设为首页收藏本站

简体中文 繁體中文 English 日本語 Deutsch 한국 사람 بالعربية TÜRKÇE português คนไทย

切换到窄版

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
恩山无线论坛»论坛 无线设备软件相关板块 OPENWRT专版 请教openwrt里的OPEN-V-PN转发问题
广告投放联系QQ68610888
返回列表 发新帖
查看: 3299|回复: 22

请教openwrt里的OPEN-V-PN转发问题

[复制链接]
gua***
发表于 2017-7-23 12:42 | 显示全部楼层 |阅读模式
网络结构图如下:

情况说明:
1、OPEN-V-PN服务器使用centos搭建,有公网IP,虚拟IP为:10.8.0.1
2、OPEN-V-PN客户端1使用K2 openwrt搭建,通过LAN口连接在网关下,禁用了WAN口,虚拟IP:10.8.0.2,在网关1做了静态路由,访问10.100.1.0/24通过192.168.1.2;
3、OPEN-V-PN客户端2使用centos搭建,无公网IP,虚拟IP:10.8.0.3,在网关2做了静态路由,访问192.168.1.0/24通过10.100.1.2;


现状:
1、OPEN-V-PN客户端1、客户端2都可以与OPEN-V-PN服务器连接上,10.8.0.1/2/3互ping都通;
2、PC1:192.168.1.3能访问10.100.1.0/24所有的机器;
3、已经将K2 openwrt里的IP转发功能打开,即net.ipv4.ip_forward = 1,并在iptables规则里做了地址伪装,规则如下:
iptables -I FORWARD -obr-lan -j ACCEPT #允许br-lan端口流量被转发
iptables -I FORWARD -o tun0 -j ACCEPT #允许tun0端口流量被转发
iptables -t nat -I POSTROUTING -o tun0 -j MASQUERADE #tun0出口的流量SNAT出去

4、PC2:10.100.1.3只能ping通192.168.1.2和10.8.0.2,ping不通192.168.1.0/24里的其它机器;
5、如果将K2替换为centos搭建的OPEN-V-PN客户端,则PC2:10.100.1.3可以能访问192.168.1.0/24所有的机器;
百思不得其解,请各位大神指点一二,非常感谢!






openwrt nat转发, openwrt udp转发

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

相关帖子

我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2017-7-23 13:45 | 显示全部楼层

不通的话用traceroute查,结果发上来

本帖最后由 stevemorrislian 于 2017-7-23 13:46 编辑

如果用静态路由:在10.8.0.1机器上要加10.100.1.0/24指向10.8.0.3;192.168.1.0/24指向10.8.0.2. 如果动态路由,当我没说

点评

guangzi
在10.8.0.1机器有到10.100.1.0/24的路由,在10.8.0.1上可以ping通10.8.0.3; 192.168.1.0/24能ping通10.8.0.2。  详情 回复 发表于 2017-7-23 14:49
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2017-7-23 13:48 | 显示全部楼层
traceroute(pc上是tracert命令)查,结果发出来看看

点评

guangzi
从10.100.1.2上tracert192.168.1.10的结果: [attachimg]172095[/attachimg] 可以看出来,从10.100.1.2到192.168.1.2之间是没问题的, 我觉得问题是不是openwrt没把10.8.0.0/24的地址伪装成192.168.1.0/24从br-l  详情 回复 发表于 2017-7-23 14:59
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

gua***
 楼主| 发表于 2017-7-23 14:49 | 显示全部楼层
stevemorrislian 发表于 2017-7-23 13:45
如果用静态路由:在10.8.0.1机器上要加10.100.1.0/24指向10.8.0.3;192.168.1.0/24指向10.8.0.2. 如果动态路 ...

在10.8.0.1机器有到10.100.1.0/24的路由,在10.8.0.1上可以ping通10.8.0.3;
192.168.1.0/24能ping通10.8.0.2。

点评

stevemorrislian
traceroute 两个方向都要做。尤其是在nat的地方要注意,因为地址会变或者不变  发表于 2017-7-24 20:24
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

gua***
 楼主| 发表于 2017-7-23 14:59 | 显示全部楼层
本帖最后由 guangzi 于 2017-7-23 15:03 编辑
stevemorrislian 发表于 2017-7-23 13:48
traceroute(pc上是tracert命令)查,结果发出来看看

从10.100.1.2上tracert192.168.1.10的结果:


可以看出来,从10.100.1.2到192.168.1.2之间是没问题的, 我觉得问题是不是openwrt没把10.8.0.0/24的地址伪装成192.168.1.0/24从br-lan口出去。同样的网络环境,只要把openwrt换成了centos客户端,问题立马就解决了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

点评

stevemorrislian
加了以后还是这样吗?  详情 回复 发表于 2017-7-24 20:17
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

wolo***
发表于 2017-7-23 15:39 来自手机 | 显示全部楼层
单独将k2的openvirtual**连接的防火墙设置为独立zone,这个zone开始转发,关闭伪装

点评

guangzi
你刷的是什么版本固件,我刷的固件没有设置防火墙的选项。 我刷的固件是:PandoraBox-ralink-mt7620-phicomm-k2-2017-01-03-git-6c24a7a-squashfs-sysupgrade.bin  详情 回复 发表于 2017-7-23 15:46
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

gua***
 楼主| 发表于 2017-7-23 15:46 | 显示全部楼层
wolong_gl 发表于 2017-7-23 15:39
单独将k2的openvirtual**连接的防火墙设置为独立zone,这个zone开始转发,关闭伪装

你刷的是什么版本固件,我刷的固件没有设置防火墙的选项。
我刷的固件是:PandoraBox-ralink-mt7620-phicomm-k2-2017-01-03-git-6c24a7a-squashfs-sysupgrade.bin
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

wolo***
发表于 2017-7-23 15:51 来自手机 | 显示全部楼层
openwrt类型路由器防火墙配置界面必有吧

点评

guangzi
我刷的版本没有防火墙的配置界面。  详情 回复 发表于 2017-7-23 19:38
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

gua***
 楼主| 发表于 2017-7-23 19:38 | 显示全部楼层
wolong_gl 发表于 2017-7-23 15:51
openwrt类型路由器防火墙配置界面必有吧

我刷的版本没有防火墙的配置界面。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2017-7-23 23:14 来自手机 | 显示全部楼层
本帖最后由 huaxie1988 于 2017-7-23 23:18 编辑

你都做nat了。肯定不能直接访问nat内的啊

点评

guangzi
openwrt那端没有公网IP,做nat从外面访问不进来啊。  详情 回复 发表于 2017-7-24 13:24
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2017-7-23 23:22 来自手机 | 显示全部楼层
要不做端口映射,要不就取消nat
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

gua***
 楼主| 发表于 2017-7-24 13:24 | 显示全部楼层
huaxie1988 发表于 2017-7-23 23:14
你都做nat了。肯定不能直接访问nat内的啊

openwrt那端没有公网IP,做nat从外面访问不进来啊。
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2017-7-24 20:17 | 显示全部楼层
guangzi 发表于 2017-7-23 14:59
从10.100.1.2上tracert192.168.1.10的结果:

加了以后还是这样吗?
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

发表于 2017-7-24 20:28 | 显示全部楼层
192.168.1.2和192.168.1.3之间,是可以直接通,也可能进过192.168.1.1做了nat后才通。所以必须有静态路由,并在某些情况下(目标10.0.0.0/8时)去掉nat地址转换

点评

guangzi
方便私信下联系方式吗?  详情 回复 发表于 2017-7-26 17:27
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

gua***
 楼主| 发表于 2017-7-26 17:27 | 显示全部楼层
stevemorrislian 发表于 2017-7-24 20:28
192.168.1.2和192.168.1.3之间,是可以直接通,也可能进过192.168.1.1做了nat后才通。所以必须有静态路由, ...

方便私信下联系方式吗?

点评

stevemorrislian
可以用facebook  发表于 2017-7-26 20:32
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2024-4-26 02:55

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com 举报电话:0519-86695797

快速回复 返回顶部 返回列表