记录磊科B39路由器跨域组网遇到的问题

cozil2025-10-22 14:05

公司网络与家庭网络组建局域网,使用xl2tp拨号。

网络结构

网络端 内网段 路由器 内网IP 公网IP xl2tp端类型
家庭网络A 192.168.0.0/24 磊科NBR100 192.168.0.2 服务端
公司网络B 192.168.10.0/24 磊科B39 192.168.10.1 客户端

成功建立连接后,分配IP如下:

A服务端 B客户端
10.0.2.1 10.0.2.2

存在问题

B端内网能ping通A端内网IP,但A端无法ping通B端内网。

由于之前在B端用的是磊科B6路由器,组网没有任何问题,因此问题定位在B39(刚换的设备)。

连接B39路由器控制台:

bash 复制代码 
ssh 192.168.10.1

进去后发现系统是openwrt 21。

经过多番查找,问题定位在防火墙配置:

bash 复制代码 
vi /etc/config/firewall

...
config zone
        option name 'wan'
        list network 'wan1'
        list network 'wan1_ipv6'
        list network 'wan2'  
        list network 'vpn0'   # 1. vpn0被加入了wan
        option input 'REJECT'  
        option output 'ACCEPT'
        option forward 'REJECT'
        list masq_src '192.168.10.0/24'
...
config zone 'vpn0'       
        option name 'vpn0' 
        list network 'vpn0'     
        option input 'REJECT'    # 3. 入站拒绝
        option output 'ACCEPT'
        option forward 'REJECT'  # 2. 转发被拒绝
        option masq '1'       
        option mtu_fix '1'

注意两处注释:

    1. vpn0被加入了wan,导致从A过来的数据到达vpn0时被拒绝
    1. vpn0默认也是拒绝转发

从这里可以看出,B39的虚拟网络拨号功能并不是为跨域组网设计,翻墙倒是可以用,但翻墙策略也没地方设置,这就有点鸡肋了。

修改方案

首先将1注释掉,再将2改为ACCEPT,重启防火墙:

bash 复制代码 
service firewall restart

从A内网ping B内网成功!

但这里需要注意的是,直接ping B路由器的内网IP是不通的(ping 192.168.10.1或ping 10.0.2.2),因为上面注释的第3条拒绝导致。如果需要能ping通,第3条改为'ACCEPT'即可。不过实际应用中这里不需要开启,拒绝A网访问B网的路由器设备是合理的。

新的问题

B内网ping A内网不通了!!!

这是由于上面的第1条被删除,导致vpn0不在wan口区域内,来自B内网的数据包无法转发出去。

事实上,从B控制台ping A子网IP是通的,所以其实加一条路由就能通过。不过这样需要把A子网网段硬编码到路由规则中,时间久了如果出问题难以定位。

如果恢复第1条又会导致A ping B 不通。这样则需要为vpn0添加一条转发规则:

bash 复制代码 
config forwarding
        option src 'vpn0'
        option dest 'lan'

解决方案

bash 复制代码 
...
config zone
        option name 'wan'
        list network 'wan1'
        list network 'wan1_ipv6'
        list network 'wan2'  
        list network 'vpn0'   # 1. 这里保留,不要注释
        option input 'REJECT'  
        option output 'ACCEPT'
        option forward 'REJECT'
        list masq_src '192.168.10.0/24'
...
config zone 'vpn0'       
        option name 'vpn0' 
        list network 'vpn0'     
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'ACCEPT'  # 2. 这里改为ACCEPT
        option masq '1'       
        option mtu_fix '1'

# 添加一条vpn0转发规则
config forwarding
        option src 'vpn0'
        option dest 'lan'

重启服务后,两端内网都能ping通了。

遗留问题

在B路由器重启后,A仍然能ping通B内网,但返回过来就不行了。登录B控制台查看/etc/config/firewall,配置并未被还原。于是重启防火墙,发现又正常了。但总不能每次重启路由器都要进控制台操作一次吧。

这个问题有一个折衷方案:在B管理页面添加一条静态路由, 192.168.0.0/24 走 10.0.2.1,这样就正常了。

为什么重启防火墙就正常了呢?重启路由器后,在重启防火墙前后我查看了ip route路由表并无变化,这是什么原因。有没有懂的朋友指点下。

相关推荐
网络研究院4 小时前
2026年网络安全
网络·安全·法律·法规·趋势·发展
酣大智4 小时前
ARP代理--工作原理
运维·网络·arp·arp代理
treesforest5 小时前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
shushangyun_5 小时前
2026年快消品B2B系统推荐:支持终端门店订货、促销政策自动化的工具?
java·运维·网络·数据库·人工智能·spring·自动化
2601_961845155 小时前
粉笔行测题库|系统班|刷题
网络·百度·微信·微信公众平台·facebook·新浪微博
程序猿阿伟6 小时前
《Chrome离线扩展安装的底层逻辑与场景落地指南》
服务器·网络·chrome
InHand云飞小白6 小时前
无人值守站点网络困境?工业级路由器IR315破解连接难题
网络·物联网·4g·工业路由器·4g路由器·iiot·蜂窝路由器
森G7 小时前
75、服务器源码解析---------云视频服务项目
linux·服务器·网络·c++·qt
江华森7 小时前
TCP/IP 协议栈实战 — 7 个实验详解
网络·tcp/ip·智能路由器
酉鬼女又兒8 小时前
零基础入门计算机网络运输层:端到端通信核心作用、端口号分类规则、复用分用工作机制及UDP与TCP协议全方位对比详解
网络·网络协议·tcp/ip·计算机网络·考研·udp·php
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06HTTP 与 HTTPS 的区别:从原理到实战详解07上线仅72小时被强制下架:Claude Fable 5 的短命082026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?09AI科技热点日报 | 2026年6月1日10Codex 下载安装指南:Windows 和 macOS 官方版下载