前言
拥有公网 IP 的宽带用户大多数都会使用桥接模式使主路由器来拨号上网,这样能够更方便的使用公网 IP 和端口转发,使得外网访问内网设备及服务更加便利.由于桥接后,光猫仅仅作为光电转换设备,并不在本地内网的 NAT 中,所以常规情况下内网的电脑是无法访问光猫的.本文将介绍如何在热门的 OpenWrt 及 ROS 作为主路由的情况下配置防火墙规则来使内网设备访问光猫.
本文为 Stille 原创文章.经实践,测试,整理发布.如需转载请联系作者获得授权,并注明转载地址.
简介
为方便下文理解,示例如下:192.168.0.1/24
为光猫 IP 及网段.192.168.1.1/24
为路由 IP 及网段.
请自行根据实际情况修改下文命令参数中的 IP 网段.本教程并不适合光猫与主路由在同一网段的场景.
OpenWrt
OpenWrt 的配置相对比较简单.仅需添加防火墙自定义规则即可.
查看 WAN 口网卡信息
网络 - 接口 - WAN - 修改 - 物理设置
查看到 WAN 口对应的以太网适配器为eth1
设置防火墙规则
网络 - 防火墙 - 自定义规则
添加以下自定义规则,并重启路由器生效.
ifconfig eth1 192.168.0.2 netmask 255.255.255.0 broadcast 192.168.0.255
iptables -I forwarding_rule -d 192.168.0.1 -j ACCEPT
iptables -t nat -I postrouting_rule -d 192.168.0.1 -j MASQUERADE
访问光猫
输入光猫内网 IP 即可访问管理页面
ROS
设置 WAN 口 IP
选择 IP - Addresses
添加 WAN 口 IP 和 光猫同一网段,例如192.168.0.2
.
- Address - 192.168.0.2/24
- Network - 192.168.0.0
- Interface - WAN
设置防火墙
选择 IP - Firewall
NAT 标签中添加记录
General 标签
- Chain - srcnat
- Src. Address - 192.168.1.0/24
- Dst. Address - 192.168.0.0/24
Action 标签
- Action - masquerade
Mangle 标签中添加记录
General 标签
- Chain - prerouting
- Src. Address - 192.168.1.0/24
- Dst. Address - 192.168.0.0/24
Action 标签
- Action - accept
访问光猫
输入光猫内网 IP 即可访问管理页面
结语
没啥说的了...就这样吧...
本文为 Stille 原创文章.经实践,测试,整理发布.如需转载请联系作者获得授权,并注明转载地址.
16 条评论
我的hap ac2绑定WAN口(也就是pppoe-out1)不成功,改成ether1就行了,兄弟们如果遇到类似情况可以参考一下。
对的,应该是需要绑定在跟光猫连接的那个物理接口上。
感谢提醒,猫棒如是vlan 拨号话,需要改成成物理接口比如ether2。奇怪是OP 访问话只要设定OP那个物理端口比如eth0一个和猫棒ip 地址然后手动添加静态路由就行了。搞不懂是不是可能OP防火墙默认自己转发了
在同一个网关下怎么设置呢?
您好,其实我有两个问题想向您请教。
第一,我的光猫是192.168.1.254,其lan1一接入我mikrotik的lan1,那么我lan1就获取了公网IP,我mikrotik的地址是 192.168.8.6. 我照你的方式配置了,还是无法访问 192.168.1.254,我能在 mangle看到要求的流量,但是貌似少了些什么或者在我的环境是不可行的。
第二,我的主路由是 ros,旁路由是 OpenWRT 192.168.8.18,openwrt的防火墙已经完全关闭了,服务也关闭了,我在 ros firewall filter 添加其中一台机子的 mac ip,drop,chain是 forward,但是我的机子还是能安全上网,是那做错了吗。。 我的自己的网关是指向旁路由的,旁路由的网关指向 ros
希望能获得您的指教,谢谢。
第一个 光猫不是应该接你mikrotik路由器的WAN口么?怎么接的lan
不好意思,没错,mikrotik的lan1其实指的就是wan1,因为是软路由,工程机,所以标注是 LAN1-LAN6,
我的软路由是六口工程机, 口1我配置成WAN1,口2我配置成WAN2,口6是LAN1,同时也做了PCC实现了2Load Balancing.
目前一切正常,速度也很快,软路由里的虚拟机 linux, openwrt, hassos, 黑群晖都能跑满千兆 speedtest,科学上网至中国看节目也是妥妥稳定。
现在就是在想如何才能搞定防火墙和访问不需要在换本机网关的情况下访问光猫。
我内网都是 192.168.8.x,光猫是192.168.1.25。
无论如何,谢谢您的回答。
解决了,已经能在内网访问光猫。
现在的问题是双软路由下如何开启防火墙,防止家里IOT设防访问外网。你如果有解决方案拜托告诉我呀,先谢了。
学习了
博主,我觉得这个设置挺简单的,但是你这个教程写的有点复杂。
你这是在群会上安装了软路由吗?
你是怎样设置进入光猫的?