推 azdy: 應該互設對方路由器為閘道?07/05 19:33
→ azdy: 烏龜不用設置?07/05 19:34
調整成兩台router互相設置 小烏龜設定取消
86U
https://i.imgur.com/khnW2pk.jpg
→ jeff40108: 就是不同網段怎麼ping的到07/05 20:19
推 azdy: ping 誰ping 不到?設靜態路由,NAT 還是有作用的吧?WAN 外07/05 20:20
→ azdy: 能ping 進去LAN 段?07/05 20:20
A B電腦互ping不到
推 jeff40108: 你這樣設就是兩台router可以互ping而已,下面的電腦是07/05 20:23
→ jeff40108: 不同網段的07/05 20:23
→ jeff40108: class C就是/24的,你要能ping就請設成classB的07/05 20:25
不是封包送得到回的來就可以嗎 不太懂為什麼要Class B
推 luciferhsu: 你下面兩台電腦的gateway有指到分別router上嗎?07/05 20:27
A電腦是DHCP 閘道192.168.50.1
B電腦也是DHCP 閘道192.168.51.1
→ jeff40108: 而且你要能ping那幹嘛設nat?07/05 20:27
→ jeff40108: 並不是你把wan跟lan設成同ip就是同網段好嗎07/05 20:28
→ jeff40108: 建議你乖乖全部插lan port07/05 20:31
不是很懂
我是希望這兩台電腦網段隔開 因為底下的裝置需要分別使用不同的IP上網
全部插LAN也有考慮 但是那是最後手段
還是希望能先做到我要的
→ ornv: IPSec Lan to Lan07/05 21:00
VPN? 這樣會不會不穩
→ jeff40108: 沒有為什麼,因為nat不是真的routing07/05 21:07
→ jeff40108: 除非你想自己設轉址07/05 21:08
這是什麼 有關鍵字嗎
→ jeff40108: 就算你把小烏龜改成/16也ping不進另一個網段的07/05 21:09
所以我想要這樣兩台電腦互通是不可行的?
→ jeff40108: 樓上有人說的應該也能通啦 07/05 21:21
→ jeff40108: 就怕你拿到兩個ip而已 07/05 21:22
→ Saren: ap除了要指定對方ap的ip 還得要接受對方網段來轉到自己內網07/05 21:26
→ Saren: 接受對方網段的設定應該是放在防火牆設定裡 如果是linux下07/05 21:36
→ Saren: 的語法應該類似iptables -A FORWARD -s 192.168.51.0/24 -d 07/05 21:36
→ Saren: 192.168.50.0/24 -j ACCEPT 07/05 21:36
→ Saren: 但是你兩個ap下的網段對小烏龜的存取也是NAT 沒什麼機會 把 07/05 21:59
→ Saren: 整個網段改成192.168.0.0/16 才有機會用上面的語法去互通07/05 21:59
→ Saren: 小烏龜那段改成/16就好07/05 22:01
推 HiJimmy: 後來調整得應該是對的,再來去防火牆設定07/05 22:28
推 HiJimmy: 介面要改LAN07/05 22:30
→ fonzae: 原PO不是對接,小烏龜要設靜態路由07/05 22:50
→ fonzae: 反而是兩台ASUS不用,請原PO先確認系統防火牆是否打開 07/05 22:51
→ fonzae: 若打開,請先關閉,若不通請抓封包看資訊07/05 22:51
改由小烏龜設置靜態路由 兩台ASUS取消
使用Wireshark抓ping封包顯示No response seen to ICMP request
兩台ASUS router 防火牆都關了 小烏龜的沒有關
小烏龜
https://i.imgur.com/hLzW4kw.jpg
→ fonzae: PC的防火牆呢?07/05 23:30
我直接SSH進asus router 86U ping 66u+也ping不到@@
不知道哪裡錯了
更正一下好了
86U ping 192.168.1.102 有通
86U ping 192.168.51.1 不通
小烏龜已改成192.168.1.1/16
推 s69910: 把其中一台改為橋接模式?07/05 23:38
橋接模式就沒辦法切兩個區網了
→ fonzae: 不對啊! 為何你兩台ASUS 會有硬播浮動跟浮動固I07/05 23:45
因為兩台底下的設備各需要不同實體IP(底下各不只一台電腦)
→ fonzae: 先取消PPPOE吧07/05 23:46
→ fonzae: 現在是在幫你找,為何封包轉不進去07/05 23:47
好
神奇了 兩台ASUS取消PPPoE 50網段可以ping到51的 51的ping不回來 還在看是什麼問題
那這樣只能取消PPPoE了嗎
→ fonzae: 不對啊! 你小烏龜不是都設好固定路由?07/05 23:55
→ fonzae: 你要知道沒有宣告,就是往外丟07/05 23:55
對 我正在檢查
→ fonzae: 還是權重? 我看小烏龜好像有這東西07/05 23:56
→ fonzae: 如果今天丟一個192.168.51.101 從1982.168.50.10107/05 23:56
→ fonzae: 那就會先從86U開始檢查,由於86U沒有設置靜態路由07/05 23:57
→ fonzae: 所以就會往上丟,小烏龜此時有設置就知道要丟到哪個路由器 07/05 23:57
→ fonzae: 家用路由器都會設置ICMP 轉存才對07/05 23:57
→ fonzae: 所以你現在靜態路由表是OK的,那麼剩下問題就自己茶吧07/05 23:58
權重都設成0了 還是有一邊不通 不過這應該很好解決
→ fonzae: 至於硬播浮動固I的需求,我只能說,換台路由吧07/05 23:58
→ fonzae: 小烏龜當作Core router也不好,買台mikrotik07/05 23:59
→ fonzae: 不就皆大歡喜,一台可以硬撥多個PPPOE07/05 23:59
→ fonzae: 又可以指定網段走哪個PPPOE,效能又不錯07/05 23:59
真的要買也不是不行 只是我比較好奇我現在的設備有沒有辦法達到我上面的要求
→ fonzae: 要你取消PPPOE,就是怕封包丟過去,他就丟棄啊!07/06 00:05
是指哪一台會丟棄? ASUS的嗎
→ fonzae: 你要先解決內部架構,在處理外部啊!07/06 00:05
→ fonzae: 內部搞不定,還參雜外部IP來玩07/06 00:05
→ fonzae: 而且正常架構都是內部到防火牆,由防火牆分配07/06 00:06
→ fonzae: 如果你今天兩台路由在兩地,那就會跟上面一樣建議你用 07/06 00:07
→ fonzae: IPSEC VPN,然後設靜態路由解決 07/06 00:07
推 azdy: 借問一下家用分享器,WAN 端可以拿2個ip?07/06 00:08
ASUSWRT可以
→ fonzae: 很久沒碰ASUS路由,我知道現在ASUS路由可以設置次要IP07/06 00:08
→ fonzae: 也就是WAN撥接 + LAN IP 07/06 00:08
→ fonzae: 但是否有問題,那就會像你現在碰到這樣 07/06 00:09
→ fonzae: 不確定那就簡單一點,取消PPPOE,回歸最基本架構07/06 00:09
所以目前來說最有可能是連PPPoE之後有東西在作怪?
→ fonzae: 我不確定,很久沒用ASUS07/06 00:13
→ fonzae: 倒是碰過小烏龜的靜態路由表是失效的 07/06 00:13
→ fonzae: 就算我用到ASUS的路由器,也只是那種家用 07/06 00:14
→ fonzae: 那些家庭不會有你這種設置靜態路由的需求 07/06 00:15
→ fonzae: 而要設置靜態路由,反而都是企業才會弄到 07/06 00:15
→ fonzae: 但那些企業怎麼可能買ASUS 路由器呢! 07/06 00:15
如果真的不成功那就只能買企業級的了…
→ tomsawyer: 你要不要電腦設定route table試試看? 07/06 00:24
→ tomsawyer: 哦沒事 兩台router可以互測07/06 00:30
→ Saren: AP的防火牆沒有把自己網段的封包轉送進來啊07/06 08:50
→ Saren: 再來是你小烏龜那段的區網設定是/24 你又要傳不同段的封包07/06 08:53
小烏龜改/16了
→ Saren: 這個邏輯就是有問題了 07/06 08:54
→ Saren: 介面LAN跟WAN再都試一下07/06 09:01
→ Saren: 也就是從WAN進來要找內部網段的封包要轉向內部介面的ip 07/06 09:03
我試了一下 發現昨天那樣設置路由(兩台asus互設)其實兩邊都是通的 只是剛好測試pi
ng的電腦很像還有一些防火牆規則在所以沒有回應
但是只要PPPoE一撥號就不行了@@
→ DanielJi: 開DMZ連對方的WAN IP就好 07/06 11:42
這樣沒辦法耶 因為兩邊網路底下都不只一台電腦
→ Saren: 那要不要telnet進去看ip addr show 可能沒辮法接受兩種wan 07/07 06:20
→ Saren: 設定 手動指定個靜態ip給wan介面 "ip addr add 192.168.107/07 06:20
→ Saren: .101/24 dev eth0.1" 其中eth0.1是wan介面 可能不同路由器07/07 06:20
→ Saren: 不同名稱07/07 06:20
推 birdy590: 你這架構用底層的 Linux 絕對做的出來 但韌體GUI未必行 07/07 08:56
推 overxxx: 的確要telnet去下ip addr,看你有哪些interface 07/07 09:32
→ overxxx: 之前用過dd-wrt,在pppoe撥號後,要手動指定ip跟下iptables 07/07 09:36
搞了很久發現只要開PPPoE 我在GUI設定的route就會被清掉
https://i.imgur.com/9KuBHuF.png
→ birdy590: 這樣session斷線重連就又掛了吧?跟GUI打架很麻煩 07/07 10:06
這個不是永久的嗎 還是每次開機GUI會override? 要試一下
→ Saren: 重開機會被清空 看看有沒有機會寫在rc.init之類的裡面了07/07 10:18
→ Saren: pppoe斷線重連應該也會不見. 看要不要改ddwrt 彈性比較大了07/07 10:20
ASUS這兩台不是只能刷Merlin?
我之前看什麼tomato的都不行 CPU架構的關係吧
→ Saren: merlin沒用過 說不定也可以07/07 10:20
我就是用merlin
應該是可以寫開機腳本
只是現在有個問題
就是兩台asus防火牆都關閉的情況下
兩邊區網底下有些服務可以用有些不行 只要跨區網的話nmap去掃就變filtered 這是路由器
問題還是那個裝置的問題?
--
自己回 應該是裝置防火牆擋掉了
兩邊區網ubuntu用nmap互掃port都是開的
→ Saren: 那寫個script 10秒一次檢查 手動加的不見就自行重加這樣?07/07 10:25
剩最後一個問題
就是目前兩台asus 只要防火牆打開就會被擋掉
那GUI這樣有辦法加規則嗎
https://i.imgur.com/Opon8UM.jpg
→ overxxx: 沒辦法用這個GUI,要自己下iptables指令07/07 14:52
好 我來看看要怎麼加
→ birdy590: 不是說了嗎 跟GUI打架很累的 要做這個塞一台mikrotik07/07 16:39
→ birdy590: 不是輕鬆很多?07/07 16:39
有 有在考慮
推 lgla: 為什麼不乾脆用雙wan ,兩台電腦就可以在同一個區網下,再07/07 20:24
→ lgla: 分別指定由哪個wan出去就好了。07/07 20:24
因為某些原因,底下的其他設備不要同區網
→ Saren: 這篇跟樓上是同概念07/07 20:42
→ fonzae: 怎麼還沒解決,基本上家用的路由器不用去思考防火牆07/08 12:28
不用思考防火牆的意思是做太爛嗎 所以關掉比較好?
→ fonzae: 再來你的次要IP會因為WAN IP取得而清除route table07/08 12:29
→ fonzae: 講白話就是家用路由器韌體太爛07/08 12:29
→ fonzae: 不然我不會要你關掉PPPOE07/08 12:29
→ fonzae: 老話一句,花個千元買個Mikrotik,然後去學習他的用法07/08 12:30
Mikrotik我有在考慮了
→ fonzae: 至於ASUS提供的防火牆,不就單純阻止ddos,應該不會阻止你07/08 12:31
→ fonzae: 內網溝通,畢竟你的Port是有開通的,代表是可以過去07/08 12:31
→ fonzae: 問題應該還是WAN的次要IP失效問題,因為路由表更新07/08 12:32
→ fonzae: 只要有這筆,都會記錄的,不應該被清除掉07/08 12:32
→ fonzae: Static route的確就是要宣告不同網段的連通07/08 12:33
→ fonzae: 所以也不用特地將小烏龜netmask改成/16,沒必要07/08 12:34
→ fonzae: 三台路由都是192.168.1.0/24網段,自然就能溝通了07/08 12:34
這個我晚點回家試試看
→ fonzae: 至於到底層去下iptable,之前我進去底層過,權限應該沒給07/08 12:35
→ fonzae: 理論上你直接vi,去增加rule,儲存完重啟防火牆服務07/08 12:36
→ fonzae: 下command也可以,只是我的習慣都是進conf去修改07/08 12:36
→ fonzae: 但我沒記錯,ASUS應該沒有給你最大權限07/08 12:36
ASUS原廠我不知道 但是Merlin應該是有最高權限
推 overxxx: 主要是PPPOE連線後,WAN的介面就變ppp0之類的虛擬介面,而07/08 12:54
→ overxxx: 實體的介面有可能是ethx,vlanx需要自己再另外設定IP 07/08 12:56
→ overxxx: 用過dd-wrt、tomato、padavan的經驗,只有padavan在pppoe07/08 12:59
→ overxxx: 設定為WAN後,還可以設定一個MAN IP,算是很方便的UI設計 07/08 13:00
MAN IP是指什麼? 我在ASUS靜態路由有看到 但是Google 一直跑出葉問…
→ overxxx: 而且還有很多對應的script可以自行設定 07/08 13:02
→ overxxx: merlin的話,去研究一下jffs partition就可以設定script了 07/08 13:24
有 這個我之前用ddns script有用過
→ overxxx: LAN、MAN、WAN一起查.在你PPPOE連上後public ip是你的WAN 07/08 13:54
→ overxxx: 192.168.1.x是你的MAN,所以GUI路由可能就要改選介面MAN 07/08 13:55
https://I.imgur.com/1Yu5JNf.jpg
→ fonzae: ASUS路由器提供的防火牆並不是專業級的07/08 16:20
→ fonzae: 所以不用去特地考慮開ASUS路由器防火牆07/08 16:20
→ fonzae: ASUS連補洞都比其他家慢了,所以防火牆真的不用太苛求07/08 16:22
手動增加iptables rule就成功了 謝謝
※ 編輯: scottliu (39.8.126.225 臺灣), 07/14/2020 19:44:02