这是一个创建于 892 天前的主题,其中的信息可能已经有所发展或是发生改变。
背景介绍:
家里的网络是双 WAN 联通+电信,默认 WAN1 (联通)承载全部负载,WAN2 (电信)只负责中国电信目标地址
路由器用的是 ubnt er4
碰到的问题:
当我从外面访问家中,电信不能访问,其他的(移动 /联通 /广电)都可以访问。本来想着联通是 NAT444 ,但是昨天晚上设置了一下,发现家中的网络可以被电信 ping 通的,并且电信也能发包过来,于是会不会是防火墙的问题?
附上我的双 WAN 配置(仅摘录部分配置):
set protocols static interface-route 0.0.0.0/0 next-hop-interface ppoe1 distance 10
set protocols static interface-route 0.0.0.0/0 next-hop-interface pppoe2 distance 20
set protocols static table 2 interface-route 0.0.0.0/0 next-hop-interface pppoe2
set firewall modify M rule 20 description "Telenet"
set firewall modify M rule 20 destination group network-group CHINANET
set firewall modify M rule 20 action modify
set firewall modify M rule 20 modify table 2
set interfaces ethernet eth0 firewall in modify M
参考文献: https://www.tintsoft.com/articles/374.html
请各位不吝指教,谢谢!
家里的网络是双 WAN 联通+电信,默认 WAN1 (联通)承载全部负载,WAN2 (电信)只负责中国电信目标地址
路由器用的是 ubnt er4
碰到的问题:
当我从外面访问家中,电信不能访问,其他的(移动 /联通 /广电)都可以访问。本来想着联通是 NAT444 ,但是昨天晚上设置了一下,发现家中的网络可以被电信 ping 通的,并且电信也能发包过来,于是会不会是防火墙的问题?
附上我的双 WAN 配置(仅摘录部分配置):
set protocols static interface-route 0.0.0.0/0 next-hop-interface ppoe1 distance 10
set protocols static interface-route 0.0.0.0/0 next-hop-interface pppoe2 distance 20
set protocols static table 2 interface-route 0.0.0.0/0 next-hop-interface pppoe2
set firewall modify M rule 20 description "Telenet"
set firewall modify M rule 20 destination group network-group CHINANET
set firewall modify M rule 20 action modify
set firewall modify M rule 20 modify table 2
set interfaces ethernet eth0 firewall in modify M
参考文献: https://www.tintsoft.com/articles/374.html
请各位不吝指教,谢谢!
 | 1 hzdrro 2023-05-08 16:21:42 +08:00 或许可以根据入站接口做标记,然后根据标记做策略路由 |
 | 2 carrionlee 2023-05-08 16:37:48 +08:00 从电信访问家中的端口也要做策略路由 |
 | 3 ozOGen 2023-05-08 16:59:01 +08:00 按需求来说,loadbalance 然后电信直接设置成 failover only 似乎更符合直觉。。。 |
 | 5 yunisky 2023-05-08 17:14:05 +08:00 是不是要做个源进源出哦? |
 | 7 OP @carrionlee 是的,我就是卡在这里 |
 | 8 namgking 2023-05-08 17:20:51 +08:00 电信口子要做个 snat ,否则外网从电信口进来的默认走从联通口出去了,那么肯定是通不了 |
| 10 ozOGen 2023-05-08 17:39:49 +08:00 @smilodon 那就是了,电信从联通进来,出去时候 PBR 又从电信出去,肯定不通了,应该是打标要做源进源出,但是我当时也是做不到这个也没找到资料。 我现在两条宽带一条有公网 v4 没 v6 ,一条有 v6 没公网 v4 ,于是 v4 公网用端口映射暴露,v6 开端口直通设备,恰好绕开了需要源进源出的问题。。 也贴一下我的配置 https://post.smzdm.com/p/anxl84zv/ 看看有没啥启发 |
| 12 smilodon OP @ozOGen 我昨晚看过你在张大妈上面发的文章,对于我来说是天书(虽然我读的是计算机,但是计算机网络学的不好,捂面逃…… |
 | 13 TerenceRust 2023-05-08 19:39:56 +08:00 电信访问电信出口 IP 不行么?两 ddns |
| 14 carrionlee 2023-05-08 22:22:30 +08:00 @smilodon 简单啊,你电信的 ddns 域名肯定和联通不一样啊,直接走电信的域名访问,那就肯定是从 WAN2 进来的,那你把相应端口的规则写好就可以了(端口映射的规则需要手动写到 nat 规则里,因为默认端口映射是给 WAN1 用的) |
| 15 carrionlee 2023-05-08 22:28:02 +08:00 之前上海电信封 web 服务的时候,我就从备用的联通线路访问家里的(家里默认出口还是电信,联通只做 PBR ),具体配置手头没有了,已经转战 routeros 了 |
| 16 smilodon OP @carrionlee 感谢,我按照你这个思路试试,不过我刚才拔了电信光猫的电源,发现一切居然可以正常运行了,但是当我又把光猫的电源重新插了回去,又不行了…… |
| 17 smilodon OP @carrionlee 按照你的思路,问题解决了。请问「从电信访问家中的端口也要做策略路由」怎么做?想一个子域名搞定所有的事情 |
| 18 smilodon OP 回来汇报一下进度 问题已解决,使用如下指令 set firewall modify M rule 10 description "NAS" set firewall modify M rule 10 source group address-group NAS set firewall modify M rule 10 action modify set firewall modify M rule 10 modify table main |
Select Language