iKuai爱快流控路由

标题: VPN连接成功后不能访问对端内网设备 [打印本页]

作者: 菲尔公爵 时间: 2018-10-1 18:40
标题: VPN连接成功后不能访问对端内网设备
如题，之前可以的，原来给一个地方弄了一个3.0.7的X64版本，因为没什么问题出现一直没升级，稳定重要，对方内网ip是192.168.2.0/24，开启openVPN服务端，子网10.7.7.0/24，我方内网是192.168.10.0/24，我用我方的爱快拨号连接openVPN成功后，设置分流目的地址为192.168.2.0的连接走这条VPN线路，我方内网下的设备直接能连通192.168.2.1的路由器，也能直接连通对方192.168.2.X的所有设备。

后来又在另一个地方弄了一个，最新的3.1.1 X64版，内网192.168.20.0/24，同样的操作，VPN子网是20.7.7.0/24，设置好后只能连通192.168.20.1的路由，其它的192.168.20.X的设备ping不通。

我又用手机用流量连上我方的VPN，我方路由版本3.1.0 X64，同样的情况只能连接192.168.10.1的路由，ping不通我方路由下内网的设备，因为我记得早先时候还是低版本的时候，手机连上可以直接访问对方内网的，现在不知道从哪个版本开始不行了，还是连接规则改了，请教一下大家。

作者: 爱快技术支持05 时间: 2018-10-2 19:56
楼主您好，310版本取消了lan to to的默认nat ,对VPN存在部分影响，如果你是310版本的话，需要手动添加个nat 转发，311版本已修复此问题，如果您在311版本还是不同，可以做个nat 转发看下效果，目的地址为内网的IP地址，转发地址为网关地址。

作者: romant 时间: 2018-10-2 22:33
311升级后也是不通，不过在没升级前我自己做了个nat就可以了

作者: xmr68yahoo 时间: 2018-10-2 23:22
两端全部 3.0.9 或者 3.1.1

作者: 菲尔公爵 时间: 2018-10-4 23:25

爱快技术支持05 发表于 2018-10-2 19:56
楼主您好，310版本取消了lan to to的默认nat ,对VPN存在部分影响，如果你是310版本的话，需要手动添加个nat ...

已经把两边都升级到了3.1.1，但是情况依旧，连接3.0.7版本的就能直接访问。nat转发，不知道咋设置，客户端设置了一个没用，服务端不知道咋设置。

作者: 菲尔公爵 时间: 2018-10-4 23:39

爱快技术支持05 发表于 2018-10-2 19:56
楼主您好，310版本取消了lan to to的默认nat ,对VPN存在部分影响，如果你是310版本的话，需要手动添加个nat ...

研究了一下规则，做了nat转发可以了，虽然不方便了，但是这样做确实也安全性更好一些。

作者: qq504714639 时间: 2018-10-5 16:29
本帖最后由 qq504714639 于 2018-10-5 16:30 编辑

为什么不用Ipsecvpn呢1.只要其中一个公网ip权限就可用了。
2. (, 下载次数: 46)

作者: linnan2004 时间: 2018-10-5 19:40
本帖最后由 linnan2004 于 2018-10-5 20:26 编辑

版本都少啊

作者: 菲尔公爵 时间: 2018-10-5 21:44
本帖最后由菲尔公爵于 2018-10-5 21:46 编辑

qq504714639 发表于 2018-10-5 16:29
为什么不用Ipsecvpn呢1.只要其中一个公网ip权限就可用了。
2.

openVPN可以指定端口，觉得这个挺好，不过这几方式实际种用起来差别不大，IPsec优点也很实用。

作者: 菲尔公爵 时间: 2018-10-5 21:45

romant 发表于 2018-10-2 22:33
311升级后也是不通，不过在没升级前我自己做了个nat就可以了

听了回复，也都升成3.1.1了，还是不通，不过设置nat转发后已经可以了。

作者: 菲尔公爵 时间: 2020-1-17 15:32
本帖最后由菲尔公爵于 2020-1-17 15:49 编辑

更新一下。
先说一下我的环境，本地IP段是192.168.10.0/24，对端是192.168.2.0/24，我要连接的是对端的无线路由器关掉DHCP插LAN口做的无线发射端，连接LAN口地址192.168.2.2，因为之前的版本默认是做了nat转发来连接，也就是本地的192.168.10.0地址被nat成网关的lan口地址192.168.2.1来访问的无线路由器LAN口，所以在一个子网里，当然可以直接访问。而更新版本以后优化成了不做nat而直接转发，也就是本地的地址直接发给无线路由器LAN口，一个是192.168.10.0/24一个是192.168.2.0/24肯定不在同一个子网了，（这里其实本地的网关也会nat一下，把本地的内网地址nat成VPN的IP地址，也就是如果VPN获得的地址是10.7.7.2的话会以这个地址发直接发给要访问的终端，这个地址也是和要访问的对端终端不在一个子网的）而路由器的LAN口又没有网关，路由器收到这个不在自己内网的包也不知道回复给谁，所以造成了访问不通。明白这个问题以后就能迎刃而解了。
所以访问对端带网关设置的终端是没有问题的，如果访问不带网关设置的终端的话，我们在对端网关里手动做一下nat配置就可以啦。

作者: cryamethy 时间: 2020-1-17 15:37
20.7.7.0/24怎么使用这个地址段呢？？这是公网地址哦

作者: 菲尔公爵 时间: 2020-1-17 15:43

cryamethy 发表于 2020-1-17 15:37
20.7.7.0/24怎么使用这个地址段呢？？这是公网地址哦

哎当时不懂这个，现在已经改回来了:P

作者: q17726105 时间: 2020-1-18 00:29

qq504714639 发表于 2018-10-5 16:29
为什么不用Ipsecvpn呢1.只要其中一个公网ip权限就可用了。
2.

Ipsecvpn 在哪？３.３是不是没有了？

作者: qq504714639 时间: 2020-1-20 19:22

q17726105 发表于 2020-1-18 00:29
Ipsecvpn 在哪？３.３是不是没有了？

(, 下载次数: 59)
1.都有的！！！

欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/)