Openwrt 作为旁路网关（不是旁路由！！）正确配置方法，性能测试 —— 破解迷思

745318111

记录一下，回去试试0623

c_hy1997

救命啊！我的主路由是爱快单独一台设备，旁路由不开ip伪装不叫防火墙不能访问网络，加了爱快的端口转发失效说明肯定走了两次nat。我就要普通流量走一次的怎么办？？

c_hy1997

破案了破案了，OpenWrt和中间用了个华为的路由器连接，这路由器直接把我包丢弃了。直接接交换机就行了，不得不说楼主真的是大牛！

ltbjwz

不加防火墙规则不能上网的，一般是华为、小米、360等主路由器，原因是，这些路由器会校验数据包的ip和mac地址的对应关系。国内包的上行经过旁路由转发给主路由时，主路由发现旁路由发过来的数据包ip不是它自己的，校验失败，所以网络不通了。
----原来是这个原因
感谢分享

mir

按照教程配置了旁路网关，结果发现被代理的请求(国外或者屏蔽的)都可以正常访问，但国内流量全都不通了。这是小米路由器的限制吗？
如果是路由器的限制，是不是即使能解决，所有流量也都不得不走旁路由，受带宽瓶颈限制了？

ycowcow

mir 发表于 2022-7-13 15:35
按照教程配置了旁路网关，结果发现被代理的请求(国外或者屏蔽的)都可以正常访问，但国内流量全都不通了。这 ...

热心友友分析了，作者也在文章补充了：不加防火墙规则不能上网的，一般是华为、小米、360等主路由器，原因是，这些路由器会校验数据包的ip和mac地址的对应关系。国内包的上行经过旁路由转发给主路由时，主路由发现旁路由发过来的数据包ip不是它自己的，校验失败，所以网络不通了。

sjzszd

感谢分享

就是一坨屎

关于不加命令无法上网的问题的争议，请看这篇文章，https://blog.csdn.net/qq1337715208/article/details/122271608，这篇真就一针见血，刨根见底，直抵心灵最深处。
另外支持一下楼主，我的N1作为旁路由也没加nat命令（也没开IP动态伪装），一开始有线设备上网都正常，但是连接主路由（红米AC2100@padavan）wifi的设备会上不了网。后来发现关闭主路由硬件nat加速后（可以只把wlan的加速去掉，保留lan的加速），wifi设备就能正常了。现在所有设备均能正常上网，原理应该和这篇文章里说的一致。
另外有一个不解的地方是，看LZ在跑国内下行的时候，旁路由的CPU基本没有占用。而我目前虽然旁路由没有做任何nat，但是CPU占用依然会上去，同时下行测速时的流量统计和LZ一样是没有速率的，就很奇怪。

vanbeck

我不懂 实际情况, masquerade 的规则的问题

tonekey

iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE 出墙的话，这条命令还是建议加一下，不加的话访问国内网站多少会有图片刷新慢，使用网络的时候会提示正在使用流量什么什么的。

sqall_py

谢谢大佬的帖子，解决了一直疑惑的问题

老王的恩山

兄弟，希望你能回复我，我就是某些品牌的路由器，要校验ip和mac的，所以必须得旁路转发，但是还是小白，我的是路由器刷的op，那些固件五花八门，有的勾了动态伪装和加防火墙也不行，有的网口瞎设置又行。所以有对相关的设置的详细说明吗，把核心设置点讲一下，才能去应付五花八门的固件去设置

b9ss

厉害了 很详细。

itow

感谢你的分享，无论怎样，你都是最无私的人

GNUisNotUnix

openwrt 官网两种运行模式的设置指引：路由模式 or 网关模式，只不过是英文；

一个局域网可以有多个网关，很多学校的局域网里一个网关走校园网，另一个上互联网；

是否加防火墙规则是和主路由有关的，主路由品牌太多了，有些不加也可以正常工作，有些则必须要加，销量大的几个品牌，如果不加可能出现国内打开慢，或微信图片加载不了，甚至有些品牌的固件根本无法指定网关和 DNS

家庭网络拓扑没必要搞太复杂，对新手小白来说应该尽量简单，有一定基础了再去折腾网关

最近找个了旧笔记本用 U 盘跑 openwrt 原厂固件，然后 opkg 安装 docker ，最后再通过 docker 部署各类服务测试，由于主路由也是 openwrt  原厂固件，所以旧笔记本只需要固定 IPv4 和取消 DHCP 即可，不取消桥接＋不加防火墙规则+不取消SYN-flood 防御一样可以正常跑各类服务