OPENWRT 实现跨网段访问的问题解决，求解惑

<h1>目前是纯属知其然不知其所以然的状态，特求答疑解惑。</h1> <ol> <li>IP 动态伪装和 MSS 钳制到底是干啥的？参考文档：<a href="https://hexo.aragon.wang/2019/08/26/OpenWrt-%E8%AE%BE%E7%BD%AE%E9%9D%99%E6%80%81%E8%B7%AF%E7%94%B1%E5%AE%9E%E7%8E%B0%E8%B7%A8%E7%BD%91%E6%AE%B5%E8%AE%BF%E9%97%AE/" rel="nofollow">OpenWrt 设置静态路由实现跨网段访问</a></li> <li>我以下的方案 2 是做这件事情的最佳实践吗？</li> <li>openwrt 的防火墙区域到底是做什么的？看起来也有转发和 NAT 的作用？</li> <li>接口配置和不配置网关影响 default 路由？——就是一个接口如果不写默认网关，那么这个接口是不是就不会生成 default 路由？如果多个接口都写了默认网关，那么就会生成多个 default 的路由？</li> </ol> <h1>问题和解决方案</h1> <h2>问题</h2> <p>之前的提问：</p> <p><a href="https://www.v2ex.com/t/852993" rel="nofollow">https://www.v2ex.com/t/852993</a></p> <p>OPENWRT 的某个接口接入了另外一个子网，用 DHCP/STATIC 的方式获取 ip 地址之后，OP 本身可以直接访问子网，但是 OPENWRT 作为 br-lan 下的其他设备无法访问这个子网</p> <h3>网络拓扑</h3> <p>OP 的 ETH1 连接光猫的 LAN1 ，新建 pppoe-wan 接口拨号。</p> <p>光猫关闭自身的 DHCP ，设备可以连接光猫的 LAN1~LAN4 ，用 STATIC 的方式获取 IP 。 光猫 IP：192.168.1.1</p> <h2>原解决方案 1：MAN 划入 WAN 接口，设置跃点</h2> <h3>新建 MAN 接口：</h3> <ol> <li>协议：静态地址</li> <li>IPV4 地址：192.168.1.10</li> <li>子网掩码：255.255.255.0</li> <li>网关：192.168.1.1</li> </ol> <h3>MAN 接口的防火墙设置</h3> <p>区域选择<code>WAN</code></p> <h3>MAN 接口的高级设置</h3> <p>网关跃点选择 99</p> <h3>此种方案的路由表</h3> <p>有两个默认路由，其中走 192.168.1.1 的默认路由的 metric 是 99 ，优先级较低，公网流量不会走这个出去。</p> <h2>解决方案 2：把 MAN 接口划入防火墙的 MAN 区域</h2> <h3>新建 MAN 接口：</h3> <ol> <li>协议：静态地址</li> <li>IPV4 地址：192.168.1.10</li> <li>子网掩码：255.255.255.0</li> <li>网关：空着，不写</li> <li>网关跃点：不写</li> </ol> <h3>MAN 接口的防火墙设置</h3> <p>区域选择<code>MAN</code>，新建一个 MAN 防火墙区域</p> <h3>MAN 防火墙的设置</h3> <p>照抄 WAN 的设置。</p> <ol> <li>入站，出站：允许；转发：拒绝</li> <li>IP 动态伪装：启用</li> <li>MSS 钳制：启用</li> <li>覆盖接口：只选择 man 接口</li> <li>端口触发：允许转发到目标区域 都不选；允许从源区域转发：只选 lan</li> </ol> <h3>此种方案的路由表</h3> <p>默认路由只有 pppoe-wan 的路由</p>