关于旁路由的一种设置方法
咋也是小白,如有说得不对的地方,请指正此方法绕过了WAN口防火墙,有此需求的请另寻他法
手里只有一个树莓派,此方法也在一台OP的路由器上实验过,理论上是支持其他路由器的
看到二楼的方法后,发现有一步确实可以省略,在此更改下,同时谢谢指点。
第一步
查看主路由LAN口IP,确定网关,列如我的就是192.168.1.1
设置旁路由LAN口IP,设置完成后将旁路由通过LAN口与主路由连接,使用设置后的IP访问旁路由
地址:192.168.1.2(与主路由IP不同即可,可设置2-254的任意一个数字)
子网掩码:255.255.255.0(与主路由相同,一般为255.255.255.0)
网关:192.168.1.1(为主路由LAN口IP,可不设,不设必须进行第二步操作,设了第二步可跳过)
广播:192.168.1.255(子网掩码为255.255.255.0的情况下为255)
DNS服务器:192.168.1.1(必填项目,这里填的是主路由LAN口IP,也可以填公共DNS,如114.114.114.114)
DHCP:忽略(IPV6禁用)
第二步(旁路由网关设置了可跳过,这一步相当于手动指定旁路由网关)
设置旁路由”静态路由”
接口:lan
对象:0.0.0.0
子网掩码:0.0.0.0
网关:192.168.1.1(为主路由LAN口IP)
剩下的一些保持默认就好
第三步
设置主路由DHCP
修改网关和DNS(对于有特殊需求的,也可以修改设备的网关和DNS,两者二选一就好)
网关:192.168.1.2(旁路由LAN口IP)
DNS:192.168.1.2(旁路由LAN口IP,对于有DNS方面相关需求的,这里可能还要加端口号,对于无DNS相关需求的,也可设置为其他的公共DNS)
注:主路由和旁路由的DHCP二选一开启就好
旁路由设置的正确方式
最近在玩旁路由,踩了一些坑,也学习了点相关知识,特整理记录下。
一、旁路由的配置
上图是旁路由的连接方式,一般作为旁路由的只有一个LAN口,可以把它想成一个普通的连接路由器的电脑。让他们ip在一个网段即可,比如主路由网关192.168.3.1,旁路由配置成192.168.3.2
1.主路由配置:DHCP配置中把网关和DNS改成旁路由ip地址,如192.168.3.2。
2.旁路由配置:关闭DHCP,把网关改成主路由地址,如192.168.3.1,关闭桥接模式,其他什么子网掩码,广播地址就不说了。
说明:还有的人是关闭主路由dhcp,开启旁路由dhcp,个人是不推荐这种做法的,虽然dhcp只是一个ip分配器,差别只是谁分配ip的问题,但是我们使用旁路由,就是想对主路由影响最小。如上配置后,撤掉旁路由后或者旁路由出现问题,只要改下主路由的dhcp网关,重启下就可以了,很方便。
这样配置后,网络流量如下图:
科学流量经过处理,会进行nat,这样上行和下行都会走旁路由进行加密和解密。
普通流量只是上行经过旁路由转发一下,ip不会改变;下行的时候主路由发现ip包是电脑,会直接发过去。
正常这样处理是比较完美的,旁路由只加解密科学流量,但是有些路由器这么配置,国内流量是无法上网的,只有国外的没问题,必须要配置一条防火墙规则才行。
1 | iptables -t nat -I POSTROUTING -j MASQUERADE |
这是为什么呢?
出现问题的一般都是华为,小米,360等主路由器(发现他们都有个共同特征-不能配置dhcp网关),究其本质原因是,这些路由器会校验数据包的ip和mac地址的对应关系。国内包的上行经过旁路由转发给主路由时,主路由发现旁路由发过来的数据包ip不是它自己的,校验失败,所以图中普通流量那条路就不通了。
然后加了防火墙规则为啥就可以了呢,上边那条规则的意思是执行SNAT功能,就是把数据包的源ip改成当前机器的,也就是旁路由的ip,而且还是动态改变(防止旁路由ip是动态?)。这样配置后,网络流量变成下图了:
这样旁路由其实就是一个没有路由功能的二级路由器了,你会发现在你迅雷等高速下载的时候旁路由的cpu会异常的高,都用来nat了,而不是最初旁路由的目的–只加解密科学流量。
还有的一种设置方法是不用加防火墙规则,旁路由加一个wan口,共用一个etho网口,这样我理解其实就是单臂路由吧?其实和上边差不多的。
查看有没有设置正确的方法很简单
1.迅雷等高速下载的时候看cpu占用是不是很高
2.比较靠谱的一种,看上下行的流量,正确配置的话,旁路由的上行是大于下行的,如果上下相同且数据流量很大(高速下载时候比较明显),则配置有问题。
这是下载速度:
正确配置的上下行速度和cpu占用:
错误配置的上下行速度和cpu占用:
3.最最靠谱的是去主路由看联网设备信息,会发现该设备的ip是电脑的,但是mac地址是软路由的
当然,如果用的主路由是华为、小米、360等,那没辙,只能用上述加防火墙规则或者加wan口,采用nat的方式避免它的检验(这样还不如弄成二级路由省时省心),或者换一个主路由器。
旁路由设置的三种方式
前言
相信大家基本都会设置旁路由,但是由于市面上各种旁路由设置教程都不全面且鱼龙混杂,所以刚开始看见的人基本都一脸懵逼,为了让大家在捡垃圾的时候没有后顾之忧,从今天开始,我会更新一系列教程教大家完美设置网络设备。
正文
首先默认主路由和旁路由为以下情况:
| 主路由: | 旁路由: |
|---|---|
| IP:192.168.11.1 | IP:192.168.1.1 |
| 子网掩码:255.255.255.0 | 子网掩码:默认 |
| 网关:默认 | 网关:默认 |
| 广播:默认 | 广播:默认 |
| 自定义DNS服务器:默认 | 自定义DNS服务器:默认 |
模式一:主路由 开 DHCP + 旁路由 关 DHCP (非全局)
主路由无需做任何变动。
旁路由:
IPv4地址修改为主路由网段中的一个地址,例如 192.168.11.3。
子网掩码设置与主路由相同,例如 255.255.225.0。
网关设置为主路由地址,例如 192.168.11.1。
DNS 地址根据本地网络情况设置,推荐设置为主路由IP,例如 192.168.11.1。
重要:若将DNS加速功能放在旁路由上,则统一将旁路由的DNS服务器设置为 127.0.0.1。
同时下方「DHCP服务器」,勾选「忽略此接口」。
保存并应用配置,然后将 旁路由 连接到主路由的 LAN 口。
表现如下:
| 主路由: | 旁路由: |
|---|---|
| IP:192.168.11.1 | IP:192.168.11.3 |
| 子网掩码:255.255.255.0 | 子网掩码:255.255.255.0 |
| 网关:默认 | 网关:192.168.11.1 |
| 广播:默认 | 广播:默认 |
| 自定义DNS服务器:默认 | 自定义DNS服务器:192.168.11.1 |
局域网内所有设置,需要手动指定需要 旁路由 服务的设备,网关地址和 DNS 服务器为192.168.11.3。
模式二:主路由开 DHCP + 旁路由 关DHCP (全局)
方法一:
旁路由的设置与模式一相同。
进入主路由,将主路由的 DHCP 的默认网关修改为旁路由的IP,例如192.168.11.3, DNS 服务器也修改为旁路由的IP,例如 192.168.11.3。
方法二(适用于主路由为Openwrt):
旁路由的设置与模式一相同。
在主路由「DHCP 选项」中,添加两条参数,3,192.168.31.100,6,192.168.31.100 。
保存并应用配置即可。
表现如下:
| 主路由: | 旁路由: |
|---|---|
| IP:192.168.31.1 | IP:192.168.31.100 |
| 子网掩码:255.255.255.0 | 子网掩码:255.255.255.0 |
| 网关:192.168.31.100 | 网关:192.168.31.1 |
| 广播:默认 | 广播:默认 |
| 自定义DNS服务器:192.168.31.100 | 自定义DNS服务器:114.114.114.114或192.168.31.1 |
模式三:主路由不开 DHCP+ 旁路由 开 DHCP (全局)
主路由关闭DHCP,然后设置网关为旁路由的IP,例如192.168.11.3, DNS 服务器也修改为旁路由的IP,例如 192.168.11.3。
旁路由设置网关为主路由的IP,例如 192.168.11.1。
可选:旁路由设置DNS服务器为主路由的IP,例如 192.168.11.1。
表现如下:
| 主路由: | 旁路由: |
|---|---|
| IP:192.168.31.1 | IP:192.168.31.100 |
| 子网掩码:255.255.255.0 | 子网掩码:255.255.255.0 |
| 网关:192.168.31.100 | 网关:192.168.31.1 |
| 广播:默认 | 广播:默认 |
| 自定义DNS服务器:192.168.31.100 | 自定义DNS服务器:默认(或者192.168.31.1) |
附一:
N1盒子旁路由需要在防火墙自定义规则添加:
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE