V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
smilodon
V2EX  ›  宽带症候群

双 WAN 下引发的一个问题,求助

  •  
  •   smilodon · 2023-05-08 15:53:21 +08:00 · 1866 次点击
    这是一个创建于 572 天前的主题,其中的信息可能已经有所发展或是发生改变。
    背景介绍:
    家里的网络是双 WAN 联通+电信,默认 WAN1 (联通)承载全部负载,WAN2 (电信)只负责中国电信目标地址
    路由器用的是 ubnt er4

    碰到的问题:
    当我从外面访问家中,电信不能访问,其他的(移动 /联通 /广电)都可以访问。本来想着联通是 NAT444 ,但是昨天晚上设置了一下,发现家中的网络可以被电信 ping 通的,并且电信也能发包过来,于是会不会是防火墙的问题?

    附上我的双 WAN 配置(仅摘录部分配置):

    set protocols static interface-route 0.0.0.0/0 next-hop-interface pppoe1 distance 10
    set protocols static interface-route 0.0.0.0/0 next-hop-interface pppoe2 distance 20
    set protocols static table 2 interface-route 0.0.0.0/0 next-hop-interface pppoe2
    set firewall modify M rule 20 description "Telenet"
    set firewall modify M rule 20 destination group network-group CHINANET
    set firewall modify M rule 20 action modify
    set firewall modify M rule 20 modify table 2
    set interfaces ethernet eth0 firewall in modify M

    参考文献: https://www.tintsoft.com/articles/374.html

    请各位不吝指教,谢谢!
    18 条回复    2023-05-09 11:26:42 +08:00
    hzdrro
        1
    hzdrro  
       2023-05-08 16:21:42 +08:00
    或许可以根据入站接口做标记,然后根据标记做策略路由
    carrionlee
        2
    carrionlee  
       2023-05-08 16:37:48 +08:00
    从电信访问家中的端口也要做策略路由
    ozOGen
        3
    ozOGen  
       2023-05-08 16:59:01 +08:00
    按需求来说,loadbalance 然后电信直接设置成 failover only 似乎更符合直觉。。。
    ozOGen
        4
    ozOGen  
       2023-05-08 16:59:46 +08:00
    @ozOGen 电信外网访问入口是不是电信呢?
    yunisky
        5
    yunisky  
       2023-05-08 17:14:05 +08:00
    是不是要做个源进源出哦?
    smilodon
        6
    smilodon  
    OP
       2023-05-08 17:15:39 +08:00
    @yunisky 我认为是的,能否提供一下 edgeos 下的资料?
    smilodon
        7
    smilodon  
    OP
       2023-05-08 17:16:18 +08:00
    @carrionlee 是的,我就是卡在这里
    namgking
        8
    namgking  
       2023-05-08 17:20:51 +08:00
    电信口子要做个 snat ,否则外网从电信口进来的默认走从联通口出去了,那么肯定是通不了
    smilodon
        9
    smilodon  
    OP
       2023-05-08 17:23:19 +08:00
    @ozOGen 我也是把电信直接设置成 failover only ,电信外网的访问是联通
    ozOGen
        10
    ozOGen  
       2023-05-08 17:39:49 +08:00
    @smilodon 那就是了,电信从联通进来,出去时候 PBR 又从电信出去,肯定不通了,应该是打标要做源进源出,但是我当时也是做不到这个也没找到资料。
    我现在两条宽带一条有公网 v4 没 v6 ,一条有 v6 没公网 v4 ,于是 v4 公网用端口映射暴露,v6 开端口直通设备,恰好绕开了需要源进源出的问题。。
    也贴一下我的配置 https://post.smzdm.com/p/anxl84zv/ 看看有没啥启发
    smilodon
        11
    smilodon  
    OP
       2023-05-08 18:35:24 +08:00
    @namgking 请问怎么做呢,谢谢~
    smilodon
        12
    smilodon  
    OP
       2023-05-08 18:40:41 +08:00
    @ozOGen 我昨晚看过你在张大妈上面发的文章,对于我来说是天书(虽然我读的是计算机,但是计算机网络学的不好,捂面逃……
    TerenceRust
        13
    TerenceRust  
       2023-05-08 19:39:56 +08:00
    电信访问电信出口 IP 不行么?两 ddns
    carrionlee
        14
    carrionlee  
       2023-05-08 22:22:30 +08:00
    @smilodon 简单啊,你电信的 ddns 域名肯定和联通不一样啊,直接走电信的域名访问,那就肯定是从 WAN2 进来的,那你把相应端口的规则写好就可以了(端口映射的规则需要手动写到 nat 规则里,因为默认端口映射是给 WAN1 用的)
    carrionlee
        15
    carrionlee  
       2023-05-08 22:28:02 +08:00
    之前上海电信封 web 服务的时候,我就从备用的联通线路访问家里的(家里默认出口还是电信,联通只做 PBR ),具体配置手头没有了,已经转战 routeros 了😂
    smilodon
        16
    smilodon  
    OP
       2023-05-08 22:37:34 +08:00
    @carrionlee 感谢,我按照你这个思路试试,不过我刚才拔了电信光猫的电源,发现一切居然可以正常运行了,但是当我又把光猫的电源重新插了回去,又不行了……
    smilodon
        17
    smilodon  
    OP
       2023-05-09 06:34:57 +08:00
    @carrionlee 按照你的思路,问题解决了。请问「从电信访问家中的端口也要做策略路由」怎么做?想一个子域名搞定所有的事情
    smilodon
        18
    smilodon  
    OP
       2023-05-09 11:26:42 +08:00
    回来汇报一下进度
    问题已解决,使用如下指令

    set firewall modify M rule 10 description "NAS"
    set firewall modify M rule 10 source group address-group NAS
    set firewall modify M rule 10 action modify
    set firewall modify M rule 10 modify table main
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   893 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 21:27 · PVG 05:27 · LAX 13:27 · JFK 16:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.