爱快做主路由，openwrt做旁路由行为管控失败

keskei

拓扑图如上。
是在ESXI上面做的。
爱快的DHCP设置为：   网关是openwrt的地址，DNS首选也是openwrt，次选8.8.8.8   
因为是在国外，想在上班时间禁止观看油管。
原本在只用爱快的情况下，用行为管控里面的网址浏览控制是可以实现上班打不开油管的
后来又弄了一个openwrt之后，行为管控就失效了。（因为这里打不开百度，所以也会待理插件来访问百度和一些其它的网站）
用应用协议控制也不行。

因为流量不经过爱快了，所以失效。
请问有什么其它好的方法吗？

爱快技术支持06

旁路情况下，确实是无法生效的
可以考虑一级路由和二级路由的关系
爱快是一级路由或二级路由，来对应实现你的需求。

keskei

爱快技术支持06 发表于 2019-11-27 11:59
旁路情况下，确实是无法生效的
可以考虑一级路由和二级路由的关系
爱快是一级路由或二级路由，来对应实现你 ...

感谢回复，今天测试又发现一个新问题。
昨天只是测试了油管的网址，没有测试其它视频网址。
今天发现v.qq.com   www.iqiyi.com 等国内的视频网址全部打不开，停掉网址浏览控制就可以打开了，那说明还是生效的呀！
但就是油管能打开，换了好多浏览器都能打开。
我的设置如下图：

把油管地址加入到自定义的视频电影组名单，然后禁止视频电影组。


测试发现v.qq.com打不开，油管能正常打开，我就不截图了

keskei

bobogdst 发表于 2019-11-27 16:11
装snmp就可以解决问题

在OPENWRT里面安装了snmpd，然后在爱快里面添加了跨3层的应用，IP地址为openwrt的地址，显示成功。

这招之前就试过了，只是油管和其它的像netflix不好使。依旧可以无阻碍的访问，但是国内的视频网站是访问不了的。

按理说，既然国内的视频网站都不能访问了，说明网址浏览控制是生效的，可能是自定义网址没有生效，但是当我把电脑的网关改成爱快的地址时，油管和netflix也是访问不了的，说明自定义网址有生效。

搞不懂了，可能需要研发处理

34ook

我的理解是如果网关用openwrt，那么数据包就不是爱快在处理，而是openwrt在处理，爱快的管控肯定不生效。不知道对不对，仅供参考

keskei

34ook 发表于 2019-11-27 18:14
我的理解是如果网关用openwrt，那么数据包就不是爱快在处理，而是openwrt在处理，爱快的管控肯定不生效。不 ...

你理解的是对的。
但是openwrt的网关也是爱快的地址，相当于是数据经过openwrt再到爱快，然后到光猫。

iSkyun

国内能进行访问控制，那就正常了。国外经过加密隧道访问的网站不能控制那是正常的，等ESNI完全普及后（估计国内很难），爱快流控效果的维护度会更难。

iSkyun

另外想控制过隧道的网站，可以在隧道软件的访问控制里设置相应的黑名单。