关于网络端口回流的问题

Anooki

# 背景

家里的光猫改桥接了，用的是openwrt做主路由，下面还有两个k2p刷的ap。
如果群晖直接从openwrt接出来，电脑无线接ap，在内网环境下就可以通过域名访问（下图方案一）。

如果群晖和电脑在同一个ap下（nas是有线，电脑无线或者有线），在内网环境下就不能通过域名访问（下图方案二）。

也试过openwrt路由器出来直接 接一个交换机，群晖和电脑都连在这个交换机上，同样是不能再内网用域名访问（下图方案三）


路由器里面的  重绑定保护 不论勾选不勾选，方案二都不能通过域名访问。

路由器-防火墙加入 以下命令也试了，同样不成功，有没有大佬指点以下应该要怎么设置啊

iptables -I zone_lan_forward -t filter -m conntrack --ctstate DNAT -j ACCEPT

复制代码

补充一点，群晖和电脑在同一个房间，都想用有线。

mistlotus

你先看看不同的方案下，你的群晖ip和准备访问ha的设备ip都是什么，初步判断是不同局域网段下二级网络的路由器不支持静态路由导致一级网段无法访问二级网段的ip

Anooki

mistlotus 发表于 2022-9-19 13:36
你先看看不同的方案下，你的群晖ip和准备访问ha的设备ip都是什么，初步判断是不同局域网段下二级网络的路由 ...

是在同一个网段下面，因为我所有的设备ip都是通过openwrt分配的
群晖是ip192.168.33.77 电脑的ip是192.168.33.189（有线） /192.168.33.201（无线）


群晖和电脑的局域网ip都是固定的

a_dongde

我也有类似的问题，用阿里云绑定域名IPV6做内网穿透，可以通过IPV6网络从外网直接访问群辉和HA，但是在同一路由下的内网用域名就无法访问，而用移动网络就可以。
以前好好的，突然前几天就不行了。

netsnake

转：
iptables -t nat -A POSTROUTING -o br-lan -j  MASQUERADE

neroxps

K2p 为何要二级路由部署？直接 插Lan 关掉 dhcp 不行吗

另外方案3 不行，要检查 DNS解析是什么IP。是单独 v4 访问，还是 v6 访问。

如果是 v4 的话， openwrt iptables -s 看看整个防火墙是如何配置的。

如果解析的是公网 IP 回流做了没？

neroxps

K2p 为何要二级路由部署？直接 插Lan 关掉 dhcp 不行吗

另外方案3 不行，要检查 DNS解析是什么IP。是单独 v4 访问，还是 v6 访问。

如果是 v4 的话， openwrt iptables -s 看看整个防火墙是如何配置的。

如果解析的是公网 IP 回流做了没？

xiongmx

我直接用的爱快DNS反向代理

Anooki

neroxps 发表于 2022-9-20 12:54
K2p 为何要二级路由部署？直接 插Lan 关掉 dhcp 不行吗

另外方案3 不行，要检查 DNS解析是什么IP。是单独  ...

为什么要做二级路由：因为有两个无线信号，要手动切换麻烦，想试着用ap实现无缝漫游
用的是v4访问，v6已经被禁了
openwrt iptables -s 这个命令报错，我也不懂

解析的是公网ip，端口转发的时候已经勾选了 端口NAT回环

动态ddns是在openwrt 装的ddns-go 的docker，做的泛域名解析


我所有域名是用nginx proxy manager做的反代（在群晖上docker部署的），申请的免费的泛域名证书

不知道描述的对不对，虽菜但是爱折腾

Anooki

xiongmx 发表于 2022-9-20 17:33
我直接用的爱快DNS反向代理

我是在群晖上装的nginx-proxy-manager 做的反代