Docker化OpenWRT路由：双网口主机的轻量级网络改造方案

1. 为什么选择Docker化OpenWRT？

在家庭或小型办公环境中，传统路由器往往面临性能不足、功能单一的问题。而物理软路由虽然强大，但需要额外设备且功耗较高。这时候，将OpenWRT作为Docker容器部署在现有的双网口主机上，就成了一种优雅的解决方案。

我最初尝试这个方案，是因为家里那台老旧的工控机常年吃灰，但又不想额外购买专业路由器。实测下来，Docker化OpenWRT不仅能实现完整的路由功能，还能节省30%以上的系统资源（相比虚拟机方案）。最关键的是，当需要迁移或升级时，只需要备份一个容器镜像就能搞定。

这种方案特别适合以下场景：

• 已经拥有双网口主机的技术爱好者
• 需要灵活调整网络配置的小型办公室
• 希望降低设备功耗的家庭用户
• 需要快速部署临时网络环境的开发者

2. 环境准备与网络规划

2.1 硬件与系统要求

我推荐使用以下配置作为基础环境：

• CPU：至少双核（J1900/J4125等低功耗处理器即可）
• 内存：建议2GB以上
• 存储：8GB SSD足够
• 网络：必须有两个物理网口（建议Intel或Realtek芯片）

操作系统方面，Ubuntu Server 20.04/22.04是最稳定的选择。我在J4125工控机上实测过，从安装到部署完成不超过30分钟。如果你用的是其他Linux发行版，需要注意docker服务的安装方式可能略有不同。

2.2 网络拓扑设计

双网口的角色分配是关键。我的建议方案是：

• enp1s0：作为WAN口连接上级网络（光猫/交换机）
• enp2s0：作为LAN口连接内网设备

这里有个容易踩坑的地方：某些网络环境（如校园网）会限制MAC地址认证。这种情况下，传统的macvlan模式可能失效。我的解决方案是采用混合模式：

1. 使用host模式容器处理认证
2. 让OpenWRT通过docker0网桥进行NAT转发
3. LAN口仍然采用macvlan保证内网通信质量

3. 关键配置步骤详解

3.1 启用网卡混杂模式

这是最容易被忽略但至关重要的步骤。没有开启混杂模式，macvlan网络将无法正常工作。具体操作如下：

bash复制# 临时启用
ip link set enp1s0 promisc on
ip link set enp2s0 promisc on

# 永久生效（Ubuntu系统）
cat > /etc/network/if-up.d/promisc <<EOF
#!/bin/bash
/sbin/ip link set enp1s0 promisc on
/sbin/ip link set enp2s0 promisc on
EOF
chmod +x /etc/network/if-up.d/promisc

我曾经因为忘记这个步骤，折腾了两小时找不到问题所在。特别是在使用Ubuntu 20.04+版本时，NetworkManager的默认配置会覆盖这个设置，所以必须通过if-up.d脚本持久化。

3.2 配置Docker网络

创建macvlan网络时，子网规划需要特别注意不要与现有网络冲突。我的配置示例：

bash复制docker network create -d macvlan \
  --subnet=192.168.10.0/24 \
  --gateway=192.168.10.1 \
  -o parent=enp2s0 \
  maclan

这里有几个经验值分享：

• 子网建议使用192.168.x.0/24这类常见私网段
• 网关地址最好设为.x.1方便记忆
• parent参数必须指定正确的物理网口

4. OpenWRT容器部署

4.1 镜像选择与初始化

经过多次测试，我发现sulinggg/openwrt镜像的兼容性最好。启动容器时需要特别注意privileged权限：

bash复制docker run --restart always \
  --name openwrt \
  -d \
  --network maclan \
  --privileged \
  --ip 192.168.10.2 \
  -v /path/to/network:/etc/config/network \
  sulinggg/openwrt:x86_64 \
  /sbin/init

首次启动后，记得立即修改默认密码：

bash复制docker exec -it openwrt passwd

4.2 网络配置文件详解

这是最核心的配置文件示例（/etc/config/network）：

text复制config interface 'loopback'
    option ifname 'lo'
    option proto 'static'
    option ipaddr '127.0.0.1'
    option netmask '255.0.0.0'

config device
    option name 'br-lan'
    option type 'bridge'
    list ports 'eth0'

config interface 'lan'
    option ifname 'br-lan'
    option proto 'static'
    option ipaddr '192.168.10.2'
    option netmask '255.255.255.0'
    option ip6assign '60'

config interface 'wan'
    option ifname 'eth1'
    option proto 'dhcp'
    option gateway '172.17.0.1'
    option dns '8.8.8.8 8.8.4.4'

关键点说明：

• br-lan桥接eth0作为LAN口
• WAN口使用docker0网段的DHCP（172.17.0.1是docker默认网关）
• 静态IP需要与macvlan子网匹配

5. 网络调试与优化

5.1 常见问题排查

如果遇到网络不通，建议按照以下顺序检查：

1. 确认容器内能ping通docker网关（172.17.0.1）
2. 检查宿主机到外网的路由是否通畅
3. 验证iptables转发规则
4. 测试DNS解析是否正常

这是我常用的诊断命令组合：

bash复制# 检查容器网络
docker exec -it openwrt ping -c 4 172.17.0.1

# 检查宿主机转发
iptables -t nat -L -n -v

# 临时添加转发规则
iptables -A FORWARD -i docker0 -o enp1s0 -j ACCEPT
iptables -A FORWARD -i enp1s0 -o docker0 -j ACCEPT

5.2 性能优化技巧

经过三个月实际使用，我总结出这些优化建议：

1. 限制容器内存使用（--memory 512m）
2. 启用BBR拥塞控制
3. 定期清理docker日志
4. 使用adguardhome等轻量级DNS服务

内存限制示例：

bash复制docker update --memory 512m --memory-swap 1g openwrt

6. 进阶应用场景

6.1 多租户网络隔离

利用Docker的网络特性，可以轻松实现VLAN隔离。比如创建多个macvlan网络：

bash复制docker network create -d macvlan \
  --subnet=192.168.20.0/24 \
  -o parent=enp2s0 \
  vlan20

然后在OpenWRT中配置多个LAN接口，分别绑定不同VLAN。我在家庭办公室就用这个方案实现了IoT设备隔离。

6.2 与宿主机服务整合

一个有趣的用法是让宿主机服务通过macvlan网络暴露。比如部署一个Nginx容器：

bash复制docker run -d --network maclan --ip 192.168.10.3 nginx

这样内网设备就能直接通过192.168.10.3访问，完全绕过了端口映射的复杂性。

7. 安全注意事项

长期运行需要注意这些安全实践：

1. 定期更新OpenWRT镜像
2. 修改默认SSH端口
3. 启用防火墙规则
4. 禁用不必要的服务

特别是UPnP服务，建议在/etc/config/upnp中关闭：

text复制config upnpd
    option enabled '0'

我在初期就因为没有关闭这个服务，导致内网设备被暴露在公网。后来通过定期安全扫描才发现这个问题。