从你的描述来看，内网所有设备都能正常连接ASUS路由器上的VPN，但公网访问失败，核心问题大概率出在公网流量到ASUS VPN服务的路径打通环节，我给你梳理几个最关键的排查步骤：

1. 检查D-Link路由器的端口转发配置 #

VPN服务运行在ASUS（192.168.21.1）上，公网流量首先会到达D-Link的公网IP，你需要在D-Link上配置端口转发，把VPN对应的端口映射到ASUS的内网IP：

• 先确认你用的VPN类型对应的端口：比如OpenVPN默认是UDP 1194，IPSec用UDP 500/4500，L2TP用UDP 1701 + TCP 1723
• 登录D-Link（192.168.20.1）的管理界面，找到「端口转发」或「虚拟服务器」选项
• 添加规则：外部端口填VPN对应端口，内部IP填192.168.21.1，内部端口和外部端口一致，协议选对应的UDP/TCP（比如OpenVPN选UDP）
• 保存后，用公网环境下的设备测试能不能连通端口，比如执行telnet your-noip-domain.com 1194，如果能连通说明端口转发生效

2. 排查D-Link的防火墙与DMZ设置 #

有时候即使做了端口转发，D-Link的默认防火墙也会拦截外部VPN流量：

• 临时降低D-Link的防火墙级别（或关闭，测试完务必恢复），再尝试公网连接VPN
• 或者在D-Link的防火墙规则里添加允许外部IP访问VPN端口的规则
• 可以临时把ASUS设为D-Link的DMZ主机（所有外部流量直接转发到ASUS），测试是否能连接——注意DMZ会暴露ASUS到公网，测试后立即取消

3. 确认ASUS VPN服务的接入权限 #

有些VPN服务默认只允许内网设备连接，需要调整ASUS的设置：

• 登录ASUS（192.168.21.1）的管理界面，找到VPN服务的配置页
• 检查是否有「允许外部连接」或「接入接口」的选项，确保设置为允许「所有接口」或「WAN接口」接入
• 如果是OpenVPN，检查配置文件里的local参数是否为0.0.0.0（允许监听所有IP），而不是只绑定内网IP

4. 检查是否存在双重NAT问题 #

如果D-Link本身是在ISP光猫的路由模式下运行，就会出现双重NAT，导致公网流量无法正确到达D-Link：

• 登录D-Link的管理界面，查看WAN口IP：如果是私有IP段（比如192.168.x.x、10.x.x.x、172.16-31.x.x），说明是双重NAT
• 解决方法：要么把ISP光猫改成桥接模式，让D-Link直接获取公网IP；要么在光猫上也配置端口转发，把VPN端口映射到D-Link的内网IP（光猫分配给D-Link的那个IP）

5. 验证No-IP的解析正确性 #

有时候动态DNS的IP解析可能延迟或错误：

• 在公网环境下，用命令nslookup your-noip-domain.com或ping your-noip-domain.com，查看解析出的IP是否和D-Link当前的公网IP一致
• 如果不一致，登录No-IP的后台手动更新解析，或者检查D-Link上的动态DNS设置是否开启了自动IP更新

6. 确认跨网段路由与VPN推送设置 #

你需要访问D-Link网段（192.168.20.x）的电脑文件，还要确保路由通畅：

• 检查ASUS和D-Link之间的静态路由：D-Link要知道192.168.21.x网段的下一跳是192.168.21.1，ASUS要知道192.168.20.x网段的下一跳是192.168.20.1（如果是直连的话可能默认已通，但最好确认）
• 在ASUS的VPN设置里，确保推送了192.168.20.x网段的路由给客户端，这样VPN客户端才能知道访问这个网段的流量要走VPN隧道

内容的提问来源于stack exchange，提问作者Aksebkit