425
小米路由器VPN分流功能技術深入討論(希望反饋給研發)
路由器:小米路由3G
固件版本:2.26.3
先說一下組網環境,電信的光貓撥號,DMZ到小米路由器的WAN口
不開啟VPN所有設置都正常,上網正常,一切都正常,正常正常。
但是開啟VPN功能之後,各種異常就來了
1、按地址分流這個功能基本是無效的,官方也找不到任何文檔,把網址(例如www.qq.com)寫進去根本沒用,寫IP/子網(比如10.10.0.0/16)也是無效的,這個功能感覺目前是個擺設,希望客服可以給個反饋。
個人建議:官方最好對此功能有詳細的說明,並且測試此功能的有效性。
2、不撥VPN的時候,路由器 下的客戶端訪問WAN口上聯設備(也就是光貓)一切正常,VPN撥號成功之後,WAN口上聯設備無法訪問到,個人猜測,這可能是策略路由優先級的問題,那麼接下來我來試試按設備分流的功能,請看下一條異常描述。
個人建議:VPN模式啟用時對WAN口上聯做一條特殊的路由,方便用戶訪問直連設備,其實對路由器來說,隻要是直連設備,應該是排除在VPN路由優先級之前的。
3、啟用按設備分流的功能後,實現在清單中的設備流量走VPN,但是隨即也出現了問題,不在按設備分流清單中的設備訪問流量雖然沒有走VPN,但是有2個影響使用的問題:第一個問題是雖然不在按設備分流清單中的設備流量沒有走VPN,但是依然訪問不到WAN口上聯設備(也就是光貓);第二個問題是,隻要VPN撥號成功,不管是不是按設備分流清單中的設備,所有設備的DNS請求全部被丟給了VPN那邊的DNS,這樣就造成不在按設備分流清單中的設備,也使用VPN的DNS來解析,這樣會有返回的IP地址跨運營商或者CDN根本不可達的情況出現,造成訪問異常。
個人建議:首先要解決不在清單中的設備訪問WAN口上聯設備的問題,其次最好DNS請求請也按設備分流,不在清單中的DNS解析請求請按原路扔出去給WAN口設備,在清單中的DNS請求扔給DNS獲得的DNS。(如果無法分流,應該由用戶來設置全局DNS請求發給VPN那邊還是WAN口那邊)
最後更新:2017-11-08 20:28:38