迫于搞不明白，查资料无头绪，咨询一下：路由器（192.168.1.1）上能访问的 IP（10.89.19.2），电脑（192.168.1.100）连接路由后为啥不能访问？

这个 IP 是局域网的？

在 1.100 的电脑上和在路由器上用 MTR 或 tracert 或 traceroute 分别测一下到 10.89.19.2 的路由。看路由是怎么走的。

@lizenghui #1 嗯，都是局域网 IP

@dier #2
路由上
traceroute to 10.89.19.2 (10.89.19.2), 30 hops max, 46 byte packets
1 10.255.255.1 (10.255.255.1) 36.951 ms 22.695 ms 21.481 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *

电脑上
traceroute to 10.89.19.2 (10.89.19.2), 64 hops max, 52 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *

不光要设置路由表，要还设置 iptables

10.89.19.2 是否存在到 192.168.1.0/24 的路由？如果你控制这台机器可以手动加一条静态路由，如果不能控制就必须在 192.168.1.1 上配置 NAT 。

更正，才看到网关是 10.255.255.1，要配置静态路由的话需要在这一台配置。

电脑没有默认路由，或者是默认路由指向的网关没有到 10.89.19.2 的路由，或者被指向了其他错误路由。

@bbbb 看看你路由上的路由表。

@bbbb openwrt 本身转发就是打开的 已经做了 NAT

在你的 openwrt 上
```
ip route list table all
```

如果我没记错的话，前段时间刚见过这个 IP
把你的校园 VPN 关掉。
10.255.255.1 是复旦还是交大？反正哪所大学的校园 VPN 内网节点地址。

路由表没有配好

看起来需要在本地 VPN 出口上的出方向上做 NAT,要不然 VPN 对端可能不认 192.168.100.x 这样回来的地址.

还有在电脑端 ping 你那个路由器拨 VPN 获得的 vpn 10.x 的地址看看通不通.
路由器上大概要添加个路由让 10.x 都走 vpn 口,免得走默认路由上去了

开 ssh，让我上去看看

盲猜是路由器 NAT 后不在一个网段然后下面 client 没路由表支持回不来

@missdeer #4 iptables 我查查配置一下，现在不知道 192.168.1.100 和 192.168.1.1 的区别？感觉 1 能访问，100 也能访问，但是不是这样的。

iptables.
MASQUERADE 和 POSTROUTING

@raysonx #6 静态路由，根据查询资料配置了，没成功。去年我记得我配置成功了，没做好笔记的锅，导致今年完全重新搞。然后还没成功。。。

@acbot #7 不太懂路由这块，查了下，然后电脑和路由器都尝试配置了下：
ip route add 10.89.19.0/24 via 192.168.1.1 或者
ip route add 10.89.19.0/24 via 10.255.255.1 都配置过，感觉可能是自己弄混乱了，我在好好看看

@lizenghui #9 出来的有点多，我分析下

@2i2Re2PLMaDnghL #10 这是路由器上的一个 VPN 的。我这里并不是什么学校的

@ch2 #11 我隐约的记得，去年好像只在路由器上配置了路由表，今年就不行了。我得找找看，回忆一下，看看是不是有笔记之类的。

@gefranks #12 电脑上能 ping 通 10.255.255.1，得研究一下，没搞过网络，还有很多知识盲区。
@defunct9 #14 谢谢，暂时我先看看，涉及到公司的机器。
@smallfount #15 我查查路由器 nat 相关的

@smileawei #17 我看看这

额..看糊涂了卡卡...是路由器下面的不能访问外面的？这个。。。跟$$全局的关系毕竟大吧。。。一般这种都是被流量劫持的吧

@bbbb 在你路由器上拨通 VPN 后，执行 ip a 和 ip route show table all 显示一下 VPN 在你路由器这一侧的 IP 地址和路由表先？

看起来你可能不需要在 VPN 的另一侧 ping 通你这一侧的电脑，特别是如果你无权控制 VPN 另一侧的路由表的情况下。因此还是建议在你路由器这一侧把流量 NAT 出去。

你路由器上拨通 VPN 后可能会出现一张虚拟网卡（取决于 VPN 的类型），比如 tun0，网卡上有 VPN 在你路由器这一侧的 IP 地址（ 10.开头）。你需要在拨通 VPN 后把来自你 LAN 口网段的流量 NAT 成路由器的这个 10.开头的地址。大概的命令类似于：

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o tun0 -j MASQUERADE

@bbbb 如果你要工作在路由模式下 除开你这边要指定静态路由之外 对方你访问的网络必须有指向 192.168 的回程路。不过我个人觉得你这个应该是工作在 NAT 模式下 也就是 你访问的 10.89.19.0/24 这个段的数据包要单独做 SNAT 让数据包的源 IP 变成 你路由器上 10.89.19.*的 IP 并且优先级 要高于 路由器上默认上网的的 SNAT ；因为不做 10.89.19.0/24 会被默认的 SNAT 从你公网的口发送出去。我的理解是这样的不知道对不对

@smileawei 我也觉得应该就是这个问题，要在防火墙上 做 SNAT 并且要比路由器默认的 SNAT 优先级高

电脑网关设置成路由器 ip 192.168.1.1

@smallfount 对，应该就是这个原因。10.89.19.2 不是直连在本地路由器上的网段，还有下一跳路由器呢。

下一跳路由器上没有回到 192.168.1.0/24 网段的路由。

应该是没有配置 SNAT 。

@raysonx 25 楼正解，我家里就这样，$$科学上网，Open 威屁恩连公司

@hongxin #28 默认就是这个，设置了也不行，可能什么地方弄错了，我查查各位给的关键字


@DopaminePlz #30 好的，我查查

上级网络有域名绑定吗

@xinge666 没有，都是 ip 。

@raysonx 谢谢，这几天比较忙，我明天测试一下。

@acbot 身边没有搞网络的朋友，感觉真想搞好，得系统的学一下，不然即使你们说了我也看不懂，还需要查查，消化一下。

@missdeer 好，我试试

看了上面的回复，我也觉得是 10.89.19.2 没有到 1.100 的回程路由可能性很大，而且有可能因为你电脑用的这个局域网段使用率很高，跟远程那边有重复又没指定静态路由就会直接找到远程那边的局域网去了。而且远程端你也无法修改路由表，我暂时没想到有什么比较靠谱的尝试方案

突然想到了一个比较曲线的方式，手动在 1.100 上配置代理为 1.1 看能不能访问到。既然是 openwrt，支持 ssh，那到 openwrt 上配置 SSH 端口转发或者 SSH 隧道。你参考一下这个链接： http://www.hackingarticles.in/beginner-guide-ssl-tunneling-dynamic-tunneling/

先你机器 ip route get 下这个 ip 看看是不是走到网关这个 openwrt 上，是的话 ping 下这个 ip，然后路由器上抓包看看，是不是路由器没开转发