在家庭网络中配置跨网络连接

我在这里遗漏了什么？我查看了 TP Link 路由器上所有可能的设置，寻找可能阻止从 WAN 端口传入 LAN 设备的流量的东西，但我什么也没看到。

它默认这样做，甚至可能不是一个设置——“家庭 wifi”风格的路由器假设“WAN”端口意味着内置于其中的“广泛互联网”，因此会阻止除特别允许的流量之外的所有“WAN”流量。

我实际上不知道现在的 TP-Link 固件是什么样子的，但有时会有一个“禁用防火墙”或“禁用状态包检查”开关。有时会有一个防火墙规则列表，您可以在其中添加需要允许的流量类型（不要与“端口转发”规则混淆！）。有时禁用 NAT也会禁用 WAN 阻止。有时你根本无法关闭它。

但正如 Frank Thomas 所说，如果你想进行路由，那么你可能需要一款更通用的设备，而不是只专注于“家庭<->WAN”用例。当然，有些家用无线路由器运行的固件足够灵活——没有理由它们不能——但你得到哪种类型的路由器则非常不确定。

（任何可以运行 OpenWrt 固件的设备都可以工作；它默认具有 WAN+LAN，但其防火墙区域可以按照您喜欢的任何方式配置。同样，基于 Mikrotik RouterOS 的设备也可以轻松地路由到任何方向。我不知道 EdgeRouter 系列是否仍然存在，但 ER-X 过去曾经是一款不错的“通用”设备。任何具有足够以太网端口的 PC 通常都可以成为比 TP-Link 更好的路由器。）

我尝试禁用 TP 链路上的 NAT，但没有帮助

无论如何都要禁用它。如果你想配置双向路由，那么你首先就不需要 NAT，而启用它往往会“隐藏”路由问题。

TP Link 路由器具有针对 192.168.1.0/24 配置的静态路由表条目，以使用 192.168.1.1 作为网关

这条路线实际上没有意义，原因有二。

1. 您的 TP-Link 已经直接属于 192.168.1.0/24 网络（它具有该网络的 IP 地址，192.168.1.200），因此已经具有到该网络的“本地”或“直接”路由 - 所以它不需要任何自定义的“网关”路由来到达那里。

2. 而如果 192.168.1.0/24 网络很远（位于网关后面），则意味着 192.168.1.1 也很远，这会使其作为网关地址无效（因为无法将远程 IP 地址解析为本地 MAC 地址）。

   相反，如果网络确实很远，则需要使用网关的另一个地址，即面向 TP-Link 的地址。（想想 Orbi 不通过 10.13.13.1 路由 10.13.13.0/24，而是正确地通过 192.168.1.200 路由 10.13.13.0/24。）

当您的场景需要通用路由器时，您却使用了消费级互联网接入路由器。

互联网接入路由器实施 NAT 和状态过滤，这样 LAN 上的系统可以启动与 WAN 上任何可访问地址的连接，但路由器 WAN 端的任何地址都无法启动与 LAN 内部系统的连接。在适当的情况下（网络和 ISP 之间的最外层网关）使用时，这非常有用，但这些类型的路由器不适合用作网络内的内部路由器。

首先，我建议考虑一下您是否可以仅使用 Orbi 创建的 LAN 来实现解决方案。这是迄今为止最简单的方法，您需要做的就是禁用路由器的 DHCP 服务器，然后将电缆从 TPLink WAN 端口插入 LAN 端口。或者，如果路由器支持桥接模式（如果它是 wifi 路由器，则支持 AP 模式），您只需启用该设置（并禁用 DHCP 服务器）。

如果您确实希望您的集群在新网络上，并且您的路由器支持它，您可能能够在路由器配置中禁用 NAT 和状态防火墙，同时仍然是路由器。如果是这样，这可能是在使用单独网络的同时处理问题的最简单、最强大的方法。

如果您确实想创建新网络，但无法禁用路由器上的 NAT 和 SPF，那么唯一（合理）的选项就是端口转发 (DNAT)。将您需要提供服务的任何端口从集群网络中的主机转发到您的家庭网络。有很多原因导致这不是最理想的（例如，您只能在单个内部主机上转发给定端口），但这是您要处理的问题。

我个人的建议是将 TPLink 替换为可以根据需要进行配置的通用路由器，而不是试图扭曲一些东西来让错误的设备按照您的需要工作。

祝你好运