425
人物
小米路由器VPN分流功能技术深入讨论(希望反馈给研发)
路由器:小米路由3G
固件版本:2.26.3
先说一下组网环境,电信的光猫拨号,DMZ到小米路由器的WAN口
不开启VPN所有设置都正常,上网正常,一切都正常,正常正常。
但是开启VPN功能之后,各种异常就来了
1、按地址分流这个功能基本是无效的,官方也找不到任何文档,把网址(例如www.qq.com)写进去根本没用,写IP/子网(比如10.10.0.0/16)也是无效的,这个功能感觉目前是个摆设,希望客服可以给个反馈。
个人建议:官方最好对此功能有详细的说明,并且测试此功能的有效性。
2、不拨VPN的时候,路由器 下的客户端访问WAN口上联设备(也就是光猫)一切正常,VPN拨号成功之后,WAN口上联设备无法访问到,个人猜测,这可能是策略路由优先级的问题,那么接下来我来试试按设备分流的功能,请看下一条异常描述。
个人建议:VPN模式启用时对WAN口上联做一条特殊的路由,方便用户访问直连设备,其实对路由器来说,只要是直连设备,应该是排除在VPN路由优先级之前的。
3、启用按设备分流的功能后,实现在清单中的设备流量走VPN,但是随即也出现了问题,不在按设备分流清单中的设备访问流量虽然没有走VPN,但是有2个影响使用的问题:第一个问题是虽然不在按设备分流清单中的设备流量没有走VPN,但是依然访问不到WAN口上联设备(也就是光猫);第二个问题是,只要VPN拨号成功,不管是不是按设备分流清单中的设备,所有设备的DNS请求全部被丢给了VPN那边的DNS,这样就造成不在按设备分流清单中的设备,也使用VPN的DNS来解析,这样会有返回的IP地址跨运营商或者CDN根本不可达的情况出现,造成访问异常。
个人建议:首先要解决不在清单中的设备访问WAN口上联设备的问题,其次最好DNS请求请也按设备分流,不在清单中的DNS解析请求请按原路扔出去给WAN口设备,在清单中的DNS请求扔给DNS获得的DNS。(如果无法分流,应该由用户来设置全局DNS请求发给VPN那边还是WAN口那边)
最后更新:2017-11-08 20:28:38