一、 整体拓扑与 IP 规划
宿主机 (PVE):
10.10.10.1| 管理口物理直连 eth5 (enp8s0)。VM 1 - iKuai (主路由):
10.10.10.2| 拨号、DHCP 分流、IPv6 分发、端口转发。VM 2 - OpenWrt (旁路由):
10.10.10.3| 出海插件、DNS 加密过滤。VM 3 - Lucky (入口服):
10.10.10.4| DDNS、SSL 证书管理、Web 反向代理。LXC 4 - Docker (服务中心):
10.10.10.5| RustDesk 中继、EasyTier 组网、Sun-panel 导航。
二、 PVE 宿主机:底层物理配置
设置目标: 确保管理口唯一化,防止虚拟机网络风暴导致 PVE 失联。
网桥配置: 在
系统 -> 网络中,编辑vmbr0。桥接端口: 仅填写
enp8s0(对应物理口 eth5)。IP 地址:
10.10.10.1/ 子网掩码24/ 网关10.10.10.2。
网口直通: 将
enp3s0(eth0) 通过 PCI 设备直通给 iKuai 虚拟机。
三、 iKuai:网络大脑与精准分流 (细节)
1. IPv6 下发设置 (主指挥官)
外网配置:
网络设置 -> IPv6 -> IPv6设置,选择外网口拨号获取运营商/60或/64前缀。内网配置: 开启 DHCPv6 服务,模式选
服务端模式。原理: 只有 iKuai 负责分配 IPv6,防止旁路由干扰导致移动端 App 加载缓慢。
2. DHCP 与 DNS 分流 (核心步奏)
全局设置:
网络设置 -> DHCP服务端。默认网关10.10.10.2,DNS114.114.114.114。出海名单 (静态分配):
进入
静态分配,添加你的 PC/手机。关键修改: 将该条目的 网关 手动设为
10.10.10.3,DNS 设为10.10.10.3。原理: 只有列表内的设备流量会经过 OpenWrt 过滤。
3. 端口转发
将公网
80/443转发至10.10.10.4(Lucky)。将 RustDesk (21115-21119) 转发至
10.10.10.5(LXC)。
四、 OpenWrt:旁路由出海服务 (细节)
1. 接口“三禁” (防止干扰)
路径:
网络 -> 接口 -> LAN -> 修改。禁用 DHCP: 最下方勾选 “忽略此接口”。
禁用 IPv6: 将
路由公告服务、DHCPv6服务、NDP代理全部设为 “已禁用”。禁用桥接: 如果只有一张网卡,取消勾选“桥接接口”。
2. 防火墙 NAT 补丁 (必做)
路径:
网络 -> 防火墙 -> NAT 规则。新建规则: 出站区域
lan,动作MASQUERADE。原理: 强制将回程流量收口至 OpenWrt,解决“能上 QQ 但打不开网页”的经典旁路由问题。
3. DNS 接管
路径:
LAN 接口 -> 高级设置。DNS 服务器: 填入
127.0.0.1。原理: 让所有 DNS 请求通过出海插件的加密隧道解析,彻底告别 DNS 污染。
五、 Lucky 与 LXC:外网访问与服务中心 (细节)
1. Lucky VM (反向代理)
DDNS: 监控 iKuai 的 WAN 口 IP,自动更新域名 A 记录。
SSL 证书: 使用 ACME 模块申请证书,Lucky 会自动完成 DNS 验证与续期。
反向代理设置:
pve.yourdomain.com->https://10.10.10.1:8006op.yourdomain.com->http://10.10.10.3sun.yourdomain.com->http://10.10.10.5:80(Sun-panel)
2. LXC Docker (服务中心)
网关设置: 静态 IP
10.10.10.5,网关必须设为10.10.10.2(直连主路由最稳)。运行容器:
RustDesk Server: 自建 ID/Relay 服务器,实现极速远程桌面。
EasyTier: 异地组网服务端。
Sun-panel: 极简导航页,集中管理所有后台链接。
六、 终极维护方案:炸网自救流程
全家没网: 检查 iKuai 拨号状态。
出海设备打不开网页: 检查 OpenWrt 插件是否运行,或检查 NAT 规则是否勾选。
App 刷新不出图片: 检查 OpenWrt 的 IPv6 是否被误开启,必须保持禁用。
PC 应急复活: 如果 OpenWrt 宕机,直接将 PC 网关手动改回
10.10.10.2即可瞬间恢复基础网络。