【已解决】一个有关open微V屁P恩N的奇怪的问题

chip_discovery

background

路由器： er2260t 刷了雕牌的QWRT

NAS： ds220+

问题描述


为了以防万一，我分别在路由器和NAS上都搭了open微屁恩方便在外回家。为了避免端口冲突，把NAS上的端口改成了1195，路由器上的还是1194。

已知，两个配置文件连通后都可以实现正常访问路由器的管理界面（192.168.***.1） 和 局域网另一台设备的IPMI（192.168.***.149）


问题是 搭在路由器上的微屁恩服务器，在公司连不上NAS设备的地址（192.168.***.110），也ping不通；

而搭在NAS上的微屁恩服务器，在公司连上可以访问192.168.***.110（废话，自己访问自己当然可以啦）


这个问题我百思不得其解，我记得以前路由器上的搭的服务器是可以连上群晖的，现在不行了，我也没改动啥硬件。我开始以为是防火墙转发规则的问题，打开了还是不行。如果是路由器的问题，那么为什么局域网的其他设备（比如这个IPMI）又是可以打开的？




虽然有一个通就能用，但是毕竟220+ 的处理器还是比较羸弱的，如果碰到又跑流量加密又要下载文件还要干点其他事的场景，感觉群晖的压力会比较大。



所以小弟想请教一下各位大佬，可能是什么问题造成的。



补充两张图

尼玛的嫂夫人

我记得这个东西是不能讨论的
记错了我给磕一个，抱歉

gbawrc

能讨论啊，打洞回家摸鱼而已，又不是什么大事

highchh

把群晖的防火墙关了再试试。

luannanxian

应该是可以通过一个隧道链接实现客户端内网和服务端内网互通的，为啥你要俩服务端

Evalyn

都内网地址有什么好打码的？你这一遮网络拓扑全遮没了，描述又不清楚。

kthlon

尼玛的嫂夫人 发表于 2024-1-24 17:30
我记得这个东西是不能讨论的
记错了我给磕一个，抱歉

和你说的不能讨论的东西不是一个方向。。

chip_discovery

highchh 发表于 2024-1-24 17:40
把群晖的防火墙关了再试试。

关了试了下，还是不行

chip_discovery

luannanxian 发表于 2024-1-24 18:17
应该是可以通过一个隧道链接实现客户端内网和服务端内网互通的，为啥你要俩服务端 ...

另一个只是备用，可能描述的太复杂了，问题只是路由器的服务单单没法访问群晖

chip_discovery

Evalyn 发表于 2024-1-24 18:34
都内网地址有什么好打码的？你这一遮网络拓扑全遮没了，描述又不清楚。

都是一个网段的，问题只是路由器的服务单单没法访问群晖，

尼玛的嫂夫人

kthlon 发表于 2024-1-24 18:35
和你说的不能讨论的东西不是一个方向。。

我错了，给磕一个

sevastian

防火墙问题，按照我这么设置就行了

星辰柯博文

尼玛的嫂夫人 发表于 2024-1-24 17:30
我记得这个东西是不能讨论的
记错了我给磕一个，抱歉

正经用途当然可以谈，又不是谈魔法用途。

Phantasie

你把这个第一行的nat开启一下看看。

你这个问题的奇怪之处在于为什么同网段的另一台设备可以ping通。也许你的群晖上有什么安全设置，阻止了非本地地址网段的访问。

chip_discovery

Phantasie 发表于 2024-1-25 14:27
你把这个第一行的nat开启一下看看。

你这个问题的奇怪之处在于为什么同网段的另一台设备可以ping通。也 ...

感谢大佬，确实能打开了。
为了确认就是这个问题，我特意试了试再次关上这个NAT，果然打不开。

说起来，昨晚还在想，群晖和IPMI的有一个区别就是，群晖是通过交换机连路由器的，IPMI因为是千兆口所以直插路由器的，会不会是交换机设置问题。

bulijojo

别的咱不说哈，就这图画的，就非常的赞哈！

chip_discovery

bulijojo 发表于 2024-1-25 15:45
别的咱不说哈，就这图画的，就非常的赞哈！

见笑了，画的比较粗糙（其实这是第二版，第一个画废了）。
主要是觉得讲不清楚，还的是拓扑图比较清楚。

Phantasie

chip_discovery 发表于 2024-1-25 15:38
感谢大佬，确实能打开了。
为了确认就是这个问题，我特意试了试再次关上这个NAT，果然打不开。

昨天晚上又在我自己网里测试一下你的case，找到问题所在了。

先说结论，其实你一开始的配置也没啥问题，之所以ping不通群晖的原因是群晖上的防火墙阻止了v啥n的地址段，如果你在家内网有一台windows同样也会ping不通，之所以服务器IPMI能通就是IPMI那个简化操作系统上没有防火墙。

原理上是这样（openv啥n后面我简称ovn）：

openwrt这个设置，你图里第三行 ovn->lan/wan 那行，启用了NAT，相当于在ovn的interface上开了nat，意味着，从内网到远程是nat方式，如果你远程开了啥服务，你从家里是可以访问到的，家里的终端地址经nat转化为路由器上ovn的interface ip后访问远程地址；

第一行那个配置，lan->wan/ovn，不开nat，lan这个interface只是路由数据包，从远程到家里内网这个方向是路由的，远程pc 经ovn隧道出来后，以ovn那个interface的ip地址经路由到本地192.168.11.x内网，内网设备看到的源地址是远程pc端ovn client的地址，一般都会被防火墙drop掉；开了NAT之后，就相当于在lan interface上启用了nat，所有来自远程PC到内网的访问，都经lan的nat后变成lan口地址，内网设备看到的源地址lan口地址，和内网设备地址通网段的lan口地址，一般是防火墙默认放行的网段。

chip_discovery

Phantasie 发表于 2024-1-26 10:19
昨天晚上又在我自己网里测试一下你的case，找到问题所在了。

先说结论，其实你一开始的配置也没啥问题， ...

感谢大佬耐心回复，我试了一下，在群晖里把微屁恩的网段（10.8.0.x）加一条放行规则，第一行的NAT关了的情况下果然也可以



btw，4U服务器上安装的ESXI，亲测ESXI也没有这个防火墙的