我有一台设备,即图中的目标设备,运行一个通过 HTTPS 提供服务的网站(并且 HTTP 也是 TLS 证书更新所必需的),同时也提供 samba 服务供内部使用。
该设备连接到ISP提供的路由器A,通过光纤连接到互联网。
我的其他所有设备都连接到路由器 B 作为子 LAN。路由器 B 连接到路由器 A。我使用路由器 B 提供 WiFi。
路由器 A 和 B 都提供 DHCP 服务。
我想从路由器 B 管理的子局域网 (②) 和互联网中的设备 (①) 访问目标设备上的网站,并仅从子局域网 (③) 访问目标设备提供的 samba。
我该如何实现这个?
我想我可以在路由器 A 上配置端口转发,让有互联网的设备访问网站 (①),但我不知道如何让目标设备从子 LAN 访问 (② 和 ③)。
我知道我可以将目标设备连接到路由器 B,并在路由器 A 和 B 上配置端口转发。但问题是我的路由器 B 没有足够的 LAN 端口用于目标设备,而且我不想使用比 LAN 电缆慢得多的无线连接,因为它是一台服务器。所以在我看来,这目前不是一个可接受的解决方案。
我还知道我可以将路由器 B 设置为 AP 模式(我不确定我是否应该使用这个术语),这样可以将两个 LAN 合并为一个,并且每个设备都从路由器 A 的 DHCP 获取 IP。但路由器 A 仅支持有限数量的设备,而我的设备数量要多得多。所以对我来说,这也不是一个好的解决方案。
答案1
正确,在路由器 A 上设置端口转发将使服务器可从互联网访问。请注意,LAN 上的设备也将能够访问服务器通过其公共 IP 地址(假设他们可以访问互联网)。
注意:我假设网络的/24子网掩码为 255.255.255.0,并且我使用术语“服务器”而不是“目标设备”。
关于通过私有IP访问(192.168.1.4):如果当前设置不适用于 LAN 流量,我的猜测是(也可能有其他原因):
路由器 B 不会将流量路由到服务器,因为它是一个试图通过 WAN 端口离开的私有 IP,您可以使用 Wireshark 等工具检查这一点(但请注意,由于 NAT,将进行 IP 转换)。进行部分测试的一种更简单的方法是检查您是否可以从路由器 A子网 ( ) 和路由器 B 子网 (
192.168.1.4) 上的客户端 ping 路由器 A ( ) ,如果无法从子网 B ping 通(但无法从子网 A ping 通),则很可能意味着也无法访问服务器。192.168.1.0/24192.168.10.0/24和/或路由器 A 不知道如何处理数据包,
192.168.10.0/24并通过默认路由/接口(到互联网)发送它们。这意味着虽然服务器从 LAN 接收传入数据包,但它无法将它们发送回去。在这种情况下,您必须手动向路由器 A 添加路由(如果可能)。注意,正如 Tom Yan 指出的那样:在服务器上设置要路由的路由192.168.10.0/24也192.168.1.2可能有效,具体取决于路由器 B 的配置(它需要允许数据包192.168.10.0/24通过 WAN 端口)。
通过私有 IP 访问的替代设置/解决方案(我认为“最佳”解决方案是花几块钱购买一个额外的网络适配器,从而减少配置/测试的需要)是向服务器添加另一个网络接口并将其连接到路由器 B。这样它将获得第二个 IP 地址,192.168.10.0/24可用于从 LAN 进行访问。
关于您自己的解决方案,它们可能会正常工作,而不会遇到您所描述的问题:
另一个替代解决方案是为路由器 B 购买一个交换机,这样可以为您提供更多 LAN 端口来支持所有设备。请注意,您甚至可以关闭路由器 A 的路由功能,仅将其用作调制解调器(如果可能,可以通过设置),使路由器 B 成为您唯一的路由器。也许甚至可以使用路由器 B 连接到您的 ISP,而无需使用路由器 A。
将路由器 B 设置为 AP 模式实际上是“最佳”解决方案(特别是因为您摆脱了双 NAT,并且您不需要为服务器使用第二个网络适配器),为什么路由器 A 支持的设备数量会受到限制?路由器 A 呢?
答案2
避免双重 NAT
- 您的 ISP 提供的调制解调器/路由器应设置为桥接模式,以避免双重 NAT。
将华为 ONT 置于桥接模式 - 您的内部路由器/防火墙应该管理 DHCP 并控制对您的 LAN 和 Internet 的访问。
- 路由器/防火墙设置是一个广泛的主题,您需要处理部分或全部 NAT、反向代理、访问控制列表 (ACL) 等。
- 角色可以在设备之间分配,也可以在单个设备上托管多个角色。
你的基本布局看起来更像这样:
