这是一个创建于 1221 天前的主题,其中的信息可能已经有所发展或是发生改变。
现在家庭网络结构是:外网---RouterOS(拨号)---pfsense ( DHCP 服务)---NAS。在 RouterOS 和 pfsense 处都有 NAT 。
现在,在 RouterOS 上布置了 wireguard ,从手机上可以通过 wireguard 访问 RouterOS ,但无法访问 NAS 该怎么设置才能让手机通过 wireguard 回家访问 NAS 呢?
局域网的网段分配:
RouterOS 的 wireguard IP:10.10.10.1/24 手机 的 wireguard IP:10.10.10.20/24 RouterOS 的局域网 IP:192.168.1.1/24 pfsense 分配的局域网 IP:192.168.3.1/24 NAS 的 IP:192.168.3.2/24 第 1 条附言 2022-06-13 10:45:55 +08:00
解决了,又没完全解决。在大家的帮助下,家庭那段网络通了,在运营商的努力下,wireguard 很快就断了……
 | 1 omcourseecust 2022-06-11 21:17:06 +08:00 要么把 NAS 映射到公网去,要么加条路由,开转发。 |
 | 2 clickhouse 2022-06-11 21:38:10 +08:00 RouterOS 可以直接访问 NAS 么?可以的话 iptables 配置一下转发就行了。 |
 | 3 jsq2627 2022-06-11 21:39:36 +08:00 1. wireguard allowed ips 需要配置 2. 加静态路由 手机上 allowed ips 加上 192.168.3.0/24 。wireguard app 应该会根据 allowed ips 自动配置路由 路由器给手机对端 allowed ips 加上 10.10.10.0/24 (你的手机已经能访问路由器,那看来应该已经配置好这一步了) 另外就是防火墙要允许 10.10.10.0/24 -> 192.168.3.0/24 方向的转发 |
 | 4 sakisaki OP @omcourseecust 使用 vpn 回家就是为了避免将 NAS 暴漏在公网。 @clickhouse RouterOS 是不能直接访问 NAS 的。 @jsq2627 加静态路由能具体说说吗?我被卡在这里了。 |
| 5 sakisaki OP @jsq2627 静态路由这样可以吗? 源地址:10.10.10.1/24 目的地址:192.168.3.2/24 掩码:255.255.255.0 网口:与 pfsense 连接的 bridge 是不是还应该把 pfsense 后面的 NAS 映射到 pfsense 的 WAN 口? |
| 6 jsq2627 2022-06-11 22:17:44 +08:00 @sakisaki 静态路由要双向添加。倒不用把 NAS 映射到 pfsense 的 WAN 口 (我对 pfsense 也不太熟悉,暂且当成一个网关来看待) 1. RouterOS 添加静态路由,把目标地址为 192.168.3.1/24 设置为与 pfsense 连接的网口。静态路由的源地址可以不用设置 2. pfsense 上也要添加态路由,把目标地址 129.168.1.1/24 设置为与路由器连接的网口。静态路由的源地址同样不需要设置 3. routeros / pfsense 防火墙都要允许转发。nas 防火墙要允许来自 192.168.1.1/24 和 10.10.10.1/24 的入站连接 如果这些都配置妥当,routeros / pfsense / nas 各自互相 ping 应该都是通的 --- 另外,家里面何必搞两层 lan ?把所有设备都放一个 /24 网段里,会方便很多呀 |
| 7 sakisaki OP @jsq2627 RouterOS ping 向 NAS 还是不通,不知道哪里还没搞好。 之所以强加一个 pfsense 只是为了它的两个插件:snort 和 pfBlockerNG-devel…… |
 | 8 bytesfold 2022-06-12 00:40:48 +08:00 via iPhone qc 暴露公网会不会有问题。。frp 容器已经关了。。 |
 | 9 Yien 2022-06-12 03:44:30 +08:00 via Android @sakisaki 请问这两个插件有什么用途? 如果 pfsense 作防火墙用途,是否可以使用透明网桥模式? |
| 10 sakisaki OP @Yien pfBlockerNG-devel 可以下载一些规则集作为防火墙的补充,Snort 是著名入侵检测系统。实际使用下来很不方便,只是我有些强迫症。把 wan 口与 lan 口桥接以后似乎可以实现透明网关,具体我也没有操作过。 |
 | 11 cnbatch 2022-06-12 17:58:33 +08:00 造成无法访问的原因是双重 NAT ,换句话说,是因为双重内网。 所以解决办法也很简单,在 pfsense 那里打开端口映射,把 NAS 映射到某个端口上,然后 VPN 回家时访问 NAS 就使用映射的端口。按照你的情况,那就是连回家后访问 192.168.1.x:port 。x 是 pfsense 在 RouterOS 侧获得的 IP 地址,port 是映射后的端口。 还有另一个解决办法,那就是扔掉 RouterOS 这个节点。pfsense 本身就可以拨号,也能开启 wireguard ,让 pfsense 全盘接管就行了。 |
 | 12 neroxps 2022-06-13 07:27:03 +08:00 via iPhone emmm 把 ospf 打开就完了 ros 和 pf 公告下自己的路由表,pf 的 nat 关掉。 |
| 13 neroxps 2022-06-13 07:28:48 +08:00 via iPhone 但话说楼主路由表都不会设置的话,为何会把家里网络搞的那么复杂? |
 | 17 lilyok1234 2022-06-15 06:37:57 +08:00 via Android 除了配置路由还要配置一条 iptables postrouting 的,在 routeros 上配置,到局域网设备都替换成 192.168.1.1 就行,我也是这样的拓扑,用了大半年了 |
 | 18 yuchenr 2022-06-15 14:46:41 +08:00 1 、wiregurad 需要 allowed ips 2 、静态路由: i 、 在 pfsense 添加到 wireguard net 的静态路由 ii 、在 routeos 添加到 pfsense lan net 的静态路由 3 、lz 的拓扑真绕 |
Select Language