根据维基百科:
隧道协议通过使用数据包的数据部分(有效载荷)来承载实际提供服务的数据包来工作。
隧道使用分层协议模型,例如 OSI 或 TCP/IP 协议套件,但在使用有效载荷承载网络通常不提供的服务时,通常会违反分层。
承载网络通常不提供的服务是什么意思?
我有两栋房子,我想使用TP-Link CPE210 无线网桥连接它们。
1 号房屋通过墙上的以太网插座提供宽带互联网连接。
我想让两栋房子共享互联网连接,但使用不同的网络。我相信我可以从互联网供应商那里获得两个 IP 地址。关于这一点,我可以使用下面的设置,但我担心这会将无线网桥 TP-Link CPE120 暴露在没有防火墙的互联网上,这可能不是最安全的做法。(我应该担心这个吗?)
- 我正在寻找一种涉及尽可能少的装备的简单设置。
- 同时,我希望有一个合理安全的系统。
这是我现在想到的系统图:
FIG. 1
======
WAN-socket of internet provider in home 1
|
|
Switch
| |
| |
Router Wireless bridge (TP-link CPE210) access point in home 1
for .
home 1 .
Wireless bridge (TP-link CPE210) client in home 2
|
|
Router for home 2
在TP-Link 知识库中,有一个条目建议此配置:
FIG. 2
======
WAN
|
|
Router home 1
|
|
CPE210 access point
.
.
CPE210 client
|
|
Router home 2
这需要更少的设备(我不需要额外的交换机)并且只需要一个 IP 号码,接入点不会直接暴露在互联网上 - 但它是否会提供与其他解决方案相同的稳定性,并且网络是否会分离?
用例: 我需要访问一个网站(例如,chatgpt.com),该网站在我的 Wi-Fi 网络上受到限制,但可以通过以太网端口连接到我的 Mac 的热点访问。
网络设置:
Wi-Fi:已连接到我的常规网络(例如,chatgpt.com 已被阻止)
以太网:连接到热点设备(例如,可以访问chatgpt.com)
目标: 我希望配置我的系统,以便只有 Chrome 或 Firefox 通过热点(以太网)路由流量,具体来说是访问 chatgpt.com。同时,所有其他应用程序(Safari、Teams、Outlook 等)应继续使用 Wi-Fi 连接,以节省热点数据。
请求: 您能否提供有关如何设置此配置的分步说明?
横向思维: 只要 chatgpt 可访问,我就可以灵活地使用任何浏览器,甚至可以采用完全不同的策略,只要是最简单的方法就可以完成工作。
这不是重复的:建议的答案提到了VPN等。我没有VPN。我有两个独立的互联网连接(以太网和WiFi)。
假设你的默认网关是 1.2.3.4,并且你有一个 VPN 可以路由 6.7.8.9 上的流量。如果你想让你的邮件流量通过 6.7.8.9 路由,只需执行以下操作
我在 openSUSE Tumbleweed 上将 nftables 设置为默认防火墙,也是唯一的防火墙。iptables 和 Firewalld 已被标记为“禁忌”,永远不会重新安装。我还检查了两次,确保它们不在我的系统中。只有 nftables,其他都一样。
我的问题是过滤器内的输出/输入链inet似乎不会影响 NAT 设备。nftables 也充当我的家庭网络的 NAT。
我有大约 8 台设备始终处于连接状态,因此进行了 NAT 处理。这些设备(全部)都无法通过我的output和input链,因为 和 链的限制非常严格。
我没有,也无法找到任何有关如何确保 NAT 设备通过其他表和链运行的信息。
有人能解释一下为什么 nftables 不通过其他表和链路由 NAT 流量吗?有人能提供一种方法,让 NAT 数据通过其他防火墙表发送吗?
这是我的 nftables.conf 文件:
#!/usr/sbin/nft -f
flush ruleset
table inet filter{
chain state{
ct state {established, related} accept;
ct state invalid drop;
}
chain input{
type filter hook input priority 0; policy drop;
# allowed icmp types
ip protocol icmp icmp type {destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem} accept;
# if related or invalid
jump state;
# allow loopback
iif "lo" accept;
# NTP (Network Time)
udp dport 123 accept;
tcp dport 123 accept;
}
chain output{
type filter hook output priority 0; policy drop;
# allowed icmp types
ip protocol icmp icmp type {destination-unreachable, router-solicitation, router-advertisement, time-exceeded, parameter-problem} accept;
# if related or invalid
jump state;
# allow loopback
iif "lo" accept;
# allow TCP ident
tcp dport 113 accept;
# allow dns & dnssec
tcp dport { 53, 853 } accept;
udp dport { 53, 853 } accept;
# allow http
tcp dport { 80, 443, 1443, 8443, 8080 } accept;
udp dport { 80, 443, 1443, 8443, 8080 } accept;
# allow ftp
tcp dport { 20, 21 } accept;
udp dport 69 accept;
# allow ssh
tcp dport 22 accept;
udp dport 22 accept;
# allow email
tcp dport { 25, 465, 587 } accept; #SMTP & SMTPS
tcp dport { 110, 995 } accept; #POP3 & POP3S
udp dport { 110, 995 } accept; #POP3 & POP3S
tcp dport { 143, 993 } accept; #IMAP & IMAPS
udp dport { 143, 993 } accept; #IMAP & IMAPS
tcp dport 691; #MS Exchange
# IPsec VPN
udp dport { 500, 4500, 1701 } accept;
esp spi 50 accept;
ah spi 51 accept;
# NTP (Network Time)
udp dport 123 accept;
tcp dport 123 accept;
}
chain IPS_input{
type filter hook input priority 10; policy drop;
queue num 0
}
chain IPS_output{
type filter hook output priority 10; policy drop;
queue num 0;
}
chain IPS_forward {
type filter hook forward priority 10; policy drop;
queue num 0;
}
}
table nat {
chain prerouting {
type nat hook prerouting priority -100;
ct state invalid drop;
}
chain postrouting {
type nat hook postrouting priority 100;
ct state invalid drop;
ip saddr 10.0.0.0/24 oif eno2 masquerade; # "eno2" is our external interface
}
}
我目前有一台华为AX2S路由器。
这款路由器默认使用Wi-Fi 6、5G网络,但也支持Wi-Fi 5和2.4 GHz网络。
我有一部旧手机,既不支持 Wi-Fi 6,也不支持 5G。
然而,问题是我不知道如何启用 Wi-Fi 5和 2.4 GHz网络。我检查了路由器的配置,但没有找到明显的启用方法。
这个问题与 MoCA 网络(甚至有线电视)有关。
我理解,未放大的两路同轴电缆分配器只能为每根线缆提供 50% 的信号。如果我使用三路分配器,但只连接两根输出线缆(第三根输出线缆用于未来可能的扩展,但目前不需要),会发生什么情况?两根输出线缆分别能获得 33% 的信号,还是 50% 的信号?
这涉及到为了未来扩展而进行的过度配置。是先购买当前所需的最小分流器,以后再根据需要升级更好,还是购买一个将来可以处理更多输出的分流器更好?
我正在尝试设置我的 TP VPN Festa 路由器,以便使用 OpenVPN 连接到局域网。我在路由器和手机上都配置了 OpenVPN。Festa 路由器位于 ISP 路由器后面。通过 Festa 路由器后面的 AP 连接到 WiFi,我可以使用 OpenVPN 进行连接。通过 ISP 路由器连接到 WiFi,我也可以同样使用 OpenVPN 进行连接。因此,我推测 ISP 路由器上的端口已打开,并允许访问 VPN 路由器。
当我尝试使用我的手机数据进行连接时(这是我想要使用 OpenVPN 的主要目标(就像我在现场一样),它无法连接。
我附上了网络图和 OpenVPN 应用尝试从手机网络连接时的日志。请告诉我还有哪些必要且相关的信息。我注意到日志显示了尝试连接到 VPN 路由器 IP 的次数,但是没有看到公网 IP,或者在我的情况下是 DynDns 地址。我不知道在这种情况下应该从哪里或如何开始进行故障排除。
OpenVPN日志:
[Apr 11, 2025, 17:29:12] START CONNECTION
[Apr 11, 2025, 17:29:12] ----- OpenVPN Start -----
OpenVPN core 3.10.5 ios arm64 64-bit
[Apr 11, 2025, 17:29:12] OpenVPN core 3.10.5 ios arm64 64-bit
[Apr 11, 2025, 17:29:12] Frame=512/2112/512 mssfix-ctrl=1250
[Apr 11, 2025, 17:29:12] NOTE: This configuration contains options that were not used:
[Apr 11, 2025, 17:29:12] Unsupported option (ignored)
[Apr 11, 2025, 17:29:12] 0 [resolv-retry] [infinite]
[Apr 11, 2025, 17:29:12] 1 [persist-key]
[Apr 11, 2025, 17:29:12] EVENT: RESOLVE
[Apr 11, 2025, 17:29:12] Contacting 192.168.1.11:1194 via UDP
[Apr 11, 2025, 17:29:12] EVENT: WAIT
[Apr 11, 2025, 17:29:12] Connecting to [192.168.1.11]:1194 (192.168.1.11) via UDP
[Apr 11, 2025, 17:29:22] Server poll timeout, trying next remote entry...
[Apr 11, 2025, 17:29:22] EVENT: RECONNECTING
[Apr 11, 2025, 17:29:22] EVENT: RESOLVE
[Apr 11, 2025, 17:29:22] Contacting 192.168.1.11:1194 via UDP
[Apr 11, 2025, 17:29:22] EVENT: WAIT
[Apr 11, 2025, 17:29:22] Connecting to [192.168.1.11]:1194 (192.168.1.11) via UDP
[Apr 11, 2025, 17:29:32] Server poll timeout, trying next remote entry...
[Apr 11, 2025, 17:29:32] EVENT: RECONNECTING
[Apr 11, 2025, 17:29:32] EVENT: RESOLVE
[Apr 11, 2025, 17:29:32] Contacting 192.168.1.11:1194 via UDP
[Apr 11, 2025, 17:29:32] EVENT: WAIT
[Apr 11, 2025, 17:29:32] Connecting to [192.168.1.11]:1194 (192.168.1.11) via UDP
[Apr 11, 2025, 17:29:42] Server poll timeout, trying next remote entry...
[Apr 11, 2025, 17:29:42] EVENT: RECONNECTING
[Apr 11, 2025, 17:29:42] EVENT: RESOLVE
[Apr 11, 2025, 17:29:42] Contacting 192.168.1.11:1194 via UDP
[Apr 11, 2025, 17:29:42] EVENT: WAIT
[Apr 11, 2025, 17:29:42] Connecting to [192.168.1.11]:1194 (192.168.1.11) via UDP
[Apr 11, 2025, 17:29:52] Server poll timeout, trying next remote entry...
[Apr 11, 2025, 17:29:52] EVENT: RECONNECTING
[Apr 11, 2025, 17:29:52] EVENT: RESOLVE
[Apr 11, 2025, 17:29:52] Contacting 192.168.1.11:1194 via UDP
[Apr 11, 2025, 17:29:52] EVENT: WAIT
[Apr 11, 2025, 17:29:52] Connecting to [192.168.1.11]:1194 (192.168.1.11) via UDP
[Apr 11, 2025, 17:30:02] Server poll timeout, trying next remote entry...
[Apr 11, 2025, 17:30:02] EVENT: RECONNECTING
[Apr 11, 2025, 17:30:02] EVENT: RESOLVE
[Apr 11, 2025, 17:30:02] Contacting 192.168.1.11:1194 via UDP
[Apr 11, 2025, 17:30:02] EVENT: WAIT
[Apr 11, 2025, 17:30:02] Connecting to [192.168.1.11]:1194 (192.168.1.11) via UDP
[Apr 11, 2025, 17:30:12] EVENT: CONNECTION_TIMEOUT [ERR]
[Apr 11, 2025, 17:30:12] EVENT: DISCONNECTED
[Apr 11, 2025, 17:30:12] EVENT: CORE_THREAD_DONE
[Apr 11, 2025, 17:30:12] EVENT: DISCONNECT_PENDING
[Apr 11, 2025, 17:30:12] Raw stats on disconnect:
BYTES_OUT : 840
PACKETS_OUT : 60
CONNECTION_TIMEOUT : 1
N_RECONNECT : 5
[Apr 11, 2025, 17:30:12] Performance stats on disconnect:
CPU usage (microseconds): 119098
Network bytes per CPU second: 7053
Tunnel bytes per CPU second: 0
在无线局域网中,如果两个设备想要互相通信(或者如果一个设备想要与外部网络(如互联网)中的设备通信),它们需要将想要传达的信息发送到路由器,并且由于它是一个无线网络,所以这是通过以电磁波的形式传输数据来实现的。
由于所有传输数据的形式最终都是二进制(1 和 0),我们不能只选择一种特定的电磁波频率、幅度和相位组合作为“1”,而选择另一种组合作为“0”,因为路由器需要区分从一个设备传入的数据和另一个设备传入的数据,同时需要将信息发送到网络上的一个特定设备,而不是所有设备。
据我了解,这是通过将数字数据(二进制)转换为模拟载波信号(电磁波),然后将“调制”波叠加到该载波上来实现的,其中调制波如何改变最终调制信号的细节会在网络设备和路由器之间产生独特的信号。
这些信号也需要“解调”,然后从模拟电磁波转换回数字(此处为二进制)。调制和解调这些信号的设备是调制解调器。
我的问题是:
- 是网卡在发送/接收数据时进行这些调制和解调的过程吗?
- 如果是这样,那它们不就是调制解调器了吗?
- 如果不是,那么什么硬件负责这些过程?
我有一台 TP Link AC 1200 路由器,连接到墙上的 LAN 线。我用它来获取 Wi-Fi 连接。
我想扩展它的信号,我得到了一个D-Link DAP 1360作为扩展器。但我真的不知道如何配置它。
D-Link DAP 1360 以前用于扩展另一个 Wi-Fi 信号,以覆盖我的公寓。我尝试按照网上的说明操作,但效果并不理想。
例如,在此说明页面上,它只是介绍了登录密码。我尝试了标准0000和admin,或将字段留空,但没有成功。
编辑:我已经通过固定重置按钮对设备进行了物理重置,但是当我访问192.168.0.50登录网页并留下管理员和空白密码进行登录时,它会返回can't reach this page message。
我能做些什么?
我想请教一下我目前使用的网络是如何运作的。连接图其实很简单:
光缆 ---> [Zyxel ONT] ---> 以太网电缆 ---> [路由器 WAN 端口] ---> 来自 LAN 端口的以太网电缆 ---> [计算机]
我想打开 ZyXEL PM5100-T0 ONT 配置登录页面。https ://www.prodottiperisp.it/files/PM5100-T0_User-s_Guide_Version-5.42.pdf
虽然我没有登录信息并且无法登录,但我是一个好奇的人,我想了解如何获取它。
- ONT 通过 PPPoE 与路由器通信。
- 从 LAN 内部我看不到连接到 WAN 端口的 ONT 的 IP。
以下是我的问题和想法:
ONT 的 IP 范围和我的 LAN 不同吗?
很可能是的。我是否必须将 ONT 连接到 LAN 端而不是 WAN 端才能打开登录页面?
我知道 WAN 和 LAN 之间有防火墙,这里的目标是打开登录页面,而不是让它一直连接到 LAN。如果我将 ONT 连接到路由器的 LAN 端,PPPoE 有什么作用?
如果我将 LAN 设置为与 ONT 相同的 IP 范围,PPPoE 会阻止我连接到登录页面吗?将 ONT 连接到 LAN 是正确的方法吗?还是我需要做其他事情?
比如在路由器上配置一些设置,让 LAN 端可以看到 WAN 端的登录页面,这样 PPPoE 仍然有效?PPPoE 网络连接是如何工作的?
我从 ISP 那里得知,该连接使用 MAC 地址来识别客户连接。所有客户的 PPPoE 登录名和 VLAN 信息都是相同的。
- 它使用哪个 MAC?我的路由器的 MAC 还是 ONT 的 MAC?
- ONT 对于 ISP 来说是否透明,并且他们将公共 IP 直接提供给我的路由器,因为路由器是通过 PPPoE 登录的?
我的目标是了解它的工作原理。虽然我有一些网络知识,但 PPPoE 对我来说还是个新东西。
为了防止 LAN 端暴露在裸露的互联网中,我将在实验期间断开光缆。
谢谢。