在 B 节点加上这条试试：　 iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o br-lan -j MASQUERADE

@lilogo 是啊, 因为 B 后面的机器默认网关不是 B 节点, 收到 ping 包后, 因为没有到 192.168.1.x 的路由, 会送到他们自己的默认网关去. 这时候你要在 B 设备上的 lan 接口做 NAT, 让所有 B 后面的机器以为包是 B 设备访问的, 包就可以送回 B 设备

你这种情况就要加 NAT 了. 但也是在 LAN 接口加, 不要加在 tinc 接口上

@lilogo 不是默认网关? 那当然是有关系的, B 同网段的设备收到 ping 后没有返程路由啊, 全都送到它自己的默认网关去了

@lilogo 你先确认这台设备能够回 ping, 可以的话在这台设备上抓包

Forwarding 用默认 internal, 文档里都不建议修改这个值. 你修改它作甚.

@lilogo DirectOnly = no
Forwarding = kernel
不需要配置在 tinc.conf 里, 默认就好了

@lilogo 点旁边的编辑 Inter-Zone Forwarding ->Allow forward to destination zones 以及 Allow forward from source zones 里要把 lan 给选上.

这里如果需要通过 vpn 访问对端的外网, 也需要将 wan 选上, 看你的情形是不需要.

@lilogo zone 配置不对, 蓝色的 tun(最底部的)应该和绿色的 lan 相互转发, 你现在是 reject

@lilogo 不需要 NAT，不需要 NAT，不需要 NAT，重要的事情说三遍。

@lilogo 贴出 B 上的路由，firewall zone 的配置

@lilogo 防火墙区域那里不需要勾选右边的 Masquerading 啊，为什么一直对 Masquerading 念念不忘？

@lilogo 在 /etc/config/network 里添加的也是一样的，interface 页面会有个 tun0 接口

@lilogo 你的 tun0 接口是在 interface 页面创建的不？
在 Network > Interfaces > NETNAME （ tun0 接口） > Firewall Settings 设置中 ，创建新的防火墙区域 tinc。然后在 Network > Firewall > General Settings > Zones 设置中，编辑防火墙区域 tinc，使其能和防火墙区域 lan 相互转发。不然确实是访问不到子网的

@lilogo 看起来你是 openwrt 啊，需要配置下 openwrt 的防火墙

@lilogo 不需要 MASQUERADE 啊。按照#31 正常就应该能访问 B 后面的机器了。B 端有没有加上 A 的路由啊，看看 ip route 的结果呢

@lilogo 当封包转给 tun0，tinc 会根据 host 文件里声明的 subnet 来决定将这个封包转给哪一个 tinc 节点

@lilogo 不需要指定下一条 ip，指定 dev tun0 就好了，如果你是在 tinc-up 里，直接 ip route add 10.200.30.0/24 dev $INTERFACE 即可

@lilogo hosts 文件里要通过 Subnet 来表明对方节点支持的网络，tinc 才会将封包转过去。比如你的 A 里面要有 B 的 host 文件，这个文件里至少要有两个 Subnet，以一个是 tinc 节点本身的
Subnet = 172.16.14.2/32
还有一个 Subnet 表明要访问的 B 的子网
Subnet = 10.200.30.0/24
反之，B 里面的 A host 文件也要有 A 的信息