【已解决】openwrt旁路由网关模式无法访问国内网站的疑问（实测跟主路由型号有关）

seu***

【20230418更新】遇到这个问题的人挺多的，我也是知其然，不知其所以然，直到看到这位大神的解释，https://cloud.tencent.com/developer/article/2036952，解决了我的大部分疑惑。有兴趣的朋友可以读一读。



网上的教程太多，五花八门，修改的地方各不相同，有的根本就不能成功。我经过多次测试，并且本着最小程度修改系统的原则，终于解决了这个问题：
1.LAN口取消桥接；
2.防火墙添加"iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE"，重启防火墙，立马就能访问了。
以上两项步骤缺一不可。

（我只在主路由是京东云二代的情况下测试成功）



先说一下我的网络情况：
1.主路由正常拨号上网；
2.贝壳云刷了F大的60+O作旁路由网关服务器，IP地址设置为与主路由同一个网段，网关和DNS服务器都设置为主路由的IP地址，关闭DHCP，关闭IPV6；
3.电脑或手机通过WiFi连接主路由，内网IP地址由主路由分配，网关、dns服务器手动设置指向贝壳云的IP地址；


具体表现是：
情况一：当主路由是网件R6400官方系统最新版本（V1.0.1.62_1.0.41）、华硕RT-AC1900P刷梅林x7.9固件、360V5X官方系统的时候，按照上述配置无需在贝壳云OP的防火墙中做任何设置，访问国内网站一切正常，开启了打倒美帝插件之后也是能正常访问国外网站，速度都很不错；


情况二：
2.1当主路由是京东云V2（亚瑟）官方系统最新版本（JDC02-1.2.2.r1080）、360V6官方系统、红米AX6官方系统，按照上述配置，无法访问国内网站（此时打倒美帝插件未开启）；
2.2开启打倒美帝插件之后，选择绕开大陆IP，能打开国外网站，还是不能打国内网站；
2.3选择全局代理，能打开国内网站，IP显示代理的IP；
2.4尝试过在防火墙中添加规则 iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE ，重启防火墙，均无效；
2.5网络上讲的教程无外乎就是加规则、取消桥接、添加wan口、禁用mwan3等等，实测均无效。



猜想：
既然在情况一下无需任何设置就能正常访问国内网站，问题应该就出在主路由的固件设置中。目前无法访问的都是小米、360、京东云之流的路由器（360V5X除外），而华硕、网件等大牌的路由器的固件无需任何设置。（因为手头路由器有限，只能得出这样的结论）


有没有大佬从原理上解释一下，为什么会出现这种问题？
同时，旁路由网关设置方法网络上的介绍五花八门，不知道那些稀奇古怪的设置方案都到底行不行，有没有简便可行，没有坑的方案？


Tips：360V5X跟360V6的固件底层可能真的不一样，有一个表现是，使用ddnsto插件，是可以通过外部网络访问并登录360V6的管理页面的，而360V5X只能打开管理页面，输入密码提示登录错误。

gar***

这个问题我记得已经有大神解释过了，假设你的ip是a，旁路由的ip是b，防火墙不加那一行的话，你通过旁路由发出的数据包源头都是a，主路由可以把外网对你的响应数据直接发给你。但是有些主路由会做校验，他发现实际上你的数据包是b发出来的，怀疑你被b劫持了，就会丢掉这个请求。此时防火墙只能加那一行，旁路由就是把你的数据包的源都改成b，主路由就没意见了，但是这样一来，你所有的数据都需要通过旁路由，没有不加那么快

水***

老哥，我跟你一样有这个问题，刷了多个固件，旁路由方式，国内网站就是打不开，用了V2，国外网站倒是可以。国内就是打不开

1701***

国内的设置DNS没有？可以smartdns分国内国外！

robi***

跟主路由确实有关系，K2P刷padavan关闭无线加速才能访问国内

seu***

水牛 发表于 2021-6-24 14:33
老哥，我跟你一样有这个问题，刷了多个固件，旁路由方式，国内网站就是打不开，用了V2，国外网站倒是可以。 ...

我经过多次测试，已经解决了，帖子里面已经更新，你可以试一下，并且反馈一下。

seu***

170134536 发表于 2021-6-24 17:23
国内的设置DNS没有？可以smartdns分国内国外！

smartdns会出现一些莫名其妙的问题，且配置相对繁琐，用过几次之后就不用了。

seu***

robindou 发表于 2021-6-24 20:00
跟主路由确实有关系，K2P刷padavan关闭无线加速才能访问国内

应该是有的主路由器固件中默认添加了相应的防火墙规则。

littl***

我开始也死活出不了国，后来用SMARTDNS分了国内国外两组，先关了小猫，再启动DNS，再开小猫挂上去了
主路由的DHPC那关了，N1设置的强制DHPC模式

seu***

littlerock 发表于 2021-6-24 22:22
我开始也死活出不了国，后来用SMARTDNS分了国内国外两组，先关了小猫，再启动DNS，再开小猫挂上去了
主路 ...

我是主路由DHCP，如果OP挂了至少家里人还能上网，不会被骂

frm***

seu_zc 发表于 2021-6-25 08:10
我是主路由DHCP，如果OP挂了至少家里人还能上网，不会被骂

不会被骂，太真实了，我被骂了太多次了，爱好了

1701***

seu_zc 发表于 2021-6-24 21:24
smartdns会出现一些莫名其妙的问题，且配置相对繁琐，用过几次之后就不用了。

自定义一个粘贴就行了

maveri***

我是 5.1 主路由    5.2 旁路由【科学】
PC 设置  5.10   255.255.255.0   网关 5.2   DNS  5.1

下面是5.2 中LAN口和防火墙设置
第一步取消LAN口桥接【谢谢楼主提到的这点，我看到的都是自定义规则中添加代码】，国内终于可以正常访问
第二步我没有在防火墙的自定义规则里添加代码，而是勾选了 区域->转发   lan-> wan 这行的IP 动态伪装【我猜测和代码是是同一功能】

maveri***

maverickgoose 发表于 2021-7-28 13:52
我是 5.1 主路由    5.2 旁路由【科学】
PC 设置  5.10   255.255.255.0   网关 5.2   DNS  5.1

现在内网是正常的，外网有点问题，勿参考我的回答

dongg***

麻烦问下作者，我的op桥连接不能关闭，只要关闭，就无法上后台了，请问您是怎么解决的。我的主路由也是京东云2

seu***

donggua1118 发表于 2021-8-12 02:20
麻烦问下作者，我的op桥连接不能关闭，只要关闭，就无法上后台了，请问您是怎么解决的。我的主路由也是京东 ...

看看你的接口-物理设置是不是这样的


如果还是不行就只能重新刷机了。