最近在折腾组网,发现 IPV6 很香,有点问题请教各位大佬!

164 天前
 liuyin
因为手里不缺服务器,没有公网 IPV4,所以之前一直是用的 FRP,但是 FRP 一个服务就得开放一个端口(貌似可以开放一组端口,但是还是觉得麻烦)
所以最近就在想把两个家里的网络给无缝整合一下,转了一大圈之后没有找到合适的方案,于是乎想起了 IPV6.
两个家里都是有 IPV6 的,我发现开放 IPV6 获取之后,几乎每个设备都可以获取一个公网 IPV6 地址,链接起来很舒服,速度比 FRP 依靠中转快太多了,访问另外一个家里的 PLEX 丝滑至极.
如上所述,IPV6 每个机器都会有一个公网地址,我目前是没开防火墙的,这样一来是不是会有安全问题?
另外就是,想请教各位大佬,有没有更好的方案,比这种通过 IPv6 公网访问,更安全一点异地组网?
不太想用那种打洞的方案,以为打洞几乎都是 UDP,我们这边 UDP QOS 很严重,直接掉线那种..
3221 次点击
所在节点    宽带症候群
25 条回复
Ipsum
164 天前
默认 drop v6 主动入的包,需要的 service 再开权限。
liuyin
164 天前
@Ipsum 嗯,我感觉防火墙还是得开启来.
SvenWong
164 天前
我是禁了所有的 ipv6 的入站,仅开放了部分端口转发到 nas 上
wtks1
164 天前
zerotier 优先调用 ipv6 组网,在 udp 限流的情况下用这个更稳定
Int100
164 天前
异地组网,建议一定要加密传输.
IPsec + NAT(symmetric) + 防火墙

为什么用 IPv6 还开 NAT 可以参考:
https://www.v2ex.com/t/1108573
liuyin
164 天前
@SvenWong 你说的方式应该是最佳的了,开个二步验证应该问题不大.
liuyin
164 天前
@wtks1 zerotier 不管什么方式组网应该都会用 UDP 吧
liuyin
164 天前
@Int100 谢谢,我看看!
zwy100e72
164 天前
IPv6 全公网访问个人感觉已经很好了,如果楼主愿意折腾,还可以

* 加上 Site-to-Site VPN 实现 IPv4 / ipv6 ula 也可以相互访问
- 多个站点之间使用相互兼容的 ipv4 私有地址空间 & ipv6 ULA
- 相互之间设置静态路由或者通过动态路由协议配置路由
- 好处是地址是自己分配的,可以长时间保持不变;缺点是配置难度还是有点高
* 加上内部 DNS 服务,利用 `home.arpa` 或者 `example.your-domain.com` 实现域名解析和 TLS 证书
totoro625
164 天前
1. 端口问题
可以用 nginx 等,汇总到一个 ipv6 的其中一个端口上

2. 防火墙
推荐开启防火墙,并且丢弃全部 ipv6 数据
可以在其中一台机器只负责数据入站,不主动对外访问,这样别人也不知道你这太机器的 ipv6 地址,而且能够集中管理防火墙

具体实现:开一台 debian 跑防火墙+nginx ,所有外部范围都通过这台服务器的 nginx ,其他内网服务器拒绝所有 ipv6 数据,防火墙只放行 443 端口
进阶:配置 ip 白名单,只开启一个随机端口允许所有人访问用于端口敲门,放行自己的 ip ,不直接对外提供服务
NGUTHONG
164 天前
没开防火墙当然会有安全问题,毕竟家里的服务都在公网上了,我目前是家里路由器开了个 shadowsocks 服务器,对外防火墙也只开了一个代理的端口,所有的内网服务都不开放公网的,访问家里直接连代理的方式回家,并且因为是 ss ,可以在客户端很方便的做分流管理,异地设备访问到指定网段直接就通过 ss 规则回家,比 zerotier 这些组网工具方便不少,不用等待握手什么的
liuyin
164 天前
@zwy100e72 你说的这个方案确实有点复杂了.哈哈哈
@totoro625 你说的这个不错,刚好家里有台 PVE 可以搞个 DEBIAN 出来跑防火墙也转发的业务.
@NGUTHONG 我感觉你这个方案很舒服啊,搞个 DDNS 域名,然后外面挂这个域名的代理,写规则访问内网.这个感觉很简单的样子.
NGUTHONG
164 天前
@liuyin 就是很简单,也实用,访问家里的内网服务、异地串流电脑游戏机都很方便,安全性上本身 ss 就自带加密和混淆可以自己设置,使用上还不影响本身手机电脑的这些外出设备的代理,用其他的组网工具总归是手机要断开 vpn 然后切换软件等待握手,用 ss 就只要在原本的代理规则上加一条规则就行了
vcn8yjOogEL
164 天前
防火墙肯定是要开的
建议用 VPN 隧道组网, 这样受击面更小, 只要 VPN 不被攻破内网就是安全的
kirafreedom
164 天前
vnt 用 tcp 模式组网
liuyin
164 天前
@vcn8yjOogEL @kirafreedom 感谢,最终选择了 @NGUTHONG 的方式,这个方式感觉是最方便的了,就算没有公网 IP 搞个 FRP 也能做到这个效果.
我现在在 PVE 上搞了一台机器专门做这个 SS 服务器,通过 IPV6 连接,直接可以访问整个内网的资源,在防火墙那边还只需要允许一个端口就行了.
wtks1
163 天前
@liuyin #7 但实测下来,在各终端都存在 ipv6 的情况下,主要还是 tcp 连接,基本不受影响
bbsingao
163 天前
实在不安全,公网裸奔啊.
Jisxu
163 天前
可以用 tailscale ,配合 subnet 功能,直接内外网都访问内网 ip ,会自动路由
test0103
163 天前
GRE/IPIP 都支持 ipv6 ,对组网很友好的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1121182

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX