PVE下HA访问不同网段的二级路由器小米BE6500 Pro下的只能设备设置

PVE下HA访问不同网段的二级路由器小米BE6500 Pro下的只能设备设置
软路由为PVE下的爱快，我的爱快地址是192.168.50.253，小米路由器静态IP是192.168.50.16，局域网网段为192.168.31.X，网关为192.168.31.1

1. 在主路由（爱快）添加静态路由

   • 目标网络：192.168.31.0/24
   • 下一跳：192.168.50.16（小米路由器的WAN口IP）
   • 这样主网络（50网段）的设备可以主动访问31网段。

2、小米路由器没有防火墙设置功能所以需要开启小米路由器的SSH，使用命令让防火墙放行是50网段和31网段互通

在小米网段的电脑上访问Github的地址：https://github.com/openwrt-xiaomi/xmir-patcher

下载项目：

下载完成后解压，并进入cmd，输入命令run.bat并回车

选择2自动打补丁，会要求输入密码，密码就是你路由器密码

破解完成后就可以使用finashell进入小米路由器的shell了（用户名：root  密码：root）

PS：重启路由器后SSH会失效，需再次破解才能使用SSH。

备份防火墙配置文件（SSH中执行）如果配置错误随时恢复

# 备份到当前目录（文件名为firewall.bak，带时间戳更安全）

cp /etc/config/firewall /etc/config/firewall.bak

# 验证备份是否成功（查看文件大小是否一致）

ls -lh /etc/config/firewall*

返回有备份文件

-rw-r--r-- 1 root root 1.8K Oct 14 09:30 /etc/config/firewall

-rw-r--r-- 1 root root 1.8K Oct 14 09:30 /etc/config/firewall.bak

立即恢复备份

# 恢复原始配置

cp /etc/config/firewall.bak /etc/config/firewall

# 重启防火墙

/etc/init.d/firewall restart

修改配置：

# 修改WAN区域转发和入站策略

uci set firewall.@zone[1].forward='ACCEPT'

uci set firewall.@zone[1].input='ACCEPT'

# 添加50网段访问规则

uci add firewall rule

uci set firewall.@rule[-1].name='Allow-50-to-31'

uci set firewall.@rule[-1].src='wan' uci set firewall.@rule[-1].dest='lan'

uci set firewall.@rule[-1].src_ip='192.168.50.0/24'

uci set firewall.@rule[-1].target='ACCEPT'

# 提交配置并重启防火墙

uci commit firewall

/etc/init.d/firewall restart

重启后股则会失效，这样还是不能互相ping通，还需要修改开机启动脚本

永久保存手动添加的iptables规则

编辑开机启动脚本（rc.local）

vi /etc/rc.local

添加iptables规则到rc.local

# 允许50网段访问31网段（开机自动执行）

iptables -I FORWARD -s 192.168.50.0/24 -d 192.168.31.0/24 -j ACCEPT

# 允许50网段ping小米LAN口网关（31.1）

iptables -I INPUT -i eth1.4 -s 192.168.50.0/24 -d 192.168.31.1 -p icmp --icmp-type echo-request -j ACCEPT

# 原有此行，不要删除

exit 0

这样完成后就可以互相ping通了。结束！！！