@weyou 是的，所以这就是刚开始一直在 Masquerading 的原因了，唉。。。
我刚刚找了一台机器 C，把网关改成 B 节点，再通过 A 节点去 ping C 节点的话，可以 ping 通了。

那么针对不是默认网关的问题，NAT 如何配置了解没？#74 这种可以没？

@weyou 可以回 ping 的，A、B 节点现在都可以相互 ping 通对方的 LAN，但是 A ping B 路由后面的其他机器的话，只有 request 没有 reply。

@weyou
@pubby #36 #79 #84 确实，我发现加上这两个配置的话好像会有一点点小问题。。。
问题等网络打通了我再来仔细排查看看。

@weyou #82 按你此步的方式，在 B 节点上编辑了 zone，此时可以在 B 节点的 br-lan 接口上看到 icmp 报文了，但是根据报文来看，应该上内网的主机（ 10.200.30.67 ）没给 B 节点（ 10.200.30.1 ）回报文：
```
root@OpenWrt:~# tcpdump -i br-lan icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br-lan, link-type EN10MB (Ethernet), capture size 262144 bytes
03:24:17.434315 IP 172.16.15.1 > 10.200.30.67: ICMP echo request, id 54798, seq 50, length 64
03:24:18.434687 IP 172.16.15.1 > 10.200.30.67: ICMP echo request, id 54798, seq 51, length 64
03:24:19.434465 IP 172.16.15.1 > 10.200.30.67: ICMP echo request, id 54798, seq 52, length 64
03:24:20.434806 IP 172.16.15.1 > 10.200.30.67: ICMP echo request, id 54798, seq 53, length 64
```

忘记说了，B 节点并不是 B 网段默认网关，只是我临时弄的一台设备，想通过它来转发的，应该不影响的把？

@pubby #36 #79 A、B 两个节点的 tinc.conf 都添加的：
```
DirectOnly = no
Forwarding = kernel
```

@weyou #75 #76
以下上 B 上的路由:
```
root@OpenWrt:~# ip route show
default via 10.200.30.250 dev br-lan src 10.200.30.1
10.200.30.0/24 dev br-lan scope link src 10.200.30.1
192.168.1.0/24 dev tun0 scope link
172.16.14.0/24 dev tun0 scope link src 172.16.14.2
root@OpenWrt:~#
```
以下分别上 tun 接口的防火墙配置和相应的 zone 配置：

@pubby #73 在 B 节点上抓包如下：
```
root@OpenWrt:~# tcpdump -i tun0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes
02:42:10.615104 IP 172.16.14.1 > 10.200.30.67: ICMP echo request, id 26680, seq 304, length 64
02:42:10.615126 IP 172.16.14.2 > 172.16.14.1: ICMP 10.200.30.67 protocol 1 port 23369 unreachable, length 92
02:42:11.615535 IP 172.16.14.1 > 10.200.30.67: ICMP echo request, id 26680, seq 305, length 64
02:42:11.615563 IP 172.16.14.2 > 172.16.14.1: ICMP 10.200.30.67 protocol 1 port 15621 unreachable, length 92
02:42:12.615905 IP 172.16.14.1 > 10.200.30.67: ICMP echo request, id 26680, seq 306, length 64
02:42:12.615926 IP 172.16.14.2 > 172.16.14.1: ICMP 10.200.30.67 protocol 1 port 3009 unreachable, length 92
```
看起来上 B 节点（ 10.200.30.1 ）没有将包转发到 10.200.30.67 上去，而且抓 br-lan 设备的话也看不到 icmp 报文。

@izoabr
A 上配置 iptables 规则:
```
iptables -t nat -A POSTROUTING -d 10.200.30.0/24 -j SNAT --to 172.16.14.2
```


B 的 LAN IP 是 10.200.30.1 并配置 iptables 规则:
```
iptables -t nat -A POSTROUTING -s 172.16.14.2 -d 10.200.30.0/24 -j SNAT --to 10.200.30.1
```

以上这样是否可以？

@weyou 现在两台 openwrt 路由器的防火墙 zone 已经把 Masquerading 去掉了，依然不行。
另外新增的 tun zone 区域配置 入站、出站、转发都是 ACCEPT。

@pubby 两边添加路由后，A、B 两台主机（ openwrt 路由器）可以相互访问对方 LAN 了，但是访问不到对方 LAN 局域网内的其他机器。

@izoabr 上一条自动发出去了，参考这里 https://blog.51cto.com/h2ofly/1544860，如果单独看涉及到的 iptables 规则的话，是否可以直接用？好像只有一条 POST 和一条 POST 加 FORWARD。

@izoabr 参考这里

电脑已准备好，可以干了

@izoabr 大佬要是有时间，我再下去拿个笔记本去，毕竟大佬的时间难得，哈哈

@weyou 嗯刚刚分别在两个路由器上面试了下，新建防火墙区域，然后到防火墙那个页面编辑把 tun 的区域打开，最右侧 Masquerading 选项勾选，保存应用，然后相互 ping 对方内网其他机器，还是不行 。
由于是手机操作的，不方便上传图片，明天再操作截图下。
谢谢~

@weyou
@pubby 感谢二位提供的思路，被老婆拎回房睡觉了。。。

@weyou 不是页面创建的，直接编辑 /etc/config 下的文件创建的。

@hawhaw 感觉越来越高明的样子，不是学网络的，看不懂哈。。。如果大佬有时间能否多讲解一二呢。

@weyou openwrt 的防火墙要配置什么呢？

@weyou 路由已经加了，但是 ping 不通 A、B 路由后面的机器：

A 节点:
```
root@OpenWrt:/etc/tinc/cloud/hosts# ip route show
default via 53.3.94.1 dev pppoe-wan proto static
10.200.30.0/24 dev tun0 scope link
53.3.94.1 dev pppoe-wan proto kernel scope link src 53.3.94.180
192.168.1.0/24 dev br-lan proto kernel scope link src 192.168.1.1
172.16.14.0/24 dev tun0 proto kernel scope link src 172.16.14.1
root@OpenWrt:/etc/tinc/cloud/hosts#
```

B 节点:
```
root@OpenWrt:~# ip route show
default via 10.200.30.250 dev br-lan src 10.200.30.55
10.200.30.0/24 dev br-lan scope link src 10.200.30.55
192.168.1.0/24 dev tun0 scope link
172.16.15.0/24 dev tun0 scope link src 172.16.15.2
root@OpenWrt:~#
```