OPENWRT做旁路网关，防火墙不加nat规则会导致访问国内网站卡顿的原因探讨

cityhu***

我有一台十几年的老笔记本，不想浪费，于是刷了LEAN大的OPENWRT做旁路网关。
连接：笔记本网口直接连接主路由的LAN口。
主路由LAN：192.168.31.1
OP配置：
    静态IP：192.168.31.250
    关闭DHCP
    去掉桥接
    网关：192.168.31.1
    DNS：192.168.31.1
手机配置：
    wifi连接主路由
    静态IP：192.168.31.135
    网关：192.168.31.250
    DNS：192.168.31.250

结果：访问国内网站卡顿，百度首页很多图片无法加载。
根据论坛大佬们的建议，加了防火墙规则
iptables -t nat -I POSTROUTING -j SNAT --to-source 192.168.31.250
顺利解决问题。


问题是解决了，但是出现这个问题的原因困扰了我好久，网上也搜索不到答案。
于是开此帖打算请论坛的各位大神帮忙。


经过几天的恶补网络知识和思考，觉得可能是以下原因，希望得到大神的指正。


造成卡顿问题的原因思考：
不加nat的时候，IP包里的源IP是31.135，不会改变。
手机（31.135）的请求IP包路径：
    手机（31.135）➡ 主路由LAN（31.1） ➡旁路网关（31.250）➡主路由LAN（31.1）➡主路由WAN口➡INTERNET
由此得知，手机和旁路网关都往主路由LAN发了包，而且由于没有nat，所以这个包的源IP都是手机（31.135）。
那么主路由的ARP表就会冲突了，因为ARP表中MAC地址和IP地址是一一对应的，
但是现在有2个MAC地址（手机和旁路网关）都对应一个IP（31.135）了，
所以主路由从INTERNET收到的应答包到底发给哪个MAC地址就不确定了。主路由就疯掉了😄。


如果旁路网关加了nat规则就解决了这个问题。


以上是个人的一点思考，还请各位大神指正！

雨之***

加了规则导致https广告不能过滤也是问题

清***

感觉设置有问题啊 楼下大佬来解答

wang***

跟我问题一样，困扰了好久好久，一直没解决问题

wang***

请问具体哪里添加规则？

wang***

我靠，貌似在自定义规则里添加这个规则后打开国内网站有快速如飞啦，神奇了，我就这么解决了困扰我很久的大问题？？待验证稳定性！

cityhu***

雨之飘扬 发表于 2020-1-3 12:31
加了规则导致https广告不能过滤也是问题

不加规则就可以过滤https广告？貌似也不行吧。我试了一下优酷，貌似去不掉视频前的广告。

hc***

LEAN大的源码是因为有full什么的补丁才需要叠加一个补丁，官方源码完全不需要，lean的在防火墙关闭fullclone也可以，x86的单臂路由不需要，说明这个玩意只和arm冲突

文***

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

stevemo***

DNS怎么做的？两边不一样吧

cityhu***

stevemorrislian 发表于 2020-1-5 11:33
DNS怎么做的？两边不一样吧

主路由吗？直接指向isp提供的dns了。

2371***

感觉楼主说的没有错，看了些那些人的贴子，N1做的是转发而不是nat，那arp缓存表那是会产生冲突。

2371***

hcyme 发表于 2020-1-4 12:09
LEAN大的源码是因为有full什么的补丁才需要叠加一个补丁，官方源码完全不需要，lean的在防火墙关闭fullclon ...

full cone只影响udp，x86没影响怕是因为x86没交换机，对数据链路层的处理机制不一样。

stevemo***

cityhunter14 发表于 2020-1-5 12:39
主路由吗？直接指向isp提供的dns了。

得到的解析结果应该不一样吧

雨之***

https广告去告时灵时不灵的，不适合小白用。