[問題] 不同網段互通問題

scottliu 發表於 2020/7/5 下午6:29:46

看板Broad_Band標題[問題] 不同網段互通問題作者

scottliu

(scott)時間Jul 5 18:29:46 2020推噓12 推:12 噓:0 →:106

PTT推薦

小弟最近調整家中網路，爬文了還是有些不懂想問大家

家中網路架構
https://i.imgur.com/UXINEVn.jpg

我想讓在86U底下的Computer A可以連到66U+底下的Computer B

目前在小烏龜設置靜態路由如下

https://i.imgur.com/T19m3LD.jpg

86U設置

https://i.imgur.com/p89kzQy.jpg

66U+設置

https://i.imgur.com/7uGWoh1.jpg

設置完仍然互相ping不到

想問一下是有那裡設定錯或沒設定到嗎

謝謝

※ PTT留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.228.231.162 (臺灣)

※ 文章網址:

https://www.ptt.cc/Broad_Band/M.1593944988.A.618

推

azdy07/05 19:33應該互設對方路由器為閘道？

→

azdy07/05 19:34烏龜不用設置？

調整成兩台router互相設置小烏龜設定取消 86U

https://i.imgur.com/khnW2pk.jpg

66U+

https://i.imgur.com/BFp7K4R.jpg

還是ping不到...

→

jeff4010807/05 20:19就是不同網段怎麼ping的到

推

azdy07/05 20:20ping 誰ping 不到？設靜態路由，NAT 還是有作用的吧？WAN 外

→

azdy07/05 20:20能ping 進去LAN 段？

A B電腦互ping不到

推

jeff4010807/05 20:23你這樣設就是兩台router可以互ping而已，下面的電腦是

→

jeff4010807/05 20:23不同網段的

→

jeff4010807/05 20:25class C就是/24的，你要能ping就請設成classB的

不是封包送得到回的來就可以嗎不太懂為什麼要Class B

推

luciferhsu07/05 20:27你下面兩台電腦的gateway有指到分別router上嗎?

A電腦是DHCP 閘道192.168.50.1 B電腦也是DHCP 閘道192.168.51.1

→

jeff4010807/05 20:27而且你要能ping那幹嘛設nat?

→

jeff4010807/05 20:28並不是你把wan跟lan設成同ip就是同網段好嗎

→

jeff4010807/05 20:31建議你乖乖全部插lan port

不是很懂我是希望這兩台電腦網段隔開因為底下的裝置需要分別使用不同的IP上網全部插LAN也有考慮但是那是最後手段還是希望能先做到我要的

→

ornv07/05 21:00IPSec Lan to Lan

VPN？這樣會不會不穩

→

jeff4010807/05 21:07沒有為什麼，因為nat不是真的routing

→

jeff4010807/05 21:08除非你想自己設轉址

這是什麼有關鍵字嗎

→

jeff4010807/05 21:09就算你把小烏龜改成/16也ping不進另一個網段的

所以我想要這樣兩台電腦互通是不可行的？

→

jeff4010807/05 21:21樓上有人說的應該也能通啦

→

jeff4010807/05 21:22就怕你拿到兩個ip而已

→

Saren07/05 21:26ap除了要指定對方ap的ip 還得要接受對方網段來轉到自己內網

→

Saren07/05 21:36接受對方網段的設定應該是放在防火牆設定裡如果是linux下

→

Saren07/05 21:36的語法應該類似iptables -A FORWARD -s 192.168.51.0/24 -d

→

Saren07/05 21:36 192.168.50.0/24 -j ACCEPT

→

Saren07/05 21:59但是你兩個ap下的網段對小烏龜的存取也是NAT 沒什麼機會把

→

Saren07/05 21:59整個網段改成192.168.0.0/16 才有機會用上面的語法去互通

→

Saren07/05 22:01小烏龜那段改成/16就好

推

HiJimmy07/05 22:28後來調整得應該是對的，再來去防火牆設定

推

HiJimmy07/05 22:30介面要改LAN

→

fonzae07/05 22:50原PO不是對接，小烏龜要設靜態路由

→

fonzae07/05 22:51反而是兩台ASUS不用，請原PO先確認系統防火牆是否打開

→

fonzae07/05 22:51若打開，請先關閉，若不通請抓封包看資訊

改由小烏龜設置靜態路由兩台ASUS取消使用Wireshark抓ping封包顯示No response seen to ICMP request 兩台ASUS router 防火牆都關了小烏龜的沒有關小烏龜

https://i.imgur.com/hLzW4kw.jpg

還是不成功 :(

→

fonzae07/05 23:30PC的防火牆呢?

我直接SSH進asus router 86U ping 66u+也ping不到@@ 不知道哪裡錯了更正一下好了 86U ping 192.168.1.102 有通 86U ping 192.168.51.1 不通小烏龜已改成192.168.1.1/16

推

s6991007/05 23:38把其中一台改為橋接模式？

橋接模式就沒辦法切兩個區網了

→

fonzae07/05 23:45不對啊! 為何你兩台ASUS 會有硬播浮動跟浮動固I

因為兩台底下的設備各需要不同實體IP(底下各不只一台電腦)

→

fonzae07/05 23:46先取消PPPOE吧

→

fonzae07/05 23:47現在是在幫你找，為何封包轉不進去

好神奇了兩台ASUS取消PPPoE 50網段可以ping到51的 51的ping不回來還在看是什麼問題那這樣只能取消PPPoE了嗎

→

fonzae07/05 23:55不對啊! 你小烏龜不是都設好固定路由?

→

fonzae07/05 23:55你要知道沒有宣告，就是往外丟

對我正在檢查

→

fonzae07/05 23:56還是權重? 我看小烏龜好像有這東西

→

fonzae07/05 23:56如果今天丟一個192.168.51.101 從1982.168.50.101

→

fonzae07/05 23:57那就會先從86U開始檢查，由於86U沒有設置靜態路由

→

fonzae07/05 23:57所以就會往上丟，小烏龜此時有設置就知道要丟到哪個路由器

→

fonzae07/05 23:57家用路由器都會設置ICMP 轉存才對

→

fonzae07/05 23:58所以你現在靜態路由表是OK的，那麼剩下問題就自己茶吧

權重都設成0了還是有一邊不通不過這應該很好解決

→

fonzae07/05 23:58至於硬播浮動固I的需求，我只能說，換台路由吧

→

fonzae07/05 23:59小烏龜當作Core router也不好，買台mikrotik

→

fonzae07/05 23:59不就皆大歡喜，一台可以硬撥多個PPPOE

→

fonzae07/05 23:59又可以指定網段走哪個PPPOE，效能又不錯

真的要買也不是不行只是我比較好奇我現在的設備有沒有辦法達到我上面的要求

→

fonzae07/06 00:05要你取消PPPOE，就是怕封包丟過去，他就丟棄啊!

是指哪一台會丟棄？ ASUS的嗎

→

fonzae07/06 00:05你要先解決內部架構，在處理外部啊!

→

fonzae07/06 00:05內部搞不定，還參雜外部IP來玩

→

fonzae07/06 00:06而且正常架構都是內部到防火牆，由防火牆分配

→

fonzae07/06 00:07如果你今天兩台路由在兩地，那就會跟上面一樣建議你用

→

fonzae07/06 00:07IPSEC VPN，然後設靜態路由解決

推

azdy07/06 00:08借問一下家用分享器，WAN 端可以拿2個ip?

ASUSWRT可以

→

fonzae07/06 00:08很久沒碰ASUS路由，我知道現在ASUS路由可以設置次要IP

→

fonzae07/06 00:08也就是WAN撥接 + LAN IP

→

fonzae07/06 00:09但是否有問題，那就會像你現在碰到這樣

→

fonzae07/06 00:09不確定那就簡單一點，取消PPPOE，回歸最基本架構

所以目前來說最有可能是連PPPoE之後有東西在作怪？

→

fonzae07/06 00:13我不確定，很久沒用ASUS

→

fonzae07/06 00:13倒是碰過小烏龜的靜態路由表是失效的

→

fonzae07/06 00:14就算我用到ASUS的路由器，也只是那種家用

→

fonzae07/06 00:15那些家庭不會有你這種設置靜態路由的需求

→

fonzae07/06 00:15而要設置靜態路由，反而都是企業才會弄到

→

fonzae07/06 00:15但那些企業怎麼可能買ASUS 路由器呢!

如果真的不成功那就只能買企業級的了…

→

tomsawyer07/06 00:24你要不要電腦設定route table試試看?

→

tomsawyer07/06 00:30哦沒事兩台router可以互測

→

Saren07/06 08:50AP的防火牆沒有把自己網段的封包轉送進來啊

→

Saren07/06 08:53再來是你小烏龜那段的區網設定是/24 你又要傳不同段的封包

小烏龜改/16了

→

Saren07/06 08:54這個邏輯就是有問題了

→

Saren07/06 09:00你ap的靜態路由再多設一組 https://imgur.com/HRFxRdI

→

Saren07/06 09:01介面LAN跟WAN再都試一下

→

Saren07/06 09:03也就是從WAN進來要找內部網段的封包要轉向內部介面的ip

我試了一下發現昨天那樣設置路由(兩台asus互設)其實兩邊都是通的只是剛好測試pi ng的電腦很像還有一些防火牆規則在所以沒有回應但是只要PPPoE一撥號就不行了@@

→

DanielJi07/06 11:42開DMZ連對方的WAN IP就好

這樣沒辦法耶因為兩邊網路底下都不只一台電腦

→

Saren07/07 06:20那要不要telnet進去看ip addr show 可能沒辮法接受兩種wan

→

Saren07/07 06:20設定手動指定個靜態ip給wan介面 "ip addr add 192.168.1

→

Saren07/07 06:20.101/24 dev eth0.1" 其中eth0.1是wan介面可能不同路由器

→

Saren07/07 06:20不同名稱

推

birdy59007/07 08:56你這架構用底層的 Linux 絕對做的出來但韌體GUI未必行

推

overxxx07/07 09:32的確要telnet去下ip addr,看你有哪些interface

→

overxxx07/07 09:36之前用過dd-wrt,在pppoe撥號後,要手動指定ip跟下iptables

搞了很久發現只要開PPPoE 我在GUI設定的route就會被清掉

https://i.imgur.com/9KuBHuF.png

所以就在PPPoE後SSH進去手動加回去

https://i.imgur.com/KUhrDez.png

就可以ping的到了

→

birdy59007/07 10:06這樣session斷線重連就又掛了吧?跟GUI打架很麻煩

這個不是永久的嗎還是每次開機GUI會override? 要試一下

→

Saren07/07 10:18重開機會被清空看看有沒有機會寫在rc.init之類的裡面了

→

Saren07/07 10:20pppoe斷線重連應該也會不見. 看要不要改ddwrt 彈性比較大了

ASUS這兩台不是只能刷Merlin? 我之前看什麼tomato的都不行 CPU架構的關係吧

→

Saren07/07 10:20merlin沒用過說不定也可以

我就是用merlin 應該是可以寫開機腳本只是現在有個問題就是兩台asus防火牆都關閉的情況下兩邊區網底下有些服務可以用有些不行只要跨區網的話nmap去掃就變filtered 這是路由器問題還是那個裝置的問題？ -- 自己回應該是裝置防火牆擋掉了兩邊區網ubuntu用nmap互掃port都是開的

→

Saren07/07 10:25那寫個script 10秒一次檢查手動加的不見就自行重加這樣?

剩最後一個問題就是目前兩台asus 只要防火牆打開就會被擋掉那GUI這樣有辦法加規則嗎

https://i.imgur.com/Opon8UM.jpg

還是要SSH進去調我看網頁這個很像沒辦法加整個區網的rule？

→

overxxx07/07 14:52沒辦法用這個GUI,要自己下iptables指令

好我來看看要怎麼加

→

birdy59007/07 16:39不是說了嗎跟GUI打架很累的要做這個塞一台mikrotik

→

birdy59007/07 16:39不是輕鬆很多?

有有在考慮

推

lgla07/07 20:24為什麼不乾脆用雙wan ，兩台電腦就可以在同一個區網下，再

→

lgla07/07 20:24分別指定由哪個wan出去就好了。

因為某些原因，底下的其他設備不要同區網

→

Saren07/07 20:42這篇跟樓上是同概念

→

fonzae07/08 12:28怎麼還沒解決，基本上家用的路由器不用去思考防火牆

不用思考防火牆的意思是做太爛嗎所以關掉比較好？

→

fonzae07/08 12:29再來你的次要IP會因為WAN IP取得而清除route table

→

fonzae07/08 12:29講白話就是家用路由器韌體太爛

→

fonzae07/08 12:29不然我不會要你關掉PPPOE

→

fonzae07/08 12:30老話一句，花個千元買個Mikrotik，然後去學習他的用法

Mikrotik我有在考慮了

→

fonzae07/08 12:31至於ASUS提供的防火牆，不就單純阻止ddos，應該不會阻止你

→

fonzae07/08 12:31內網溝通，畢竟你的Port是有開通的，代表是可以過去

→

fonzae07/08 12:32問題應該還是WAN的次要IP失效問題，因為路由表更新

→

fonzae07/08 12:32只要有這筆，都會記錄的，不應該被清除掉

→

fonzae07/08 12:33Static route的確就是要宣告不同網段的連通

→

fonzae07/08 12:34所以也不用特地將小烏龜netmask改成/16，沒必要

→

fonzae07/08 12:34三台路由都是192.168.1.0/24網段，自然就能溝通了

這個我晚點回家試試看

→

fonzae07/08 12:35至於到底層去下iptable，之前我進去底層過，權限應該沒給

→

fonzae07/08 12:36理論上你直接vi，去增加rule，儲存完重啟防火牆服務

→

fonzae07/08 12:36下command也可以，只是我的習慣都是進conf去修改

→

fonzae07/08 12:36但我沒記錯，ASUS應該沒有給你最大權限

ASUS原廠我不知道但是Merlin應該是有最高權限

推

overxxx07/08 12:54主要是PPPOE連線後,WAN的介面就變ppp0之類的虛擬介面,而

→

overxxx07/08 12:56實體的介面有可能是ethx,vlanx需要自己再另外設定IP

→

overxxx07/08 12:59用過dd-wrt、tomato、padavan的經驗,只有padavan在pppoe

→

overxxx07/08 13:00設定為WAN後,還可以設定一個MAN IP,算是很方便的UI設計

MAN IP是指什麼？我在ASUS靜態路由有看到但是Google 一直跑出葉問…

→

overxxx07/08 13:02而且還有很多對應的script可以自行設定

→

overxxx07/08 13:24merlin的話,去研究一下jffs partition就可以設定script了

有這個我之前用ddns script有用過

→

overxxx07/08 13:54LAN、MAN、WAN一起查.在你PPPOE連上後public ip是你的WAN

→

overxxx07/08 13:55192.168.1.x是你的MAN,所以GUI路由可能就要改選介面MAN

https://I.imgur.com/1Yu5JNf.jpg

是這個？我回去試試看

→

fonzae07/08 16:20ASUS路由器提供的防火牆並不是專業級的

→

fonzae07/08 16:20所以不用去特地考慮開ASUS路由器防火牆

→

fonzae07/08 16:22ASUS連補洞都比其他家慢了，所以防火牆真的不用太苛求

手動增加iptables rule就成功了謝謝

※ 編輯: scottliu (39.8.126.225 臺灣), 07/14/2020 19:44:02

其他人也閱讀了

PTT 熱門相關