作为旁路由，主路由端口映射后，外网无法访问内网设备

[MeowRay]

ERR_CONNECTION_RESET

之前用的2021年之前的旧版本正常，但是新版就不行了

[vernesong]

开旁路由兼容呢

[MeowRay]

开旁路由兼容呢

试过了，不行

[happyeddie]

+1 openclash 哪哪都好，就是有这个问题

---

不知道我家的网络拓扑是否和楼主一致，简单描述下：

1. 主路由是 Unifi USG3P
2. OpenClash 装在 NAS（GEN8）里的 OpenWrt（官方固件），桥接网络
3. USG 配置了 DHCP，把网关和 DNS 都指向了 # 2 所指的机器 IP
4. USG 上配置了 NAS 中各个服务的端口映射，OpenWrt 没有配置任何端口映射

问题现象：

1. 从内网可以直接通过外网域名（DDNS）访问到家里的设备
2. 从外网无法访问，CURL 提示 curl: (35) TCP connection reset by peer
3. 安装 ByPass 科学上网无此问题（安装在 https://supes.top/ 定制的固件，官方固件不确定试了没有）
4. 关闭（不用卸载）OpenClash，# 2 的问题不存在了，外网可以访问

[cs-star]

我怎么正常

[happyeddie]

我怎么正常

有没有可能是规则的问题？ 我的规则是白名单模式，名单内的直连，名单外的所有请求都走代理

[MeowRay]

我怎么正常

有没有可能是规则的问题？ 我的规则是白名单模式，名单内的直连，名单外的所有请求都走代理

我先前版本也正常，这个问题反反复复莫名其妙的，如果直连了那旁路由就没用了，还不如网关直接写主路由

[happyeddie]

我怎么正常

有没有可能是规则的问题？ 我的规则是白名单模式，名单内的直连，名单外的所有请求都走代理

我先前版本也正常，这个问题反反复复莫名其妙的，如果直连了那旁路由就没用了，还不如网关直接写主路由

我是说，我也遇到了类似的问题，但是 @cs-star 说他正常，所以我想是不是我是用的机场的规则导致的这个问题？

还请 @vernesong 费心，需要提供什么信息对解决这个问题有帮助？

[vernesong]

绕过国内呢

[happyeddie]

绕过国内呢

也不行，只保留一个 MATCH,DIRECT，只要打开了 openclash，外网就没法访问内网端口映射的设备，很诡异，一关了就好

再补充一个场景：

如果在旁路由上配置端口映射到需要访问的设备，那这时候外网就可以访问了，但是内网通过 ddns 映射的域名就不能访问了……

[vernesong]

旁路由确实是这样，因为只要你过了clash就会nat，只能绕过去

[vernesong]

旁路由这样开放一下端口试试

[freereaper]

有同样的问题，nas需要科学，所以设置旁路由的网关，求方案。

[vernesong]

第一种：

iptables -t nat -A openclash -m set --match-set localnetwork src -m conntrack --ctstate ESTABLISHED -j RETURN

第二种：

看看哪个管用吧

[freereaper]

不太行，关掉openclash就好了。

[freereaper]

求助，求大佬解决方案：

我目前的的情况是：

pve+ikuai(主路由 dhcp）+ openwrt(旁路由，网关指向主路由，openclash 科学）：

需要科学的nas，把网关指向旁路由，这种情况下，内网访问没问题，但是使用域名外部访问就连接不上，一直提示reset by peer。

关闭openclash，外网就可以正常访问nas设备。

[freereaper]

还请 @vernesong 费心，需要提供什么信息对解决这个问题有帮助？我看恩山论坛上的帖子，有这个问题的人群不在少数，都是反映开了openclash就无法外网访问内部nas。

[freereaper]

Referenc 你先看清楚问题吧。

[DZ65367709]

…经过反复测试， 把nas 网关设置成旁路由，远程访问NAS 仍然是歇菜… 目前实验看来， 1.自定义规则添加远程访问的域名不能解决 2. iptables -t nat -A openclash -m set --match-set localnetwork src -m conntrack --ctstate ESTABLISHED -j RETURN 不能解决 唯一能解决的就是关闭openclash

[zh15933]

我也遇到过这个问题,主路由是爱快,旁路由是op,爱快转发op的端口不能用, 更换一下运行模式就行了

[xianren78]

我用通讯规则解决过旁路由本身的问题，就是这个udp端口映射后外部访问不了，不知道有没有借鉴意义。

[MeowRay]

我也遇到过这个问题,主路由是爱快,旁路由是op,爱快转发op的端口不能用, 更换一下运行模式就行了

测试无效，但我在旧版可以访问时也是这个配置，应该与这个有关联

[vernesong]

旁路由你再转发一次就行了，插件会自动去绕过端口的流量

[ChaojuWang]

在nat表的openclash_post上做匹配，让被转发端口的流量不走openclash的nat， 参考命令（端口映射是外网-》内网9443） iptables -t nat -I openclash_post -p tcp --sport 9443 -j RETURN 配置后iptables nat表规则如下

[ChaojuWang]

在nat表的openclash_post上做匹配，让被转发端口的流量不走openclash的nat， 参考命令（端口映射是外网-》内网9443） iptables -t nat -I openclash_post -p tcp --sport 9443 -j RETURN

建议增加选项让我们能够在openclash启动后执行特定脚本用来修改iptables或者可以通过luci界面设置某些端口或者ip不走openclash的nat

[ChaojuWang]

可以暂时通过修改/etc/init.d/openclash中防火墙配置函数使得在每次openclash启动时应用额外的iptables规则， 但是每次更新openclash都要重新修改

[vernesong]

[XGGY]

我开了旁路由（旁网关）模式后，设置这个绕过核心来源端口都没用，外网还是无法访问进来，而且连ping公网ip都不通。但是不开这个旁路由模式呢，主路由的wifi就无法上网，但是mesh的子路由wifi却没事。真是头都大了

[XGGY]

我开了旁路由（旁网关）模式后，设置这个绕过核心来源端口都没用，外网还是无法访问进来，而且连ping公网ip都不通。但是不开这个旁路由模式呢，主路由的wifi就无法上网，但是mesh的子路由wifi却没事。真是头都大了

有人知道吗

[runchunzhang]

我通过全局设置-访问控制-绕过核心的来源端口-加入了ikuai转发的端口目前已经稳定可以ddns了

[hutao562]

我通过全局设置-访问控制-绕过核心的来源端口-加入了ikuai转发的端口目前已经稳定可以ddns了

感谢，fake-ip模式下也可以正常解析外网地址了