iKuai爱快流控路由

标题: 系统设置——基础设置——上网模式，重大BUG [打印本页]

---

作者: 9622315    时间: 2016-8-22 09:58
标题: 系统设置——基础设置——上网模式，重大BUG


昨晚自家搭建环境，研究双线接入——NAT线路与路由线路混合组网，虽结果以失败告终（具体原因，稍后另开贴说明），但发现了爱快一个重大BUG，这个BUG很可能是导致此次试验失败的直接原因。

拓扑描述：
两路由器WAN口互联，路由器#1 LAN口接PC#1，路由器#2 LAN口接PC#2，具体见下图
(, 下载次数: 19)

上传

点击文件名下载附件

配置参数：
路由器#1（NAT模式）
WAN IP 10.0.1.2/24，网关 10.0.1.1/24
LAN IP 192.168.2.254/24

路由器#2（路由模式）
WAN IP 10.0.1.1/24，网关 10.0.1.2/24
LAN IP 192.168.1.254/24

PC#1 192.168.2.1

PC#2 192.168.1.7

除此之外没有配置任何其他分流及转发规则，配置好后，所有设备重启，保证所有配置参数与规则生效。

经测试
PC#1可ping通PC#2
PC#2亦可ping通PC#1

分别开ping测试，两PC开启抓包软件，经过抓包确认


当且仅当PC#1 ping PC#2时，
PC#2上抓不到源于PC#1的数据包，由此证明，PC#1 to PC#2是NAT转发，

但是，但是，但是，
在路由器#1上添加了一条NAT过滤规则，规则如下
动作：过滤
线路：WAN1
源地址：192.168.2.1
目的地址：192.168.1.1
状态：启用
但得到的结果与没有添加这条规则是一样的，PC#2依然抓取不到源地址为PC#1的IP数据包


PC#1 ping PC#2，在PC#2上抓包截屏
(, 下载次数: 21)

上传

点击文件名下载附件

当且仅当PC#2 ping PC#1时，
在PC#1上可以抓到源于PC#2的数据包，由此证明，PC#2 to PC#1是路由转发，

PC#2 ping PC#1，在PC#1上抓包截屏
(, 下载次数: 18)

上传

点击文件名下载附件

由此可知，同一台路由器，同一条线路，两个方向上传输的数据，其转发机制却不相同，这是为啥？这样做合理吗？

补充：经反复测试，发现NAT过滤规则，并不是想象中的，添加即生效，想要让规则生效，我找到2个方法可以做到，
1 如果路由上有空闲接口的话，新绑1个WAN口，并使之处于有效连接的在线状态，然后解除绑定；
2 重启路由器
这算不算，又是一个BUG呢？

---

作者: 秀字营    时间: 2016-8-22 10:31
ping测试开启端和抓包端不在一个终端上，您就能看到正确的结果了。
这个条件下ping测试本身终端是肯定有对端IP信息的数据包出现的。

---

作者: 9622315    时间: 2016-8-22 10:38

秀字营 发表于 2016-8-22 10:31
ping测试开启端和抓包端不在一个终端上，您就能看到正确的结果了。
这个条件下ping测试本身终端是肯定有对 ...

那就解释一下，为何从NAT模式的路由器WAN口直接就ping到内网终端了，你先不要看抓包，起码NAT应该是单向的吧？

---

作者: waynez    时间: 2016-8-22 10:39
(, 下载次数: 8)

上传

点击文件名下载附件

确认抓包器在这个段？

---

作者: 9622315    时间: 2016-8-22 10:50

waynez 发表于 2016-8-22 10:39
确认抓包器在这个段？

重点不在这里，而是没有做任何额外的转发规则的前提下，直接从NAT路由器的WAN口ping到内网终端了，请问，这还是NAT吗？

仅在PC#2上ping PC#1，PC#1上抓包，结果依然如此。

(, 下载次数: 12)

上传

点击文件名下载附件

---

作者: 秀字营    时间: 2016-8-22 12:00
因为路由#2是路由模式， 路由#2会把PC2的携带目的IP2.1的数据信息通过缺省路由发送给路由#1.
路由#1会接受此数据，并且查询自己路由表信息，知道目的IP2.1走lan1，会直接数据转发到lan1接口。
此条件下， 还不涉及到NAT的事，因为您是直连，wan口互相填写了网关信息，即使不知道2.1的该走哪，也会遵守缺省路由直接发送出去

---

作者: king5230    时间: 2016-8-22 12:02
假NAT :lol

---

作者: 9622315    时间: 2016-8-22 12:17

秀字营 发表于 2016-8-22 12:00
因为路由#2是路由模式， 路由#2会把PC2的携带目的IP2.1的数据信息通过缺省路由发送给路由#1.
路由#1会接受 ...

路由+NAT混合组网的问题我还没描述呢！问题更多！

你再解释一下，为啥我的NAT过滤规则没生效？

主贴我已经按照最新的测试结果，重新修改了，麻烦你再看看吧。

---

作者: 19921112    时间: 2016-8-22 12:18
我的 光猫接爱快软路由 上网模式选路由模式拨不上号，用NAT模式一下就拨上号了

---

作者: deitx    时间: 2016-8-22 13:02

9622315 发表于 2016-8-22 12:17
路由+NAT混合组网的问题我还没描述呢！问题更多！

你再解释一下，为啥我的NAT过滤规则没生效？

你两个路由器上端啥设备，路由器wan口网关是啥
说好的网关地址呢:lol

---

作者: 9622315    时间: 2016-8-22 13:06

deitx 发表于 2016-8-22 13:02
你两个路由器上端啥设备，路由器wan口网关是啥
说好的网关地址呢

当然是对端路由器WAN的地址啦！
承蒙提醒，我补充一下，主贴已经修改好了

但你说的上端设备，我不明白你问的是啥，实际连接，就是拓扑图那样了。

---

作者: deitx    时间: 2016-8-22 13:22

9622315 发表于 2016-8-22 13:06
当然是对端路由器WAN的地址啦！
承蒙提醒，我补充一下，主贴已经修改好了

你这个路由+net混合环境其实相当于路由模式的路由器当了三层交换
你这样配置相当于中间过net路由
路由模式的路由器是将送到它这里的数据包查询路由表后直接扔给相应的端口，然后端口又把数据扔给端口的网关，也就是下一跳，然后它就不管了，也不关它的事了。
抓包没啥意义
跟踪下路由确定下路由路径还有爱快确实应该提供下查看路由表的方法，不然很多问题不好排查:lol

---

作者: 9622315    时间: 2016-8-22 13:27

deitx 发表于 2016-8-22 13:22
你这个路由+net混合环境其实相当于路由模式的路由器当了三层交换
你这样配置相当于中间过net路由
路由模式 ...

你理解错了，这个不是我说的混合组网，我说的混合组网，是路由器#1上，两个WAN口，一条线路做路由转发，另一条线路做NAT转发，不过目前还没有最后成功，还存在很多未解决的问题，这些问题，跟爱快的转发机制有关，由于看不到系统的路由表，确切的说，是没有看路由表的权限，所以很多问题，都要去摸索解决。

只是此贴中描述的问题，是从双线混合组网的测试环境中发现的，所以单独提取出来了，由于这个还算简单的好表述的问题，真正双线混合组网时，问题更多，表述起来更麻烦，所以暂缓发帖。

---

作者: deitx    时间: 2016-8-22 13:38

秀字营 发表于 2016-8-22 12:00
因为路由#2是路由模式， 路由#2会把PC2的携带目的IP2.1的数据信息通过缺省路由发送给路由#1.
路由#1会接受 ...

大哥你这个理解上有问题啊
它net模式的路由器应该挡住所有非本端口建立的链接以外的所有内网访问请求，也就是非本地mac发出的内网请求都丢弃，否则外网过来的内网访问请求是不是查询路由表后都转发呢，这样跟路由模式没啥区别了。
:lol也就是楼主这么玩应该是pc1能ping通pc2，而pc2 ping不通pc1，除非添加静态路由
所以net模式还是有问题的。应该添加有个控制wan口是否接受非lan口mac过来的内网地址数据包
不过不是啥大事，有访问控制列表，可以自己添加访问规则

---

作者: deitx    时间: 2016-8-22 13:45

9622315 发表于 2016-8-22 13:27
你理解错了，这个不是我说的混合组网，我说的混合组网，是路由器#1上，两个WAN口，一条线路做路由转发，另 ...

ros没啥问题的，给我理解ros就跟爱快的路由模式一样:lol

---

作者: 9622315    时间: 2016-8-22 14:39

deitx 发表于 2016-8-22 13:45
ros没啥问题的，给我理解ros就跟爱快的路由模式一样

我当然知道ROS肯定是没问题的，现在讨论的是爱快，稍后我就发爱快的测试报告。

---

作者: deitx    时间: 2016-8-22 14:42
恩，爱快的路由模式问题，确实nat转发有问题不是立即起效，同时线路检测也是失败的，但是确实路由通了，这个希望爱快能尽快修复吧，毕竟路由模式很重要，如果我这里要链接两个不同的局域网又没有三层交换机确实需要路由器支持路由模式，还是爱快出个直接就是路由模式的版本，不用设置是路由模式还是nat模式:funk:

---

作者: 9622315    时间: 2016-8-22 14:44

deitx 发表于 2016-8-22 14:42
恩，爱快的路由模式问题，确实nat转发有问题不是立即起效，同时线路检测也是失败的，但是确实路由通了，这 ...

问题远没有你想的简单，在双线接入混合组网时（一条线路跑NAT，另一条线路跑路由），问题更多，稍后我发测试报告。

---

作者: deitx    时间: 2016-8-22 15:01

9622315 发表于 2016-8-22 14:44
问题远没有你想的简单，在双线接入混合组网时（一条线路跑NAT，另一条线路跑路由），问题更多，稍后我发 ...

爱快的路由模式问题，确实不能立即生效
还有路由模式看不到路由表确实别扭啊:lol

---

作者: 秀字营    时间: 2016-8-22 16:17

deitx 发表于 2016-8-22 13:38
大哥你这个理解上有问题啊
它net模式的路由器应该挡住所有非本端口建立的链接以外的所有内网访问请求，也 ...

理解没问题，作为数据转发层面来将，在路由#1上不是非正常内网申请，而是接受外网发送数据。

---

作者: 9622315    时间: 2016-8-22 19:08

秀字营 发表于 2016-8-22 16:17
理解没问题，作为数据转发层面来将，在路由#1上不是非正常内网申请，而是接受外网发送数据。 ...

按道理，如果是纯粹的NAT模式，路由器应该是拒绝从WAN到LAN的访问请求。不信你用小路由器测试一下，或标准的NAT防火墙测试一下，默认都是这样的，爱快在NAT模式下，还可以路由转发WAN to LAN的数据包，这的确不太合理。

---

作者: deitx    时间: 2016-8-23 08:46

9622315 发表于 2016-8-22 19:08
按道理，如果是纯粹的NAT模式，路由器应该是拒绝从WAN到LAN的访问请求。不信你用小路由器测试一下，或标 ...

你没明白，是拒绝非本地mac以外的内网数据包，如果是它本地mac的内网数据包还是要路由器转换地址后发往内网，不过思科的好像有个功能能让外网nat穿过路由器访问内网

---

作者: 秀字营    时间: 2016-8-24 17:27

9622315 发表于 2016-8-22 19:08
按道理，如果是纯粹的NAT模式，路由器应该是拒绝从WAN到LAN的访问请求。不信你用小路由器测试一下，或标 ...

这个以路由表信息说的话， 如果没做静态路由器，肯定找不到NAT下的终端，肯定不通， 但是您的这个拓扑结构，告知路由强制执行数据发送缺省路由表， 这个任何路由环境好像都是可以互通的

---

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)

Powered by Discuz! X3.3