外网访问OpenWrt
你的外网设备和 PVE 是否在同一个 ZeroTier 网络ping ZTip不通 → ZeroTier 本身没通先解决 ZT 连接问题确认 ZeroTier 授权 登录 ZeroTier 后台找到你的网络确认PVE 这台设备的前面已经打勾IP 分配正常就是看到的 ZTipPVE上检查ZeroTier 连接问题检查 PVE 上的 ZT 服务zerotier-cli status状态应该是ONLINE1. 开启内核转发必须第一条echo 1 /proc/sys/net/ipv4/ip_forward告诉 PVE 系统“你要允许数据包从一个网卡转发到另一个网卡”不执行这条下面所有转发都无效。2. 端口转发核心最关键iptables -t nat -A PREROUTING -p tcp --dport8888-j DNAT --to-destinationistoreOS-ip:80逐段翻译iptablesLinux 防火墙工具-t nat操作 NAT 转发规则-A PREROUTING在数据包进入时修改-p tcp只针对 TCP 协议--dport 8888目标端口是 8888 可自定义-j DNAT修改目标地址--to-destination istoreOS-ip:80转发到 iStoreOS 的 80 端口总结谁访问 PVE 的 8888 端口 → 自动转给 iStoreOS-IP3. 源地址伪装必须加否则访问不到iptables -t nat -A POSTROUTING -d istoreOS-ip -p tcp --dport 80 -j MASQUERADE意思让返回的数据包正常走 PVE 回去不然 iStoreOS 不知道把数据还给谁。总结让 iStoreOS 以为是 PVE 在访问它从而正常返回数据。4. 持久化保存上面的命令重启 PVE 就消失要永久生效执行apt install iptables-persistentnetfilter-persistent save# 清空旧规则iptables -t nat -F PREROUTING