Openwrt 作为旁路网关（不是旁路由！！）正确配置方法，性能测试 —— 破解迷思

GNUisNotUnix

先看到的博文，后发现的本帖，探讨一下：

1）当终端设备可以手动设定网关和 DNS 指向旁路网关，访问某些网站服务器时：
上行数据包路径：终端设备 -> 旁路网关 -> 主路由 -> Internet -> 某网站服务器

如果不添加防火墙规则，由于主路由和终端设备在同一网段，数据包会直接返给终端设备：
下行数据包路径：某网站服务器 -> Internet -> 主路由 -> 终端设备

此时，由于路由不能闭合，可能导致旁路网关一直收不到下行数据包，造成大量 TCP 连接不能关闭，
最终形成网络拥塞或卡顿，所以才会建议在旁路网关上添加防火墙规则：
iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE

这条命令的目的，是把从终端设备发送的上行数据包源地址伪装成旁路网关自身地址，
于是，主路由返回的下行数据包才会先发送到旁路网关，再由旁路网关发送到终端设备，
最终形成一个闭合的 TCP 连接，即：
下行数据包路径：某网站服务器 -> Internet -> 主路由 -> 旁路网关 -> 终端设备

由于命令中使用 eth0 接口，所以才会建议在旁路网关中取消桥接 br-lan 以规避发送桥接广播，
当然，如果终端设备使用固定 IP 就可以直接使用 SNAT 处理，以节省部分计算资源；

2）实际使用中，可能某些局域网终端设备不能手动设定网关和 DNS 指向旁路网关，
或者局域网设备很多，逐一手动指定工作量太大，
这时将主路由和旁路网关互相指向，目的是接管局域网的所有数据包流量；

这时，终端设备发送的上行数据包路径不变，但下行数据包到达主路由后，
由于主路由 LAN 口网关和 DNS 已提前指向旁路网关，下行数据包不会直接发送给终端设备，
而是会先发送到旁路网关，再由旁路网关发给终端设备，最终形成 TCP 闭环，

理论上，这种情况下就不需要在旁路网关中添加 iptables 防火墙规则了，
但桥接还是建议取消，可以减少旁路网关 CPU 发送桥接广播的部分工作量，

实际使用中，不取消桥接也可以，毕竟旁路网关只有一个 eth0 桥接广播实际上是自己发给自己，
只是这种情况下，数据包在局域网中传输路径多出来回两小段，当终端设备很多时，可能会出现 TCP 包的排队拥塞，
不过，在家庭网络中终端设备不多，但在商用网络中，特别是有 Internet 和 Intranet 两个网关的情况下，就可能出现拥塞；

最后，speedtest 测速建议用全局模式

囉喳喳

lzq2732490 发表于 2021-11-7 18:43
能不能发个教程

同求教程，我的加不加旁路由都可以上，但是主路由就不行，现在一堆智能设备连不了网。

lwl-leo

看来我的 旁 设备 需要更新一下设置了； 非常感谢如此用心的帖子； 有意义

moxuanyuan

同一个作者 https://sspai.com/post/68511 ？

sj602712954

支持分享 ！！

sj602712954

我ip动态伪装打开后 手机没法上网 。。。

fanzexing

主路由K2P 【192.168.2.1】   刷的PandoraBox R21.4.4 By Lean / LuCI Master (git-21.093.37305-79732ec)
N1【192.168.2.2】刷的5.4.179-flippy-69+o

主、旁均按贴设置，主路由设置DHCP选项 3，192.168.2.2/6，192.168.2.2
现终端仍需修改“网关”和“首选 DNS”IP地址才可以实现需要功能···
非常费解 都是按教程操作的啊···如看到不忙时请求帮忙纠偏 谢谢

xxzx01

按照搂主的设置办法,由于主路由开了ipv6,手机网关和dns只向旁路由,还是经常无法xx上网,必须在旁路由的ipv6路由通告服务设定为混合模式,并且总是通告默认路由,才能xx上网.估计是手机ipv6直接使用了主路由的ipv6网关和dns.无法xx上网.但是开了路由通告服务为混合模式后,会造成另外一个奇怪的现象,华为电视直接连接主路由的网关和dns,网络测试是正常的,但自带测速不通,也无法上网,也必须改走旁路由的网关和dns才正常,不得已改为楼主的第二种方式.

pamm

Openwrt 作为旁路网关怎么设置？主路由拨号不改动ip，但我只想让旁路由做网关，电脑设置旁路由网关上网。

Italyespresso

感谢分享！

xiaozheyy

老哥，raspigate固件方便分享一下吗？

moxuanyuan

京东云鲁班做主路由拨号关dhcp，n1做旁路由，不加 iptables 规则，不影响访问外网，但无法打开 n1 上的 docker 容器。。

Vampire001

思考思考，感谢

iceyheart

我的尝试心得：
设备：主路由小米，旁路N1，后者采用F大的固件。该固件默认网络接口为lan6、lan和virtual**，防火墙规则默认加载iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE
1、当使用默认接口时，注释掉规则造成无法上网，一度让我认为是小米主路由的兼容问题。
2、添加WAN口后，注释规则可以上网
3、去掉除了lan以外的所有接口后，注释规则也可顺利上网。是因为网关有获取IPV6地址吗，不太清楚，但最终证明楼主是对的，并且和主路由没有关系。

byronhu

我用TP5480主路由拨号+DHCP，192.168.1.1
然后N1做网关，接在主路由LAN口  192.168.1.104。 网关和DNS指向主路由192.168.1.1
指定设备的网关和dns都指向旁路由192.168.1.104
但是这样只有深造的流量是正常的，国内都是无法连。加上这个防火墙规则好像也不行