Closed MeowRay closed 1 year ago
开旁路由兼容呢
开旁路由兼容呢
试过了,不行
+1 openclash 哪哪都好,就是有这个问题
不知道我家的网络拓扑是否和楼主一致,简单描述下:
问题现象:
curl: (35) TCP connection reset by peer
我怎么正常
我怎么正常
有没有可能是规则的问题? 我的规则是白名单模式,名单内的直连,名单外的所有请求都走代理
我怎么正常
有没有可能是规则的问题? 我的规则是白名单模式,名单内的直连,名单外的所有请求都走代理
我先前版本也正常,这个问题反反复复莫名其妙的,如果直连了那旁路由就没用了,还不如网关直接写主路由
我怎么正常
有没有可能是规则的问题? 我的规则是白名单模式,名单内的直连,名单外的所有请求都走代理
我先前版本也正常,这个问题反反复复莫名其妙的,如果直连了那旁路由就没用了,还不如网关直接写主路由
我是说,我也遇到了类似的问题,但是 @cs-star 说他正常,所以我想是不是我是用的机场的规则导致的这个问题?
还请 @vernesong 费心,需要提供什么信息对解决这个问题有帮助?
绕过国内呢
绕过国内呢
也不行,只保留一个 MATCH,DIRECT,只要打开了 openclash,外网就没法访问内网端口映射的设备,很诡异,一关了就好
再补充一个场景:
如果在旁路由上配置端口映射到需要访问的设备,那这时候外网就可以访问了,但是内网通过 ddns 映射的域名就不能访问了……
旁路由确实是这样,因为只要你过了clash就会nat,只能绕过去
旁路由这样开放一下端口试试
有同样的问题,nas需要科学,所以设置旁路由的网关,求方案。
第一种:
iptables -t nat -A openclash -m set --match-set localnetwork src -m conntrack --ctstate ESTABLISHED -j RETURN
第二种:
看看哪个管用吧
不太行,关掉openclash就好了。
求助,求大佬解决方案:
我目前的的情况是:
pve+ikuai(主路由 dhcp)+ openwrt(旁路由,网关指向主路由,openclash 科学):
需要科学的nas,把网关指向旁路由,这种情况下,内网访问没问题,但是使用域名外部访问就连接不上,一直提示reset by peer。
关闭openclash,外网就可以正常访问nas设备。
还请 @vernesong 费心,需要提供什么信息对解决这个问题有帮助?我看恩山论坛上的帖子,有这个问题的人群不在少数,都是反映开了openclash就无法外网访问内部nas。
Referenc 你先看清楚问题吧。
…经过反复测试, 把nas 网关设置成旁路由,远程访问NAS 仍然是歇菜… 目前实验看来, 1.自定义规则添加远程访问的域名不能解决
我也遇到过这个问题,主路由是爱快,旁路由是op,爱快转发op的端口不能用,
更换一下运行模式就行了
我用通讯规则解决过旁路由本身的问题,就是这个udp端口映射后外部访问不了,不知道有没有借鉴意义。
我也遇到过这个问题,主路由是爱快,旁路由是op,爱快转发op的端口不能用, 更换一下运行模式就行了
![]()
测试无效,但我在旧版可以访问时也是这个配置,应该与这个有关联
旁路由你再转发一次就行了,插件会自动去绕过端口的流量
在nat表的openclash_post上做匹配,让被转发端口的流量不走openclash的nat, 参考命令(端口映射是外网-》内网9443)
iptables -t nat -I openclash_post -p tcp --sport 9443 -j RETURN
配置后iptables nat表规则如下
在nat表的openclash_post上做匹配,让被转发端口的流量不走openclash的nat, 参考命令(端口映射是外网-》内网9443)
iptables -t nat -I openclash_post -p tcp --sport 9443 -j RETURN
建议增加选项让我们能够在openclash启动后执行特定脚本用来修改iptables或者可以通过luci界面设置某些端口或者ip不走openclash的nat
可以暂时通过修改/etc/init.d/openclash
中防火墙配置函数使得在每次openclash启动时应用额外的iptables规则, 但是每次更新openclash都要重新修改
我开了旁路由(旁网关)模式后,设置这个绕过核心来源端口都没用,外网还是无法访问进来,而且连ping公网ip都不通。但是不开这个旁路由模式呢,主路由的wifi就无法上网,但是mesh的子路由wifi却没事。真是头都大了
我开了旁路由(旁网关)模式后,设置这个绕过核心来源端口都没用,外网还是无法访问进来,而且连ping公网ip都不通。但是不开这个旁路由模式呢,主路由的wifi就无法上网,但是mesh的子路由wifi却没事。真是头都大了
有人知道吗
我通过全局设置-访问控制-绕过核心的来源端口-加入了ikuai转发的端口目前已经稳定可以ddns了
我通过全局设置-访问控制-绕过核心的来源端口-加入了ikuai转发的端口目前已经稳定可以ddns了
![]()
感谢,fake-ip模式下也可以正常解析外网地址了
我刚刚解决了 其他方案都不行,fak-ip模式在dns设置-高级设置里,第一项,添加自己的域名就可以了
关闭旁路由兼容模式后设置绕过端口来源,主路由设置端口映射,旁路由无设置 可以正常进行端口转发!不知道兼容模式有什么地方与绕过端口有冲突? 关联#2096 https://github.com/vernesong/OpenClash/issues/2096
我刚刚解决了 其他方案都不行,fak-ip模式在dns设置-高级设置里,第一项,添加自己的域名就可以了
请问是怎么加的?我也遇到这个问题
我刚刚解决了 其他方案都不行,fak-ip模式在dns设置-高级设置里,第一项,添加自己的域名就可以了
不行啊,来个截图看看撒
谢谢兄台分享。的确这个方法能够解决。这个问题可以关闭了。在 2022年9月14日,13:18,bamboo2002cn @.***> 写道: 我刚刚解决了 其他方案都不行,在dns设置-高级设置里,第一项,添加自己的域名就可以了
—Reply to this email directly, view it on GitHub, or unsubscribe.You are receiving this because you commented.Message ID: @.***>
谢谢兄台分享。的确这个方法能够解决。这个问题可以关闭了。在 2022年9月14日,13:18,bamboo2002cn @.> 写道: 我刚刚解决了 其他方案都不行,在dns设置-高级设置里,第一项,添加自己的域名就可以了 —Reply to this email directly, view it on GitHub, or unsubscribe.You are receiving this because you commented.Message ID: @.>
奇怪我昨天晚上试了一下还是不行。而通过“绕过核心”放行才可以
经过各种抓包分析后,找到了一个可能的原因,也解决了我的问题。希望对后来者有帮助。
当内网设备暴露端口并由主路由转发端口数据时,内网设备的入口流量是正常的,但是其出口流量会流经旁路由。旁路由会转发该出口流量,这时这个流量的 source ip 会变成旁路由的ip。知道这个原因后,我们只要在旁路由上设置如下 iptables 规则即可:
# 要跳过旁路由针对该服务端口的处理
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A PREROUTING -s 192.168.1.3/32 -p tcp --sport 22 -j RETURN
# SNAT 动作意为修改数据包的源地址。在这里,192.168.1.3 就是内网提供服务的IP。
firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.1.3/32 -p tcp --sport 22 -j SNAT --to-source 192.168.1.3
我刚刚解决了 其他方案都不行,fak-ip模式在dns设置-高级设置里,第一项,添加自己的域名就可以了
666,真的有效,稳的很!! 经测试,ipv6环境下有时可用,有时不可用!纯ipv4环境下一直不可用(外网无法访问内网设备)!:sob::sob::sob::sob::sob::sob:
我的主路由是小米的AX6
,旁路由是R2S
,之前一直没有把主路由的DNS
和网关指向旁路由(fake-ip,tun模式
),因为存在以下矛盾点:
将主路由的DNS
和网关指向旁路由后:
lan
口的ip伪装
(这东西应该就是nat
的翻译),内网的上网设备是可以正常科学上网的,也可以正常访问国内的网站,但就是从外网无法访问内网的服务,比如通过域名访问NAS
的管理界面;lan
口的ip伪装
,内网的上网设备可以正常科学上网,但不能访问国内的网站,却这时外网设备又可以访问内网的服务了,比如通过域名访问NAS
的管理界面。
所以为了内网设备能正常访问国内网站,我就必须开启旁路由防火墙中lan
口的ip伪装
,但这样就会导致从外网无法访问内网的服务。
今天不死心就又来尝试各路大神的解决方法,发现老哥的解决办法有效:
旁路由
>>网络
>>防火墙
>>基本设置
>>区域
>>勾选lan
口的ip动态伪装
后保存&应用
;openclash
模式选择为Fake-IP(tun)模式
旁路由
>>服务
>>openclash
>>全局设置
>>dns设置
>>勾选高级设置
,(高版本的在覆写设置
的fake-ip-filter
里)将会显示一个文本输入框,这里面应该是用来配置fake-ip-filter
的,其中已经预填好了一些域名,这里的意思是访问这些域名时,openclash
将查询dns
来得到真实IP
而不是直接返回一个假的随机IP
。在最后添加我们自己的域名后应用配置
。等待片刻,便可实现内网设备可正常上网+外网可访问内网服务。
我在国内的时候,外网访问内网设备一切正常, 但是现在在曼谷旅游,访问不了国内的群晖,只有在”黑白名单“里的”绕过核心的来源端口“添加端口才能正常访问。
可以试试op先转服务端口,主路由转发op端口,我是这样解决的
经测试,内核只有dev开启fakeip模式,在访问设置里面添加转发的端口就能解决问题,之前尝试添加域名在dns等操作都失败,这次总算成功
试试我的最简单的一个方法,这里转发点接受
试试我的最简单的一个方法,这里转发点接受
太稳了 兄弟
经过各种抓包分析后,找到了一个可能的原因,也解决了我的问题。希望对后来者有帮助。
当内网设备暴露端口并由主路由转发端口数据时,内网设备的入口流量是正常的,但是其出口流量会流经旁路由。旁路由会转发该出口流量,这时这个流量的 source ip 会变成旁路由的ip。知道这个原因后,我们只要在旁路由上设置如下 iptables 规则即可:
# 要跳过旁路由针对该服务端口的处理 firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A PREROUTING -s 192.168.1.3/32 -p tcp --sport 22 -j RETURN # SNAT 动作意为修改数据包的源地址。在这里,192.168.1.3 就是内网提供服务的IP。 firewall-cmd --permanent --direct --passthrough ipv4 -t nat -A POSTROUTING -s 192.168.1.3/32 -p tcp --sport 22 -j SNAT --to-source 192.168.1.3
根據理論來說 ,映射到內部機器手,返回的時候因為網關是旁路由,導致多了一層旁路由,source ip 變了之後就找不到返回的路了 ,一般會顯示 termiante by server 的信息。除了加這個規則還有其他能直接在 openwrt 上修改的嗎?
成功实现外网访问
ikuai 主路由 istoreos旁路由 open clash 挂在旁路由上 ipv4环境
ikuai做了端口映射
openclash开启fake ip模式,
服务
>>openclash
>>插件设置
>>黑白名单
>>绕过核心的来源端口
添加内网端口
ERR_CONNECTION_RESET
之前用的2021年之前的旧版本正常,但是新版就不行了