V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wangbenjun5
V2EX  ›  宽带症候群

国内 ipv6 普及了,但是好像没卵用

  •  1
     
  •   wangbenjun5 · 2020-05-07 11:48:42 +08:00 via Android · 22142 次点击
    这是一个创建于 1694 天前的主题,其中的信息可能已经有所发展或是发生改变。
    很多年前就开始吹 ipv4 地址不够用啦,ipv6 可以给地球上每一粒沙子分布一个独立 ip,可以互联互通……

    10 多年过去了,最近几年国家也在大力推进 ipv6 部署,众所周知,现在手机基本上早已经都是 ipv6 地址了,很多固网宽带也已经是 ipv6 了。

    比如我家的新办理的电信宽带,一开始就是 ipv6,访问很多网站也都是走的 ipv6,然并卵,就我个人而言,和 ipv4 没啥区别,墙依然在,而且也没法在公司直接远程家里电脑,还得端口映射或者 teamviwer……(最开始电信给的还是内网 ipv4 地址,打电话让改的公网)

    至于家里的智能设备,我用的小米的摄像头和空调伴侣,实际上它是先连 WiFi,通过 WiFi 上网(或者蓝牙),根本不依赖 ipv6,再说了,如果真的直连 ipv6,那安全性估计够呛。

    本质上,很多家里的路由器就是一道防火墙,很少有人直接电脑拨号上网,家里设备分配的 ip 还是内网 ip,就算运营商给你一个公网 ip 有啥用呢?还不得端口映射一下

    所以有没有吊大的告诉我,现阶段 ipv6 到底有啥好处?
    第 1 条附言  ·  2020-05-07 15:52:04 +08:00
    很多人没理解我说的意思,说到 ipv6,大家讲的最多的就是每一个设备一个 IP,不再使用 nat 机制,各种设备之间可以互联互通,就好比你局域网一个网段之间的设备。

    其实我比较不确定的一点是,路由器是不是依然是一道防火墙? 举个例子,ipv4 下,路由器给你电脑分配的都是内网 IP,你朋友的 192.168.1.7 肯定不能和你的 192.168.1.8 互通,因为中间从路由器过的时候多了一道 nat,所以就有了各种打洞方法。

    所以 ipv6 下解决了这个问题吗?假设你和你朋友用的都是 ipv6 的猫和路由器,请问能否直连?
    第 2 条附言  ·  2020-05-07 22:15:59 +08:00
    这样吧,我做一个实验,我路由器管理页面里面显示的 ipv6 地址:240e:82:2c82:42eb:f97e:7ab4:3757:e5db

    其中我 Ubuntu 的 ifconfig 的信息:
    inet6 addr: 240e:82:2c02:ce2a:c463:c25e:5016:7fdd/64 Scope:Global
    inet6 addr: fe80::48ef:c32e:37b5:2663/64 Scope:Link
    (求解这 2 个地址有啥区别???)


    1. 电脑浏览器访问: http://[240e:82:2c82:42eb:f97e:7ab4:3757:e5db]/cgi-bin/luci 出来的是我的路由器管理界面,使用手机(电信卡)流量访问是打不开的。(求解???)


    2.电脑浏览器访问: http://[240e:82:2c02:ce2a:c463:c25e:5016:7fdd]/ 显示是我本地的 web 服务(我本地 80 和 8888 端口各启动了一个 web 服务)

    在手机上无论是 80 还是 8888 都显示响应时间过长。(求解???)
    140 条回复    2021-11-02 12:57:28 +08:00
    1  2  
    wangbenjun5
        101
    wangbenjun5  
    OP
       2020-05-07 22:33:14 +08:00
    server {
    listen 1234 default_server;
    listen [240e:82:2c02:ce2a:c463:c25e:5016:7fdd]:1234 default_server;

    至于防火墙,我的 Ubuntu 肯定没防火墙,不过电信这个猫有没有我也不清楚,设置里面没有相关配置项
    Reatence
        102
    Reatence  
       2020-05-07 22:43:53 +08:00 via Android
    @wangbenjun5 Ping 不通
    wazon
        103
    wazon  
       2020-05-07 22:46:01 +08:00
    @wangbenjun5
    240e 开头的是公网 IP
    fe80 开头的链接本地 IP,可以理解成 IPv4 的内网 IP

    路由器管理界面不能被外网访问是应有的安全措施

    通过路由追踪你的电脑,最接近终点的四跳是:
    240e:0:8000:1::8005
    240e:0:8000:1307::3
    240e:82:2c82:42eb:f97e:7ab4:3757:e5db
    *
    可见 ICMPv6 抵达了路由器,但你的 Ubuntu 似乎未响应

    问题排查建议:
    1. 通过 http://www.test-ipv6.com/ 确认主机是否正确获得了 IPv6 地址
    2. 看局域网内其他支持 IPv6 的设备能否以公网 IPv6 打开 80 和 8888 。如果不能,检查 web 服务配置是否正常(如是否绑定在本机 ip 或 0.0.0.0 、[::]),检查主机防火墙是否放行相关端口(如无安全顾虑,可以先全部关闭)
    3. 如果局域网内访问正常但外网无法访问,检查路由和光猫的防火墙。如果光猫在路由模式,尝试将主机直接连接光猫。如果光猫在桥接模式用路由器拨号,则主要检查路由器的防火墙。( 80 可能会被运营商屏蔽,随意的高位端口一般不会)
    fensou
        104
    fensou  
       2020-05-07 22:51:23 +08:00 via iPhone
    配置固定 ip,不是换端口
    fensou
        105
    fensou  
       2020-05-07 22:58:34 +08:00 via iPhone
    还有你的路由器 ipv6 wan 到 lan 可以全放通先,是 openwrt 吧,
    phpc
        106
    phpc  
       2020-05-07 22:58:39 +08:00
    路由器执行
    ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT
    ip6tables -A FORWARD -p tcp -d 240e:82:2c02:ce2a:c463:c25e:5016:7fdd --dport 8888 -j ACCEPT
    wangbenjun5
        107
    wangbenjun5  
    OP
       2020-05-07 23:04:37 +08:00
    @wazon

    问题排查结果:
    1.确实是支持,获取的 ipv6 地址刚好是我 ifconfig 看到的 240e 开头的
    2.局域网内其它设备,比如我的手机连接 WiFi 的话也是可以通过 ipv6 地址打开 80 、1234 等端口,nginx 默认绑定的是[::]:1234,主机无防火墙
    3.电信送的光猫+路由器一体设备,华为的终端,默认是路由模式,主机和光猫网线直连。我怀疑就是这个猫有问题,但是我在其设置页面也没看到什么防火墙的选项,看样子是无解了,80\8888 端口我都试了不行,我换成 1234 端口也不行,肯定不是个别端口问题
    MoeMoesakura
        108
    MoeMoesakura  
       2020-05-07 23:08:29 +08:00 via Android
    @kuner0614 #32 当真?
    你改 hosts 能直连 Google ?
    (IP 明显被直接丢包了)
    (能当我没讲)
    wangbenjun5
        109
    wangbenjun5  
    OP
       2020-05-07 23:11:12 +08:00
    @phpc 电信的路由器,没破解,没法执行命令。。。我估计可能是自带了防火墙,而且也没给设置选项
    wazon
        110
    wazon  
       2020-05-07 23:11:53 +08:00
    @wangbenjun5
    你可能需要根据你的光猫型号,在网上寻找获取超级管理员权限的方法
    wangbenjun5
        111
    wangbenjun5  
    OP
       2020-05-07 23:11:54 +08:00
    @fensou 不是 openwrt,电信自带的光猫
    wangbenjun5
        112
    wangbenjun5  
    OP
       2020-05-07 23:17:05 +08:00
    @wazon 刚才看了下有一个快速装维入口,用猫账号密码进去,发现设置项丰富了很多,其中有一个安全选项,有防火墙和 dos 攻击保护选项,默认勾选,我给去掉了,但是好像还是不通。http://[240e:82:2c02:ce2a:c463:c25e:5016:7fdd]:12345/
    wazon
        113
    wazon  
       2020-05-07 23:23:01 +08:00
    @wangbenjun5 你光猫的 IP 地址可能由于设置的改动已经发生变动
    wangbenjun5
        114
    wangbenjun5  
    OP
       2020-05-07 23:24:26 +08:00
    @wazon 我刚重启了一下猫,ipv6 的地址没变,但是依然不通,放弃了。。。
    flyfishcn
        115
    flyfishcn  
       2020-05-07 23:26:13 +08:00
    @wangbenjun5 #92 说明你路由器的防火墙是正常工作的,内网是可信的,默认放行了。而外网是不可信的,所以被阻断了。
    zro
        116
    zro  
       2020-05-07 23:26:49 +08:00
    即使有公网 v6 IP,自己能连上了,不等于别人也能连上你,为啥?
    除了考虑防火墙之外,还要考虑路由。。

    最近在内网配置多个静态 v6 公网,花了好些时间才配置好,也是没考虑路由,以为把静态 IP,子网 prefix 都设好了就能自动互联了。。
    wazon
        117
    wazon  
       2020-05-07 23:26:49 +08:00
    @wangbenjun5 这么说是因为追踪你的主机,倒数第二跳已经变为:
    240e:82:2c82:fe56:39c2:a0c7:9dac:c124
    一般而言,重启光猫会导致前缀发生改变。如果主机的显示没变,重启后应该能反映出来。
    flyfishcn
        118
    flyfishcn  
       2020-05-07 23:28:17 +08:00
    补充下:这里的防火墙也有可能是上层运营商设备的。
    wazon
        119
    wazon  
       2020-05-07 23:29:32 +08:00
    @zro 不知道你有什么特殊情况,我所在的网络( SLAAC 分配)不需要额外配置路由规则
    wangbenjun5
        120
    wangbenjun5  
    OP
       2020-05-07 23:33:05 +08:00
    @wazon
    @zro
    @flyfishcn


    你的公网 IPv4 地址是 1.203.120.41
    你的公网 IPv6 地址是 240e:82:2c02:ce2a:c463:c25e:5016:7fdd
    你的运营商( ISP )是 CNIX-AP China Networks Inter-Exchange
    你已接入 IPv6,因此我们增加了一个标签页,显示你能否访问其他 IPv6 网站。[更多信息]
    本站现已支持 HTTPS 。 [更多信息]
    你的 DNS 服务器(可能由运营商提供)已经接入 IPv6 互联网了。


    ------------------------------------------------------------------------------------------------------------------

    真不行,我重启之后,这个 ipv4 地址倒是变了,我路由器找电信要了个公网 ip,做了端口映射,所以你们可以访问

    http://1.203.120.41:8888/ 试试,是完全通的

    而且我还在 4455 端口开了个 Samba 共享,这个都是通的,不折腾了。。。
    zro
        121
    zro  
       2020-05-07 23:50:19 +08:00
    @wazon #119 我有多个不同 ISP 的 v6,但一个网段不想出现多个 ISP v6 地址,需要用到一个不常用的 v6 我再另外手动设置,所以就通过配置静态来把这个不常用的藏起来。。常用的还是用 RA SLAAC 的。。

    @wangbenjun5 #120 如果你是光猫分配的 v6,首先要确保光猫的 v6 防火墙有没有开启转发,默认关掉是直接丢包的,启用转发下面的设备才能收到包的。。
    wazon
        122
    wazon  
       2020-05-07 23:51:48 +08:00
    @wangbenjun5
    有趣的是,240e:82:2c82:fe56:39c2:a0c7:9dac:c124 这个地址现在是可以 ping 通的。
    你提供的主机,无论是 ICMP 还是 TCP 都还是没有响应。
    flyfishcn
        123
    flyfishcn  
       2020-05-07 23:52:19 +08:00
    如果不是高端设备,设备自带的防火墙又不是 v4\v6 分开的,大概率那个防火墙只对 v4 生效。如果还想测试,可以考虑改桥接后直接 PPPOE 拨号测试。
    wazon
        124
    wazon  
       2020-05-07 23:58:38 +08:00
    @flyfishcn 确实,光猫 IPv6 防火墙的情况比较复杂。默认放行的、默认禁止的,用户界面可以配置的、用户界面不能配置的,都有听说
    yueyericardo
        125
    yueyericardo  
       2020-05-08 00:09:00 +08:00
    wangbenjun5
        126
    wangbenjun5  
    OP
       2020-05-08 00:11:34 +08:00
    最后贴一下猫的型号吧,我感觉大概率是猫路由的问题,有人说改桥接模式自己拨号,路由器我倒是有,只不过不知道宽带的拨号账号密码,因为这个宽带是好像不用拨号的。。。好像是绑定了什么东西,我也没问安装人员要。
    ------------------------------------------------------------------------------------------------------------------------------------
    设备类型 GPON 天翼网关(4 口双频)
    产品型号 HS8145V5
    产品序列号 04885F-4583104885F2BEDA8
    软件版本号 10HWY41900050
    ------------------------------------------------------------------------------------------------------------------------------------

    不折腾了,其实 ipv4 也能用,这个公网 ip 只要不重启猫,一个月可能都不会变一次,端口映射一下挺好使,上传可以达到 40MB,开个 Samba 共享,http 服务也凑合用
    phpc
        127
    phpc  
       2020-05-08 00:15:29 +08:00
    正如 #75 所说,国内 ipv6 真正的问题其实是很多路由器 /光猫在操作界面根本没有 IPv6 防火墙的开关。不知道国外是什么情况
    txydhr
        128
    txydhr  
       2020-05-08 01:15:06 +08:00 via iPad
    @phpc 国外很多运营商还强制你用他家的路由器,也是动不了 ipv6 防火墙
    systemcall
        129
    systemcall  
       2020-05-08 07:21:01 +08:00 via Android
    ipv6 不是分配一个公网 ip,而是给你一段 ip
    默认是分配一个前缀,有的地区是 /64 的,有的是 /56 的,/56 的还可以再分成很多个 /64 的。
    fe80 开头的是基于 MAC 地址的本地连接 ip 地址,与前缀结合是永久 ip 地址,但是出于安全考量不会用,会用临时 ip 地址。不过我见到电信的猫默认拿 DHCPV6 分配的,是从 1 开始分配 ip 。
    你遇到的问题,多半是光猫拨号导致的问题吧。很可能是光猫默认禁止了所有 ipv6 入站连接,得拿超管账号把 v6 的防火墙改一下,直接改成全部放行算了。我是没看到多少家用设备有稍微正常点的 v6 防火墙的
    systemcall
        130
    systemcall  
       2020-05-08 07:26:04 +08:00 via Android
    @txydhr 不知道默认的策略是什么。现在国内大部分用户也是使用的运营商提供的一级路由。但是从挂 bt 的连接上看,还是有不少与国外的 ipv6 用户的连接的
    国内的运营商的部分设备,DMZ 主机、端口映射、防火墙、upnp 好像都要超管账号才可以调节,默认连 upnp 也是关闭的。但是拿到超管账号进去,设置选项很多,感觉有点接近商用设备了
    jiangyang123
        131
    jiangyang123  
       2020-05-08 09:25:52 +08:00
    光猫改桥接模式,然后自己路由拨号,自己控制 ipv6 的防火墙
    mm2x
        132
    mm2x  
       2020-05-08 09:28:50 +08:00
    1.两个 IP 分别是内网和公网的区别
    2.请打开 电信光猫的 IPv6 防火墙!!!超密自己想办法啊。
    3.如果不确定可以从外网路由跟踪你的外网 IPv6 看是否到路由地址断开了。
    4.端口 80 443 8080 等不会因为你是 IPv6 就给你开放。我这是封的
    5.如果打开了防火墙请检查 DOS 攻击防御是否关闭
    leido
        133
    leido  
       2020-05-08 12:06:08 +08:00
    原来楼主根本不懂啥叫 nat,也不懂 ipv6,先把基础学好了再来问可以吗
    SaigyoujiYuyuko
        134
    SaigyoujiYuyuko  
       2020-05-10 10:53:14 +08:00
    @wangbenjun5 不好意思这 2 天在折腾软路由 fe80 好像是内部地址 240e 是电信分配的公网 至于进不去 检查一下你的防火墙设置
    lynn0977
        135
    lynn0977  
       2020-05-13 12:29:35 +08:00 via iPhone
    外网和内网网段不同跟 NAT 没关系,跟防火墙也没关系
    Kunmona
        136
    Kunmona  
       2020-05-14 02:02:16 +08:00
    坐标成都联通,双栈公网 ip,百兆宽度,ipv4 下行 120M 上行 20M,但 ipv6 打了鸡血上行 725M 上行 100M 。( ipv6 测速网站 http://speed.neu6.edu.cn/)
    LTE 网络全面普及 ipv6,家里 nas 可以使用移动网络访问到,且速度非常快,完全可以丢掉垃圾百度网盘。
    总结一下优点 1 ipv6 比 ipv4 快至少在我这快非常多 2 每个设备都有公网 ip,设备连接方便。
    JenghongLee
        137
    JenghongLee  
       2020-05-14 15:51:16 +08:00 via Android
    @Kunmona 那是因为 ipv6 目前用的人少,在局端还没有设定限速令。
    wslzy007
        138
    wslzy007  
       2020-05-14 21:25:40 +08:00
    家中 ipv6 宽带,4G 网络手机。。。
    直接用 sg 穿透吧,不用更改防火墙,网速没得说
    https://github.com/lazy-luo/smarGate
    moonriver00
        139
    moonriver00  
       2020-05-20 19:27:56 +08:00
    猫的安全设置里面的东西,防火墙之类的都关掉就行了
    fullsail
        140
    fullsail  
       2021-11-02 12:57:28 +08:00
    其实你的手机上网(运营商网络)基本用的都是 IPV6 ,这才是国内的大规模应用。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1349 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 17:35 · PVG 01:35 · LAX 09:35 · JFK 12:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.