大家好，这里的microti雷竞技网站k专家们!
我的情况是这样的:
我在我的microtik RB951ui和我的windows机器之间内置了一个wiregu雷竞技网站ard隧道，它工作得很好，除了我不能从它访问我的microtik LAN网络:
我是什么意思?
下面是我的MT配置:
以太网-1/作为DHCP Client，他从我的ISP-1/获取IP:192.168.10.2
eth -2/作为DHCP Client，他从我的ISP-2/获取IP:192.168.2.2
作为DHCP客户端，他从我的VPN路由器/获得IP:192.168.40.22
所有这三个接口都可以从外部访问，我的意思是如果我从外部网络打开我的wireguard，我可以使用这个ip之一访问我的MT路由器。
IP地址为192.168.30.1/24的以太网-3充当DHCP服务器，为VPN路由器提供互联网//从microtik的以太网-3到VPN路由器的WAN接口//雷竞技网站
ethernet -5, IP地址:192.168.42.1/24，他也充当DHCP服务器，代表我的局域网和连接到它的所有设备
所以这里的问题是我不能访问任何设备从这最后两个接口//以太-3和以太-5//，这对我来说是一个大问题，因为从这个wireguard的主要目的是获得访问我的局域网
顺便说一下，我没有防火墙规则。
这是我的路由器配置:
下面的图片是我在Windows上的wireguard界面

当然，路由器正在做你让它做的...........
从ether3和ether5获取流量并将其强制出WAN。
你怎么指望从wireguard返回的流量会回到隧道?

/路由规则(除了你有重复和冗余的路由规则...........)
添加action=lookup-only-in-table disabled=nosrc-address = 192.168.30.1/24＼
表= ISP-2
添加action=lookup-only-in-table disabled=nosrc-address = 192.168.42.1/24＼
表=副总裁

试一试
/路由规则(以便wireguard返回的流量在被挤出隧道之前进入隧道。)
添加action=lookup-only-in-table dst-address=172.11.2.0/24 table=main
添加action=lookup-only-in-table disabled=no src-address=192.168.30.1/24\
表= ISP-2
添加action=lookup-only-in-table disabled=no src-address=192.168.42.1/24 \
表=副总裁

当然，路由器正在做你让它做的...........
从ether3和ether5获取流量并将其强制出WAN。
你怎么指望从wireguard返回的流量会回到隧道?

/路由规则(除了你有重复和冗余的路由规则...........)
添加action=lookup-only-in-table disabled=nosrc-address = 192.168.30.1/24＼
表= ISP-2
添加action=lookup-only-in-table disabled=nosrc-address = 192.168.42.1/24＼
表=副总裁

试一试
/路由规则(以便wireguard返回的流量在被挤出隧道之前进入隧道。)
添加action=lookup-only-in-table dst-address=172.11.2.0/24 table=main
添加action=lookup-only-in-table disabled=no src-address=192.168.30.1/24\
表= ISP-2
添加action=lookup-only-in-table disabled=no src-address=192.168.42.1/24 \
表=副总裁

你好anav . . !希望你一切都好!
因为我在办公室里就是这么做的!我有相同的情况，除了我有两个路由器进入我的MT.然而我可以正常访问我所有的局域网…!
你怎么指望从wireguard返回的流量会回到隧道?好吧，我不明白你说的这个到底是什么意思?

如果您将流量从wireguard远程用户发送到其中一个子网，您如何期望返回的流量被路由回隧道?

正如我所展示的，您的路由规则强制所有来自子网的流量离开两个本地wan ...........之一所以没有wireguard用户返回的流量将返回到wireguard用户。

如果您将流量从wireguard远程用户发送到其中一个子网，您如何期望返回的流量被路由回隧道?

正如我所展示的，您的路由规则强制所有来自子网的流量离开两个本地wan ...........之一所以没有wireguard用户返回的流量将返回到wireguard用户。

是的，anav先生，我明白你的意思，但我的问题是，在路由规则中，我没有设置任何与wireguard流量相关的规则。那么在这种情况下，为什么线场的流量不通过主
路由表从自己的…!?
为什么我要为它指定一个路由规则?
在我目前的场景中，wireguard的流量是…?

你没有在听，你的wireguard设置没有问题...........

wireguard的流量到达子网没有问题。

接下来会发生什么,还来自子网的流量 ................................

您必须考虑流量是如何路由的，来自子网.........的流量不是护线员.......

现在，来自子网的任何内容都被路由到WAN1或WAN2，因此也包括返回的wireguard流量................因此，我们确保在这些规则之前有一个规则，在我们强制所有其他流量离开WAN1和WAN2之前，首先查看wireguard流量。也就是我注意到的修复。

你制定了规则，你告诉路由器如何处理子网流量，为什么你不能为你的决定负责

你没有在听，你的wireguard设置没有问题...........

wireguard的流量到达子网没有问题。

接下来会发生什么,还来自子网的流量 ................................

您必须考虑流量是如何路由的，来自子网.........的流量不是护线员.......

现在，来自子网的任何内容都被路由到WAN1或WAN2，因此也包括返回的wireguard流量................因此，我们确保在这些规则之前有一个规则，在我们强制所有其他流量离开WAN1和WAN2之前，首先查看wireguard流量。也就是我注意到的修复。

你制定了规则，你告诉路由器如何处理子网流量，为什么你不能为你的决定负责

好吧，这仍然不适合你的统治，阿纳夫先生!
我认为我的问题是VPN流量本身，所以正如你从上面的配置中看到的，我所有的局域网设备都通过VPN路由。所以那里有一个加密的频道。
因此，在这种情况下，wireguard将无法工作，他将面临由于已经在网络中运行的预先存在的VPN而导致的冲突。
有什么建议吗?

不，我看不懂LOL。
请画一张网络图。

不，我看不懂LOL。
请画一张网络图。

你好，阿纳夫先生!
所以更新一下我的情况…
我从我的网络上取消了VPN，现在我只有
以太网-1中的Isp-1
以太网-2中的Isp-2
局域网= ether3
在正常情况下，所有范围都是可用的，但是
我意识到，当我对任何IP设置任何路由规则时，这个IP就无法通过wireguard访问
在路由规则中，在我将任何规则设置为192.168.1.100之前，这个IP是可达的，但是当我将192.168.1.100 /查找仅在ISP-1中
它变得遥不可及了…
为什么会这样，你能解释一下吗?

我的网络图是这样的…很快就来了…

要补充的是…
护栏隧道在全天正常工作。
但是到了晚上，隧道就无法到达了，我的意思是它停止工作了!
这和网络流量有关吗?

我怀疑你的设备喝血，晚上出去.................
一个图表会有帮助，
然后，而不是漫无边际的句子，没有意义，对您的用户需求有关wireguard。

路由器X (wg服务器用于初始握手)路由器Y (wg客户端路由器用于初始握手)笔记本电脑wireguard客户端- admin

子网内的用户A ?在路由器X上，需要到达子网中路由器Y的服务器?
路由器X上的一组用户/子网，需要通过路由器Y到达互联网
等等……
管理员虽然在路由器X上是本地的，但需要配置路由器Y
管理员虽然在路由器Y上是本地的，但需要配置路由器X
管理员需要远程配置Router X
管理员需要远程配置Router Y
管理员需要远程访问路由器X上的所有局域网
管理员需要远程访问路由器Y上的所有局域网

我怀疑你的设备喝血，晚上出去.................
一个图表会有帮助，
然后，而不是漫无边际的句子，没有意义，对您的用户需求有关wireguard。

路由器X (wg服务器用于初始握手)路由器Y (wg客户端路由器用于初始握手)笔记本电脑wireguard客户端- admin

子网内的用户A ?在路由器X上，需要到达子网中路由器Y的服务器?
路由器X上的一组用户/子网，需要通过路由器Y到达互联网
等等……
管理员虽然在路由器X上是本地的，但需要配置路由器Y
管理员虽然在路由器Y上是本地的，但需要配置路由器X
管理员需要远程配置Router X
管理员需要远程配置Router Y
管理员需要远程访问路由器X上的所有局域网
管理员需要远程访问路由器Y上的所有局域网

1-我的要求，我想要访问所有在192.168.1.1/24范围内的LAN设备，但正如我之前提到的，由于我的配置中的上述路由规则
我不能通过wireguard访问192.168.1.100/32，因为我有一个路由规则说src.add:192.168.1.100 lookup: only in ISP-1。为什么我要为这个设备设置这样的规则!!?因为我有一个端口转发规则。
所以我在这个设备上打开一些端口，如果我禁用这个设备的路由规则，打开的端口就会关闭。但在这种情况下，我可以通过护线装置访问这个设备。
所以我的目标是使这个设备可以通过wireguard访问，并且端口转发规则仍然有效(端口保持打开)。

这是我的网络图:

很好，现在提供导出
/export file=anynameyouwish(减去路由器序列号和任何公共WANIP信息)

很好，现在提供导出
/export file=anynameyouwish(减去路由器序列号和任何公共WANIP信息)

我们到了……

好吧，配置与你的第一篇文章几乎没有相似之处，所以我不确定我能帮上忙，因为我不知道什么是真相??
此外，在配置中，不清楚您对两个wan做了什么?
WAN1为主，WAN2从。
广域网之间是否存在故障转移?
是否有一些用户不应该使用主WAN1而应该使用WAN2，如果WAN2不可用，他们是否访问WAN1。

您是否有用户通过WAN1或WAN2进入服务器(您提到您希望保持它们对公众开放)，但是他们是通过哪个WAN进入的?
当远程用户需要知道端点地址等时，wireguard会进入哪个WAN ......

需要知道你实际上已经考虑过........在注释config之前。

好吧，配置与你的第一篇文章几乎没有相似之处，所以我不确定我能帮上忙，因为我不知道什么是真相??
此外，在配置中，不清楚您对两个wan做了什么?
WAN1为主，WAN2从。
广域网之间是否存在故障转移?
是否有一些用户不应该使用主WAN1而应该使用WAN2，如果WAN2不可用，他们是否访问WAN1。

您是否有用户通过WAN1或WAN2进入服务器(您提到您希望保持它们对公众开放)，但是他们是通过哪个WAN进入的?
当远程用户需要知道端点地址等时，wireguard会进入哪个WAN ......

需要知道你实际上已经考虑过........在注释config之前。

您可以将WAN-1视为主服务器，WAN-2作为辅助服务器(此WAN-2仅适用于特定用户)，所有端口转发规则都通过WAN-1而不是WAN-2
还有使用WAN-1的公共ip构建的wireguard。
用于大流UCM的远程sip注册的开放端口。

所以你没有公共ip，他们是来自上游路由器的私有ip，端口转发可以完成??

这就是您所需要的........
/ip firewall NAT
添加action=masquerade chain=srcnat out-interface=ether1
添加动作=假面链=srcnat出接口=ether2
add action=dst-nat chain=dstnat comment=PBX-1 dst-address=192.168.2.2\
Dst-port = protocol=tcp to-addresses=192.168.1.100 to-ports=
add action=dst-nat chain=dstnat comment=PBX-2 dst-address=192.168.2.2
Dst-port =protocol=udp to-addresses=192.168.1.100 to-ports=\
add action=dst-nat chain=dstnat comment=PBX-2 dst-address=192.168.2.2
Dst-port = protocol=tcp to-addresses=192.168.1.100 to-ports=
/ ip路由
添加disabled=no distance=5 dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-table=main check- gateway= ping
suppress-hw-offload =没有
Add disabled=no distance=10 dst-address=0.0.0.0/0 gateway=192.168.3.1 routing-table=main \
suppress-hw-offload =没有
添加disabled=no dst-address=0.0.0.0/0 gateway=192.168.3.1 \
pref-src="" routing-table=WAN-2 scope=30 suppress-hw-offload=no \
target-scope = 10
/路由规则
add action=lookup disabled=no src-address=192.168.1.5/32 table=WAN-2

除192.168.5.32将从WAN2出去外，所有用户将从WAN1出去。
所有从WAN1进入的流量都将从WAN1流出(假设外部用户进入服务器)。

所以你没有公共ip，他们是来自上游路由器的私有ip，端口转发可以完成??

在路由器中使用DMZ规则…是的，这是可以做到的!

您没有防火墙规则，所以流量不会被阻止到您的局域网子网为传入的wireguard。
你修好其他项目了吗...........(客户端设备对主路由器的单个对等入口的允许地址有哪些?)

您没有防火墙规则，所以流量不会被阻止到您的局域网子网为传入的wireguard。
你修好其他项目了吗...........(客户端设备对主路由器的单个对等入口的允许地址有哪些?)

你好，anav先生，这个回复是专门感谢你的帮助…!
我应用你上面的配置，它工作得很好…!
谢谢你!!

技术系统，如果你不理解做了什么，为什么它工作，那么配置可能工作，但从我的角度来看，努力是失败的。

技术系统，如果你不理解做了什么，为什么它工作，那么配置可能工作，但从我的角度来看，努力是失败的。

进一步我们的讨论，我可以说我理解发生了什么，为什么它工作，实际上我记得我在我的旧路由实验室中应用了这样的规则，但对于这种情况，我忘记了我必须这样做…!

技术系统，如果你不理解做了什么，为什么它工作，那么配置可能工作，但从我的角度来看，努力是失败的。

你好Anav . . !
所以我重新打开这张票是想问一下我遇到的原产地情况
情况是这样的。
我在我的microtik RB951ui和我的windows机器之间内置了一个wiregua雷竞技网站rd隧道，它的工作非常好，除了我不能从它访问我的microtik LAN网络:
我是什么意思?
下面是我的MT配置:
以太网-1/作为DHCP Client，他从我的ISP-1/获取IP:192.168.10.2
eth -2/作为DHCP Client，他从我的ISP-2/获取IP:192.168.2.2
作为DHCP客户端，他从我的VPN路由器/获得IP:192.168.40.22
所有这三个接口都可以从外部访问，我的意思是如果我从外部网络打开我的wireguard，我可以使用这个ip之一访问我的MT路由器。
IP地址为192.168.30.1/24的以太网-3充当DHCP服务器，为VPN路由器提供互联网//从microtik的以太网-3到VPN路由器的WAN接口//雷竞技网站
ethernet -5, IP地址:192.168.42.1/24，他也充当DHCP服务器，代表我的局域网和连接到它的所有设备
所以这里的问题是我不能访问任何设备从这最后两个接口//以太-3和以太-5//，这对我来说是一个大问题，因为从这个wireguard的主要目的是获得访问我的局域网
顺便说一下，我没有防火墙规则。
这是我的路由器配置:
这是一个图表:
所以我试着使用你在上一个场景中提到的距离方法，但问题是，在这种情况下，正如你在路由规则中看到的，这对我来说是强制性的
删除ISP-1表中的192.168.42.170/32，并强制所有其他192.168.42.1/24的流量通过VPN。

我不了解你的网络，可能是因为我不了解用例，你混淆了用户和配置，这样的方式是不可读的。

因此，暂时忘记配置，专注于用例。

a.识别所有用户/设备或用户/设备组(包括管理员)
b.确定它们是本地的或存在的
c.确定他们需要(访问)的流量


在图中，你的路由器得到
a.固定静态WAN IP从eth1
b.固定静态WAN IP从eth2
c。WANIP eth3但如何我不懂从VPN ......................
哪种类型的VPN和第三方VPN提供商在哪里??
4 .选d
e. Ether5是一个正常的局域网??

根据所查看的配置。
i.为什么有两个pool，而只有一个LAN ?
2Wireguard隧道的另一端在哪里(您的路由器是握手时的客户端吗?)
3如果您的路由器是握手的服务器，WAN是WG客户端进入............
iv.如果你的路由器是握手的客户端，广域网是在.........上发出的WG握手
v.为什么以太5有两个IP地址，?????
vi.为什么ether4有dhcp客户端设置，而ether3没有...........
7为什么有两个相同源子网........的路由规则(不行)
8为什么在路由规则............中有wg地址(不行)

我不了解你的网络，可能是因为我不了解用例，你混淆了用户和配置，这样的方式是不可读的。

因此，暂时忘记配置，专注于用例。

a.识别所有用户/设备或用户/设备组(包括管理员)
b.确定它们是本地的或存在的
c.确定他们需要(访问)的流量


在图中，你的路由器得到
a.固定静态WAN IP从eth1
b.固定静态WAN IP从eth2
c。WANIP eth3但如何我不懂从VPN ......................
哪种类型的VPN和第三方VPN提供商在哪里??
4 .选d
e. Ether5是一个正常的局域网??

根据所查看的配置。
i.为什么有两个pool，而只有一个LAN ?
2Wireguard隧道的另一端在哪里(您的路由器是握手时的客户端吗?)
3如果您的路由器是握手的服务器，WAN是WG客户端进入............
iv.如果你的路由器是握手的客户端，广域网是在.........上发出的WG握手
v.为什么以太5有两个IP地址，?????
vi.为什么ether4有dhcp客户端设置，而ether3没有...........
7为什么有两个相同源子网........的路由规则(不行)
8为什么在路由规则............中有wg地址(不行)

这是一个家庭网络。
工作场景:
我有两条ADSL线路-(两个isp)-与静态ip
ether1…ISP-1
ether2…ISP-2
从microtik路由器上的e雷竞技网站ther3有一个LAN接口到VPN路由器-(到VPN路由器上的WAN接口)-在192.168.30.1/24范围内为它提供互联网连接
从局域网接口在VPN路由器有一个链接到ether4 Mikrotik路由器上,(现在我在Mikrotik和VPN网络路由器)——有一雷竞技网站个日程安排这两个isp告诉Mikrotik改变他的接口连接每24小时从ether1 ether2——(如果你注意到,我创建了一个路由规则,指定当前所使用的接口192.168.30.1/24范围因为如果我不这样做我将与我的VPN连接)有一个大问题
现在LAN网络是从microtik上的ether5发出的192.168.42.1/24范围。雷竞技网站
我想从我的Wireguard隧道看到所有192.168.42.1/24范围，直到现在还没有实现…!
我可以看到所有的范围，除了以太局域网范围。
现在回答大家的问题
i.为什么有两个pool，而只有一个LAN ?
正如我所说，192.168.30.1池代表到VPN路由器的ether3出接口，另一个192.168.42.1代表到我家的ether5的最终LAN。
2Wireguard隧道的另一端在哪里(您的路由器是握手时的客户端吗?)
在我的Windows机器中，下面是配置。
3如果您的路由器是握手的服务器，WAN是WG客户端进入............
在我的windows机器上的wireguard端点配置中，我把WAN-2的公共ip地址-ether2-所以在这种情况下，我猜它来自ether2
iv.如果你的路由器是握手的客户端，广域网是在.........上发出的WG握手
我猜也来自WAN-2 -ether2-
v.为什么以太5有两个IP地址，?????
只是一个错误，没什么大不了的。我在尝试别的东西。
vi.为什么ether4有dhcp客户端设置，而ether3没有...........
因为正如我所说的，microtik上的以太4接口从VPN路由器获得互联网，所以你可以雷竞技网站把它想象成WAN-3
7为什么有两个相同源子网........的路由规则(不行)
这与我创建的在两个接口(ether1和ether2)之间进行更改的调度有关
8为什么在路由规则............中有wg地址(不行)
我试图让wg流量从ISP-1流出，但你可以注意到该规则被禁用，所以你可以想象那里没有规则。

从microtik路由器上的e雷竞技网站ther3有一个LAN接口o VPN路由器-(到VPN路由器的广域网接口)-

这就是我的观点什么VPN路由器?你只有两个网络连接。

这个VPN路由器位于哪里，它是什么品牌或型号?

然后从这个未知的路由器连接回以太4上的mT。不知道你在做什么，抱歉。

什么是VPN路由器连接到互联网上，第三方提供商??

忘掉这个局域网的配置端口吧，为什么要把vpn路由器放在第一位。例如，你可以在MT上做wireguard，不需要另一个路由器。

从microtik路由器上的e雷竞技网站ther3有一个LAN接口o VPN路由器-(到VPN路由器的广域网接口)-

这就是我的观点什么VPN路由器?你只有两个网络连接。

这个VPN路由器位于哪里，它是什么品牌或型号?

然后从这个未知的路由器连接回以太4上的mT。不知道你在做什么，抱歉。

什么是VPN路由器连接到互联网上，第三方提供商??

忘掉这个局域网的配置端口吧，为什么要把vpn路由器放在第一位。例如，你可以在MT上做wireguard，不需要另一个路由器。

所以它是Linksys WRT1900 AC路由器，它包含一个WAN端口和四个LAN端口。(其中有一个expressVPN账户，有效期为一年，所以你必须每年更新一次
它的目的是改变浏览位置，例如，如果您来自拉脱维亚，您可以将您的国家更改为美国以打开被阻止或禁止的页面，例如…
工作原理:
所以只要给他一个广域网端口的互联网连接，然后你可以连接到它的wifi，或者你可以连接到任何LAN端口，然后你就在美国了…
在我的情况下，提供这个路由器的互联网连接来自哪里?
源自mic雷竞技网站rotik router -(MT router)-
你为什么要用VPN路由器呢?例如，你可以在MT上做wireguard，不需要另一个路由器。
假设我想在我的网络浏览器上导航，就像我在意大利或在美国-正如我所说-我没有另一个MT路由器在意大利建立一个隧道，在这种情况下，我将使用这个
VPN路由器作为一个简单的解决方案，一个例子，为什么我使用它。

当然，你可以，，，，，，，，通过第三方vpn提供商获得一个wireguard帐户，就像你在linksys上一样。
ExpressVPN还没有wiirguard ?…很多人都是这样。

你让你的配置变得不必要的复杂。

当然，你可以，，，，，，，，通过第三方vpn提供商获得一个wireguard帐户，就像你在linksys上一样。
ExpressVPN还没有wiirguard ?…很多人都是这样。

你让你的配置变得不必要的复杂。

你能给我介绍一下这个供应商吗?真的，我一个都不认识!
所以请更多地理解这个场景……
你的意思是，在这种情况下，我必须在我的路由器上创建另一个隧道，但在这种情况下，对等方将是我的VPN提供商，他将已经向我发送他的公钥和ip…?
在这种情况下，如果我想改变我的浏览服务器到另一个国家，我可以这样做，因为我通常做我目前的VPN..?

是的，您将为第三方提供商创建一个wireguard。
我会保留一个单独的一个为您自己的需要AKA远程到您的路由器时，旅行等。
你也可以远程使用第三方网络。

后一个问题就不那么容易了。在大多数VPN提供商中，您可以获得一个国家的一个帐户，或者来自不同国家的服务器列表。
所以在不了解情况的情况下，我不能做出任何承诺。

在我自己的情况下，我严格使用wireguard连接两台MT路由器，另一端使用我的互联网连接(在同一个城市)。
我将来会用它来连接我的家庭和NAS服务器。
如果我想浏览，如果我是从一个不同的国家，我使用火狐VPN插件从一个供应商很像express VPN，我可以从美国或丹麦浏览。
没有必要经历这么多痛苦作为整个linksys路由器设置。


+++++++++++++++++

好的，阅读express VPN，我看到你可以有多达五个设备组，他们不提供wireguard。
这种情况下，你的VPN工作得很好........................专注于不改变世界，解决问题，现在我明白了。

把事情搞清楚。

Ether5是LAN的主子网，为192.168.42.0/24
Ether3是Linksys路由器的局域网子网，Linksys路由器从这里获得WANIP (Linksys如何获得VPN连接)。
以太4是什么，目的等等??

路由器上有一个wireguard服务器用于握手。
你有一台笔记本电脑或iphone，或者两者都有，当你想连接到路由器和LAN5时。

这就总结出来了吗?

把事情搞清楚。

Ether5是LAN的主子网，为192.168.42.0/24
Ether3是Linksys路由器的局域网子网，Linksys路由器从这里获得WANIP (Linksys如何获得VPN连接)。
以太4是什么，目的等等??

路由器上有一个wireguard服务器用于握手。
你有一台笔记本电脑或iphone，或者两者都有，当你想连接到路由器和LAN5时。

这就总结出来了吗?

是的，它是…!
(以及linksys如何获得VPN连接)
上面有一个ExpressVPN帐户，所以当你连接到互联网时，VPN服务就会启动-你已经选择了国家
以太4是什么，目的等等??
从Linksys路由器中的LAN到microtik路由器中的ether4，作为m雷竞技网站icrotik的WAN接口，我已经创建了一个路由规则，将所有192.168.42.1/24范围转发到这个ether4
所以ether4是192.168.42.1/24范围内的广域网接口。

好吧，让我搞清楚。
如果你以三种不同的方式连接到www，并且没有防火墙规则??

在microt雷竞技网站ik路由器上，您有两个固定的wanip到两个不同的提供者ether1和ether2。
在microt雷竞技网站ik上，您有两个局域网，一个用于ether5上的用户192.168.42.0/24，另一个用于为ether3 192.168.30.0/24上的linksys路由器(用于双nat)提供数据
Linksys通过ether3获得WANIP，在这个WAN之外，Linksys到达第三方VPN提供商和互联网。

linksys上的一个lan是192.168.40.0/24，它连接到microtik上的ether4。雷竞技网站

在MT上使用ether4作为另一个WAN端口，并设置IP DHCP客户端。
因此，ether4自动获得一个类似192.168.40的IP。X。

然后创建从ether5用户到ether4的静态路由。

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

让我们看看路线。
首先，您应该有真实isp的缺省路由.......
正如我们之前设置的那样，ether1是主路由，ether2是辅助路由，并且在主表中只有两条路由可用。
然后我们要确保某些人走特定的路。

/ ip路由
添加距离=5 dst-address=0.0.0.0/0网关=192.168.10.1 routing-table=main check-gateway=ping
添加距离=10 dst-address=0.0.0.0/0网关=192.168.2.1 routing-table=main
+++++++++++++++++++++++++++++++++++++++
添加disabled=no dst-address=0.0.0.0/0 gateway=192.168.10.1 routing-table=\
ISP-1 suppress-hw-offload =没有
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-table=ISP-2
suppress-hw-offload =没有
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.40.1 routing-table=VPN \
suppress-hw-offload =没有


让我们看看路由规则是否有意义。你应该使用子网不是IP地址来描述子网!!

（1)添加action=lookup-only-in-table disabled=是的src-address = 192.168.30。0/ 24表= ISP-1
不需要，因为上面的距离应用程序将把所有流量发送到ether1，如果不可用到ether2。
无论哪种方式，Linksys都可以通过VPN客户端从任何一个公共IP访问互联网地址。

（2）add action=lookup-only-in-table disabled=no src-address=192.168.42.10/32 table=ISP-1
这是有意义的，因为您想要一个特定的用户/设备离开以太网络在被逼出其他规则之前。

(3)添加action=lookup-only-in-table disabled=no src-address=192.168.30。0/ 24表= ISP-2
更令人困惑的是，为什么这个子网可能有两个isp…...........你需要澄清你的意图!!

(4) add action=lookup-only-in-table disabled=no src-address=192.168.42.170/32 table=ISP-1
如果您希望此IP地址不遵循其他路由规则，则此规则是有意义的，因为我的默认所有用户都出ISP1
我用下面的规则看到这个规则是必要的!

6 . add action=lookup-only-in-table disabled=no src-address=192.168.42。0/ 24表= VPN
啊，静态路由

(7) add action=lookup-only-in-table disabled=yes src-address=172.11.2。1/ 24表= ISP-1
不知道为什么需要这样做因为默认的规则顺序可以保证该子网正常出ISP1。
没有其他路由规则在任何地方强制此流量

好吧，让我搞清楚。
如果你以三种不同的方式连接到www，并且没有防火墙规则??

在microt雷竞技网站ik路由器上，您有两个固定的wanip到两个不同的提供者ether1和ether2。
在microt雷竞技网站ik上，您有两个局域网，一个用于ether5上的用户192.168.42.0/24，另一个用于为ether3 192.168.30.0/24上的linksys路由器(用于双nat)提供数据
Linksys通过ether3获得WANIP，在这个WAN之外，Linksys到达第三方VPN提供商和互联网。

linksys上的一个lan是192.168.40.0/24，它连接到microtik上的ether4。雷竞技网站

在MT上使用ether4作为另一个WAN端口，并设置IP DHCP客户端。
因此，ether4自动获得一个类似192.168.40的IP。X。

然后创建从ether5用户到ether4的静态路由。

这就是我的处境!

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

让我们看看路线。
首先，您应该有真实isp的缺省路由.......
正如我们之前设置的那样，ether1是主路由，ether2是辅助路由，并且在主表中只有两条路由可用。
然后我们要确保某些人走特定的路。

/ ip路由
添加距离=5 dst-address=0.0.0.0/0网关=192.168.10.1 routing-table=main check-gateway=ping
添加距离=10 dst-address=0.0.0.0/0网关=192.168.2.1 routing-table=main
+++++++++++++++++++++++++++++++++++++++
添加disabled=no dst-address=0.0.0.0/0 gateway=192.168.10.1 routing-table=\
ISP-1 suppress-hw-offload =没有
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-table=ISP-2
suppress-hw-offload =没有
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.40.1 routing-table=VPN \
suppress-hw-offload =没有


让我们看看路由规则是否有意义。你应该使用子网不是IP地址来描述子网!!

（1)添加action=lookup-only-in-table disabled=是的src-address = 192.168.30。0/ 24表= ISP-1
不需要，因为上面的距离应用程序将把所有流量发送到ether1，如果不可用到ether2。
无论哪种方式，Linksys都可以通过VPN客户端从任何一个公共IP访问互联网地址。

（2）add action=lookup-only-in-table disabled=no src-address=192.168.42.10/32 table=ISP-1
这是有意义的，因为您想要一个特定的用户/设备离开以太网络在被逼出其他规则之前。

(3)添加action=lookup-only-in-table disabled=no src-address=192.168.30。0/ 24表= ISP-2
更令人困惑的是，为什么这个子网可能有两个isp…...........你需要澄清你的意图!!

(4) add action=lookup-only-in-table disabled=no src-address=192.168.42.170/32 table=ISP-1
如果您希望此IP地址不遵循其他路由规则，则此规则是有意义的，因为我的默认所有用户都出ISP1
我用下面的规则看到这个规则是必要的!

6 . add action=lookup-only-in-table disabled=no src-address=192.168.42。0/ 24表= VPN
啊，静态路由

(7) add action=lookup-only-in-table disabled=yes src-address=172.11.2。1/ 24表= ISP-1
不知道为什么需要这样做因为默认的规则顺序可以保证该子网正常出ISP1。
没有其他路由规则在任何地方强制此流量

第一个
让我们看看路线。
首先，您应该有真实isp的缺省路由.......
正如我们之前设置的那样，ether1是主路由，ether2是辅助路由，并且在主表中只有两条路由可用。
然后我们要确保某些人走特定的路。
但是VPN路由呢?
看看下面的图片，看看我是什么意思，如果我应用你的规则。嗯，那很好……但我仍然有一个VPN路由规则和一些192.168.42.1/24用户的流量将路由通过
如我所说，我需要所有192.168.42.1/24用户范围使用ether4作为WAN。请记住，ISP-1和ISP-2仅用于VPN路由器-(只是为了给VPN路由器提供互联网)-


（2）add action=lookup-only-in-table disabled=no src-address=192.168.42.10/32 table=ISP-1
这是有意义的，因为您想要一个特定的用户/设备离开以太网络在被逼出其他规则之前。
没关系

我对你的答案(1)和(3)的回答
正如我之前所说的，为了从这两个ISP中获益，我为它制定了一个时间表规则
如下图所示
所以MT路由器每天都会更改规则，如下图所示的脚本，

(7) add action=lookup-only-in-table disabled=yes src-address=172.11.2。1/ 24表= ISP-1
不知道为什么需要这样做因为默认的规则顺序可以保证该子网正常出ISP1。
没有其他路由规则在任何地方强制此流量

正如你所看到的，这个规则是被禁用的，我只是为了测试目的而创建它，是的，我必须删除它-(好吧，在下面的图片中，是的，规则是启用的，但请假设它不存在)-我删除了
添加action = lookup-only-in-table禁用= yessrc-address = = ISP-1 172.11.2.1/24表

好的，让我们来修复你的设置。
假设ether1是优先级。如果ether2是优先级，则反转网关。
我所说的优先级是指所有192.168.30.0/24和192.168.42.0/24的MT流量都将遵循路由。
本地流量将偏离，因为您还创建了“强制”路由规则。

/ ip路由
添加距离=5 dst-address=0.0.0.0/0网关=192.168.10.1 routing-table=main check-gateway=ping{wan1}
添加距离=10 dst-address=0.0.0.0/0网关=192.168.2.1 routing-table=main{wan2}
添加dst-address=0.0.0.0/0 gateway=192.168.40.1 routing-table=vpn {wan3通过一个特定的表(VPN)}
.............................
add dst-address=0.0.0.0/0 gateway=192.168.10.1 routing-table=ISP1{wan1由其他表，以防你需要例外情况}
add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-table=ISP2{wan2由另一个表，以防你需要例外情况} [/ b]

现在让我们弄清楚正确的路由规则，你们搞砸了!!

/路由规则
添加action = lookup-only-in-tabledst -地址= =主要172.11.2.0/24表{确保线路守卫返回的车辆能进入隧道}
add action=lookup-only-in-table src-address=192.168.42.10/32 table=ISP-1{确保单个/用户设备优先使用ISP1规则}
add action=lookup-only-in-table src-address=192.168.42.170/32 table=ISP-1{确保单个/用户设备优先使用ISP1规则}
add action=lookup-only-in-table src-address=192.168.42.1/24 table=VPN{强制发送流量和任何离开子网的返回流量离开VPN}

如果有不太正确的地方，请根据您的具体需要进行调整。

好的，我现在明白了ISp1和ISp2只是为了linksys接入互联网。
这很好，并且时间表工作两个，但不确定如何工作.....
我实现的规则确保了ether1是主的，ether2是辅助的。
因为这并不重要，而且你有办法每天交替使用广域网来填补你的靴子。

这样ISP1和ISP2就不需要使用表了。
只需要表VPN。

然而，你确实有两个例外，需要出去到互联网，因此我们需要调整这些规则......
从
/路由规则
添加action=lookup-only-in-table dst-address=172.11.2.0/24 table=main{确保wireguard返回流量将返回到隧道}
add action=lookup-only-in-table src-address=192.168.42.10/32 table=ISP-1{确保单用户设备优先使用ISP1}
add action=lookup-only-in-table src-address=192.168.42.170/32 table=ISP-1{确保单用户设备优先使用ISP1}
add action=lookup-only-in-table src-address=192.168.42.1/24 table=VPN{强制发送流量和返回流量从子网流出VPN}

:
/路由规则
添加action=lookup-only-in-table dst-address=172.11.2.0/24 table=main{确保wireguard返回流量将返回到隧道}
添加action =查找src-address=192.168.42.10/32 table=ISP-1{确保单用户设备优先使用ISP1}
添加action =查找src-address=192.168.42.170/32 table=ISP-1{确保单/用户设备优先使用ISP1}
add action=lookup-only-in-table src-address=192.168.42.1/24 table=VPN{强制发送流量和返回流量从子网流出VPN}

如果您的调度基本上关闭了一个ISP，因此只有另一个可用，则将操作更改为:查找只有。
结果，路由器将看到路由规则并将例外ip强制到ISP1，如果该ISP不可用，那么路由器将在主表中查找备用ip，并将找到ISP2，这样就可以了。

然而，你确实有两个例外，需要出去到互联网，因此我们需要调整这些规则......
从
/路由规则
添加action=lookup-only-in-table dst-address=172.11.2.0/24 table=main{确保wireguard返回流量将返回到隧道}
add action=lookup-only-in-table src-address=192.168.42.10/32 table=ISP-1{确保单用户设备优先使用ISP1}
add action=lookup-only-in-table src-address=192.168.42.170/32 table=ISP-1{确保单用户设备优先使用ISP1}
add action=lookup-only-in-table src-address=192.168.42.1/24 table=VPN{强制发送流量和返回流量从子网流出VPN}

:
/路由规则
添加action=lookup-only-in-table dst-address=172.11.2.0/24 table=main{确保wireguard返回流量将返回到隧道}
添加action =查找src-address=192.168.42.10/32 table=ISP-1{确保单用户设备优先使用ISP1}
添加action =查找src-address=192.168.42.170/32 table=ISP-1{确保单/用户设备优先使用ISP1}
add action=lookup-only-in-table src-address=192.168.42.1/24 table=VPN{强制发送流量和返回流量从子网流出VPN}

如果您的调度基本上关闭了一个ISP，因此只有另一个可用，则将操作更改为:查找只有。
结果，路由器将看到路由规则并将例外ip强制到ISP1，如果该ISP不可用，那么路由器将在主表中查找备用ip，并将找到ISP2，这样就可以了。

如果您的调度基本上关闭了一个ISP，因此只有另一个可用，则将操作更改为:查找只有。
结果，路由器将看到路由规则并将例外ip强制到ISP1，如果该ISP不可用，那么路由器将在主表中查找备用ip，并将找到ISP2，这样就可以了。
对不起，anav先生，但是我已经建立的处理路由规则的时间表和路由表之间的关系是什么? !
如果ISP不可用，那么路由器将在主表中查找替代ISP，并将找到ISP2，然后您就可以使用了。
不…! !这是不会发生的。
ISP在路由规则上不可用，这很好…但这并不意味着这个IP在路由表中不可用

对于这个规则

添加action =查找src-address=192.168.42.10/32 table=ISP-1{确保单用户设备优先使用ISP1}
添加action =查找src-address=192.168.42.170/32 table=ISP-1{确保单/用户设备优先使用ISP1}
由于路由表中ISP-1和ISP-2一直处于激活状态，因此不需要创建此规则。

就像我说的，在表和调度方面如何处理ISp1或ISp2并不重要。
您只需要将第一条路由规则设置为wireguard子网的dst地址，您的windows笔记本电脑现在应该能够接收到来自.42和.30设备的返回流量