关于最新Padavan3.4 zerotier1.10.2在3.4内核中nat不起作用的问题

hai*** · 发表于 2022-11-24 06:37

本帖最后由 haifon 于 2022-11-24 06:38 编辑

关于最新zerotier1.10.2在3.4内核中nat不起作用的问题，也就是不能访问上级，但ping得通，在4.4无影响
使用命令iptables -t nat -vL对比了下发现nat少了一项组网网段的nat
iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.0/24 -j MASQUERADE
直接ssh连接命令输入后，就能访问上级了

如是想着可能出在zerotier.sh代码或web代码上，在user里的www文件夹里替换了4.4内核的代码也不行，

rules() {
      while [ "$(ifconfig | grep zt | awk '{print $1}')" = "" ]; do
            sleep 1
      done
      nat_enable=$(nvram get zerotier_nat)
      zt0=$(ifconfig | grep zt | awk '{print $1}')
      logger -t "zerotier" "zt interface $zt0 is started!"
      del_rules
      iptables -A INPUT -i $zt0 -j ACCEPT
      iptables -A FORWARD -i $zt0 -o $zt0 -j ACCEPT
      iptables -A FORWARD -i $zt0 -j ACCEPT
      if [ $nat_enable -eq 1 ]; then
            iptables -t nat -A POSTROUTING -o $zt0 -j MASQUERADE
            ip_segment="$(ip route | grep "dev $zt0 proto" | awk '{print $1}')"
            iptables -t nat -A POSTROUTING -s $ip_segment -j MASQUERADE
            zero_route "add"
      fi

}

            iptables -t nat -A POSTROUTING -o $zt0 -j MASQUERADE
上面这项是成功的

问题在下面这项没成功
            ip_segment="$(ip route | grep "dev $zt0 proto" | awk '{print $1}')"
            iptables -t nat -A POSTROUTING -s $ip_segment -j MASQUERADE

如是看了下ip route有些区别proto前多了个空格，不光是这个空格，分割的是二组，得加多点字符来分割如下
ip_segment=$(ip route | grep "dev $zt0  proto kernel" | awk '{print $1}')

如果觉得复杂可以直接在，参数设置-脚本-在防火墙规则启动后执行加入
iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.0/24 -j MASQUERADE

xxx.xxx.xxx组网网段前三段

xf*** · 发表于 2022-11-24 08:12

由于这个困扰，我不得不在办公室路由器里用回openwrt（因为要在家访问单位FTP），等有空了再试试。另外咨询一下大神，为什么在openwrt里zerotier只能跑到1M/s ，padavan里可以跑到3M/s基本达到宽带上传上限，防火墙什么的都设置了。跟这个帖子里情况一样https://www.right.com.cn/forum/f ... light=zerotier%2B10

hai*** · 发表于 2022-11-24 10:10

openwrt的mtk基本限制在了10m宽带，x86如果给1核心也限制了最少双核心才正常，如果是自己的moon不存在这问题

hai*** · 发表于 2022-11-24 10:13

oprnwrt虚拟的网卡是10M，padavan这个好像没做限制，不太清楚，7620只能跑1M/s 7621可以跑3M/s

hai*** · 发表于 2022-11-24 10:14

7621以下太弱了

csl*** · 发表于 2022-11-24 12:59

楼主我通过entware安装的最新版是1.10.1，装好后系统显示online但是无法ping通，现在1.10.2是可以ping通了么？可否发一个1.10.2的安装包，自己不会编译

hai*** · 发表于 2022-11-28 19:07

7621的组zerotier太弱了，数据量大了延迟也就高了，不搞了

pop*** · 发表于 2022-12-28 22:44

我的zerotier也是无法访问上一级网段的设备

pop*** · 发表于 2022-12-29 08:20

经过测试，还真的就是这个防火墙规则的问题，所以用下面两种方法来解决：

1、按照楼主添加防火墙规则

在参数设置-脚本-在防火墙规则启动后执行加入
iptables -t nat -A POSTROUTING -s 10.198.18.0/24 -j MASQUERADE

2、直接关闭防火墙

ric*** · 发表于 2022-12-30 00:52

csl0524 发表于 2022-11-24 12:59
楼主我通过entware安装的最新版是1.10.1，装好后系统显示online但是无法ping通，现在1.10.2是可以ping通了 ...

内核若是3.4的降回去1.4.6 省事
通过entware安装。下个命令很快的。
opkg install "http://bin.entware.net/mipselsf-k3.4/archive/zerotier_1.4.6-5_mipsel-3.4.ipk"

https://www.right.com.cn/forum/thread-4924315-1-1.html
https://www.right.com.cn/forum/thread-4087521-1-1.html

wgs*** · 发表于 2023-2-17 13:26

谢谢，正是需要的！！！

账号		自动登录	找回密码
密码			立即注册

关于最新Padavan3.4 zerotier1.10.2在3.4内核中nat不起作用的问题

点评