|
本帖最后由 xibanya 于 2023-4-6 20:31 编辑
最近看到有坛友问,爱快作为主网关,内网设备网关指向旁路网关时,如何进行行为管理。特定搭了个简化环境测试了下。
只有文字描述,论坛的图片上传一直搞不懂顺序,懒得折腾了。想必会用旁路网关的坛友也能看的懂。
实验基本环境:
(1)爱快lan:172.16.66.254/24 (2)openwrt -lan:172.16.66.253 (3)PC1 172.16.66.1/24 网关指向openwrt (4)PC2 172.16.66.2/24
openwrt lan口可选择是否开启Masquerading(我实验没开,这个实验用不到这个)
重点:(1)给openwrt添加nat规则。例如,PC1上网,过了op后,让op将源地址转成192.168.10.1。PC2过op后,源地址转为192.168.10.2
192.168.10.x不需要配置在op的任何实际接口上。类似于防火墙snat配置。按道理最好在op上配置去往192.168.10.1和10.2的黑洞路由、。。。。
op-防火墙-NAT-rules,添加一条规则:名称自己写,协议任意,zone:lan,source address :172.16.66.1(PC1的IP);Action:SNAT-Rewrite to XXXX
Rewrite IP Address :192.168.10.1
意思是:当去往非直连的目标网段(比如去外网)的源地址为PC1的地址172.16.66.1时,进行源NAT转换,将源地址替换为192.168.10.1
同理添加pc2的nat规则
(2)在爱快路由器添加静态路由。例如,添加一条静态:线路lan1,目的地址:192.168.10.0;掩码24;网关172.16.66.253(即告诉爱快,去往192.168.10.0/24要去找openwrt)
可选--opwrt上配置黑洞路由,防止爱快-OP之间形成路由环路:
openwrt---网络---路由----静态IPv4路由,添加一条:接口无需指定,目标192.168.10.0/24,网关无,类型选择backhole
比如,你的pc2,PC3.。。。。。去ping 192.168.10.1,如果没有这个黑洞路由,那就会在op和爱快之间形成一个路由环路。。。。
(3)此时,PC1去往公网,经过op后,源地址就变为了自定义的192.168.10.1,如果有PC2去往公网,就替换成192.168.10.2
爱快上针对这两台PC进行行为管理,只要对192.168.10.1和192.168.10.2进行管理即可
备注:192.168.10.1和192.168.10.2的mac地址一样,均为op的mac地址,这个没办法。过了网关源mac就会被替换成网关的mac,这是基本的通信原理
基于ip来做一些协议控制还是可以的。
|
|