作者scottliu (scott)
看板Broad_Band
标题[问题] 不同网段互通问题
时间Sun Jul 5 18:29:46 2020
小弟最近调整家中网路,爬文了还是有些不懂想问大家
家中网路架构
https://i.imgur.com/UXINEVn.jpg
我想让在86U底下的Computer A可以连到66U+底下的Computer B
目前在小乌龟设置静态路由如下
https://i.imgur.com/T19m3LD.jpg
86U设置
https://i.imgur.com/p89kzQy.jpg
66U+设置
https://i.imgur.com/7uGWoh1.jpg
设置完仍然互相ping不到
想问一下是有那里设定错或没设定到吗
谢谢
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.228.231.162 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Broad_Band/M.1593944988.A.618.html
1F:推 azdy: 应该互设对方路由器为闸道?07/05 19:33
2F:→ azdy: 乌龟不用设置?07/05 19:34
调整成两台router互相设置 小乌龟设定取消
86U
https://i.imgur.com/khnW2pk.jpg
66U+
https://i.imgur.com/BFp7K4R.jpg
还是ping不到...
3F:→ jeff40108: 就是不同网段怎麽ping的到07/05 20:19
4F:推 azdy: ping 谁ping 不到?设静态路由,NAT 还是有作用的吧?WAN 外07/05 20:20
5F:→ azdy: 能ping 进去LAN 段?07/05 20:20
A B电脑互ping不到
6F:推 jeff40108: 你这样设就是两台router可以互ping而已,下面的电脑是07/05 20:23
7F:→ jeff40108: 不同网段的07/05 20:23
8F:→ jeff40108: class C就是/24的,你要能ping就请设成classB的07/05 20:25
不是封包送得到回的来就可以吗 不太懂为什麽要Class B
9F:推 luciferhsu: 你下面两台电脑的gateway有指到分别router上吗?07/05 20:27
A电脑是DHCP 闸道192.168.50.1
B电脑也是DHCP 闸道192.168.51.1
10F:→ jeff40108: 而且你要能ping那干嘛设nat?07/05 20:27
11F:→ jeff40108: 并不是你把wan跟lan设成同ip就是同网段好吗07/05 20:28
12F:→ jeff40108: 建议你乖乖全部插lan port07/05 20:31
不是很懂
我是希望这两台电脑网段隔开 因为底下的装置需要分别使用不同的IP上网
全部插LAN也有考虑 但是那是最後手段
还是希望能先做到我要的
13F:→ ornv: IPSec Lan to Lan07/05 21:00
VPN? 这样会不会不稳
14F:→ jeff40108: 没有为什麽,因为nat不是真的routing07/05 21:07
15F:→ jeff40108: 除非你想自己设转址07/05 21:08
这是什麽 有关键字吗
16F:→ jeff40108: 就算你把小乌龟改成/16也ping不进另一个网段的07/05 21:09
所以我想要这样两台电脑互通是不可行的?
17F:→ jeff40108: 楼上有人说的应该也能通啦 07/05 21:21
18F:→ jeff40108: 就怕你拿到两个ip而已 07/05 21:22
19F:→ Saren: ap除了要指定对方ap的ip 还得要接受对方网段来转到自己内网07/05 21:26
20F:→ Saren: 接受对方网段的设定应该是放在防火墙设定里 如果是linux下07/05 21:36
21F:→ Saren: 的语法应该类似iptables -A FORWARD -s 192.168.51.0/24 -d 07/05 21:36
22F:→ Saren: 192.168.50.0/24 -j ACCEPT 07/05 21:36
23F:→ Saren: 但是你两个ap下的网段对小乌龟的存取也是NAT 没什麽机会 把 07/05 21:59
24F:→ Saren: 整个网段改成192.168.0.0/16 才有机会用上面的语法去互通07/05 21:59
25F:→ Saren: 小乌龟那段改成/16就好07/05 22:01
26F:推 HiJimmy: 後来调整得应该是对的,再来去防火墙设定07/05 22:28
27F:推 HiJimmy: 介面要改LAN07/05 22:30
28F:→ fonzae: 原PO不是对接,小乌龟要设静态路由07/05 22:50
29F:→ fonzae: 反而是两台ASUS不用,请原PO先确认系统防火墙是否打开 07/05 22:51
30F:→ fonzae: 若打开,请先关闭,若不通请抓封包看资讯07/05 22:51
改由小乌龟设置静态路由 两台ASUS取消
使用Wireshark抓ping封包显示No response seen to ICMP request
两台ASUS router 防火墙都关了 小乌龟的没有关
小乌龟
https://i.imgur.com/hLzW4kw.jpg
还是不成功 :(
31F:→ fonzae: PC的防火墙呢?07/05 23:30
我直接SSH进asus router 86U ping 66u+也ping不到@@
不知道哪里错了
更正一下好了
86U ping 192.168.1.102 有通
86U ping 192.168.51.1 不通
小乌龟已改成192.168.1.1/16
32F:推 s69910: 把其中一台改为桥接模式?07/05 23:38
桥接模式就没办法切两个区网了
33F:→ fonzae: 不对啊! 为何你两台ASUS 会有硬播浮动跟浮动固I07/05 23:45
因为两台底下的设备各需要不同实体IP(底下各不只一台电脑)
34F:→ fonzae: 先取消PPPOE吧07/05 23:46
35F:→ fonzae: 现在是在帮你找,为何封包转不进去07/05 23:47
好
神奇了 两台ASUS取消PPPoE 50网段可以ping到51的 51的ping不回来 还在看是什麽问题
那这样只能取消PPPoE了吗
36F:→ fonzae: 不对啊! 你小乌龟不是都设好固定路由?07/05 23:55
37F:→ fonzae: 你要知道没有宣告,就是往外丢07/05 23:55
对 我正在检查
38F:→ fonzae: 还是权重? 我看小乌龟好像有这东西07/05 23:56
39F:→ fonzae: 如果今天丢一个192.168.51.101 从1982.168.50.10107/05 23:56
40F:→ fonzae: 那就会先从86U开始检查,由於86U没有设置静态路由07/05 23:57
41F:→ fonzae: 所以就会往上丢,小乌龟此时有设置就知道要丢到哪个路由器 07/05 23:57
42F:→ fonzae: 家用路由器都会设置ICMP 转存才对07/05 23:57
43F:→ fonzae: 所以你现在静态路由表是OK的,那麽剩下问题就自己茶吧07/05 23:58
权重都设成0了 还是有一边不通 不过这应该很好解决
44F:→ fonzae: 至於硬播浮动固I的需求,我只能说,换台路由吧07/05 23:58
45F:→ fonzae: 小乌龟当作Core router也不好,买台mikrotik07/05 23:59
46F:→ fonzae: 不就皆大欢喜,一台可以硬拨多个PPPOE07/05 23:59
47F:→ fonzae: 又可以指定网段走哪个PPPOE,效能又不错07/05 23:59
真的要买也不是不行 只是我比较好奇我现在的设备有没有办法达到我上面的要求
48F:→ fonzae: 要你取消PPPOE,就是怕封包丢过去,他就丢弃啊!07/06 00:05
是指哪一台会丢弃? ASUS的吗
49F:→ fonzae: 你要先解决内部架构,在处理外部啊!07/06 00:05
50F:→ fonzae: 内部搞不定,还参杂外部IP来玩07/06 00:05
51F:→ fonzae: 而且正常架构都是内部到防火墙,由防火墙分配07/06 00:06
52F:→ fonzae: 如果你今天两台路由在两地,那就会跟上面一样建议你用 07/06 00:07
53F:→ fonzae: IPSEC VPN,然後设静态路由解决 07/06 00:07
54F:推 azdy: 借问一下家用分享器,WAN 端可以拿2个ip?07/06 00:08
ASUSWRT可以
55F:→ fonzae: 很久没碰ASUS路由,我知道现在ASUS路由可以设置次要IP07/06 00:08
56F:→ fonzae: 也就是WAN拨接 + LAN IP 07/06 00:08
57F:→ fonzae: 但是否有问题,那就会像你现在碰到这样 07/06 00:09
58F:→ fonzae: 不确定那就简单一点,取消PPPOE,回归最基本架构07/06 00:09
所以目前来说最有可能是连PPPoE之後有东西在作怪?
59F:→ fonzae: 我不确定,很久没用ASUS07/06 00:13
60F:→ fonzae: 倒是碰过小乌龟的静态路由表是失效的 07/06 00:13
61F:→ fonzae: 就算我用到ASUS的路由器,也只是那种家用 07/06 00:14
62F:→ fonzae: 那些家庭不会有你这种设置静态路由的需求 07/06 00:15
63F:→ fonzae: 而要设置静态路由,反而都是企业才会弄到 07/06 00:15
64F:→ fonzae: 但那些企业怎麽可能买ASUS 路由器呢! 07/06 00:15
如果真的不成功那就只能买企业级的了…
65F:→ tomsawyer: 你要不要电脑设定route table试试看? 07/06 00:24
66F:→ tomsawyer: 哦没事 两台router可以互测07/06 00:30
67F:→ Saren: AP的防火墙没有把自己网段的封包转送进来啊07/06 08:50
68F:→ Saren: 再来是你小乌龟那段的区网设定是/24 你又要传不同段的封包07/06 08:53
小乌龟改/16了
69F:→ Saren: 这个逻辑就是有问题了 07/06 08:54
71F:→ Saren: 介面LAN跟WAN再都试一下07/06 09:01
72F:→ Saren: 也就是从WAN进来要找内部网段的封包要转向内部介面的ip 07/06 09:03
我试了一下 发现昨天那样设置路由(两台asus互设)其实两边都是通的 只是刚好测试pi
ng的电脑很像还有一些防火墙规则在所以没有回应
但是只要PPPoE一拨号就不行了@@
73F:→ DanielJi: 开DMZ连对方的WAN IP就好 07/06 11:42
这样没办法耶 因为两边网路底下都不只一台电脑
74F:→ Saren: 那要不要telnet进去看ip addr show 可能没辫法接受两种wan 07/07 06:20
75F:→ Saren: 设定 手动指定个静态ip给wan介面 "ip addr add 192.168.107/07 06:20
76F:→ Saren: .101/24 dev eth0.1" 其中eth0.1是wan介面 可能不同路由器07/07 06:20
77F:→ Saren: 不同名称07/07 06:20
78F:推 birdy590: 你这架构用底层的 Linux 绝对做的出来 但韧体GUI未必行 07/07 08:56
79F:推 overxxx: 的确要telnet去下ip addr,看你有哪些interface 07/07 09:32
80F:→ overxxx: 之前用过dd-wrt,在pppoe拨号後,要手动指定ip跟下iptables 07/07 09:36
搞了很久发现只要开PPPoE 我在GUI设定的route就会被清掉
https://i.imgur.com/9KuBHuF.png
所以就在PPPoE後SSH进去手动加回去
https://i.imgur.com/KUhrDez.png
就可以ping的到了
81F:→ birdy590: 这样session断线重连就又挂了吧?跟GUI打架很麻烦 07/07 10:06
这个不是永久的吗 还是每次开机GUI会override? 要试一下
82F:→ Saren: 重开机会被清空 看看有没有机会写在rc.init之类的里面了07/07 10:18
83F:→ Saren: pppoe断线重连应该也会不见. 看要不要改ddwrt 弹性比较大了07/07 10:20
ASUS这两台不是只能刷Merlin?
我之前看什麽tomato的都不行 CPU架构的关系吧
84F:→ Saren: merlin没用过 说不定也可以07/07 10:20
我就是用merlin
应该是可以写开机脚本
只是现在有个问题
就是两台asus防火墙都关闭的情况下
两边区网底下有些服务可以用有些不行 只要跨区网的话nmap去扫就变filtered 这是路由器
问题还是那个装置的问题?
--
自己回 应该是装置防火墙挡掉了
两边区网ubuntu用nmap互扫port都是开的
85F:→ Saren: 那写个script 10秒一次检查 手动加的不见就自行重加这样?07/07 10:25
剩最後一个问题
就是目前两台asus 只要防火墙打开就会被挡掉
那GUI这样有办法加规则吗
https://i.imgur.com/Opon8UM.jpg
还是要SSH进去调 我看网页这个很像没办法加整个区网的rule?
86F:→ overxxx: 没办法用这个GUI,要自己下iptables指令07/07 14:52
好 我来看看要怎麽加
87F:→ birdy590: 不是说了吗 跟GUI打架很累的 要做这个塞一台mikrotik07/07 16:39
88F:→ birdy590: 不是轻松很多?07/07 16:39
有 有在考虑
89F:推 lgla: 为什麽不乾脆用双wan ,两台电脑就可以在同一个区网下,再07/07 20:24
90F:→ lgla: 分别指定由哪个wan出去就好了。07/07 20:24
因为某些原因,底下的其他设备不要同区网
91F:→ Saren: 这篇跟楼上是同概念07/07 20:42
92F:→ fonzae: 怎麽还没解决,基本上家用的路由器不用去思考防火墙07/08 12:28
不用思考防火墙的意思是做太烂吗 所以关掉比较好?
93F:→ fonzae: 再来你的次要IP会因为WAN IP取得而清除route table07/08 12:29
94F:→ fonzae: 讲白话就是家用路由器韧体太烂07/08 12:29
95F:→ fonzae: 不然我不会要你关掉PPPOE07/08 12:29
96F:→ fonzae: 老话一句,花个千元买个Mikrotik,然後去学习他的用法07/08 12:30
Mikrotik我有在考虑了
97F:→ fonzae: 至於ASUS提供的防火墙,不就单纯阻止ddos,应该不会阻止你07/08 12:31
98F:→ fonzae: 内网沟通,毕竟你的Port是有开通的,代表是可以过去07/08 12:31
99F:→ fonzae: 问题应该还是WAN的次要IP失效问题,因为路由表更新07/08 12:32
100F:→ fonzae: 只要有这笔,都会记录的,不应该被清除掉07/08 12:32
101F:→ fonzae: Static route的确就是要宣告不同网段的连通07/08 12:33
102F:→ fonzae: 所以也不用特地将小乌龟netmask改成/16,没必要07/08 12:34
103F:→ fonzae: 三台路由都是192.168.1.0/24网段,自然就能沟通了07/08 12:34
这个我晚点回家试试看
104F:→ fonzae: 至於到底层去下iptable,之前我进去底层过,权限应该没给07/08 12:35
105F:→ fonzae: 理论上你直接vi,去增加rule,储存完重启防火墙服务07/08 12:36
106F:→ fonzae: 下command也可以,只是我的习惯都是进conf去修改07/08 12:36
107F:→ fonzae: 但我没记错,ASUS应该没有给你最大权限07/08 12:36
ASUS原厂我不知道 但是Merlin应该是有最高权限
108F:推 overxxx: 主要是PPPOE连线後,WAN的介面就变ppp0之类的虚拟介面,而07/08 12:54
109F:→ overxxx: 实体的介面有可能是ethx,vlanx需要自己再另外设定IP 07/08 12:56
110F:→ overxxx: 用过dd-wrt、tomato、padavan的经验,只有padavan在pppoe07/08 12:59
111F:→ overxxx: 设定为WAN後,还可以设定一个MAN IP,算是很方便的UI设计 07/08 13:00
MAN IP是指什麽? 我在ASUS静态路由有看到 但是Google 一直跑出叶问…
112F:→ overxxx: 而且还有很多对应的script可以自行设定 07/08 13:02
113F:→ overxxx: merlin的话,去研究一下jffs partition就可以设定script了 07/08 13:24
有 这个我之前用ddns script有用过
114F:→ overxxx: LAN、MAN、WAN一起查.在你PPPOE连上後public ip是你的WAN 07/08 13:54
115F:→ overxxx: 192.168.1.x是你的MAN,所以GUI路由可能就要改选介面MAN 07/08 13:55
https://I.imgur.com/1Yu5JNf.jpg
是这个?
我回去试试看
116F:→ fonzae: ASUS路由器提供的防火墙并不是专业级的07/08 16:20
117F:→ fonzae: 所以不用去特地考虑开ASUS路由器防火墙07/08 16:20
118F:→ fonzae: ASUS连补洞都比其他家慢了,所以防火墙真的不用太苛求07/08 16:22
手动增加iptables rule就成功了 谢谢
※ 编辑: scottliu (39.8.126.225 台湾), 07/14/2020 19:44:02