是否跟静态路由相关？

shoutim

近期我做了如下架构的网络，目的是实现在使用MAC黑名单禁止客户端访问Internet的情况下，允许客户端使用另一条VPN线路访问总公司的内网。


所有的路由器均为爱快软路由，其中Router 1为VPN路由，型号为爱快A720，固件版本3.4.9，使用openVPN；Router 2为分公司用于访问互联网的路由，Router 3为专用于VPN拨号与总部相连的路由，软件版本为3.5.2。

分公司这边使用的是华为S5720三层交换机，划分了三个VLAN（VLAN 1 IP：192.168.1.1，VLAN 2 IP：192.168.2.1，VLAN 3 IP：192.168.3.1，图中无标示），所有端口均为Access端口。客户端通过三层交换机实现访问总公司内网网段走VPN的功能。三个VLAN的该三层交换机的静态路由如下：
ip route 0.0.0.0 0.0.0.0 192.168.3.254
ip route 192.168.4.0 255.255.255.0 192.168.3.253

Router 2和Router 3的静态路由如下：
网段：192.168.1.0 子网：255.255.255.0 下一跳：192.168.3.1 ，接口为LAN
网段：192.168.2.0 子网：255.255.255.0 下一跳：192.168.3.1，接口为LAN

假设Router 3的openVPN拨号后获得的IP地址是10.7.7.2，则Router 1的静态路由如下：
网段：192.168.1.0 子网：255.255.255.0 下一跳：10.7.7.2，接口为自动
网段：192.168.2.0 子网：255.255.255.0 下一跳：10.7.7.2，接口为自动


现在遇到的问题是：
VLAN 1和 VLAN 2能够访问VLAN 4下的客户端，但VLAN 4下面却无法访问VLAN 1和VLAN2下面的客户端，且VLAN 4可以ping Router 3的LAN地址，但就是无法访问VLAN 1和VLAN 2，通过tracert命令追查，会是这样的提示（假设Router 1的LAN IP是192.168.4.1）：

tracert 192.168.1.2

通过最多 30 个跃点跟踪到 192.168.1.2 的路由

  1     3 ms     4 ms     3 ms  192.168.4.1
  2     3 ms     3 ms     3 ms  10.7.7.2
  4     *        *        *     请求超时。
  5     *        *        *     请求超时。
  6     *        *        *     请求超时。
  7     *        *        *     请求超时。
  8     *        *        *     请求超时。
  9     *        *        *     请求超时。
10     *        *        *     请求超时。


请问一下大家，我这里到底是哪方面出了问题？

shoutim

在爱快测试群群友的帮助下，这个问题完美解决

在Router 3那边添加一条nat规则，动作为：源地址NAT，“进接口”选择openVPN接口，“出接口”选择lan1,源地址输入VLAN 4下的网段，然后在目的地址中输入：“192.168.1.1-192.168.2.254”，转发地址输入：192.168.3.253（即Router 3的LAN IP地址），保存即可