V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
OpenWrt 是一个专门面向嵌入式设备的 Linux 发行版。你可以将 OpenWrt 支持的型号的嵌入式设备,比如各种路由器上的系统,换成一个有更多可能性可以折腾的 Linux 系统。
OpenWrt 官方网站
phpfpm
V2EX  ›  OpenWrt

OPENWRT 实现跨网段访问的问题解决,求解惑

  •  
  •   phpfpm · 2022-05-17 13:09:29 +08:00 · 3905 次点击
    这是一个创建于 922 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前是纯属知其然不知其所以然的状态,特求答疑解惑。

    1. IP 动态伪装和 MSS 钳制到底是干啥的?参考文档:OpenWrt 设置静态路由实现跨网段访问
    2. 我以下的方案 2 是做这件事情的最佳实践吗?
    3. openwrt 的防火墙区域到底是做什么的?看起来也有转发和 NAT 的作用?
    4. 接口配置和不配置网关影响 default 路由?——就是一个接口如果不写默认网关,那么这个接口是不是就不会生成 default 路由?如果多个接口都写了默认网关,那么就会生成多个 default 的路由?

    问题和解决方案

    问题

    之前的提问:

    https://www.v2ex.com/t/852993

    OPENWRT 的某个接口接入了另外一个子网,用 DHCP/STATIC 的方式获取 ip 地址之后,OP 本身可以直接访问子网,但是 OPENWRT 作为 br-lan 下的其他设备无法访问这个子网

    网络拓扑

    OP 的 ETH1 连接光猫的 LAN1 ,新建 pppoe-wan 接口拨号。

    光猫关闭自身的 DHCP ,设备可以连接光猫的 LAN1~LAN4 ,用 STATIC 的方式获取 IP 。 光猫 IP:192.168.1.1

    原解决方案 1:MAN 划入 WAN 接口,设置跃点

    新建 MAN 接口:

    1. 协议:静态地址
    2. IPV4 地址:192.168.1.10
    3. 子网掩码:255.255.255.0
    4. 网关:192.168.1.1

    MAN 接口的防火墙设置

    区域选择WAN

    MAN 接口的高级设置

    网关跃点选择 99

    此种方案的路由表

    有两个默认路由,其中走 192.168.1.1 的默认路由的 metric 是 99 ,优先级较低,公网流量不会走这个出去。

    解决方案 2:把 MAN 接口划入防火墙的 MAN 区域

    新建 MAN 接口:

    1. 协议:静态地址
    2. IPV4 地址:192.168.1.10
    3. 子网掩码:255.255.255.0
    4. 网关:空着,不写
    5. 网关跃点:不写

    MAN 接口的防火墙设置

    区域选择MAN,新建一个 MAN 防火墙区域

    MAN 防火墙的设置

    照抄 WAN 的设置。

    1. 入站,出站:允许;转发:拒绝
    2. IP 动态伪装:启用
    3. MSS 钳制:启用
    4. 覆盖接口:只选择 man 接口
    5. 端口触发:允许转发到目标区域 都不选;允许从源区域转发:只选 lan

    此种方案的路由表

    默认路由只有 pppoe-wan 的路由

    phpfpm
        1
    phpfpm  
    OP
       2022-05-17 18:18:48 +08:00
    MSS 钳制:启用

    这个如果不是 pppoe ,似乎不是必选的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   873 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 20:56 · PVG 04:56 · LAX 12:56 · JFK 15:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.