Home Sign Up Sign In
• 请不要在回答技术问题时复制粘贴 AI 生成的内容
movq
V2EX  ›  程序员

有无懂计算机网络的 V 友,问一个单臂旁网关(N1 盒子)端口转发的问题

  •   
  •   movq · Mar 13, 2022 · 3752 views
    This topic created in 1555 days ago, the information mentioned may be changed or developed.

    网络拓扑图如下,N1 盒子里是 openwrt HG9hF7YAQlZP32e

    我的目的是,通过公网 IP 11.22.33.44:55900 访问我内网的电脑 B 上的 apple vnc (端口是 5900 )

    但是现在的情况是:

    1. 通过电脑 C ,11.22.33.44:55900 ,可以连接
    2. 通过电脑 C ,192.168.1.1:55900 ,可以连接
    3. 通过电脑 A ,11.22.33.44:55900 ,无法连接,但是 telnet 可以连上去
    4. 通过电脑 A ,192.168.1.4:55900 ,无法连接,telnet 连接不上去
    5. 通过电脑 D ,11.22.33.44:55900 ,无法连接,但是 telnet 可以连上去
    6. 通过电脑 D ,192.168.1.4:55900 ,无法连接,telnet 连接不上去

    如果我在主路由里面的端口映射改成 55900->192.168.1.5:5900, 也就是说,不走两次端口转发,只走一次主路由的端口转发,那么,出现的症状仍然和上面 1-6 一样

    我觉得问题不在 N1 的端口转发,N1 的端口转发功能是正常的。

    是不是我这个网络拓扑逻辑有什么问题?

    但是网上也可看到有人这么配置是成功的,例如 https://www.youtube.com/watch?v=GP1ot3oQCaE

    这是 openwrt 的详细配置:

    xLYpW7Tje9zlkJ6

    xQ47oJqb8yTDXPm

    9c1MrqtRHyECeTk

    Supplement 1  ·  Mar 13, 2022
    不好意思,拓扑图画得有点问题,是这样的:(电脑 B 是连接到主路由的 LAN 口,网关和 DNS 设置成 N1 )

    ![5Z4xQgY93F7TShf]( https://s2.loli.net/2022/03/13/5Z4xQgY93F7TShf.png)
  • 11.22.33.44
  • 端口
  • telnet
  • 连接
    15 replies    2024-01-31 03:17:05 +08:00
    pagxir
        1
    pagxir  
       Mar 13, 2022 via Android
    那是你入向路由没配置吧。
    pagxir
        2
    pagxir  
       Mar 13, 2022 via Android
    A 连 192.168.1.4:55900 ,经过 N 转发,发出去的报文 B 能收到。但是 B 发给 A 的报文,是不经过 N1 的,所以 A 能收到但协议栈不认,因为状态表没有。
    movq
        3
    movq  
    OP
       Mar 13, 2022
    @pagxir 那请问这种情况要怎么配置呢
    pagxir
        4
    pagxir  
       Mar 13, 2022 via Android
    方法一:主路由入向开启 SNAT
    方法二:通过子网划分,将 b ,c 跟主网隔离,划分到单独子网。
    方法三:主路由上设置静态 mac 表,将 b ,c 的 IP 绑成 n1 的 mac 。
    ochatokori
        5
    ochatokori  
       Mar 13, 2022 via Android
    同一个段不用旁路转发,主路由直接转去 B 。
    试试在主路由上绑定一下 BC 的 macip ?
    snownarrow
        6
    snownarrow  
       Mar 13, 2022
    1 、可以 ssh 到 N1 上,用 tcpdump 抓包看看转发情况,(tcpdump -i any -nn port 55900 or port 5900),然后挨个进行访问测试,看看转发情况
    2 、4 和 6 的测试是无效测试,应该 telne 测试要改为 192.168.1.4:5900 ,看看 B 主机上有没有防火墙限制
    pagxir
        7
    pagxir  
       Mar 13, 2022 via Android
    也可以试试把 N1 的 Nat 关闭。
    bao3
        8
    bao3  
       Mar 14, 2022 via iPhone
    单臂路由是双向的不对称的,上面有朋友已经解释,你可以尝试取消 LAN 的 NAT 。
    movq
        9
    movq  
    OP
       Mar 14, 2022
    @pagxir
    @bao3

    我的 N1 盒子是用来做代理的( clash ),

    然后我试了下,用 /etc/init.d/firewall disable 命令关掉防火墙,问题仍然存在,不知道这个是为什么
    movq
        10
    movq  
    OP
       Mar 14, 2022
    #4 请问“将 b ,c 的 IP 绑成 n1 的 mac ”这个是什么意思?设置“IP 与 MAC 绑定”?一个 mac 地址 我测试不能绑定多个 IP
    #5 @snownarrow 我上面 4 和 6 写错了,是测试 192.168.1.1:55900 。B 主机本身没有防火墙限制的问题。
    ResidualBlood
        11
    ResidualBlood  
       Mar 14, 2022
    电脑 ABC 都连主路由, 网关 DNS 都写 N1 的 IP
    ( 最好别用 N1 的 WIFI )
    主路由正常设置转发
    (如果不好使,试试关闭主路由防火墙)
    (有公网,有 N1,不如用 ZeroTier,连端口转发都不用开)
    如果你用 ddns 域名访问的,检查域名是不是走了代理
    snoopygao
        12
    snoopygao  
       Mar 14, 2022
    N1 的 LAN 网段不能和第一台路由器一样,改一个网段
    plko345
        13
    plko345  
       Mar 14, 2022 via Android
    防火墙先关了试试看
    cooldaddy
        14
    cooldaddy  
       Mar 21, 2022 via Android
    非对称路由造成的,你旁路由加上两组 masquerade 吧,去 b/c 和来自 b/c 都加上,应该就可以解决
    Jimmyisme
        15
    Jimmyisme  
       Jan 31, 2024
    lz 是如何解决的?头都要秃了🤮
    About   ·   Help   ·   Advertise   ·   Blog   ·   API   ·   FAQ   ·   Solana   ·   3721 Online   Highest 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 56ms · UTC 05:04 · PVG 13:04 · LAX 22:04 · JFK 01:04
    ♥ Do have faith in what you're doing.