【已解决】请教大佬们一个旁路由外网访问问题。

crabandapple

下面是网络拓扑图，宽带是电信200M，有ipv4的公网，有阿里云域名一个，光猫为桥接模式。主路由是华硕ac68u，如果不可为，有考虑将其换成软路由。
其中docker容器2~5全部设置为br0是因为unraid指向了旁路由，而tr又进行了ip黑名单操作，导致nastools不跟着选br0的话与tr测试不通过，emby同理。
昨天折腾了三四个小时，将unraid的网关改为主路由，端口改为6500，同时主路由设置端口转发，已经成功外网访问了，后续npm操作有问题，但是可以慢慢再研究。但是将unraid网关指向openwrt时，获取的肯定不是我的公网了，是富强的一个ip地址，这样我该怎样进行外网访问呢？可以开启ipv6解决吗？或者在不开启ipv6的情况下，只用现有网络架构是否可以解决？
需要的是外网向内网访问，可能我表述不清，抱歉。内网向外访问一切正常。
ps：昨晚折腾时有段时间内网用域名+端口可以访问unraid，但是外网不行。当时也不知道哪有问题，已经凌晨3点，时间太晚就先放弃了。
以上，拜谢各位大佬。
20230115更新：已解决，剩下npm反向代理暂时无法实现。
20230327更新：已解决。

ricercar

和用不用br0没关系，unraid不能访问网络是因为你的openwt网关没有设置成主路由器的网关，本身就不通，或者openwt的透明网关没设置好
我不明白你用旁路由的意义在哪里？很多网上的UP自身都不明白透明网关是啥就忽悠什么旁路由

crabandapple

ricercar 发表于 2023-1-12 13:14
和用不用br0没关系，unraid不能访问网络是因为你的openwt网关没有设置成主路由器的网关，本身就不通，或者o ...

可能我图里写的不清楚，192.168.2.3是openwrt的ip，它的网关是指向192.168.2.1。
用旁路，首先是我的主路由68u在设置富强的时候有点麻烦和复杂，所以就在unraid上虚拟了旁路，其中unraid，emby，nastools都有富强的需求。
所以现在是unraid网关指向旁路，这样会获得富强ip，并不是我的公网ipv4地址，这种情况下不知道怎么解决外网访问的问题，或者ipv6是否可以解决。

crabandapple

emmm，有大佬帮忙解惑吗？
阿里云现在能正常解析，不过解析的好像有点乱。
其中一个二级域名解析的是我ipv4公网地址，另一个域名解析出了四个ip地址，查看了下一个是富强ip一个是ipv4公网两个不知道是哪的ip。

fyc858

外网访问和你显示的IP是多少有什么关系？只要你知道自己真实的IP，你管它显示是什么IP呢，直接用主路由的WAN地址连回去就行了，如果是做域名DDNS解析的，解析到的IP不对那就把DDNS服务器的域名自己加到富强排除名单里，或者直接在主路由上做DDNS域名解析，这种毛病你能搞3-4个小时我建议还是别玩旁路由了，另外你得确定你这是旁路由不是透明网桥，这两个还是有点区别的

ricercar

crabandapple 发表于 2023-1-12 13:28
可能我图里写的不清楚，192.168.2.3是openwrt的ip，它的网关是指向192.168.2.1。
用旁路，首先是我的主路 ...

能不能上网，和IP地址没关系，只和你的网关有关系，网关设成主路由2.1能上网，设成openwrt2.3不能上网，那就说明你的openwrt的转发没设置好

crabandapple

fyc858 发表于 2023-1-12 15:37
外网访问和你显示的IP是多少有什么关系？只要你知道自己真实的IP，你管它显示是什么IP呢，直接用主路由的WA ...

抱歉，那看来是我提问的问题太低级了。难怪没人回答。
那我自己再慢慢研究一下。
非常感谢。

crabandapple

ricercar 发表于 2023-1-12 15:46
能不能上网，和IP地址没关系，只和你的网关有关系，网关设成主路由2.1能上网，设成openwrt2.3不能上网， ...

额，我需要的是外网访问到家里的设备，不是家里的设备访问外网，不好意思，我的提问有点歧义。
我的内网一切设备访问外网是正常的。

smallfount

你的unraid本身流量也需要**？
如果不需要就别去盘路由了呗。。

至于外网访问....只要你FQ的策略正常...那么正常端口映射就行了。。本地流量还是会从你的本地网关走而不是FQ出去啊
所以最终只要DDNS能连不就好了。。

qbenny

ddns-go是通过接口获取ip的，用默认的话，把下面这些接口网址加入白名单不就行了？
https://myip4.ipip.net, https://ddns.oray.com/checkip, https://ip.3322.net

或者不用ddns-go，在主路由上设置ddns

qbenny

docker默认只开启ipv4的，开ipv6这个太麻烦了，我都懒得折腾

crabandapple

smallfount 发表于 2023-1-12 15:54
你的unraid本身流量也需要**？
如果不需要就别去盘路由了呗。。

是的，市场app需要。
大致了解了，因为不了解这个，以为域名解析到的不是我的ipv4地址而是富强的地址就不能外网远程访问了。
应该还是我自己的设置问题，晚上再研究。
非常感谢。

crabandapple

qbenny 发表于 2023-1-12 15:59
docker默认只开启ipv4的，这个太麻烦了，我都懒得折腾

docker好像可以用npm来解决。
我一开始以为域名解析到的地址必须是自己的ipv4公网ip。
看上面几位说的，理解下来就是域名解析到的即使是我旁路由的富强ip应该也是可以远程外网访问的。毕竟都是从我的主路由出去的数据。
那剩下的应该就是我自己的设置问题了，我自己好好研究一下。
非常感谢。

hemlock

这个问题，烦了我好久，我是Docker容器和Emby无法外网
我现在是容器反向代理，EMBY的话，放弃Open小猫咪，改用PASSwall

crabandapple

hemlock 发表于 2023-1-12 16:59
这个问题，烦了我好久，我是Docker容器和Emby无法外网
我现在是容器反向代理，EMBY的话，放弃Open小猫咪， ...

你的emby不是docker吗？不能用反向代理？
我用的pass在黑名单选择的时候我看到显示的是ip+mac地址。不知道会不会把整个mac地址黑掉，就用了猫咪。
我再研究研究，成了回头告诉你。

hemlock

crabandapple 发表于 2023-1-12 17:33
你的emby不是docker吗？不能用反向代理？
我用的pass在黑名单选择的时候我看到显示的是ip+mac地址。不知 ...

是群晖的套件，Docker的话，我是设置成每个容器独立IP还才行
如果是单纯正常访问，PASS不用设置，Emby可以正常获取到本地IP，我也不知道原因

ghwwx

你这个结构太复杂了。 我分享一下的是怎么访问的。
- 我的是IKUAI的主路由，openwrt的旁路由负责科学上网。
- IKUAI上用DDNS，我的是f3322.org， 这样，获取的地址就是我的公网地址。
- IKUAI上开启L2TP服务，那么我的笔记本或者手机就可以通过L2TP访问局域网。
- openwrt上装科学上网的插件，网关填openwrt的ip。
-在IKUAI的DHCP上设置静态分配，将需要上网的终端的网关地址指定为openwrt的ip，其他的未默认IKUAI的IP。
- 在ikuai的智能流控上，设置将所有L2TP网段的流量，全部通过“下一跳”功能指向openwrt。这样L2TP也可以科学上网。

到现在位置，大概一个星期，运行得很稳定。

你可以在AC86U上建立一个L2TP的服务器，然后外部的终端，连接这个L2TP就可以访问内网了。

天雨雪

DDNS的docker设置固定内网IP地址，在旁路由上设置访问规则，DDNS服务的IP地址不走科学，这样你域名解析出来的IP就是国内IP，在前端路由设置好端口转发，应该就能顺利访问。

UnRAID的默认网关还是指向旁路由，这样也能正常反问APP市场。

是不是这样能解决你的问题？

crabandapple

ghwwx 发表于 2023-1-13 10:02
你这个结构太复杂了。 我分享一下的是怎么访问的。
- 我的是IKUAI的主路由，openwrt的旁路由负责科学上网。 ...

大致明白了，基本就是你这种方法是比较保险而且结构很简单明了的。。。
晚上我再折腾试试，不行就把ac68u换了。

crabandapple

天雨雪 发表于 2023-1-13 10:59
DDNS的docker设置固定内网IP地址，在旁路由上设置访问规则，DDNS服务的IP地址不走科学，这样你域名解析出来 ...

晚上我回去试试，ddnsgo的dockerhub里提供的命令是设置为host。晚上我回去尝试一下看看行不行。
主要是我现在不清楚，ddns装在unraid上，unraid走富强会不会影响ddns，毕竟解析出了富强的地址。上面只有一个朋友说反正数据都是从主路由出去的。按我自己理解就是应该没有问题。只能等晚上我回去自己尝试了。
非常感谢你提供的思路。

tyjkx

我是主路由ikuai是公网IP 配置域名解析，通过ikuai的端口映射访问下面的机器。



也可以用tailscale实现访问，这个不需要域名也不需要公网

上将潘无双

crabandapple 发表于 2023-1-13 12:37
晚上我回去试试，ddnsgo的dockerhub里提供的命令是设置为host。晚上我回去尝试一下看看行不行。
主要是我 ...

你这说法错的, 如果想从外网访问, 只能是访问wan口的公网ip地址+端口转发.

跟你内网设备访问外部走什么出口没关系, 只需要ddns解析到正确的wan口ip地址, 所以要么把ddns放在主路由上, 要么在富强里排除ddns的接口地址, 解析出富强的ip是一定不行的.

crabandapple

上将潘无双 发表于 2023-1-13 13:41
你这说法错的, 如果想从外网访问, 只能是访问wan口的公网ip地址+端口转发.

跟你内网设备访问外部走什么 ...

非常感谢，我就是疑惑的这一点。
我晚上回去就进行尝试，谢谢了。

ghwwx

tyjkx 发表于 2023-1-13 13:09
我是主路由ikuai是公网IP 配置域名解析，通过ikuai的端口映射访问下面的机器。

不知道为啥，当时我在ikuai上做映射的时候，死活不成功，DMZ都不成功。奇怪。

marcot

目测需要ddns得到正确的wan口ip地址, 要么把ddns放在主路由上, 要么在旁路富强中设置排除掉ddns的接口地址

crabandapple

hemlock 发表于 2023-1-12 16:59
这个问题，烦了我好久，我是Docker容器和Emby无法外网
我现在是容器反向代理，EMBY的话，放弃Open小猫咪， ...

我部分解决了，目前情况是：
1、emby、nastools、tr互相联动测试通过
2、Tr不走富强
2、nastools网络连通性测试全部通过
3、emby刮削一切正常
4、unraid访问市场，安装app正常
5、外网访问unraid、tr、emby、nastools、NginxProxyManager正常
6、NginxProxyManager反向代理失败
------------------------------------------------------------------------------------------------------------------------

目前emby没有会员，也没有使用开心版，所以没有硬解。还好cpu给力，但是93%负载，干不了别的了。外网尝试了一下，居然可以非常流畅的播放。
使用的是手机网页登陆emby，片源是
The Amazing Spider-Man 2 2014 2160p UHD BluRay REMUX HEVC TrueHD Atmos 7.1 2Audios.MKV-53.9G
Overall bit rate: 54.5 Mb/s
被自动转码成了1080P
------------------------------------------------------------------------------------------------------------------------
尝试过小猫咪，外网访问失败，只能访问一个tr，可能是策略问题，但是我也不会修改。用pass一切正常。现在反向代理失败不知道怎么解决。
------------------------------------------------------------------------------------------------------------------------

hemlock

crabandapple 发表于 2023-1-15 00:49
我部分解决了，目前情况是：
1、emby、nastools、tr互相联动测试通过
2、Tr不走富强

反向代理我用的是群晖的
NginxProxyManager暂时还没折腾明白