口就对外开放了。要测试是否配置成功,需要使用非当前路由器的网络进行访问(通过手机走4g网络进行访问,或者手机开个热点电脑连接后在访问),发现还是没办法访问到,那是由于电信运营商默认屏蔽了家庭网络的80、443等端口。那此时还需要做一个端口转发即可,比如:让30080端口转发到80端口上。
添加端口转发的方式有两种。一种是通过管理网站进行添加,另外一种是通过修改防火墙的配置进行修改。本质上第一种方法最终也是修改了防火墙的配置。但第一种方法,提示内部IP地址只能从2开始。经过测试这里只是页面做了校验,因此可以绕过前端的验证,改成192.168.31.1后进行添加(至于怎么绕过,我使用的firefox浏览器的f12–网络–编辑重发功能实现的)。
第二种方式编辑/etc/config/firewall
在文件最后加入如下的配置
config redirect 'wan30080'
option proto 'tcp'
option src_dport '30080'
option dest_ip '192.168.31.1'
option dest_port '80'
option src 'wan'
option name 'wan30080'
option target 'DNAT'
option ftype '1'
option dest 'lan'
重启防火墙
/etc/init.d/firewall restart
此时在测试,外网就可以访问到小米路由器的管理界面了。
在此打开端口转发的配置页面。发现也能看到相关的转发信息了
端口映射与防火墙配置
上一节已经讲了防火墙的端口映射和对公网暴露路由器的端口。小米路由器3的系统是基于openwrt系统的。更多配置参考:https://openwrt.org/zh-cn/doc/uci/firewall
通过上面的方法,也可以把ssh的22端口暴露到公网,或者做端口转发。然后就可以在任何有网络的地方ssh登录到你家的路由器了。
内网穿透
内网穿透分为服务端和客户端。这里主要讲怎么在小米路由器3上面安装 frps 服务端。
frp源码地址:https://github.com/fatedier/frp 安装程序下载地址:https://github.com/fatedier/frp/releases 目前最新版是0.30.0
登录下面路由器执行uname -m
显示主机的硬件架构名称,得到的结果是mips
。
如果直接下载frp_0.30.0_linux_mips.tar.gz
是不对的。因为小米路由器3是32位小端字节序,因此需要下载 frp_0.30.0_linux_mipsle.tar.gz。
我这里下载到路由器的外置u盘上的。
下载完成后解压,然后根据frps的官方说明文档进行配置即可。
root@XiaoQiang:/extdisks/sda/software/frp_0.30.0_linux_mipsle# ls
LICENSE frpc frpc.ini frpc_full.ini frps frps.ini frps.log frps_full.ini starts.sh systemd
root@XiaoQiang:/extdisks/sda/software/frp_0.30.0_linux_mipsle# cat frps.ini
[common]
bind_port = 20001
token = xxxxxxxxxxxx
上面配置很简单,服务器端口是20001,客户端与服务端认证的token是xxxxxxxxx
。
写了一个启动脚本,内容如下。
root@XiaoQiang:/extdisks/sda/software/frp_0.30.0_linux_mipsle# cat starts.sh
#!/bin/sh
nohup /extdisks/sda/software/frp_0.30.0_linux_mipsle/frps -c /extdisks/sda/software/frp_0.30.0_linux_mipsle/frps.ini > /extdisks/sda/software/frp_0.30.0_linux_mipsle/frps.log 2>&1 &
启动后会把日志打印在frsp.log文件中。
还可将 frps的启动加入到路由器开机启动中,具体配置见网友的一篇文章:基于添加openwrt系统的小米路由器创建自启动脚本