我使用两个路由器,一个用于通过 VPN 连接,另一个用于内部网络。我的问题是,通过 VPN 连接后,我无法在其他路由器上访问内部网络。这是我的设置:
DrayTek Vigor 2832n
以前经常通过ADSL连接外网,现在也经常通过VPN连接我的网络。
固件:3.9.1(最新)
路由器 IP(LAN1):192.168.0.1
子网(LAN1):255.255.255.0/24
绑定 IP(LAN1):192.168.0.5(用于另一个内部路由器)
DHCP(LAN1):从 192.168.0.2 开始启用
静态路由(LAN1):无规则
VPN IP(LAN1):静态 192.168.0.4
TPLink WR740N
从 DrayTek 路由器获取以太网连接,并将其输入到 WAN 端口。
固件:dd-wrt v24-sp2(最新)
广域网 IP:192.168.0.5
路由器 IP:192.168.1.1
子网:255.255.255.0
从 192.168.1.100 开始启用 DHCP
我有几台笔记本电脑连接到 TP Link 路由器,其 IP 在 192.168.1.x 范围内,通过其中任何一个,我都可以访问 TPLink 和 DrayTek 路由器的路由器网页。
此外,我可以从外部成功通过 VPN 连接到我的站点,在那里我可以打开 DrayTek 路由器网页。但是,这样做时,我既无法打开 TPLink 网页,也无法打开任何连接到内部 192.168.1.x 网络的 PC。
以下是此场景中的 ping 状态:
192.168.0.1(DrayTek:成功)
192.168.0.5(TPLink WAN:成功)
192.168.1.1(TPLink IP:失败)
192.168.1.100(TPLink 网络上的 PC:失败)
以下是跟踪路由显示的内容:
192.168.0.5:192.168.0.1 至 192.168.0.5
192.168.1.1:192.168.0.1 到 185.17.235.2xx 到 185.17.235.3x(不知道这些 IP 是什么)
我以为这是与 DrayTek 路由器中需要静态路由有关的问题,但当我创建静态路由时,我收到“状态:无效”的提示。以下是我的设置:
目标 IP:192.168.0.5
子网掩码:255.255.255.0/24
网关 IP:192.168.0.1
网络接口:LAN1
因此,我不确定这些设置有什么问题。
另外,我最初只有 DrayTek 路由器,但奇怪的是,客户端时不时会断开以太网连接,这导致我的网络出现问题。我一直没弄明白原因,而且由于我需要 VPN 访问,所以我把这个设置放在一起。
答案1
如果您的 vpn 将外部设备置于 192.168.0.x 子网中,则您已连接到 Draytek。
我不太清楚“192.168.0.5 (TPLink WAN: 成功)”是什么意思。浏览此地址时会显示管理页面吗?
TPLink 正在执行其应执行的操作。就此路由器而言,192.168.0.x 是外部世界,应将其阻止。
考虑到我从未听说过 draytek,我猜测这个路由器是由您的 ISP 提供的。
由于 Draytek 除了充当您的 tplink 和互联网之间的桥梁之外,实际上没有做任何事情,因此最优雅的解决方案是将其桥接并配置 tplink 以直接与您的 isp 通信,并在 tplink 中设置 VPN。我已经为客户(使用 fios)完成了此操作。
查看您的设置,现在您的 vpn 终止于 Draytek。您无法越过 tplink,因为它正在执行其应执行的操作(阻止外部访问)。如果您将 tplink 设置为远程管理,我非常确定您将能够访问https://192.168.0.5并从远程位置查看其设置(建议不要允许这样做)。
根据我自己使用 ISP 提供的路由器的经验,我不会费心去弄清楚 Draytek 在做什么(或者不做什么)。
我会按以下顺序尝试:
- 在 tplink 上设置 vpn。将一台 PC 连接到 Draytek 的 LAN 端口,让这台 PC 启动到 tplink 的 vpn 连接(就像您在远程位置一样),并确保它正常工作(您的 vpn 应该为这台 PC 分配一个 192.168.1.x 地址)。
- 在 tplink 后面的至少一台计算机上安装 teamviewer 或其他可以穿过防火墙的远程管理程序。下一步可能需要后门。
- 在 Draytek 上,将 192.168.0.5 设置为 DMZ 并尝试从办公室外部连接到 vpn(去朋友家尝试这个 - 我会避开星巴克等,因为他们的防火墙可能设置为阻止 vpn 流量)。
- 如果上述方法不起作用,请返回 Draytek(这是 teamviewer 非常方便的地方),并将 Draytek 上的所有端口(0-65535)设置为转发到 192.168.0.5。如果 tplink 位于 DMZ 上,则这应该不是必需的,但我不得不这样做过两次。
一旦使 vpn 正常工作并且您知道您可以通过 vpn 访问您的设备,请考虑桥接 Draytek,或者您可以用它作为提供访客 wifi 访问的一种方式,而访客 wifi 访问不应访问 tplink 后面的任何内容。
祝你好运!
亚历克斯
PS:如果您的 ISP 提供的 IP 地址是动态的,您可能需要设置一些东西将您的公共地址中继到动态 DNS 服务(即 dyndns.net),但一次只能解决一个问题……
PS2:并非所有 dd-wrt 都支持 vpn(我 99% 确定它们支持的版本是 OpenVPN)。例如,对于华硕,您必须获得华硕特定的 dd-wrt 版本,因此您需要检查其他内容。否则,您需要在 tplink 后面的计算机上设置 NetZero(我首选的端点 vpn)或 Hamachi 之类的东西。