有没有什么通过同一个无线路由或者 AP 的 VLAN+不同 SSID 区分内外网的方式？

我是用 ip 来区分的。192.168.2.0/25 直连。

在用的软路由 openwrt 系统 passwall 插件支持

@xgfan 这样的话是手动设置设备 IP 嘛？网关端怎么设置的？通过防火墙吗？

@iqingqian 好，感谢！我去看看。我看网上有一套 Ubnt 全家桶方案，但是我家房子小，媳妇又有强迫症不让摆一堆设备。我知道商用级的设备是肯定可以做到的，但是就是想控制下成本。方案最多最多一个软路由+一个交换机+一个 AP 或者一个软路由+一个无线路由

爱快 ACL 规则

软路由的几个科学上网插件基本上都可以对不同设备进行分流。
如果不想换主路由的话也可以加个 openwrt 的旁路由，插件都在旁路由上运行，需要的设备手动将 dns 指向旁路由。这样的话就算旁路由炸了也不会影响没修改 dns 的设备。

所有商用无线 AP 都支持的，到手不会用再查。

目前我用的一台 mikrotik 和 群晖 920+ 跑 openwrt ，mikrotik 上面最 dhcp option 让要科学的设备网关和 dns 指向 openwrt ，其他一律默认。

如果楼主是 路由+软路由+AP 最快的方法就是这样搞，一劳永逸。

假设是只有软路由，那只有一个网关的情况下，直接用科学插件上白名单把要科学的设备加进去也可以。

没必要搞什么 vlan 这些那么复杂。

我的便宜方案
AP 用现成闲置电信每年续费送的路由器开 AP 模式。
ROS 软路由，主要负责拨号，DHCP ，策略路由等。
DHCP lease 默认给访客用单独一个 C 段，IOT 和自己设备各一个 C 段，都有 mac ，家人 DHCP 无感，自己的 static 设置一遍也是一劳永逸，配合 DHCP option 设置旁路网关和 DNS 即可。

这样 AP 上来的 就是同个 SSID ，多个 SSID 都行

访客网络，内部网络隔离

设备 DHCP 分配固定 IP ，根据 IP 做策略即可

只用一台路由就解决问题的话，华硕或者任何可以刷 openwrt 的无线路由器都可，科学插件本身就支持。缺点就是折腾的时候会影响其他人。

两台路由的话，旁路由网关是最佳解，瞎折腾也不会影响其他人。

@xgfan 你好 你后面的 25 是啥意思？

OPENWRT 生成多个接口，大部分情况都用正常的 192.168 网段，自己再开一个热点，桥接一个有线口，连接这两个的设备专门有一个 IP 段，然后路由器上面的魔法全局代理这个网段的流量。

UBNT 之类的商用设备，都支持不同的 SSID 绑定不同的 VLAN 。

我是直接猫拨号开路由模式带两个路由器，一个自己用，一个家人用，dmz 设置到自己，也不太影响 nat,

@iyg429 子网掩码，就是把直连设备的 ip 分在 192.168.2.2-192.168.2.127 之内。

ubnt 和 爱快的 AP 都可以，两者都可以用虚拟机装软控制器。

假设你的翻墙实在现有的无线路由器上做的。那就再淘一个无线路由器，

光猫----无线路由器（新淘）-----无线路由器（现有）

老婆的手机就专门连第一个路由器就好了。

其实没必要。我家随便一个手机都可以上外网，但是来的人都不知道，知道了也不知道关键字是什么，怎么搜。

@Tianao 好 谢谢