联通家宽 IPv6 不能从公网访问/传入以及网关疑问?
SakuraSauce · 2023-03-07 20:10:57 +08:00 via Android · 4017 次点击这是一个创建于 611 天前的主题,其中的信息可能已经有所发展或是发生改变。
环境:联通家宽 500M
FTTB 接入,无光猫,小米路由器 4A 千兆版 PPPoE 拨号,IPv6 为 Native 模式,IPv6 也正确下发。
用途:访问 NAS
由于有公网 IPv4 ,之前一直没关注 IPv6 ,今天突然想玩一下 IPv6 。
现状:在同路由器局域网下访问 NAS 分配到 2408 开头的公网地址,可以正常使用。但如果脱离路由器局域网,访问 2408 开头的公网地址,则全部拒绝连接,NAS 日志内也没出现访问日志,推测数据包未到达。
NAS 防火墙都已放行,路由器并未找到有关防火墙的设置项,且在同局域网环境下,该 2408 地址正常使用。
我注意到路由器内显示 WAN IPv6 网关为 fe80 开头,其余项目都是正常的 2408 开头。
是否有可能是网关的问题导致分配到的实际上是"内网 nat 状态的"2408 IPv6 地址?
附图:https://p.sda1.dev/10/c4b1776227bd458bf4daabd12822b188/FT__E8KH0S8BQUO3NFNSG0Q.png
FTTB 接入,无光猫,小米路由器 4A 千兆版 PPPoE 拨号,IPv6 为 Native 模式,IPv6 也正确下发。
用途:访问 NAS
由于有公网 IPv4 ,之前一直没关注 IPv6 ,今天突然想玩一下 IPv6 。
现状:在同路由器局域网下访问 NAS 分配到 2408 开头的公网地址,可以正常使用。但如果脱离路由器局域网,访问 2408 开头的公网地址,则全部拒绝连接,NAS 日志内也没出现访问日志,推测数据包未到达。
NAS 防火墙都已放行,路由器并未找到有关防火墙的设置项,且在同局域网环境下,该 2408 地址正常使用。
我注意到路由器内显示 WAN IPv6 网关为 fe80 开头,其余项目都是正常的 2408 开头。
是否有可能是网关的问题导致分配到的实际上是"内网 nat 状态的"2408 IPv6 地址?
附图:https://p.sda1.dev/10/c4b1776227bd458bf4daabd12822b188/FT__E8KH0S8BQUO3NFNSG0Q.png
 |
1
yyzh 2023-03-07 20:38:21 +08:00  1
fe80 不是问题,我这也是 fe80 的.你看看是不是光猫有 ipv6 的防火墙?
 |
 |
2
SakuraSauce OP @yyzh 我的是 FTTB 接入,网线入户,没有光猫,路由器直接拨号的,路由器是小米 4A 千兆版,路由器内没找到防火墙选项,NAS 的 ufw 防火墙我放行了全端口
|
 |
3
maoshen1234 2023-03-07 20:56:54 +08:00
端口换下,别用常用端口
|
 |
4
Lentin 2023-03-07 21:03:03 +08:00 2
ip6tables -S
路由器默认屏蔽 ipv6 入站,楼主可以试试电脑拨号 |
|
5
SakuraSauce OP @maoshen1234 用的是非常用端口
|
|
6
SakuraSauce OP @Lentin 小米路由器有办法关闭屏蔽吗?我也很想试试电脑拨号,但是暂时没有条件(电脑网口坏了,WAN 插在 NAS Ubuntu 拨号的话,没有局域网控制它,是没有 GUI 的服务器)
|
 |
7
djv 2023-03-07 21:10:42 +08:00 via Android 1
防火墙,建议升级个小米的 cr8808 路由器或者刷个系统,防火墙不开或者端口不开不行的。
|
|
8
djv 2023-03-07 21:12:36 +08:00 via Android
开了防火墙端口全开下面是 nas 感觉不安全,可以考虑刷个系统,单开一个端口
|
 |
9
clickhouse 2023-03-07 21:26:46 +08:00 1
我这边联通 ipv6 实测没有问题,所以我手动加了防火墙,建议换个路由试一下。
|
|
10
SakuraSauce OP @clickhouse 可以,还有几天就发工资了,我到时候买个新的路由器,看看有没有关闭防火墙选项
|
 |
11
sentivcn 2023-03-07 21:41:43 +08:00 1
ipv6 防火墙 forward 被禁了
|
 |
12
fish3125 2023-03-07 22:09:53 +08:00 1
这个路由器似乎也可以开 ssh ,可以允许部分端口到 lan 的转发。直接关闭整个防火墙风险太高。
|
|
13
SakuraSauce OP @fish3125 GitHub 上的 OpenWRTInvasion 项目我刚刚试了,无法破解,可能我的固件版本太高了 2.28.84
|
 |
14
heiher 2023-03-07 22:20:10 +08:00 via Android
这个路由直接刷 openwrt
|
|
15
SakuraSauce OP @heiher 刚刚搜了相关内容,OpenWRTInvasion 无法破解我的路由器,可能我的固件版本太高了 2.28.84
|
 |
16
Suzutan 2023-03-08 08:34:54 +08:00 via iPhone 1
https://xenwayne.top/amp/182.html
可以参照这个方法来关闭,ac2100 能成功 |
|
17
Suzutan 2023-03-08 08:37:13 +08:00 via iPhone 1
如果命令无效的话可以先降级到早期固件再试试,小米的路由对固件基本都是没有校验的
|
 |
18
dn1095239 2023-03-08 09:06:11 +08:00 via iPhone 1
@SakuraSauce 先降级刷 ROM 再破解,固件 repo 里就有
|
 |
19
kaedeair 2023-03-08 09:45:27 +08:00
网线直插电脑拨号看看能不能直连,再排除路由器的问题
|
 |
20
Jhma 2023-03-08 10:29:03 +08:00
判断是否路由器 v6 防火墙的问题也简单,,直接电脑拨号,电脑开个端口出来,从手机热点 v6 环境连接一下这个端口是否成功,还不通的话就是运营商上层设备的问题了
|
|
21
SakuraSauce OP @dn1095239 谢谢大佬提供的思路,我降级到 2.28.62 固件( https://web.vip.miui.com/page/info/mio/mio/detail?app_version=dev.20051&postId=19166773 ),成功使用 OpenWRTInvasion 破解 SSH 了!
|
|
22
SakuraSauce OP @yyzh @Lentin @djv @clickhouse @sentivcn @fish3125 @Suzutan @dn1095239 哇!谢谢你们,我通过降级固件再使用 OpenWRTInvasion 成功破解了路由器 SSH 并关闭了 IPv6 防火墙,现在联通家宽 IPv6 入站完全正常了!
附图: https://p.sda1.dev/10/7e140f97c68ed4bb6548f88b92c77c7f/V7E9`C_4_WMP31H``_2EY_G.png https://p.sda1.dev/10/c17a2d10e182b820013ab45fd67ff8b0/Screenshot_2023-03-08-10-53-18-650_com.chrome.beta-edit.jpg |
 |
23
panhaipeng 2023-03-08 12:22:43 +08:00 1
和楼主一样的路由器,刷了官方 OpenWRT 。楼主注意,放开所有设备的 IPV6 公网,会有一定的风险,有些设备有漏洞之类的,最好只允许指定设备。
|
|
24
SakuraSauce OP @panhaipeng 好的,感谢提醒
|
 |
25
lovezhiqi123 2023-03-09 05:55:10 +08:00 1
网关就是 fe80 ,是主路由自己本身的缺省 IP ,没有错的
|
 |
26
dude4 2023-03-09 13:18:38 +08:00 1
国内厂商路由 V6 防火墙两种:要么默认关闭裸奔,要么默认开启没法关闭
关了如果你 ISP 重拨时间长会有风险,之前在恩山看到某人不信邪关了还贴出地址,没几天就哭诉被黑了 4A 可以刷 openwrt ,刷了吧。openwrt 虽然繁琐,但是我用过的支持 V6 防火墙最完善的路由系统,防火墙还支持 V6 地址动态掩码,完美解决国内 V6 动态地址问题。 |
|
27
SakuraSauce OP @dude4 我开了个新帖问,得到的答案现在国内厂商的路由器好像也很多可以选择开启或关闭了,我打算先买个新的,再刷了这个 4A ,不然万一出问题我家就断网了
|
 |
28
nullexcep 2023-03-10 00:56:37 +08:00
@dude4 老铁,请教一下怎么把动态的 ipv6 转成静态 ipv6 ,目前运营商会定期更新 ipv6 地址前缀,如果能固定住那就很好了
|
Select Language