QQ截图20191225105813.png (31.98 KB, 下载次数: 0)
家中网络布局如图。
ER-X为主路由192.168.1.1,双线接入 负载均衡。
联通线路 eth1/pppoe1 绑定ddns 启用l2tp
电信线路 eth3/pppoe3
内部服务器是192.168.1.250为透明代理,连接一些指定区域。强制走电信线
开启dnsmasq,代理全部的DNS请求
使用路由表table 2,指定next-hop到192.168.1.1
使用防火墙modify规则 addrgroup X 使用table2
并且使用dnsmasq的ipset功能将需要网址归类到addrgroup X
主要配置如下
set protocols static table 2 route 0.0.0.0/0 next-hop 192.168.1.250
set firewall group address-group X
set firewall modify balance rule 20 description "proxy"
set firewall modify balance rule 20 destination group address-group X
set firewall modify balance rule 20 action modify
set firewall modify balance rule 20 modify table 2
set service dns forwarding options ipset=/g.com/X复制代码
在家使用一切正常。
但是手机在外使用l2tp连回家中的时候出现问题。转发规则失效。
l2tp的配置是完全按照官网配置的,并且DNS 指向了路由的dnsmasq服务,DNS侦听也监听了192.168.1.1
set ** l2tp remote-access dns-servers server-1 192.168.1.1
set ** l2tp remote-access outside-address 0.0.0.0
set ** ipsec ipsec-interfaces interface eth1
set service dns forwarding options "listen-address=192.168.1.1"复制代码
用手机在外面连回家的时候,选择发送全局流量
连接后,IP位置正常,可以正常访问局域网内服务,浏览一般网页正常
但是浏览应当走table2的地址的时候失败。
不知道应该怎么搞
求各位大神帮忙看看
评论
看不懂,帮顶。。。
评论
我理解没错的话所谓的Table 2就是IPset表匹配的情况下forward去透明代理?
这里可能会涉及到你的入站接口地址的问题吧...
正常你防火墙规则的生效接口和方向是做在那的?
不过居然还有这么玩的....我以前都是图省心一条iptables直接写在启动脚本完事的....
评论
运营商不是早封了L2tp 了吗?
评论
连国外封掉,国内随便用啊,要不大公司办公怎么办
要是国内也封的话,我这帖子也不敢写啊
评论
嗯,没错就是匹配后 转到透明代理。
防火墙er-x有一个单独的modify规则表,应用到了switch0上....
//明白了,
因为我的转发规则是应用到switch0 (eth0.2.4)上,
l2tp连入的eth1并没有应用规则。
感谢提醒,回去折腾去
评论
我也想这样玩测了不通,但是局域网可以用,l2tp 要开放哪些端口啊,我再试试?
评论
官方的配置指南
https://help.ubnt.com/hc/en-us/a ... 2TP-IPsec-**-Server
防火墙部分摘录如下
set firewall name WAN_LOCAL rule 30 action accept
set firewall name WAN_LOCAL rule 30 description ike
set firewall name WAN_LOCAL rule 30 destination port 500
set firewall name WAN_LOCAL rule 30 log disable
set firewall name WAN_LOCAL rule 30 protocol udp
set firewall name WAN_LOCAL rule 40 action accept
set firewall name WAN_LOCAL rule 40 description esp
set firewall name WAN_LOCAL rule 40 log disable
set firewall name WAN_LOCAL rule 40 protocol esp
set firewall name WAN_LOCAL rule 50 action accept
set firewall name WAN_LOCAL rule 50 description nat-t
set firewall name WAN_LOCAL rule 50 destination port 4500
set firewall name WAN_LOCAL rule 50 log disable
set firewall name WAN_LOCAL rule 50 protocol udp
set firewall name WAN_LOCAL rule 60 action accept
set firewall name WAN_LOCAL rule 60 description l2tp
set firewall name WAN_LOCAL rule 60 destination port 1701
set firewall name WAN_LOCAL rule 60 ipsec match-ipsec
set firewall name WAN_LOCAL rule 60 log disable
set firewall name WAN_LOCAL rule 60 protocol udp复制代码
评论
我以前用个win2k3 开放了500、4500、1701这几个端口就是不能成功,局域网成功,不知为何
评论
没用过er-x,
用的openwrt,不过我都直接把v-p-n的tap跟lan(eth1)桥接到一起. (禁用v-p-n的dhcp跟nat)
这样v-p-n client的address跟gateway统一由lan上的dhcp分配.
然后就跟物理链接到路由lan的设备完全一样了.
nat转发都是从lan的gateway上过去的(对lan设置的所有规则也都是生效的.
评论
话说 你这个双ISP的负载均衡是怎么弄的? 我这不管硬路由还是LEDE 进去都是来回跳
评论
set load-balance group G sticky dest-addr enable
set load-balance group G sticky dest-port enable
set load-balance group G sticky source-addr enable
set load-balance group G sticky source-port enable
set load-balance group G sticky proto enable复制代码
打开会话粘滞,一切交给自动的lb算法
除了极为个别验证和服务走不同服务器的网站会失败外,没遇到什么问题
评论
如果遇到玩游戏呢? 连联通服务器的时候自动跳到电信服 会不会出现呢?
还有就是连外服的时候 我这里联通彻底没办法出去 电信相对好一点~~
评论
感谢, 没怎么配置过VXN 很多设置不是很清楚
回去折腾试试
评论
我两条线路可用性没啥差别, 没注意这种事。
有特殊需要的话直接modify 特定IP到指定线路就好了啊
评论
好像开启负载均衡,会导致源入源出失败,应该是源入源出优先级低。
评论
墙内从来不封,各种协议都是全开的,只有尝试在墙上打洞的时候才会被封
评论
哈我愁着配ros跑了个openwrt专门打洞用,转发500、4500就行了。。。
评论
最终成功了吗?
评论
去英文官网发帖求助
官方专家解释
防火墙的modify规则在gui和cli下无法设置为对隧道生效,需要手动修改iptable 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 {日本国际学校}梅田インターナショナルスクール
·日本学校 LINE:sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場 一時1ドル=140円台まで上昇?
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办?