Цель: построить домашнюю сеть, в которой маршрутизатором и точкой входа в интернет будет мини-ПК на Debian, а бытовой Wi-Fi роутер (ASUS RT-AX57) используется только как точка доступа. Через мини-ПК должен проходить весь трафик, включая VPN, маршрутизацию и обход блокировок.
Схема сети:
Интернет (MAC-привязка) → Мини-ПК Debian (маршрутизатор, VPN, zapret) → Роутер ASUS в режиме точки доступа → Домашние устройства (Wi-Fi и LAN)
1. Мини-ПК
ОС: Debian без GUI.
Интерфейсы:
eth0 — WAN (интернет от провайдера),
eth1 — LAN (локальная сеть).
На eth0 прописан MAC-адрес, зарегистрированный у провайдера.
Функции: NAT, маршрутизация, DHCP, VPN-клиент (Xray), GeoIP/MAC/IP-маршрутизация, DPI-обход через zapret, firewall.
2. Подключение к провайдеру
Тип: DHCP с авторизацией по MAC.
Дополнительной авторизации нет.
3. Локальная сеть
DHCP-сервер работает на мини-ПК.
Возможна привязка статических IP по MAC.
Вся маршрутизация осуществляется на уровне мини-ПК.
4. Роутер ASUS
Переводится в режим точки доступа (Access Point).
DHCP на нём отключён.
5. VPN
Используется Xray (VLESS + Reality).
Подключение по ссылке-конфигу (
vless://xxx).
VPN поднимается автоматически при загрузке системы и работает на уровне маршрутизатора.
Возможна маршрутизация по MAC/IP/GeoIP (VPN только для не-RU IP).
6. Маршрутизация и доступ
Сценарии для устройств:
Прямой доступ без VPN,
Весь трафик через VPN,
GeoIP: RU — через VPN, остальное — напрямую.
Правила задаются по MAC или IP.
GeoIP реализуется встроенными средствами Xray или Linux.
Весь трафик пропускается через zapret перед маршрутизацией.
7. DPI-обход
Используется zapret на мини-ПК.
Применяется ко всему трафику.
8. Безопасность и управление
Firewall на nftables (или iptables).
NAT и базовая фильтрация.
Встроенный DNS-сервер (dnsmasq или Unbound).
Простой
