联通家宽 IPv6 无法接受入站 TCP 请求?

2020-09-22 09:22:29 +08:00
 de1ta
环境:
联通家宽 200M
光猫 HG2201U 1.0:防火墙等级低(无法关闭)、攻击保护关、QOS 关、光猫拨号(路由拨号存在降速、丢包、断连的问题)
内网 IPv4 、公网 ipv6 、test-ipv6 10 分
路由 AC86U 、IPv6 passthrough

需求:使用 ddns 动态解析 v6 地址,从境内公网直连家庭 NAS,抛弃境外 VPS 上的 frp

问题:
1 、从外网直接访问光猫 lan 侧 IPv6 地址可直达光猫 web 后台
2 、从外网直接访问 NAS ( Debian )地址,无法访问,使用 tcpdump 抓包发现,无 TCP 入站数据
3 、从外网可以 ping 通 NAS 地址,在 NAS 上 tcpdump icmp6 可看到数据包


求大佬解疑
6064 次点击
所在节点    宽带症候群
19 条回复
lbp0200
2020-09-22 09:33:35 +08:00
NAS ( Debian )防火墙的问题,关掉试试
定位到原因,记得添加规则,开启防火墙
de1ta
2020-09-22 10:12:03 +08:00
@lbp0200 不是防火墙的问题,在使用笔记本进行测试时,使用联通 4G 卡开热点给笔记本电脑分配 IPv6 地址,笔记本上使用 python3 开 web 服务,另一部电信 4G 手机可以从公网直接访问笔记本 IPv6 上的 web 服务。但是同样的测试环境,给笔记本分配联通宽带的 IPv6 地址,从电信 4G 访问就不通,只有 icmp6 包可达。
hello365
2020-09-22 10:16:29 +08:00
我用 ipv6 也无法访问我的 nas,我是移动的家宽,光猫防火墙关了,用的自定义端口也不行,不知道怎么排查...
huaxie1988
2020-09-22 10:21:21 +08:00
一般是光猫防火墙问题,建议用 openwrt 拨号,修改防火墙测试
tsanie
2020-09-22 10:24:19 +08:00
@de1ta
我这里不是联通,不能给确定答案,不过看这个描述可能是光猫防火墙的锅。
提供个方向,光猫防火墙实在关不了的话先临时改桥接用路由器拨号,先控制变量判断是不是光猫防火墙的问题。
如果确定是光猫防火墙的锅又关不掉的话那就没办法了,换个思路试试 zerotier 。

@hello365
nas 和光猫之间有额外的路由器吗?路由系统默认通常都是把 IPv6 forward 屏蔽的,只允许 ICMPv6,像 openwrt 需要手动把 forward 改成 accept,或者在 rules 里手动添加特定 port/dest ip 的 IPv6 forward 规则。
de1ta
2020-09-22 10:25:55 +08:00
补充:
同样的问题: https://www.v2ex.com/t/635357
参考 @dylan 的解决方案:
使用 admin 账户 telnet 进光猫后,执行以下命令,理论应该是 v6 全部放行了才对?
ip6tables -F
ip6tables -X
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT

执行后问题依旧,未解决。
riggzh
2020-09-22 10:27:23 +08:00
我的是华硕路由器,默认是启用 ipv6 防火墙的,你可以看看相关设置

IPv6 防火墙
允许来自局域网中 IPv6 主机的所有传出流量及相关的传入流量。任何其他传入流量必须得到特别允许。
您可以不填写远程 IP 地址,以允许来自任何远程主机的流量传入。您也可以设置为一个子网。 (例如:2001::1111:2222:3333/64)
mm2x
2020-09-22 10:58:27 +08:00
关闭光猫的 IPv6 防火墙就行了。。
zro
2020-09-22 11:08:05 +08:00
光猫防火墙要开启 v6 端口转发,没开就丢包了。。我在 RouteOS 是这样设置才能用的
cshlxm
2020-09-22 11:27:55 +08:00
光猫改桥接模式吧,路由器拨号,把 防火墙,v6 协议转发打开,应该没问题。
lbp0200
2020-09-22 11:28:14 +08:00
@de1ta 光猫改桥接,就可以
imnpc
2020-09-22 11:39:02 +08:00
联通 的一定要 改桥接
因为他们的光猫配置有问题
除了防火墙 最要命的是某些型号 禁止你访问外网的 FTP
改为桥接立即正常了
826540272
2020-09-22 16:58:11 +08:00
@hello365 用超级密码备份光猫配置文件,然后修改配置文件关闭防火墙,然后再从 USB 接口恢复配置
de1ta
2020-09-22 20:06:53 +08:00
@riggzh 感谢,问题解决了,没想到是 AC86U 的问题,关闭 AC86U 的 IPv6 防火墙后,从外网可以直接访问了,80 口可直达,完美
sasalemma
2020-09-22 21:44:48 +08:00
@de1ta 建议还是用 ::后缀 /::fff 掩码端口开墙,关了整个 nas 就暴露在 ipv6 外网了。
de1ta
2020-09-23 09:08:13 +08:00
@sasalemma 暴露应该也不要紧吧? ipv6 想枚举到我应该挺难的
tankren
2020-09-23 09:17:26 +08:00
防火墙配一下吧 至少要限 geoip:cn
FFF5279
2020-09-24 21:46:33 +08:00
华硕的路由 IPV6 防火墙一直有问题
flynaj
2020-09-26 21:51:11 +08:00
openwrt 是目前支持 ipv6 最好的。最好是原版。https://openwrt.org/ ,桥接,openwrt 拨号,我这里联通 80,443 已经封锁,电信,移动全部端口可以用。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/709257

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX