openwrt旁路网关(旁路由)配置教程以及无法访问国内网站和远程桌面连接解决方案

已于 2025-04-14 01:22:31 修改
阅读量2.7k 收藏 26
点赞数 34
文章标签: 服务器 运维
于 2025-03-15 16:31:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73572824/article/details/146281300
版权

1.为什么使用旁路网关

可先参考以下文章:旁路由的原理与配置一文通 - Eason Yang's Blog

2.openwrt旁路网关配置教程

针对刚刚安装好openwrt的用户可先进行以下操作

1.配置旁路网关地址为静态地址

2.关闭ipv6和dhcp服务

完成上述操作后点击右下角的保存&应用

3.无法访问国内网站解决方案

方案1(推荐):

1.在完成上述操作后访问配置的旁路网关地址,比如此次我配置为192.168.1.254

2.打开网络-->防火墙,配置防火墙规则,确认转发为接受状态

3.在防火墙设置里面下滑,转到区域设置中,开启lan到wan的IP动态伪装和MSS钳制

IP动态伪装和MSS钳制作用如下(生成自deepseek)
一、IP动态伪装(IP Masquerading)

作用:​

  1. 网络地址转换(NAT)​
    允许内网设备(使用私有IP地址,如192.168.x.x)通过路由器的公网IP访问互联网。OpenWrt路由器会将内网设备的私有IP动态转换为公网IP,使外网服务器看到的所有流量都来自路由器的公网地址。

  2. 连接跟踪与状态维护
    动态伪装会跟踪每个内网设备的网络连接状态,确保返回的响应数据包能正确转发到对应的内网设备。

  3. 安全隔离
    默认隐藏内网设备的真实IP,避免内网设备直接暴露在公网,增强安全性。

配置示例(OpenWrt):​

  • /etc/config/firewall中,通常会在wan区域的防火墙规则中启用IP动态伪装: 
    config zone
    option name 'wan'
    option masq '1'  # 开启动态伪装
    option mtu_fix '1'
    ...

原理:​

  • 当内网设备发送请求到外网时,路由器会修改数据包的源IP​(从私有IP改为公网IP)和源端口,并记录转换规则。
  • 外网返回的响应数据包会被路由器根据记录反向转换,确保正确路由到内网设备。
二、MSS钳制(MSS Clamping)

作用:​

  1. 避免TCP分片(Path MTU Discovery)​
    当网络路径中存在不同MTU(最大传输单元)的设备时(如PPPoE拨号的MTU通常为1492,而以太网默认MTU为1500),MSS钳制通过强制修改TCP连接的MSS(最大报文段大小)​值,确保数据包不会超过路径中的最小MTU,从而避免分片或丢包。

  2. 提升网络性能
    减少因分片导致的延迟和重传,优化TCP连接效率。

配置示例(OpenWrt):​

  • 针对PPPoE拨号(MTU=1492),在防火墙规则中设置MSS钳制: 
    config rule
    option name 'Clamp MSS'
    option src 'lan'
    option proto 'tcp'
    option tcp_flags 'SYN,RST'
    option target 'ACCEPT'
    option clamp_mss_to_pmtu '1'  # 自动根据路径MTU调整MSS
    或手动指定MSS值(如PPPoE场景下推荐设置为1452): 
    option clamp_mss_to_pmtu '0'
option set_mss '1452'  # MSS = MTU(1492) - IP头(20) - TCP头(20) = 1452

原理:​

  • 在TCP三次握手的SYN阶段,路由器会检测客户端的MSS值。
  • 如果客户端的MSS大于路径MTU允许的值,路由器会将其修改为更小的值(如从1460改为1452)。
  • 后续的TCP数据包将基于新的MSS值传输,避免分片。
三、两者的协同作用
  1. IP动态伪装解决的是内网设备访问外网的地址转换问题,确保流量可达。
  2. MSS钳制解决的是TCP连接在复杂网络环境中的传输效率问题,避免因MTU不匹配导致的性能下降。

典型应用场景:​

  • 家庭/企业网络:内网设备通过NAT上网(IP伪装),同时通过MSS钳制优化PPPoE、VPN等场景下的网络性能。
  • 移动热点:手机热点共享网络时,动态伪装和MSS钳制可协同保障连接的稳定性和速度。
总结
  • IP动态伪装:核心是NAT,解决内网设备通过单一公网IP访问外网的问题。
  • MSS钳制:核心是优化TCP连接,避免因MTU差异导致的分片和性能损失。
  • 配置位置:两者均通过OpenWrt的防火墙配置(/etc/config/firewall)或LUCI界面(Network → Firewall)实现。

方案2:

以下来源于恩山:https://www.right.com.cn/forum/thread-4453763-1-1.html

1.LAN口取消桥接


2.防火墙添加"iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE",重启防火墙

另外确保开启了转发,以及关闭LAN口dhcp服务

更多解释:关于旁路由设置后,主路由WIFI无法上网的问题「建议收藏」-腾讯云开发者社区-腾讯云

我的理解:

按照此方法也可以解决无法访问国内网站的问题,但"iptables -t nat -I POSTROUTING -o eth0 -j MASQUERADE"使内部设备(如 192.168.1.0/24)通过openwrt访问外网时,其源 IP 会被伪装成 eth0 的 IP,即本次设置的192.168.1.254,使得返回的流量能正确回到openwrt,再由openwrt转发回内部设备。其实现的功能与上面IP动态伪装类似,但实测国内网站打开速度变慢,我猜测有可能和分流设置有关,待求证。

4.设置了默认网关地址为旁路网关地址后无法使用远程桌面连接解决方案:

拓扑图如下

1.主路由设置端口转发到旁路网关

2.旁路网关设置端口转发到需要被远程的设备

当保存&应用之后发现远程桌面使用不了,编辑刚刚创建的端口转发规则,将源区域改为LAN后可成功访问远程桌面。

另附cisco packet tracer官方下载地址,此版本需要登陆

下载页面:Resource Hub: Get Packet Tracer, Virtual Machines, and More

123网盘镜像地址:Packet_Tracer822_64bit_setup_signed.exe官方版下载丨最新版下载丨绿色版下载丨APP下载-123云盘

SHA1: 5ab531b64c8e0d57f85f3d073cb31cc8e28bbcaf

SHA256: 1aa1094bfa611c955c2e2885aea3bc8685211c95b55de017242fd0d38eb7cab1
MD5: d1d65286b7ee0a1e8b9dce107ac94f4c

227 MB (238,928,968 字节)

m0_73572824
关注
旁路由设置的正确方式
vmp_jin的专栏
12-16 6万+
最近在玩旁路由,踩了一些坑,也学习了点相关知识,特整理记录下。 一、旁路由配置 上图是旁路由连接方式,一般作为旁路由的只有一个LAN口,可以把它想成一个普通的连接路由器的电脑。让他们ip在一个网段即可,比如主路由网关192.168.3.1,旁路由配置成192.168.3.2 1.主路由配置:DHCP配置,把网关DNS改成旁路由ip地址,如192.168.3.2。 2.旁路由配置:关闭DHCP,把网关改成主路由地址,如192.168.3.1,关闭桥接模式。 这样配置后,网络流量如下图: .
Redmi路由器AC2100之Openwrt旁路由设置
猫耳朵朵的博客
08-13 3907
一、思路环境:1、Redmi路由器AC2100作为主路由,路由系统为Padavan,主要负责拨号、DHCP、WIFI等功能,网络地址为192.168.11.1。2、群晖虚拟机vmm安装koolshare的Openwrt,单臂软路由作为旁路由,以实现zerotier等插件功能,网络地址为192.168.11.11。3、将旁路由网关指向主路由网络地址192.168.11.1,关闭DHCP桥接;同时,将主路由的网关指向旁路由的网络地址192.168.11.11。通过主路由旁路由互指网关实现。二、旁路由设置
openwrt旁路由无法访问国内网络,没网
10-30
openwrt旁路由无法访问国内网络,没网
OpenWRT旁路由应该怎么设置?每一步都给你指出来!
小白电脑技术的博客
10-30 2万+
小白最近家里的网络出了问题,于是折腾了好多次路由器(软路由系统重装),这样直接就影响到其他小伙伴的网络了。为了不影响其他小伙伴赚钱,小白就想着在软路由(主路由系统)旁边再加个软路由(作为旁路由系统)。如果网络再出问题,就直接折腾旁路由,也不会影响其他小伙伴赚钱。旁路由可以用来干啥?这个问题很关键!功能虽然很多,但小白唯一的目的就是用来架设虚拟局域网(基于Zerotier虚拟局域网)魔法。想了解虚拟局域网的小伙伴可以点击上方蓝字阅读哦,教程很详细。
openwrt旁路由设置下不能访问国内网络的解决办法
qq_48855219的博客
10-29 8911
再网上查了很多信息,不能访问国内网络的原因就是旁路由处理完数据返回主路由,但这个过程中ip发生了变化,主路由不认。我看有教程让改防火墙设置的,那种方法相当于让旁路由处理所有的数据,这样的操作会导致上网延迟高,体验差,整个网络系统的稳定性差。经过测试我发现,最合理简单的办法就是更改防火墙基本设置,打开lan口的ip动态伪装。这样就可以正常上网了。红米ax3000➕r66s,固件版本见图。
玩转软路由 篇四:软路由中OpenWRT作为旁路由的安装设置教程
aplsc的专栏
11-06 5万+
开篇说一些仁者见仁智者见智的话,先声明,这只是代表我自己近期浅陋的看法。看到很多人玩路由器,刷各种固件,什么爱快、高格、老毛子、OpenWRT什么的,自己也折腾过,也在恩山论坛里下载各路大神的固件使用。作为一个小白,就自然而然想到,这么多固件,哪个最好?当然对于这个问题,每个人的回答都不一样,毕竟适合自己的才重要。经过我自己不断在网上寻找答案,最后形成了一个成熟的看法,那就是真正的好不好,关键点在驱动,驱动做得会使得路由系统如虎添翼。但是,很多芯片厂家在卖芯片的时候是需要承诺不可进行二次开发的,所以路由器大
OpenWrt作为旁路由网关配置
α-geek的专栏
12-03 3万+
iptables 修改 NAT 表,使经过 eth0 网卡的流量,源 IP 伪装成 eth0 的 IP,而且是动态伪装(直接读取 eth0 的 IP 地址)本文暂时只介绍最常见的方式一如何配置。其他方式后续视情况补充。本文简介如何配置OpenWrt,使其作为旁路由网关)运行。并将需要设置旁路由的LAN口连接到主路由的LAN口。为宿主机网段,并增加。
OpenWrt旁路由设置教程
热门推荐
秋之颂的博客
05-12 10万+
OpenWrt旁路由设置教程-超详细 旁路由的原理超详细解析 旁路由的手把手搭建
openwrt 设置旁路由
weixin_51322704的博客
09-04 8590
openwrt旁路由设置
低成本旁路由解决方案:N1盒子与OpenWRT的完美结合
最新发布
等风来
11-15 3582
本文将重点讲解如何在N1盒子上安装OpenWRT软路由系统,并利用cpolar内网穿透工具实现对本地OpenWRT系统的公网访问管理。对于喜欢折腾小型主机的用户来说,N1盒子以其出色的硬件配置而广受欢迎。它不仅可以刷安卓电视盒子游戏机系统,还能作为小型下载器使用。许多人选择安装OpenWRT软路由系统,这款系统在目前的市场上价格大约在百元左右,非常适合新手入手,成为一个低成本的旁路由解决方案
已解决关于vmware搭openwrt旁路由 无线网卡设备无法上网
m15151850711的博客
12-10 2万+
macbook中vmware装了个openwrt旁路由,桥接到本机的无线网卡,经测试发现: 1、宿主机改网关后,可通过op上网科学 2、其他无线设备改网关不能上网,但是可以ping通op,上op的网页 3、op终端可以ping通其他无线设备 解决: 1、宿主机开启路由转发,ip forward=1。 2、macbook 操作https://github.com/Miss-you/completedblog/blob/master/mac_os开启路由转发功能.md 3、提示权限不够时,用 sudo su
PVE安装Openwrt 旁路由
qq_34036107的博客
07-09 1万+
PVE 安装Openwrt设置旁路由
树莓派4b OpenWrt旁路由
peisg的博客
07-13 4553
主要分为以下几步: 一、下载并刷入OpenWrt固件 OpenWrt固件用的是Lean大的最新编译好的固件,按照正常的步骤在GitHub上下载并将 二、进入路由器后台修改静态IP及相应的防火墙设置 三、连接树莓派的wifi,并手动设置IP ...
openwrt旁路由基本配置
stonecoolboy的博客
10-11 2143
上一章我们在群辉上安装好openwrt软路由,现在进入虚拟机,根据现有网络,配置软路由的IP地址,并重启生效。系统会自动修改成中文状态,如果不行就到sys-system 中language 修改成中文即可。上面网络可以跟局域网用户通讯,但是不能上网,下面还要设置一下DNS地址。##第一步,设置openwrt的地址,这样就可以登录其网页版进行配置。登录后提示你修改管理员密码,输入两遍保存就可以了。进入以后修改lan口地址,让其能联网。##第二步:修改管理员密码。##第三步:修改网关地址。
内网穿透的应用-如何给斐讯n1盒子刷openwrt系统并实现无公网IP远程访问op管理界面
微学AI的博客
04-18 2422
本文主要介绍如何在N1盒子原系统刷入OpenWRT软路由系统,并结合cpolar内网穿透工具轻松实现公网访问管理本地刷好OpenWRT软路由系统的N1盒子。喜欢折腾小主机的朋友应该都知道N1盒子,它有着不错的硬件配置,能刷安卓电视盒子,游戏机系统,或是小钢炮下载器,也有很多人会刷今天要介绍的OpenWRT软路由系统,现在大概百十来块的价位也很适合新手小白入手来做一个低成本的旁路由
OpenWrt 旁路由设置
4G/5G随身WiFi专业DIY改装
04-06 3018
从几年前接触旁路由就有这种教法,网关是你想让流量去到哪里,写谁 IP 流量就去找谁,你把设备网关设为旁路由旁路由收到流量自然去主路由了,这也不会影响现有网络环境,当然互指并不代表回环,因为主路由的网关一直是光猫而不是旁路由,所谓的主路由网关指向旁路由,猜测应该是分配 dhcp 时给设备旁路由网关。以上是主路由管理 DHCP,旁路由不处理,为了好管理 USB,后台把 wwan 设为了静态地址,其他就是优化些设置正常的 OpenWrt 一样了,防火墙能不动就不动,如有错误请指正。
计算机网络-nas-openwrt安装与旁路由 以玩客云为例
S_ZaiJiangHu的博客
10-04 1万+
鉴于安了wfnb/onecloud 23年的bata版本 结果发现进入docker 连make config apt yum apk curl等命令都没有……而且curl下载很慢 得选6.0哪个版本反正就是 安不了istore 所以 直接刷人家的成品算了 = =
openwrt如何设置旁路由只允许访问指定网站
10-12
OpenWRT是一款基于Linux的路由器固件,它提供了丰富的网络管理功能。要在OpenWRT设置旁路由(也称为中继模式,即通过无线桥接访问互联网),并限制对特定网站的访问,你可以按照以下步骤操作: 1. **登录OpenWRT Web界面**: 使用浏览器输入路由器的IP地址(默认通常是`http://192.168.1.1`),然后用管理员账号登录。 2. **选择合适的网络模式**: 在“网络”或“Wireless”菜单下,将路由器的工作模式设为“中继”或“Bridge Mode”。 3. **配置WiFi接入点**: 配置你的主WiFi SSID、密码以及所需的信道,确保能正常连接到主路由器。 4. **启用IP转发(NAT)**: 在“网络”->“高级”->“防火墙”中,启用IP包转发(通常已预设为开启)。 5. **应用访问控制列表**: 转至“LuCI”下的“Firewall”或类似的安全配置选项,新建或编辑一个访问控制列表(ACL)。例如,在`uci add section firewall rule`部分添加如下规则: ``` firewall='rule' interface=wlan0wan #你的主网接口 action=forward target=ACCEPT condition='ipaddr dst <网站的IP地址> port <端口号>' comment='仅允许访问指定网站' ``` 将 `<网站的IP地址>` `<端口号>` 替换为你想要限制的实际值。 6. **保存并重启**: 确认所有更改无误后,点击保存,并可能需要重启路由器以应用新的设置。 7. **测试访问**: 检查是否能成功连接并只能访问指定的网站。如果需要,可以在Web浏览器的开发者工具里查看网络请求,确认过滤生效。 记得定期检查更新防火墙规则,因为网站的IP或端口可能会有变动。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值