本文說明如何在 ImmortalWrt 上建立一個隔離的訪客 Wi-Fi,讓訪客可以正常上網,但無法存取主網路內的任何裝置。整體流程分為四個階段:新增無線頻譜 → 建立介面 → 設定防火牆 → 開通流量規則。
1. 新增無線頻譜
前往 網路 → 無線,可以看到目前的兩個頻段:
MT7986.1.1 當前頻段: 2.4G 工作模式: AP
MT7986.1.2 當前頻段: 5G 工作模式: AP
訪客 Wi-Fi 重視覆蓋範圍而非速度,因此只在 2.4G 欄位點擊「新增」。
進入新增設定頁面後,切換至「基本設定」頁籤,依序填寫:
- SSID:自訂訪客網路名稱(如
xixiguest) - 認證模式:選擇
WPA2PSK(最大相容性,避免部分裝置無法連線) - 加密方式:
AES - 密碼:自訂
切換至「HE 設定」頁籤,將下行/上行 OFDMA 及 MU-MIMO 全部啟用,否則連線速度會明顯偏慢。
完成後點擊「保存並應用」。此時在無線列表可看到新增的訪客介面(介面名稱通常為 ra1,後續步驟會用到)。
2. 新增介面
前往 網路 → 介面,點擊「添加新接口」,進入建立介面頁面:
- 名稱:
guest(或自訂,只能使用英數字與底線) - 協議:靜態地址
- 包含以下介面:選擇
ra1(可在無線頁面確認訪客介面的名稱)
點擊「提交」後即可進入介面設定。
3. 設定介面
提交後會自動跳回介面總覽,可看到新增的 GUESTWIFI 介面。點擊「修改」進入設定頁面。
基本設定
設定訪客網路的 IP 範圍,注意不能與現有網段衝突(如主路由 192.168.6.1、其他裝置 192.168.1.1、192.168.31.1 等):
- IPv4 地址:
192.168.13.1 - IPv4 子網掩碼:
255.255.255.0 - 自訂 DNS:
8.8.8.8(Google)及1.1.1.1(Cloudflare)
進階設定
切換至「進階設定」頁籤,勾選以下三項:
- 開機自動運行
- 使用內建的 IPv6 管理
- 強制鏈路
物理設定
切換至「物理設定」頁籤,介面選擇訪客 Wi-Fi 的介面名稱(ra1)。
防火牆設定
切換至「防火牆設定」頁籤,選擇「不指定或新建」,名稱輸入 guestwifi。
DHCP 伺服器
展開「DHCP 伺服器」區塊,點擊「啟用」:
基本設定:客戶數設為 50(依實際需求調整,最多 150)
進階設定:勾選「動態 DHCP」及「強制」
設定完成後點擊「保存」。
4. 防火牆
完成上述設定後雖然可以看到訪客 Wi-Fi,但連上後無法取得 IP,因為防火牆尚未開通。
前往 網路 → 防火牆,找到剛才新增的 guestwifi 區域,點擊「修改」:
- 入站資料:拒絕
- 出站資料:接受
- 轉發:拒絕
- 涵蓋的網路:勾選
guestwifi - 允許轉發到目標區域:勾選
wan
完成後點擊「保存並應用」。
防火牆流量規則
接著點選「流量規則」頁籤,分別新增 DNS 及 DHCP 兩條規則,讓訪客裝置能正常取得 IP 和解析網域。
guest dns:開放 TCP+UDP 埠口 53
在「打開路由器連接埠」區塊填入:名稱 guest dns、協議 TCP+UDP、外部連接埠 53,按「添加」。
添加後點擊該規則的「編輯」,確認來源區域為 guestwifi,目標域為「裝置(輸入)」,操作為「接受」。
guest dhcp:開放 UDP 埠口 67
同樣在「打開路由器連接埠」區塊填入:名稱 guest dhcp、協議 UDP、外部連接埠 67,按「添加」。
添加後同樣確認來源區域為 guestwifi,目標域為「裝置(輸入)」,操作為「接受」。
最後點擊「保存並應用」,訪客 Wi-Fi 應該就能正常上網了。
總結
如果連上訪客 Wi-Fi 後,分配到的 IP 不是 192.168.13.xxx 而是與主路由相同的 192.168.6.xxx,且仍能連上主路由管理介面,不需要緊張,重啟路由器即可。這個問題花了我整整 5 個小時才找到原因……
另外,設定路由器最好選在深夜進行,網路一斷全家哀嚎。