一种解决 OpenWrt 安装 docker 之后局域网的设备之间无法互相访问通信的方法

原创 已于 2025-11-27 12:48:14 修改 · 2.2k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #容器 #智能路由器 #经验分享

于 2025-06-27 00:23:45 首次发布

文章目录

一、问题背景

参考 OpenWrt as Docker container host 官方的教程,可以知道只要安装了 luci-app-dockerman luci包,即可在 OpenWrt 上运行 docker,随后就可以安装各类镜像,并部署运行各类容器。

在这里插入图片描述
luci-app-dockerman 包的位置位于:LuCI > 3. Applications > luci-app-dockerman,勾选编译即可。

在这里插入图片描述
但是,安装新镜像之后发现,局域网下的设备之间不能互相访问通信了,而取消勾选luci-app-dockerman 包之后重新编译安装,即可互相访问。因此可以推测,这个问题是因为安装 docker 之后引起的问题。

本文将详细探寻 OpenWrt 安装 docker 之后局域网的设备之间无法互相访问通信 的原因,并提出一种简单的解决方案。

二、解决方案

限于笔者目前对 OpenWrt 了解还不够深入,暂且用这些方式进行解决。

先直接说解决方案:

(方法一)修改全局设置的 转发( forward) 为 接受(ACCEPT)

luci 管理界面,网络 > 防火墙 > 防火墙 - 区域设置 > 常规设置 中,将 转发 设置为 接受 即可,配置如下:
在这里插入图片描述
也可以直接修改配置文件,在 /etc/config/firewall 文件中,在 defaults 的配置中修改 forward 属性为 ACCEPT,相关代码如下:

config defaults
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

(方法二)设置 net.bridge.bridge-nf-call-iptables=0 并将 docker 的容器网络设置为host

由后文介绍可以知道,发生此问题是由于 docker 配置了 net.bridge.bridge-nf-call-iptables=1,导致原本隐式允许的 LAN 通信被显示拒绝。因此我们可以修改 docker 创建出来的配置文件 /etc/sysctl.d/12-br-netfilter-ip.conf,将net.bridge.bridge-nf-call-ip6tables=1net.bridge.bridge-nf-call-iptables=1 注释掉即可,代码如下:

# Do not edit, changes to this file will be lost on upgrades
# /etc/sysctl.conf can be used to customize sysctl settings

# enable bridge firewalling for docker
# net.bridge.bridge-nf-call-ip6tables=1
# net.bridge.bridge-nf-call-iptables=1

但此方法会导致 docker 中的 容器 不能使用 bridge 的网络模式,因此需要将 docker 中的 容器 的网路模式都修改为 host

三、原因探析

(一)确认无法访问

首先我们需要先找到一个合适的方法确认是否无法互相访问,并确定出特征流量,方便通过流量去追踪,因此我们选用 ping 命令,去 ping 另一个设备的 IP,检查是否可以连通。可确定其是 ICMP 流量。

通过 ping DeviceIP 可以确定这两个设备无法 ping 通,也即无法互相访问
在这里插入图片描述

(二)使用 tcpdump 检查流量

tcpdump 是一个强大的命令行网络抓包工具,可以获取 OpenWrt 的指定接口的 流量。可以安装 tcpdump 包,去获取流量并进行分析。也可以在编译的时候勾选 tcpdump 包,其路径为 Network > tcpdump,如下:

在这里插入图片描述
当安装完 tcpdump 包之后,即可使用 tcpdump 命令进行抓包分析。

首先需要确认局域网的接口名,其需要在 tcpdump 被指定,用于抓取指定接口的网络流量,例如 br.lan。随后在命令之后再带上 icmp 可以过滤 icmp 流量,进行分析。命令格式如下:

tcpdump -i br-lan icmp

通过此命令,可以看到有如下的打印:

21:04:30.316761 IP Device1.lan > OpenWrt.lan: ICMP echo request, id 21972, seq 227, length 11
21:04:30.316887 IP OpenWrt.lan > Device1.lan: ICMP echo reply, id 21972, seq 227, length 11

21:04:30.738076 IP Device2.lan > OpenWrt.lan: ICMP echo request, id 4441, seq 308, length 11
21:04:30.738136 IP OpenWrt.lan > Device2.lan: ICMP echo reply, id 4441, seq 308, length 11

21:04:35.799464 IP Device1.lan > Device2.lan: ICMP echo request, id 1, seq 93, length 40
21:04:35.803724 IP OpenWrt.lan > Device2.lan: ICMP Device1.lan protocol 1 port 21758 unreachable, length 68
21:04:35.803613 IP Device2.lan > Device1.lan: ICMP echo reply, id 1, seq 93, length 40

这段日志来可以被分成三部分:

第一部分是 Device1OpenWrtICMP 的流量,从 Device1.lan > OpenWrt.lan: ICMP echo requestOpenWrt.lan > Device1.lan: ICMP echo reply 可以看出 Device1OpenWrt 是可以正常访问, ICMP 的流量可以正常通行。

第二部分是 Device2OpenWrtICMP 的流量,从 Device2.lan > OpenWrt.lan: ICMP echo requestOpenWrt.lan > Device2.lan: ICMP echo reply 可以看出 Device2OpenWrt 是可以正常访问, ICMP 的流量可以正常通行。

而第三部分是 Device1.lanDevice2.lanICMP 的流量,可以看到 Device1.lan protocol 1 port 21758 unreachable,此时流量无法到达 Device2.lan,而是直接被路由器拦截了直接通信并返回了 unreachable 消息。

因此,这表明 OpenWrt 正在阻止 LAN 设备间的直接通信,而这点极有可能是因为 LAN 区域的转发( Forward )策略可能被设置为拒绝( REJECT/DROP )

(三)检查防火墙配置

通过命令 cat /etc/config/firewall 输出防火墙的相关配置,可以得到如下结果:

config defaults
        option input 'REJECT'
        option output 'ACCEPT'
        option forward 'REJECT'

config zone
        option name 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'
        list network 'lan'

可以看到,lanzoneforward 已经被设置为 ACCEPT (即 option forward 'ACCEPT'),但是全局配置中的 forward 被设置为了 REJECT(即 option forward 'REJECT'),因此可以推测出这里是无法相互访问的原因。

四、为什么安装 docker 之后才会出现这样的问题呢

  1. Docker 自动创建的防火墙规则
    Docker 默认会修改 iptables 规则,在 /etc/firewall.user 或自定义链中插入规则,可能导致了覆盖原有的 LAN 转发规则 或者 创建新的 DOCKER-USER 链并设置默认策略为 DROP

  2. Docker 网络接口的隔离特性
    Docker 创建的 docker0 网桥默认会:启用 net.bridge.bridge-nf-call-iptables=1(让桥接流量经过 iptables),此时触发 OpenWrt 的默认 REJECT 策略,导致原本隐式允许的 LAN 通信被显示拒绝。(参考:https://github.com/openwrt/packages/blob/master/utils/dockerd/files/etc/sysctl.d/sysctl-br-netfilter-ip.conf
    而原始配置中,因 net.bridge.bridge-nf-call-iptables=0,虽然全局默认是 REJECT,但 br-lan 桥接流量绕过了 iptables

TeleostNaCl
关注
【笔记】openwrt - 软路由中docker的转发设置
LawssssCat的博客
01-09 7557
https://blog.youkuaiyun.com/qq_40996741/article/details/98473966
树莓派玩转openwrt软路由:8.OpenWrt安装Docker环境
qq_42523645的博客
10-12 9858
树莓派OpenWrt安装Docker环境
终极指南:如何在OpenWrt上轻松管理Docker容器?luci-app-dockerman完整教程
最新发布
gitblog_01115的博客
10-27 900
**luci-app-dockerman** 是一款专为OpenWrt系统打造的Docker管理插件,提供图形化界面帮助用户轻松管理Docker容器、镜像、网络和存储卷。无需复杂命令,新手也能快速上手Docker容器部署与监控,让你的OpenWrt设备变身强大容器服务器! ## ???? 什么是luci-app-dockerman?核心功能大揭秘 luci-app-dockerman是OpenW...
OPENWRT 插件ipk单独编译-无需编译整个固件
m0_54706625的博客
02-22 8547
根据提示,安装缺少的依赖就可以。如果提示staging_dir/host/bin/ 下面缺少某个文件,这个就在ubuntu本机找,一般是/usr/bin下面。与编译相关lang的压缩包,直接解压到SDK目录/feeds/packages/ 下面就可以用。执行如下命令自动替换/etc/opkg/distfeeds.conf 文件。OpenWRT 的包管理器 opkg 的 release 部分镜像。2.把插件源码放到SDK包的packages下面,
OpenWrt上的docker容器无法访问外网解决
04-27 3389
容器里能ping通OpenWrt的管理地址和wan口地址,但ping外网别的ip或域名就无法访问。Luci>网络>防火墙>转发:接受 ->保存应用。
openwrt Docker不能联网
王家胜的博客
11-15 2650
外网不能访问内网是应为防火墙。
Docker-Compose使用自定义网桥后在OpenWrt系统中容器无法访问网络解决方案
yokoのBlog
05-23 666
Docker-Compose使用自定义bridge网桥后在OpenWrt系统中容器无法访问网络解决方案
快速精通OpenWrt R9 Docker:一键部署与网络配置秘籍
随着物联网设备的普及,OpenWrt作为一款轻量级的Linux发行版,通过集成Docker容器技术,为网络设备的扩展和管理提供了高效解决方案。本文首先对OpenWrtDocker的基础概念进行了详细解析,继而介绍了在OpenWrt安装...
局域网组建(二) OpenWrt作为一般节点接入WireGuard组建的跨地域局域网
Cx2008Lxl的博客
09-02 1万+
本实验将OpenWrt作为一般节点(不提供网关功能的客户端)接入WireGuard组建的跨地域局域网,实现与局域网内其他机器的通信
OpenWrt R9 Docker网络配置深度解析:构建高效稳定的网络环境
随着物联网设备的广泛应用,OpenWrt R9结合Docker容器技术在提供灵活的网络环境方面展现出独特优势。本文旨在提供对OpenWrt R9下Docker网络环境的全面概述,详细探讨Docker基础网络模型、OpenWrt R9网络配置以及...
实现Unraid内网穿透之虚拟机安装openwrt做旁路由及部分优化
DarkQW的博客
03-02 1万+
 使用Unraid的Nas系统已有一个多月,对其强大的可定制能力以及对虚拟机和docker的各种硬件直通,喜爱不已。在Unraid系统中搭建了各种Docker:FileBrower私有云、Jellyfin媒体中心、typecho博客、MySQL数据库、TransmissionPT下载器、Nginx代理服务器Docker、Lychee相册。其中在Nginx的Docker下实现了我的个人小站、导航页...
zerotier openwrt
01-24
另外一种方法是在 LuCI 接口里直接执行相关指令而无需额外下载任何组件。只需前往“系统”-> “软件包”,接着搜索并标记要获取的目标文件名前的小方框,确认无误后按下底部的“更新列表”与“安装所选项目”。 ###...
解决docker+openvpn搭建完成后客户端能连接,但是无法访问互联网或其他机器
weixin_40578927的博客
05-19 1万+
搭建openvpn 就是老生常谈了 这里不做说明,百度一大推 这里推荐一篇博客 (https://blog.youkuaiyun.com/QingKong999/article/details/114581082) 注意:博客只是参考,具体还是是根据自己的本地环境调整 下面进入正文 1.首先docker容器将openvpn服务端启动成功以后,使用自己的个人电脑客户端也是可以连接的,但是发现无法ping通互联网,这时候一度以为是openvpn 哪儿没配置对。 后面咨询了大佬:docker的原因大于openvpn 随后进入
[路由][问题]OpenWrt解决局域网设备无法通过域名访问主机的问题
qq_38844263的博客
01-11 1万+
文章解决了“OpenWrt开启NAT环回但无效的问题”
BPI-R1 刷入自己编译的openwrt局域网无法ping通
zmy12007的专栏
12-06 4253
这个应该不会配置问题,反正我也不是很了解真正原因!之前怀疑防火墙转发机制问题,后来怎么整都不行, 再后来发现只要在配置页面勾选一下问题就解决了 network->interface 点击lan的edit,再选择physical settings标签 在Ethernet Switch: "eth0" (lan)前面勾选 最后Save & apply 即可
openwrt 设置端口转发时候,无法访问内网的解决方法
热门推荐
BLOG OF PETERMAOSX.
02-22 3万+
不用搞什么iptable或者配置防火墙 只需要在设置端口转发时候,将对应的内网网卡的MAC地址赋值为源地址即可 比如: 我在家里内网的一台主机上布置了一个Nextcloud服务,端口设置为88端口 那么通过http://localhost:88 是可以访问到的。 那么在openwrt中可以这样设置 点击添加,然后在上面找到点击修改 注意这里,将布置有服务的内网机器MAC地址选择上。 比如我的是在这里部署的nextcloud 选择,保存并应用即可。 然后使用你自己的公网IP或者已经解析好的域名加上你设
docker服务无法访问
weixin_42181179的博客
08-30 1689
宿主机端口开启,同时能ping通,docker也与宿主机做了端口映射,但是从外部访问docker的端口服务总是无法访问解决办法 // An highlighted block #停止docker systemctl stop docker #docker0 ip link set dev docker0 down #删除docker0网桥 brctl delbr docker0 #新增一个docker0网桥 brctl addbr docker0 #增加网卡(这里ip也完全使用这个) ip addr a
安装dockers后就无法联网了,执行sudo nmcli con up Company-WiFi,一直在加载中
u010488738的博客
05-20 652
若未运行,使用 sudo systemctl start docker && sudo systemctl enable docker。尝试重置Docker网络 sudo systemctl restart docker。执行 systemctl status docker 确认服务是否正常。重启服务 sudo systemctl restart docker。查看WSL虚拟网卡(vEthernet (WSL))的防火墙规则。Docker会创建docker0虚拟网桥,可能与宿主机网络冲突。
解决docker容器启动成功之后访问不了的问题
weixin_42441333的博客
11-07 2466
*
Openwrt 安装docker
06-07
要在OpenWrt安装Docker,您需要执行以下步骤: 1. 确保您的OpenWrt系统已连接到互联网,并可以正常访问软件包库。 2. 通过SSH登录到您的OpenWrt路由器。 3. 运行以下命令更新软件包列表: ``` opkg update ```...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值