硬路由刷 OpenWRT 其实挺麻烦的，且不说需要破解，硬件本身的性能和固件的兼容性就比较堪忧。比如高通方案的，开源驱动性能差，闭源驱动不好搞，找不到合适的固件自己编译太麻烦了。
我个人还是倾向软路由+家用 Wi-Fi 关 DHCP 做 AP ，这样最省心最稳定。

如果你既希望能继续使用软路由，又想让 NAS 直接连光猫，可以考虑这个方案：
1. 把 NAS 插在光猫剩余的 LAN 口上，然后 NAS 自己拨号上网。只要你的网络支持多播是没问题的，如果多播能叠加就更好了，这样你的 NAS 下载 /上传完全不会影响上网。
2. NAS 另一个口正常接入软路由的 LAN 口，实现局域网访问。注意不要把这两个口给桥接了，没必要，只要设置好跃点 /路由可以实现同时生效。

这个方案的好处是兼具性能和功能，并且不需要购买额外的设备。缺点是需要光猫有多个千兆 LAN 口，NAS 需要两个网口，以及多一根网线，但也好解决：
1. 假如你光猫只有一个千兆口，可以考虑换个全千兆猫或者用千兆交换机拓展
2. 假如你 NAS 只有一个口，也没关系，你可以让 NAS 获取光猫分配的 IP ，比如光猫是 192.168.1.1 ，NAS 配置成 192.168.1.2 ，你软路由的 LAN 口是 192.168.100.X ，那么软路由 LAN 口下所有设备也是可以访问 192.168.1.X 的设备的（软路由多加一条路由规则即可）

神奇的用法，你是把软路由直接插到光猫上当单臂路由在用吗？
如果是的话，我觉得不必担心，光猫所在的网段只是你本地的 NAT （虽然是桥接，但内网依然是 NAT ），数据唯一能出去的方法就是通过软路由的 PPPOE 。不然你想你光猫自己都没有建立 PPPOE 链路，连 IP 都没有，怎么会把局域网数据给广播出去？

看到是 OpenWRT ，感觉有可能是软路由的问题。我的亲身经历，N5105 的软路由，电脑用 BitComet 下文件，连接数会越来越多直到路由卡死。解决方法是把 network.max_connections 和 network.max_udp_pkg_per_sec 改小一点，具体值取决于你软路由能抗多少。
如果想测试一下光猫的性能，可以把光猫改成路由模式，然后 NAS 直接接到光猫下面下 PT ，看看同局域网其他设备能不能正常上网。如果不能你再投诉运营商，他们就没法说是你路由器有问题了，毕竟连路由器都没了。

@ttvast 有点意思，这样的话能实现单线程突破千兆吗？

这款光猫的交换芯片支持链路聚合吗？

“HN8546Q 聚合成功，登陆光猫看了的，没有 bonding.ko”

不至于伤心啦，其实本质原因就是光猫走了硬交换，好处是性能比较好，坏处是支持的模式比较少，而且（猜测） VLAN 支持有问题。相反软路由这边走的都是软交换，对 CPU 占用会大一些。

忘了问你用的什么路由器了，是 x86 还是硬路由刷的？硬路由可能会有 CPU 性能不够的问题，建议用 x86

这是我的 dmesg 输出，应该非常简洁的：

root@OpenWrt:~# dmesg | grep bond
[ 10.166536] bonding: bonding-bond is being created...
[ 10.199854] 8021q: adding VLAN 0 to HW filter on device bonding-bond
[ 11.296123] bonding-bond: (slave eth1): Enslaving as an active interface with an up link
[ 11.297601] IPv6: ADDRCONF(NETDEV_CHANGE): bonding-bond: link becomes ready
[ 12.386727] bonding-bond: (slave eth2): Enslaving as an active interface with an up link

@flowdesign 我看了一下，感觉是有些问题。

首先 bonding 的配置你按照 3 楼说的来，不需要任何开机脚本，直接网页操作最简单。最终效果如下：

https://user-images.githubusercontent.com/1812118/189165482-057ef731-9b70-4c90-8ec2-bbaa375fc812.png
https://user-images.githubusercontent.com/1812118/189165611-6b3d57d8-6364-44e0-aa8f-b114acb13b96.png
https://user-images.githubusercontent.com/1812118/189165934-1e06d221-4e47-4f16-a6a2-79b3be11c417.png

然后你几个 IPTV 接口建议先删掉或者禁用，再或者只绑定一个 eth0.*。我也遇到了类似的的问题——链路聚合和 VLAN 不太兼容，因此对于需要 VLAN 的情况只能绑定原始的接口，用 bondwan.*大概是不生效的。

你配置里 option ifname 'bondwan.51 eth0.51 eth1.51 eth2.51' 显然是不对的，这样会把聚合和未聚合的给桥接在一起了，有可能是造成网络风暴的原因。

@LnTrx 我没有试过，可可找找资料 https://superuser.com/questions/977997/mark-packets-with-iptables-by-destination-mac-address

Q 结尾的光猫内核里是不需要 bonding 支持的，这几款的交换芯片本身就支持链路聚合，因此无需额外配置就能直接使用，参见 https://www.v2ex.com/t/822174#r_11177803

相反，OpenWRT 需要内核开启 bonding 以支持链路聚合，原理上使用的是“软”聚合。

你可以在 OpenWRT 上跑一下 dmesg | grep bond 和 cat /etc/config/network 然后贴一下结果看看吗？（后者注意隐藏 PPPOE 账号密码等信息）

@cqu1980 补充的很好，FTTR 也需要单模光纤。

另：纠正我之前的信息，刚刚在咸鱼上发现了 100 左右的华为 SFP28 接口 25G 多模双纤模块。埋多模的朋友可以松一口气了😂

可以在 VPS 上用 speedtest 命令测一下速，看看是不是 VPS 本身网络的拥堵

着重看一下“二 /三层口配置”，我记得原厂固件默认没有勾选这几项，而运营商的固件都默认开启，是一个坑

@youx 那很好呀，想必这些技术问题应该难不倒您

@julyclyde 埋光纤无非两个作用：
1. 更便宜的万兆网络（相比于网线）。咸鱼上有大量的单模模块，普遍比多模便宜，比如华为的万兆光模块才 20 多块钱
2. 能上 25G 、40G 、100G 等更快速度。理论上多模也能实现，但一般都需要 12 芯或者 24 芯的 MPO 接口才行，而单模就不一样了，它的上限更高，双纤单模就能跑 100G （虽然很贵）。假如你埋了双纤，那么目前市面上的产品最高只能跑 10G ，其实和埋一根超六类线也没有什么太大区别。

如果是根据 SNI 判断的，可以试试 SNI 欺骗。比如 www.ebay.com 是支持的，那你就自己签一个 www.ebay.com 的证书搭建 HTTPS 网站。

如果是根据 IP 判断的，可以找一个名单里使用 CloudFlare 的，然后把你自己的网站也指向一样的 CDN 。

如果两个都有就不太好办了，假如它规则写的不严谨，你可以试试 www.ebay.com.your-domain.com ，也许能行呢 😂

我用了双芯皮线+LC 头，是工厂直接加工好的跳线。

其实装修埋光纤用什么线还是其次，关键是提前熔接好的光线头笔直且长，遇到管道弯曲的地方很难拐歪。我是在管子开完槽还没固定的时候就已经把光纤放进去了，红光笔两边测试都通了才固定管子。这样做的好处是可以用 LC 接头的 96 底线盒。如果只埋光纤然后自己冷接，冷接头太长了 86 底盒是放不开的，最后你只能搞一个空白面板挖个洞把光纤甩出去；如果找师傅热熔接的话，效果和工厂熔接的差不多，但人工花销会更大一些。

另：一个小建议，埋单模光纤

@LnTrx 哦哦，是我看错了。我是看到你说“ 基本的玩法就是监听时不再写[::]:80 ，而是绑定[IPv6]:80 ，这样多个服务就可以分别通过独立的 IPv6 地址访问、解析”，这种方案确实只适合服务器，不适合家庭网络环境。

iptables 支持根据 MAC 地址过滤的（使用 --mac-source 参数），OpenWRT 后台也有图形界面可以填写 MAC 地址，不过我没有测试过，您可以试试。另外还有个办法可以尝试，就是在网关上使用 iptables 进行端口转发，这样相当于是白名单，更加安全也更加可控。这个方案和 @jobmailcn 所说的 frp 比较类似，目的是一样的，只是实现上有差异。

其实这两种方案都是依赖网关的安全性来保证内网安全的，如您所说“如果网关自身的入站端口有安全弱点，同时下属设备都假设内网的安全性，那恐怕更加危险”。但从另一个角度讲，让每个设备只负责自己最专业的领域——NAS 就负责提供服务，路由器就负责网络管理和防火墙——个人认为是符合“关注点分离”的原则的（ https://zh.m.wikipedia.org/zh-hans/%E5%85%B3%E6%B3%A8%E7%82%B9%E5%88%86%E7%A6%BB ）。这也是为什么从安全的角度上我并不推荐在软路由上安装各种非网络相关的的服务，像 SMB 文件共享这种。进一步想，如果你担心网关本身的安全问题，可以把防火墙的功能单独抽出来，配置一台硬件防火墙或者一台安装了 pfSense 的软防火墙，这样即使网关被攻破了，防火墙依然生效。这也是很多企业网络的做法。