关于iStoreOS作为旁路由,或者静态路由到蒲公英,内网设备通过AP或者WIFI路由器联网失败问题 #598
Description
案例1:iStoreOS 自身可以正常访问外网,并作为旁路由;内网设备通过 WIFI 连接,并且默认网关指向 iStoreOS,并且能够访问 iStoreOS, 排除 DNS 问题以后,内网设备无法连接外网,或者翻墙情况下可以访问被墙网站,却不能访问国内网站。
案例2:内网有蒲公英等组网设备,iStoreOS 配置静态路由将目标网段路由到蒲公英,iStoreOS 可以正常访问目标网络;内网设备通过 WIFI 连接,并且默认网关指向 iStoreOS ,并且能够访问 iStoreOS,却无法访问目标网络。
以上案例都有一个共同点:WIFI 路由器在 iStoreOS 的 LAN 区域,并且从 WIFI 来的流量经过 iStoreOS 以后需要路由回到 LAN 区域(典型场景就是旁路由模式了)。
路由失败可能是因为你的 AP 或者 WIFI 路由器不支持 ICMP 重定向,或者为了防止 ARP 欺骗 而故意丢包,或者是因为非对称路由,或者其他一些原因。
采用以下方案之一解决(优先使用前面的方案,因为越后面的方案带宽或性能损耗越大):
- 如果你的 WIFI 路由器或者 AP 是 OpenWRT 系统(或基于OpenWRT且保留了luci),打开它的后台,“网络”-“防火墙”页面,在
lan区域点“编辑”,然后在“连接跟踪设置”中勾选“允许‘无效’流量”。如果不是 OpenWRT 或者不能解决,采取下一个方案。 - 检查 AP 的后台有没有 ICMP 重定向 或者 ARP 欺骗 相关的设置,启用 ICMP 重定向 或者禁用 ARP 欺骗 相关设置。如果找不到设置或者故障依旧,采取下一个方案。
- 打开 iStoreOS 的 “网络” - “接口” 页面,切换到 “设备” 标签栏,点击
br-lan右侧的 “配置...” ,在对话框切换到 “高级设备选项” 标签栏,取消勾选 “发送 ICMP 重定向”,保存应用。如果故障依旧,采取下一个方案。 - 打开 iStoreOS 的 “网络” - “防火墙” 页面,滚动到 “区域” 配置段,勾选
lan区域右边的 “IP 动态伪装”,保存应用。
发现了一个更加合理详细的解释:https://cloud.tencent.com/developer/article/2036952