关于 IPV6 地址的使用问题

抛个砖。
ipv6 地址有了，虽然是动态的……吐槽…省略…
好的地方：可以无视防火墙，透过内网，任意去访问每个网络设备，如远程桌面，文件服务器等。
不好的地方：
1.用这个 IPV6 地址是巨大的折磨。
如：在盒子里播放远程 NAS 里共享的电影：
\\240e-3a1-63F-9390-201-32ff-fe2c-a603.ipv6-literal.net\fies\media\XXX.m2ts 要写这么一长串的字母，快疯了呀。
2.不是每个设备都能支持 DDNS 做域名转换，但很难找到它的 IPV6 地址。就算设备支持 DDNS，一堆设备配置起来也很头痛。
3.IPV6 的网络安全问题，所有设备暴露在公网上，这个就不讨论了。
不知有什么新的或更好的解决方案，请大神们来交流一下。

tia

2020-05-09 18:09:51 +08:00

@Aoang #37 想太多。现在基本找不到能自己获取并且通过外网 p2p 管理的智能家居，就算等到那时候配套的安全措施也有了

wazon

2020-05-09 18:42:53 +08:00

再总结一下，对于无法配置 DDNS 的物联网设备，可以在（旁）路由集中处理。
理论可行的有以下方案：
1. 仿照 IPv4 下的现状做端口转发（利用相对稳定的本地链路地址）
2. 后缀不变的设备，在路由器拼接动态前缀+固定后缀做 DDNS
3. 后缀会变的设备，在 NDP 的结果里照着 MAC 地址找到新的公网 IP 做 DDNS

qbqbqbqb

2020-05-10 11:49:31 +08:00

@vhus 大部分家用路由器都自带 IPv6 防火墙默认开启，有的还不提供关闭防火墙的设置（比如 NETGEAR ）。但凡是路由器拨号用户基本都不用考虑这个安全问题。
有问题的反而是光猫自动拨号用户，光猫超级管理员页面有一个防火墙设置，设为高则默认阻断，设为低则默认暴露，这个设置都是运营商自动推送的，而且用户不破解超密也没法修改。

myzincx

2020-05-11 11:01:03 +08:00

对于只是想个人访问的设备的话，我倾向于是自己搭建一个 vpn，类似于 wireguard 甚至 v2ray，然后在 vpn 服务器上跑 ddns 。
这样既避免了直接暴露诸如物联网设备暴露在公网(虽然如果获取到了公网 ipv6 就是变相暴露，但是首先 ipv6 现阶段基本没可能暴力扫描出来，其次也可以配置路由器防火墙，只对外开放 vpn 服务器的对应端口)，又解决了你此类设备不好跑 ddns 脚本的难题。
个人使用的就是 v2ray 架设在 n1 上，然后关闭其他所有设备的 ipv6 入网。

lentrody

2020-07-03 10:31:21 +08:00

@wazon 支持 IPv6 的设备应该都可以通过 SLACC 生成固定后缀地址吧，隐私地址才是可选项。

固定后缀也不需要在路由器里拼接，运营商一次只会给你分配一个前缀，只需要把一台设备的完整地址发给 DDNS 服务端就行，再把某个设备的固定后缀提供给服务端一次就行。

我现在就在用 dynv6，在刷了 padavan 的主路由上挂 dynv6 提供的脚本来提供外网 IPv6 地址，然后把内网一台主机的固定地址后缀在添加上去就行了。

wazon

2020-07-03 15:55:22 +08:00

@lentrody
现代操作系统的隐私扩展一般是默认打开的，固定后缀通常需要额外设置，有的设备不方便改，如果重装也要重新设定

我给的拼接思路是为了兼容隐私扩展，尽可能减少自动化脚本以外的配置

你不需要拼接看起来是因为 dynv6 替你完成了拼接，一般 DNS 的每条记录都需要提供完整的 IPv6，拼接只能在本地完成

wazon

2020-07-03 16:08:14 +08:00

@lentrody
你的方案适用于这样的特定场景：
1.需要 DDNS 的设备都能保持固定后缀，且在同一个网段下
2.不一定每个设备都方便配置脚本，但至少有一个可以
3.选择如 dynv6 这样可以自动修改整个 zone 前缀的特定 DNS 服务

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/669819

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.