指向旁路由网关后的远程访问

z55***

各位大佬，你们好:

      
          如上图所示，光猫桥接模式，小米路由器（BE3600）拨号后，用神雕的盒子做了旁路由（盒子无DHCP、端口转发等功能），群晖NAS指向旁路由网关后无法端口转发远程访问了，请教大佬如何解决？感谢。

z55***

网络图如下，我自己看不到粘贴的图片，再上传一次。

ca97***

方案1，继续找原因。方案2，神雕的盒子装zerotier等虚拟局域网软件，在外面就可以访问所有的家里设备，因为是加密连接，也比较安全

z55***

ca972008 发表于 2024-4-9 14:31
方案1，继续找原因。方案2，神雕的盒子装zerotier等虚拟局域网软件，在外面就可以访问所有的家里设备，因为 ...

我有V4公网，不可能再去使用内网穿透的，所以方案2行不通

ca97***

公网的话，开放端口反而没那么安全

jj***

刷的是海纳思吗，利用socat来转发：https://cloud.tencent.com/developer/article/1852195
主路由里端口转发到盒子IP，再socat转发到 NAS

细***

没有用过旁路由
不过看起来是以下的原因导致的
数据包进入主路由>进入NAS（源IP为31.1，目标IP为31.245）>进入旁路由（源IP为31.245，目标IP为31.46）>返回给主路由（源IP为31.46，目标IP为31.1，主路由开始是发给31.245的，但是收到的是31.46的数据包，所以丢弃数据包了）
可以在旁路由防火墙添加规则试试

1. iptables -t nat -I POSTROUTING -o br-lan -s 192.168.31.245/32 -d 192.168.31.1/32 -p tcp --dport NAS端口 -j SNAT --to-source 192.168.31.46

复制代码

z55***

ca972008 发表于 2024-4-9 14:41
公网的话，开放端口反而没那么安全

确实，但是DDNS的使用真的很方便，内网穿透永远快不过公网。

ca97***

谁说的，建立连接后就是直连，能跑满内网的上行带宽。

z55***

jjit 发表于 2024-4-9 14:49
刷的是海纳思吗，利用socat来转发：https://cloud.tencent.com/developer/article/1852195
主路由里端口转 ...

我看了，我的端口很多，利用cocat不适合，看到下面的评论说Lucky好用，但是看他的介绍是用公网V6映射内网V4，我本来就是公网V4，所以如果在使用的话就多此一举了。。。

z55***

细佬成v 发表于 2024-4-9 14:51
没有用过旁路由
不过看起来是以下的原因导致的
数据包进入主路由>进入NAS（源IP为31.1，目标IP为31.245）> ...

你好，神雕的盒子（就是普通的安卓电视盒子开发的）防火墙能不能修改规则我不清楚，主要是修改了很有可能会影响到其他开发的一大串功能，所以这个方案有风险，我暂时不考虑，感谢大佬。

z55***

ca972008 发表于 2024-4-9 14:55
谁说的，建立连接后就是直连，能跑满内网的上行带宽。

2年前用过一段时间zerotier，最近又用了frpc，效果都很不理想，而v4公网用了很多年了，不想折腾内网了。

ca97***

现在ipv6普及，哪还有内网了，

z55***

ca972008 发表于 2024-4-9 15:36
现在ipv6普及，哪还有内网了，

理论上来说V6的DDNS使用起来跟V4差不多，但是我按照V4的操作方法试了下后行不通，搞得我又重新拉了一条电信的宽带。。。

ca97***

v6，一般路由器有一层防火墙，windows可能会有第二层防火墙，如果想直连，需要都关了。虽然v6基数大，但是仍然不是很安全，闲着无聊的人很多