有无懂计算机网络的 V 友，问一个单臂旁网关（N1 盒子）端口转发的问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 987 天前的主题，其中的信息可能已经有所发展或是发生改变。

网络拓扑图如下，N1 盒子里是 openwrt HG9hF7YAQlZP32e

我的目的是，通过公网 IP 11.22.33.44:55900 访问我内网的电脑 B 上的 apple vnc （端口是 5900 ）

但是现在的情况是：

通过电脑 C ，11.22.33.44:55900 ，可以连接
通过电脑 C ，192.168.1.1:55900 ，可以连接
通过电脑 A ，11.22.33.44:55900 ，无法连接，但是 telnet 可以连上去
通过电脑 A ，192.168.1.4:55900 ，无法连接，telnet 连接不上去
通过电脑 D ，11.22.33.44:55900 ，无法连接，但是 telnet 可以连上去
通过电脑 D ，192.168.1.4:55900 ，无法连接，telnet 连接不上去

如果我在主路由里面的端口映射改成 55900->192.168.1.5:5900, 也就是说，不走两次端口转发，只走一次主路由的端口转发，那么，出现的症状仍然和上面 1-6 一样

我觉得问题不在 N1 的端口转发，N1 的端口转发功能是正常的。

是不是我这个网络拓扑逻辑有什么问题？

但是网上也可看到有人这么配置是成功的，例如 https://www.youtube.com/watch?v=GP1ot3oQCaE

这是 openwrt 的详细配置：

xLYpW7Tje9zlkJ6

xQ47oJqb8yTDXPm

9c1MrqtRHyECeTk

第 1 条附言 · 2022-03-13 19:29:13 +08:00

不好意思，拓扑图画得有点问题，是这样的：（电脑 B 是连接到主路由的 LAN 口，网关和 DNS 设置成 N1 ）

![5Z4xQgY93F7TShf]( https://s2.loli.net/2022/03/13/5Z4xQgY93F7TShf.png)

11.22.33.44

端口

telnet

连接

15 条回复 • 2024-01-31 03:17:05 +08:00

pagxir

2022-03-13 19:28:08 +08:00 via Android

那是你入向路由没配置吧。

pagxir

2022-03-13 19:32:46 +08:00 via Android

A 连 192.168.1.4:55900 ，经过 N 转发，发出去的报文 B 能收到。但是 B 发给 A 的报文，是不经过 N1 的，所以 A 能收到但协议栈不认，因为状态表没有。

movq

2022-03-13 19:35:06 +08:00

@pagxir 那请问这种情况要怎么配置呢

pagxir

2022-03-13 19:47:50 +08:00 via Android

方法一：主路由入向开启 SNAT
方法二：通过子网划分，将 b ，c 跟主网隔离，划分到单独子网。
方法三：主路由上设置静态 mac 表，将 b ，c 的 IP 绑成 n1 的 mac 。

ochatokori

2022-03-13 19:47:59 +08:00 via Android

同一个段不用旁路转发，主路由直接转去 B 。
试试在主路由上绑定一下 BC 的 macip ？

snownarrow

2022-03-13 19:48:27 +08:00

1 、可以 ssh 到 N1 上,用 tcpdump 抓包看看转发情况，(tcpdump -i any -nn port 55900 or port 5900),然后挨个进行访问测试，看看转发情况
2 、4 和 6 的测试是无效测试，应该 telne 测试要改为 192.168.1.4:5900 ，看看 B 主机上有没有防火墙限制

pagxir

2022-03-13 19:53:28 +08:00 via Android

也可以试试把 N1 的 Nat 关闭。