虽然标题是这么说,但实际上这个op更像是作为一个防火墙的角色,但又不是串在网络之中的,是一个旁路由
并且依然使用主路由作为网关,dns,dhcp,哪怕这个op宕机了也不会对网络造成任何影响,并且实现了异地组网的需求

众所周知,op没有ap模式,按本文的操作,将会给op分配两个ip,一个用于局域网访问,一个用于从主路由直接DMZ(转发所有WAN的端口的流量到这个ip)

假设你使用的网段是 192.168.100.0 ,并且子网掩码是 255.255.255.0 ,也就是 192.168.100.0/24 这个网段

首先先到 网络 -> 接口 编辑lan,
设置一个用于访问op的固定ip地址,比如 192.168.100.253
子网掩码设置为 255.255.255.0,
网关空着,
改成DHCP模式
切换到 高级设置 的标签,沃点设置为50,保存应用

如果是做ap的,直接删掉所有wan就完成了,如果你需要一个wan ip来给上级DMZ用,当防火墙映射端口,那就
用nmap扫一下局域网的80端口或是看上级路由的dhcp列表,找到ip去访问op,网络 -> 接口 编辑wan,
设置一个用于DMZ的固定ip地址,比如 192.168.252.1
子网掩码设置为 255.255.0.0,
网关设置为主路由,
切换到 高级设置 的标签,沃点设置为5,保存应用
然后去主路由添加一条静态路由,比如H3C就这样添加

ip route-static 192.168.252.0 255.255.255.0 192.168.100.253

网络 -> 防火墙,进行以下配置:
SYN防御 关
丢弃无用数据包 开
启用Fullcore-NAT 关
入站,出站,转发 接受

区域(如果使用wg等异地组网,将接口归到vpn防火墙区里)

网络区域入站数据出站数据转发IP动态伪装MSS钳制
LAN到其他区域接受接受丢弃
WAN到其他区域丢弃接受丢弃
vpn到其他区域接受接受接受

编辑区域LAN,在允许转发到和允许从转发上勾选vpn(如果不需要组网就不做这步)

切换到端口转发的标签,添加一条任意端口转到lan口的ip的80,用于在关闭lan口arp后从wan口的ip访问后台

系统 -> 启动项 中,在exit 0前加上ip link set arp off br-lan,关掉lan口的arp
以上的配置后,所有的流量都将由wan口收发(端口转发时),lan口的ip就单纯是用来访问后台设置和ssh的了(需要主路由上添加静态arp)

然后就可以在服务中启用upnp,在 防火墙 -> 端口转发 中从wan转发到lan实现端口转发了