OpenWrt 纯无线隔离网络配置 (Pure Wireless Isolated LAN)本指南记录了在 OpenWrt 系统上创建一个完全独立、仅通过 Wi-Fi 访问、且与主网络 (LAN) 及外网 (WAN) 彻底物理/逻辑隔离的局域网配置全过程。目标实现纯无线接入不占用任何物理网口如 lan1, lan2。独立 IP 段拥有独立的网段如192.168.5.x及 DHCP 服务。彻底隔离无法 ping 通外网如114.114.114.114。无法 ping 通主局域网如192.168.1.x。可选隔离网络内的无线设备之间也无法互相通信。️ 配置步骤1. 创建虚拟网桥 (Bridge)为了实现纯无线接入需要先建立一个没有任何物理端口的空网桥。路径网络-接口-设备操作添加新设备配置类型选择网桥 (Bridge)。命名br-isolated网桥端口留空绝对不要勾选现有物理网口。勾选“允许启动空网桥”。2. 创建隔离接口 (Interface)建立网络层面的接口并配置静态 IP。路径网络-接口-添加新接口名称ISOLATED协议静态地址 (Static address)设备选择上一步创建的br-isolated。IP 设置IPv4 地址192.168.5.1(自定义独立网段网关)IPv4 子网掩码255.255.255.0IPv4 网关留空(防坑点LuCI 界面有时会默认填入 wwan 等上游网关必须清空否则会破坏隔离)。3. 配置 DHCP 服务器 (重点踩坑区)在ISOLATED接口配置页面的底部开启 DHCP 服务器。常规设置确认“启动”与“客户数”分配合理如起步100数量150取消勾选“忽略此接口”。⚠️ 核心避坑无 IP 分配的元凶部分 OpenWrt 版本的 Web 界面会隐藏DHCPv4 服务的启用开关导致配置文件中缺失关键标识最终客户端只能拿到169.254.x.x的无效地址。修复方法在系统终端执行ucisetdhcp.ISOLATED.dhcpv4serveruci commit dhcp /etc/init.d/dnsmasq restart4. 绑定无线接入点 (Wi-Fi)创建一个专门用于该隔离网络的 SSID。路径网络-无线- 添加或编辑对应频段的 AP。网络 (Network) 选项仅勾选ISOLATED绝对不能勾选lan或wan。5. 防火墙区域隔离 (Firewall)如果没有分配防火墙区域DHCP 广播UDP 67/68会被默认规则拦截导致无法获取 IP。路径网络-防火墙-区域-新增配置参数名称isolated_zone入站数据 (Input)接受 (Accept)(允许客户端访问路由器的 DHCP/DNS 服务)出站数据 (Output)接受 (Accept)转发 (Forward)拒绝 (Reject)(阻断跨网段访问)已覆盖的网络勾选ISOLATED允许转发到目标区域全不选(隔离主网络和外网的核心)进阶控制若希望连接到该 Wi-Fi 的多台设备之间也无法互相访问AP 隔离在区域设置中将“区域内转发”设为拒绝 (Reject)。 常见故障排查 (Troubleshooting)Q1: 连接 Wi-Fi 后获取到169.254.x.x的地址排查 1 (网桥绑定)SSH 运行brctl show br-isolated确认输出中包含了无线接口如phy1-ap1。排查 2 (DHCP 配置)查看/etc/config/dhcp确认config dhcp ISOLATED段落中存在option dhcpv4 server。排查 3 (防火墙拦截)确认ISOLATED接口已正确关联到防火墙区域且入站规则未阻挡 UDP 67/68 端口。Q2: 隔离网络可以 ping 通外网或主路由检查ISOLATED接口的IPv4 网关是否真正留空。检查防火墙isolated_zone的转发到目标区域确保没有勾选wan或lan。