请教一个 pve 软路由配置跨网段访问的问题

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 698 天前的主题，其中的信息可能已经有所发展或是发生改变。

这个是目前的网络拓扑，目前的问题是连接 WiFi 时无法访问到软路由上其他虚拟机的 IP 和管理口 IP 。

在 ikuai 上 lan1 和 lan2 都勾选了允许其他 LAN 访问此 LAN，路由表也有下面的内容，按理说能够访问到的。

lan1 192.168.50.0 255.255.255.0 0.0.0.0 0
lan2 192.168.51.0 255.255.255.0 0.0.0.0 0

请教下大家应该怎么配置才好

第 1 条附言 · 2022-12-10 16:32:18 +08:00

解决了，原因是软路由上的虚拟机网关配置不对。我把 ikuai 的 lan1 改成了 192.168.50.1 就好了。50.1 这个地址之前是 ASUS 路由器的地址，更改网络拓扑后没有更新网关地址。

第 2 条附言 · 2022-12-10 17:00:37 +08:00

为什么网关错误导致无法访问，猜测的原因：
51 网段的设备如笔记本 51.10 要访问 50 网段的设备比如 192.168.50.64 ，由于是跨网段，需要通过网关即 ikuai 转发数据包。
ikuai 收到数据包通过 50.61 接口（ lan1 ）转发给 50.64 。此时包的做了 snat ，源地址为 51.10
虚拟机上的 VM 50.64 虽然收到了请求，但是由于要发送到跨网段地址，需要通过网关转发，但是网关地址错误，响应发送不出去。
最终表现出来是笔记本无法跨网段访问。

0.0.0.0

软路

255.255.255.0

lan2

7 条回复 • 2022-12-10 16:30:00 +08:00

mzliangjianjun

2022-12-10 02:18:35 +08:00 via iPhone

这个图看起来就容易晕，让楼下的兄弟回答吧

levenwindy

2022-12-10 02:23:02 +08:00 via Android

我的建议是改成同一个网段，254 个设备足够你用了

documentzhangx66

2022-12-10 02:26:38 +08:00

我觉得问题出在 iKuai 虚拟机里。

https://www.ikuai8.com/zhic/cjwt/jcpz/2019-10-30-09-48-28.html

拓扑二：

不同 lan 口下的不同网段设备需经过路由器转发

问题原因可能是：

1 、lan 互访控制未勾选

2 、路由器 ACL 将两个网段做了阻断

3 、爱快 2 系列版本及 310 之前版本因 to lan 数据为 nat 转发，会将向下转发数据先 nat 成对应 lan 口网关地址，这样属于二层互访条件，

不校验内网客户机的基础上网要素，可直接到达，升级 310 之后版本后，爱快 to lan 数据更改为路由模式转发，

这样的跨三层条件就要求对应目标终端具备基础上网三层转发的能力，要求客户端必须具备网关地址

4 、设备开启了防火墙。

ochatokori

2022-12-10 08:12:09 +08:00 via Android

如果 ikuai 虚拟机路由表有 192.168.50.0/24 的路由还是不行的话，那可能是 pve 不允许跨网段访问。
要么设置 pve ，要么设置 ikuai ip 动态伪装。

如果 gui 上不能设置 ip 动态伪装，那可以试试 iptables
iptables -t nat -A POSTROUTING -s 192.168.50.0/24 -j MASQUERADE

这样 pve 检测到的来源 ip 就是 lan1 网卡的地址了

ochatokori

2022-12-10 08:16:43 +08:00 via Android

看了一下我自己的 pve ，发现 pve 没有默认禁止跨网段访问，估计是你 ikuai 上面的防火墙没有允许 lan2 转发到 lan1

moonheart

2022-12-10 16:27:58 +08:00

@ochatokori #5 感谢回复，我看了下 ikuai 没有防火墙规则

moonheart

2022-12-10 16:30:00 +08:00

@documentzhangx66 #3 谢谢，我仔细看了下，发现软路由上的虚拟机的网关没有设置对。我把 ikuai 的 lan1 改成了 192.168.50.1 就好了，这个地址之前是 ASUS 路由器的地址，更改网络拓扑后没有改正确