因為老媽工作室要開張了，先把庫存冷凍已久的R3P拿出來

雖然只有WiFi 5，但工作室的網路需求預估不大，外線就先拉條100M/40M頂著能用就好

所以快速記錄一下重新刷這一台的筆記。

以往R3P有一段時間都是沒有官方支援的，大多是大陸好心人士的自製版，當年我也是靠各種奇怪姿勢刷上。

如今發現現在OpenWRT官方直接支援R3P了，在之前有刷過非官方OpenWRT的R3P強烈建議先照官方指引刷回原版，再從原版factory image刷回去乾淨OpenWRT。

參考：https://openwrt.org/toh/xiaomi/mi_router_3_pro

當你刷回官方開發版後，解鎖後要透過ssh login進去做後續OpenWRT刷寫前置步驟時，你會遇到ssh client回報ssh server(R3P)的加密法不支援，是因為R3P小米官方的ssh server所採用的加密演算法在現今標準已經是老舊的方式。

可以參考這篇文章的正解，在ssh client端上重新支援先前的加密算法：https://unix.stackexchange.com/questions/340844/how-to-enable-diffie-hellman-group1-sha1-key-exchange-on-debian-8-0

因為方便日後我遠在異地而工作室網路有個三長兩短，我還可以有辦法透過Wireguard進去看看。參考此篇文章：https://victorbayas.com/posts/wireguard-server-openwrt

另外要統計一下負載，比較好在未來有問題時分析，請參考此篇方法一：https://blog.lckof.com/2023/08/07/display-cpu-temperature-in-openwrt/?highlight=openwrt

再來是原本想做出Guest SSID做隔離，但試了幾篇不確定哪裡出錯，但就是拿不到DHCP發的IP。於是問了DeepSeek，以下是正確可用的作法(OpenWRT 24.10.0版本)

通过 SSH 命令行配置

1. 修改无线配置文件

   vi /etc/config/wireless

   添加以下内容（示例）：

   config wifi-iface 'guest'
       option device 'radio0'          # 根据实际无线网卡修改
       option network 'guest'
       option mode 'ap'
       option ssid 'Guest-WiFi'
       option encryption 'sae-mixed'   # WPA3混合模式
       option key 'strongpassword123'
       option isolate '1'              # 启用客户端隔离

2. 创建访客网络接口
   编辑网络配置文件：

   vi /etc/config/network

   添加：

   config interface 'guest'
       option proto 'static'
       option ipaddr '192.168.2.1'     # 与主网络不同网段
       option netmask '255.255.255.0'

3. 配置 DHCP 服务

   vi /etc/config/dhcp

   添加：

   config dhcp 'guest'
       option interface 'guest'
       option start '100'
       option limit '150'
       option leasetime '1h'

4. 设置防火墙规则

   vi /etc/config/firewall

   添加：

   config zone
       option name 'guest'
       option network 'guest'
       option input 'REJECT'
       option output 'ACCEPT'
       option forward 'REJECT'
   
   config forwarding
       option src 'guest'
       option dest 'wan'
   
   config rule
       option name 'Block Guest to LAN'
       option src 'guest'
       option dest 'lan'
       option target 'REJECT'

   重启服务生效

   service network restart

   service firewall restart

   service dnsmasq restart

   
   确保允许 DHCP 请求
   
   6. 访客网络需要允许 DHCP 流量（UDP 67/68 端口）。检查 /etc/config/firewall：

   vi /etc/config/firewall

   在 guest 区域中添加以下规则：

   # 允许 DHCP 请求
   config rule
       option name 'Allow Guest DHCP'
       option src 'guest'
       option proto 'udp'
       option dest_port '67-68'
       option target 'ACCEPT'
   
   # 允许 DNS 请求（可选）
   config rule
       option name 'Allow Guest DNS'
       option src 'guest'
       option proto 'udp'
       option dest_port '53'
       option target 'ACCEPT'

   重启防火墙：

   service firewall restart