@pubby Forwarding = kernel 我没有单独试过，是和那个 DirectOnly = no 一起加的，现在是 A、B 两个节点都注释了，但是可以正常 ping 通的
@weyou 而且我在 B 节点把 B 到 A 的路由删掉了，A 节点 ping B 以及 B 局域网的其他主机仍然可以 ping 通，应该是后来加的两条 iptables 规则的作用？

@0gys 对网络这块不是很熟，当初配置 tinc 就是想打通多个 LAN 内主机的访问问题，后来才遇到要访问对端局域网内没有安装 tinc 节点的主机问题。

@weyou
@pubby #93 #94 #100 按照这样的配置已经可以从 A 上 ping 通 B 路由器后面的其他主机了。
现在就是从 A 节点后面的机器 ping B 和 B 后面的机器还是 ping 不通，针对 A 局域网而言，A 上默认网关了，是否还需要在 A 上加上 NAT 呢？已经在 A 上配置过 tun zone 的 forward 了。

@weyou 是的，这也是帮别人调试问题的难点所在，有一些基础信息不对称导致徒有屠龙技巧，奈何施展不上。呵呵~

@weyou #94 这个也是在 B 节点上加没？

@weyou 是的，所以这就是刚开始一直在 Masquerading 的原因了，唉。。。
我刚刚找了一台机器 C，把网关改成 B 节点，再通过 A 节点去 ping C 节点的话，可以 ping 通了。

那么针对不是默认网关的问题，NAT 如何配置了解没？#74 这种可以没？

@weyou 可以回 ping 的，A、B 节点现在都可以相互 ping 通对方的 LAN，但是 A ping B 路由后面的其他机器的话，只有 request 没有 reply。

@weyou
@pubby #36 #79 #84 确实，我发现加上这两个配置的话好像会有一点点小问题。。。
问题等网络打通了我再来仔细排查看看。

@weyou #82 按你此步的方式，在 B 节点上编辑了 zone，此时可以在 B 节点的 br-lan 接口上看到 icmp 报文了，但是根据报文来看，应该上内网的主机（ 10.200.30.67 ）没给 B 节点（ 10.200.30.1 ）回报文：
```
root@OpenWrt:~# tcpdump -i br-lan icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br-lan, link-type EN10MB (Ethernet), capture size 262144 bytes
03:24:17.434315 IP 172.16.15.1 > 10.200.30.67: ICMP echo request, id 54798, seq 50, length 64
03:24:18.434687 IP 172.16.15.1 > 10.200.30.67: ICMP echo request, id 54798, seq 51, length 64
03:24:19.434465 IP 172.16.15.1 > 10.200.30.67: ICMP echo request, id 54798, seq 52, length 64
03:24:20.434806 IP 172.16.15.1 > 10.200.30.67: ICMP echo request, id 54798, seq 53, length 64
```

忘记说了，B 节点并不是 B 网段默认网关，只是我临时弄的一台设备，想通过它来转发的，应该不影响的把？

@pubby #36 #79 A、B 两个节点的 tinc.conf 都添加的：
```
DirectOnly = no
Forwarding = kernel
```

@weyou #75 #76
以下上 B 上的路由:
```
root@OpenWrt:~# ip route show
default via 10.200.30.250 dev br-lan src 10.200.30.1
10.200.30.0/24 dev br-lan scope link src 10.200.30.1
192.168.1.0/24 dev tun0 scope link
172.16.14.0/24 dev tun0 scope link src 172.16.14.2
root@OpenWrt:~#
```
以下分别上 tun 接口的防火墙配置和相应的 zone 配置：

@pubby #73 在 B 节点上抓包如下：
```
root@OpenWrt:~# tcpdump -i tun0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type RAW (Raw IP), capture size 262144 bytes
02:42:10.615104 IP 172.16.14.1 > 10.200.30.67: ICMP echo request, id 26680, seq 304, length 64
02:42:10.615126 IP 172.16.14.2 > 172.16.14.1: ICMP 10.200.30.67 protocol 1 port 23369 unreachable, length 92
02:42:11.615535 IP 172.16.14.1 > 10.200.30.67: ICMP echo request, id 26680, seq 305, length 64
02:42:11.615563 IP 172.16.14.2 > 172.16.14.1: ICMP 10.200.30.67 protocol 1 port 15621 unreachable, length 92
02:42:12.615905 IP 172.16.14.1 > 10.200.30.67: ICMP echo request, id 26680, seq 306, length 64
02:42:12.615926 IP 172.16.14.2 > 172.16.14.1: ICMP 10.200.30.67 protocol 1 port 3009 unreachable, length 92
```
看起来上 B 节点（ 10.200.30.1 ）没有将包转发到 10.200.30.67 上去，而且抓 br-lan 设备的话也看不到 icmp 报文。

@izoabr
A 上配置 iptables 规则:
```
iptables -t nat -A POSTROUTING -d 10.200.30.0/24 -j SNAT --to 172.16.14.2
```


B 的 LAN IP 是 10.200.30.1 并配置 iptables 规则:
```
iptables -t nat -A POSTROUTING -s 172.16.14.2 -d 10.200.30.0/24 -j SNAT --to 10.200.30.1
```

以上这样是否可以？

@weyou 现在两台 openwrt 路由器的防火墙 zone 已经把 Masquerading 去掉了，依然不行。
另外新增的 tun zone 区域配置 入站、出站、转发都是 ACCEPT。

@pubby 两边添加路由后，A、B 两台主机（ openwrt 路由器）可以相互访问对方 LAN 了，但是访问不到对方 LAN 局域网内的其他机器。

@izoabr 上一条自动发出去了，参考这里 https://blog.51cto.com/h2ofly/1544860，如果单独看涉及到的 iptables 规则的话，是否可以直接用？好像只有一条 POST 和一条 POST 加 FORWARD。

@izoabr 参考这里

电脑已准备好，可以干了

@izoabr 大佬要是有时间，我再下去拿个笔记本去，毕竟大佬的时间难得，哈哈