我有一个可行的配置,但有一个问题困扰着我。
问题的核心在于在单个
接口上拥有多个子网。
LAN:10.10.10.1/24 OpenVPN 服务器 LAN IP:10.10.10.250 OpenVPN 服务器虚拟子网:10.11.10.0/24 LAN 静态路由:(NET)10.11.10.0/24 (GW)10.10.10.250
选中高级选项“绕过
同一接口上的流量的防火墙规则”后,一切都按预期工作。
但是,如果我取消选中“绕过防火墙规则...”,并
从 10.11.10.0 网络到 10.10.10.0 网络启动 UDP 或 TCP 会话,则转发
路径可以正常工作,但返回路径在 m0n0wall 中被阻止。即使有
LAN 防火墙规则:将任何 LAN 子网“传递”到任何/任何“将任何 OpenVPN 子网传递”到任何/任何
返回(目的地 10.11.10.XX)在 m0n0wall 中始终被阻止
(根据防火墙日志)。
我对保持“绕过防火墙规则...”处于选中状态非常满意,但
我想了解为什么 m0n0wall 会
在防火墙中丢弃 LAN 子网 1 到 LAN 子网 2 的流量。
我在其他地方多次看到过同样的问题,但从未得到任何回复。希望你们能帮忙。
提前致谢。
答案1
“绕过防火墙规则...”可以解决此类问题,这通常是因为您使用的是非对称路由。如果防火墙仅看到一半的连接,它就无法正确跟踪状态并最终丢弃流量,这就是该选项的原因(它允许流量通过而不尝试保持状态)。