给电信 SDN 网关点个赞

DMZ 能转发 GRE、ESP、6in4 这些吗？

查了下这些协议也是可以在 NAT 之后工作。

至少 ipsec 和 l2tp 完全没问题。

GRE，6in4 这些 tunnel protocol 正常也应该是可以的，没实际测试。

@xenme
手动配置当然可以啊，我意思是电信的 DMZ 设置是只转发 TCP、UDP 还是转发所有协议。

还有，App 上能否配置静态路由。

@cwbsw DMZ 就是全部协议转发到一个 IP。

PNAT 可能才可以设置协议。不过电信端口也是全部，不能选协议。

不桥接多一层 nat

1 对 1 nat 也是 nat

@shenyuzhi 台式机直连光猫，跟插桥接自己的路由器上一样，都是一层 nat

@sagaxu 台式机直连光猫自己拨号的话，就没有 nat 了。我是服务器直接插光猫拨号的，因为 ipsec 没办法双方都在 nat 后面。

@100240v
电信 CGN 网关→光猫路由模式→路由器路由模式 = 三次 NAT
电信 CGN 网关→光猫路由模式→路由器 AP 模式 = 两次 NAT
电信 CGN 网关→光猫路由模式+配置静态路由→路由器路由模式+关闭 IP 伪装 = 两次 NAT

@cwbsw 你什么地区还用 CGN 这么古老的网络构架，我这广东都是 OLT-OUN 光猫，就一级 NAT，昨天还有个用自己的光模块 spf 做 oun 的，我这是公司自建 OLT，一根光纤进来自建 OLT 分 64 条线路，每条做内网共享，包含 oun 在内下级 AP，也就一级 nat

@t895
OUN → ONU
SPF → SFP
运营商推进部署 CGN 这是客观事实，与你认为它先进还是落后无关。

@cwbsw 求教 光猫路由模式+配置静态路由→路由器路由模式+关闭 IP 伪装 ，具体是怎么操作？
我想能这么模式，但是一直找不到好的参考资料~~

@supppig
假设光猫 192.168.1.1，路由器 192.168.100.1。
以 OpenWrt 为例，防火墙 wan 区域去掉 IP 伪装的钩，wan interface 协议修改为静态地址，IP 配置为 192.168.1.2，网关 192.168.1.1，防火墙区域 wan。
然后光猫上添加一条静态路由，目标为 192.168.100.0/24，下一跳 192.168.1.2。

@cwbsw 谢谢，回家后我试试，有问题再请教你

@cwbsw 大神，按照你说的做了，折腾了一个晚上还是不行。。。
目前的状态是，连接是，光猫 LAN 接路由 WAN，电脑接路由 LAN 口
光猫 192.168.1.1 拨号，添加了静态路由。路由 192.168.8.1 的接口 WAN 设置了静态 IP192.168.1.2，区域是 WAN，取消了 IP 伪装。电脑 DHCP 获取了 IP 地址 192.168.8.8

结果是，SSH 连上路由，能 ping 通 192.168.1.1，能 ping 通 114.114.114.114
电脑上，192.168.8.1 能 ping 通，但是 192.168.1.1 和 114.114.114.114 都不通。

如果勾选防火墙的 IP 伪装（恢复路由的 NAT 功能），电脑就能正常上网。

郁闷了。。。到底缺了什么东西。。。。

@supppig
192.168.1.1 也 ping 不通的话应该是光猫上的静态路由不对吧，WAN 口上能抓到 icmp 包吗？

@cwbsw 我想来想去也估计是这个问题，不知道是不是电信把光猫的这个功能屏蔽了。光猫现在没破解，开不了 Telnet，等破解了再试试。

IP 版本 目的地址 /子网掩码 网关地址 宽带连接名称
IPv4 192.168.8.0/255.255.255.0 192.168.1.2 3_INTERNET_R_VID_41

这样设置应该没毛病把？

@supppig
显然不对啊，3_INTERNET_R_VID_41 这个是上外网的 pppoe 接口，应该选 br0/LAN 之类的接口，或者看能不能不选接口。

@cwbsw 那应该就是静态路由的问题了。这个 3_INTERNET_R_VID_41 是必选的。

之前光猫是桥接的时候，这个静态路边表甚至是不能编辑的。只有光猫设置为路由的时候，才能编辑静态路由。