多台机器内网穿透DMZ如何设置

观铃の使魔

光猫拨号DMZ给A路由器  

A路由器DHCP路由模式

B路由器AP模式链接A


这样B是不是也能直接暴露在外网？

万里小路さん

B本身也是A分配的IP，只不过B下级设备相当于A直接分配的IP

  -- 来自 能搜索的 Stage1官方 Android客户端

观铃の使魔

万里小路さん 发表于 2022-4-28 02:16
B本身也是A分配的IP，只不过B下级设备相当于A直接分配的IP

  -- 来自 能搜索的 Stage1官方 Android客户端 ...

我这样设置  肯定A能暴露在外网

至于B不确定啊

Deco

不要用dmz，用防火墙加端口转发

观铃の使魔

Deco 发表于 2022-4-28 08:54
不要用dmz，用防火墙加端口转发

不行  光猫的UPNP无效  只能开DMZ

另外我不知道下级设备的指定端口  经常变 没法做端口转发

dvd6

DMZ的意思我也是刚查，不知道是不是这样理解：DMZ只会指向一个主机，光猫拨号光猫就是第一级路由，DMZ给A路由不就只能访问A路由自身的服务吗（相当于光猫把所有端口都转发到A路由），跟A路由下的设备已经没关系了吧，
如果要访问下面的设备一样要再设置A路由端口转发，或者A再DMZ到其中一个设备？如果下面多台设备要被访问就只能端口转发了吧
……另外这个端口经常变的是什么服务？至少知道个范围还是能指定的

观铃の使魔

dvd6 发表于 2022-4-28 09:36
DMZ的意思我也是刚查，不知道是不是这样理解：DMZ只会指向一个主机，光猫拨号光猫就是第一级路由，DMZ给A路 ...

B路由设为AP模式 理论上就不存在NAT转换 等于就是A路由的一部分

A路由不开DMZ也不开UPNP  B都可以暴露外网才对

但是没实操过

Prushka

观铃の使魔 发表于 2022-4-28 09:02
不行  光猫的UPNP无效  只能开DMZ

另外我不知道下级设备的指定端口  经常变 没法做端口转发 ...

dmz暴露端口太多了，挺危险的吧

—— 来自 HUAWEI JAD-AL50, Android 10上的 S1Next-鹅版 v2.5.4

观铃の使魔

两个路人 发表于 2022-4-28 09:51
按经验来看，B只是A的下一层设备，外面依然只能看到A

B设置成AP模式接A也不行吗？

或者A开NAT1和UPNP

观铃の使魔

Prushka 发表于 2022-4-28 10:00
dmz暴露端口太多了，挺危险的吧

—— 来自 HUAWEI JAD-AL50, Android 10上的 S1Next-鹅版 v2.5.4 ...

没办法UPNP失效

还不知道具体端口  一堆 不是一两个

dvd6

观铃の使魔 发表于 2022-4-28 09:49
B路由设为AP模式 理论上就不存在NAT转换 等于就是A路由的一部分

A路由不开DMZ也不开UPNP  B都可以暴露外 ...

不是，你光猫拨号，光猫就是一层NAT，A路由又是一层NAT，先不管有没有B，连A下面的设备都没有暴露吧。要只用一次DMZ，要么直接A路由拨号减少光猫的那层NAT，要么A路由也只用AP模式，无论如何，DMZ最终就指向一个设备，而整个内网对外也只有一个IP，要暴露多个设备就只能瓜分一个IP的不同端口

观铃の使魔

dvd6 发表于 2022-4-28 10:06
不是，你光猫拨号，光猫就是一层NAT，A路由又是一层NAT，先不管有没有B，连A下面的设备都没有暴露吧 ...

光猫开了DMZ给A   A应该是暴露了吧

我只考虑AB自身 不考虑它接入的设备

dvd6

观铃の使魔 发表于 2022-4-28 10:09
光猫开了DMZ给A   A应该是暴露了吧

我只考虑AB自身 不考虑它接入的设备

A自身是有一个内网IP的，就是路由本身的服务（比如提供路由器配置页面的web服务，路由带usb的可能提供ftp、smb服务等），DMZ就只是指向了路由本身而不是下面的设备。关于IP和端口的分配上面的回复编辑了，我的理解是只用DMZ就不可能暴露多个设备

观铃の使魔

dvd6 发表于 2022-4-28 10:06
不是，你光猫拨号，光猫就是一层NAT，A路由又是一层NAT，先不管有没有B，连A下面的设备都没有暴露吧。要只 ...

如果我这样操作呢

光猫拨号DMZ给A

A开AP模式   

B也开AP模式连接A ?
==============================
好吧 只有一个IP可以DMZ  肯定不行

dvd6

观铃の使魔 发表于 2022-4-28 10:12
如果我这样操作呢

光猫拨号DMZ给A

这样DMZ应该也只能给A或B下面的某个设备，而不是多个，如果指向A、B就没意义了

观铃の使魔

dvd6 发表于 2022-4-28 10:14
这样DMZ应该也只能给A或B下面的某个设备，而不是多个，如果指向A、B就没意义了 ...

看来只有一种方案

光猫DMZ给A

A DHCP路由模式开NAT1

B AP模式接入A

这样有可能能通  不通就没法子了

闪电战

最好的办法是光猫改桥接，路由A拨号，B以AP方式接入。我家目前就是这样，A是弱电箱模块式路由，B提供WIFI

dvd6

闪电战 发表于 2022-4-28 10:36
最好的办法是光猫改桥接，路由A拨号，B以AP方式接入。我家目前就是这样，A是弱电箱模块式路由，B提 ...

我家也是这样，家用基本上就这样了，光猫无论配置的方便性还是性能一般都比不上路由器。

但始终不觉得暴露多设备的需求是能用dmz解决的，除非dmz那个设备又自带转发……

macos

观铃の使魔 发表于 2022-4-28 09:49
B路由设为AP模式 理论上就不存在NAT转换 等于就是A路由的一部分

A路由不开DMZ也不开UPNP  B都可以暴露外 ...

不是，b在a网络下，a有dhcp，b会被a的nat

以及，dmz只对应ip，你加了a就只有a，你应该让b通过a映射出去

观铃の使魔

macos 发表于 2022-4-28 12:15
不是，b在a网络下，a有dhcp，b会被a的nat

以及，dmz只对应ip，你加了a就只有a，你应该让b通过a映射出去 ...

对 我就是想问怎么让B通过A映射出去

password

这个有这么多值得讨论的吗

上海电信的SDN网关下设置DMZ就能让下级路由端口全部暴露到公网上（当然前提是SDN有公网IP），
下级路由下接入的设备一样设置端口转发或者UPNP就能正常和公网通信

这个实践过了就知道了

macos

观铃の使魔 发表于 2022-4-28 13:52
对 我就是想问怎么让B通过A映射出去

至少有三种方法，dmz，upnp，端口映射，看a能设哪种

dvd6

说到底还是得在A上设置端口映射，并且是映射到最终需要的设备上。这些操作不需要涉及B，作为AP的角色在这里可以忽略。

如果只需要访问一个设备，那么可以A设置DMZ到设备；
如果需要访问多个设备，就只能映射特定端口，需要搞清楚哪个服务用哪个端口（或一个范围），这个问题逃避不了；
unpn就是自动的、动态调整映射哪些端口，不需要的时候自动关闭映射，需要什么端口由软件申请

观铃の使魔

password 发表于 2022-4-28 14:00
这个有这么多值得讨论的吗

上海电信的SDN网关下设置DMZ就能让下级路由端口全部暴露到公网上（当然前提是SD ...

按你说的  我这环境也可以啊

观铃の使魔

dvd6 发表于 2022-4-28 14:27
说到底还是得在A上设置端口映射，并且是映射到最终需要的设备上。这些操作不需要涉及B，作为AP的角色在这里 ...

可能我没说明白我的问题

你回答都对 我懂你的意思

现在我的疑惑是

A如果直接充当拨号路由器 你说的那些设置肯定是没问题

我疑惑的是

如果必须光猫拨号  它DMZ到A  然后A做UPNP\DMZ\端口映射

和A直接拨号 然后做UPNP\DMZ\端口映射  效果一样吗  

观铃の使魔

macos 发表于 2022-4-28 14:11
至少有三种方法，dmz，upnp，端口映射，看a能设哪种

现在我的疑惑是

A如果直接充当拨号路由器 你说的那些设置肯定是没问题

我疑惑的是

如果必须光猫拨号  它DMZ到A  然后A做UPNP\DMZ\端口映射

和A直接拨号 然后做UPNP\DMZ\端口映射  效果一样吗  

dvd6

观铃の使魔 发表于 2022-4-28 14:39
可能我没说明白我的问题

你回答都对 我懂你的意思

使用效果应该差不多，后者少一层NAT理论上性能更好，也可能实际感受不到

观铃の使魔

dvd6 发表于 2022-4-28 14:46
使用效果应该差不多，后者少一层NAT理论上性能更好

好的  这就ok

因为我改一次网络拓扑不容易  好多要设置

有空我就按第一种方案设置下

系统杀手

观铃の使魔 发表于 2022-4-28 10:04
没办法UPNP失效

还不知道具体端口  一堆 不是一两个

UPNP与端口转发一般是两个独立功能吧。

虽然我的光猫都没这些功能。

所以我乖乖去腾讯云买服务器去了。