因为手里不缺服务器,没有公网 IPV4,所以之前一直是用的 FRP,但是 FRP 一个服务就得开放一个端口(貌似可以开放一组端口,但是还是觉得麻烦)
所以最近就在想把两个家里的网络给无缝整合一下,转了一大圈之后没有找到合适的方案,于是乎想起了 IPV6.
两个家里都是有 IPV6 的,我发现开放 IPV6 获取之后,几乎每个设备都可以获取一个公网 IPV6 地址,链接起来很舒服,速度比 FRP 依靠中转快太多了,访问另外一个家里的 PLEX 丝滑至极.
如上所述,IPV6 每个机器都会有一个公网地址,我目前是没开防火墙的,这样一来是不是会有安全问题?
另外就是,想请教各位大佬,有没有更好的方案,比这种通过 IPv6 公网访问,更安全一点异地组网?
不太想用那种打洞的方案,以为打洞几乎都是 UDP,我们这边 UDP QOS 很严重,直接掉线那种..
所以最近就在想把两个家里的网络给无缝整合一下,转了一大圈之后没有找到合适的方案,于是乎想起了 IPV6.
两个家里都是有 IPV6 的,我发现开放 IPV6 获取之后,几乎每个设备都可以获取一个公网 IPV6 地址,链接起来很舒服,速度比 FRP 依靠中转快太多了,访问另外一个家里的 PLEX 丝滑至极.
如上所述,IPV6 每个机器都会有一个公网地址,我目前是没开防火墙的,这样一来是不是会有安全问题?
另外就是,想请教各位大佬,有没有更好的方案,比这种通过 IPv6 公网访问,更安全一点异地组网?
不太想用那种打洞的方案,以为打洞几乎都是 UDP,我们这边 UDP QOS 很严重,直接掉线那种..
 |
1
Ipsum 4 天前 via Android
默认 drop v6 主动入的包,需要的 service 再开权限。
|
 |
3
SvenWong 4 天前
我是禁了所有的 ipv6 的入站,仅开放了部分端口转发到 nas 上
|
 |
4
wtks1 4 天前
zerotier 优先调用 ipv6 组网,在 udp 限流的情况下用这个更稳定
|
 |
5
Int100 4 天前 via iPhone
|
 |
9
zwy100e72 4 天前
IPv6 全公网访问个人感觉已经很好了,如果楼主愿意折腾,还可以
* 加上 Site-to-Site VPN 实现 IPv4 / ipv6 ula 也可以相互访问 - 多个站点之间使用相互兼容的 ipv4 私有地址空间 & ipv6 ULA - 相互之间设置静态路由或者通过动态路由协议配置路由 - 好处是地址是自己分配的,可以长时间保持不变;缺点是配置难度还是有点高 * 加上内部 DNS 服务,利用 `home.arpa` 或者 `example.your-domain.com` 实现域名解析和 TLS 证书 |
 |
10
totoro625 4 天前
1. 端口问题
可以用 nginx 等,汇总到一个 ipv6 的其中一个端口上 2. 防火墙 推荐开启防火墙,并且丢弃全部 ipv6 数据 可以在其中一台机器只负责数据入站,不主动对外访问,这样别人也不知道你这太机器的 ipv6 地址,而且能够集中管理防火墙 具体实现:开一台 debian 跑防火墙+nginx ,所有外部范围都通过这台服务器的 nginx ,其他内网服务器拒绝所有 ipv6 数据,防火墙只放行 443 端口 进阶:配置 ip 白名单,只开启一个随机端口允许所有人访问用于端口敲门,放行自己的 ip ,不直接对外提供服务 |
 |
11
NGUTHONG 4 天前
没开防火墙当然会有安全问题,毕竟家里的服务都在公网上了,我目前是家里路由器开了个 shadowsocks 服务器,对外防火墙也只开了一个代理的端口,所有的内网服务都不开放公网的,访问家里直接连代理的方式回家,并且因为是 ss ,可以在客户端很方便的做分流管理,异地设备访问到指定网段直接就通过 ss 规则回家,比 zerotier 这些组网工具方便不少,不用等待握手什么的
|
 |
12
liuyin OP |
|
13
NGUTHONG 4 天前
@liuyin 就是很简单,也实用,访问家里的内网服务、异地串流电脑游戏机都很方便,安全性上本身 ss 就自带加密和混淆可以自己设置,使用上还不影响本身手机电脑的这些外出设备的代理,用其他的组网工具总归是手机要断开 vpn 然后切换软件等待握手,用 ss 就只要在原本的代理规则上加一条规则就行了
|
 |
14
vcn8yjOogEL 4 天前
防火墙肯定是要开的
建议用 VPN 隧道组网, 这样受击面更小, 只要 VPN 不被攻破内网就是安全的 |
 |
15
kirafreedom 4 天前
vnt 用 tcp 模式组网
|
|
16
liuyin OP @vcn8yjOogEL @kirafreedom 感谢,最终选择了 @NGUTHONG 的方式,这个方式感觉是最方便的了,就算没有公网 IP 搞个 FRP 也能做到这个效果.
我现在在 PVE 上搞了一台机器专门做这个 SS 服务器,通过 IPV6 连接,直接可以访问整个内网的资源,在防火墙那边还只需要允许一个端口就行了. |
 |
18
bbsingao 4 天前
实在不安全,公网裸奔啊.
|
 |
19
Jisxu 4 天前
可以用 tailscale ,配合 subnet 功能,直接内外网都访问内网 ip ,会自动路由
|
 |
20
test0103 4 天前
GRE/IPIP 都支持 ipv6 ,对组网很友好的
|
 |
21
EricInBj 4 天前
试一下 prefix hint , 成功的话可以获得基本上算“固定”的 IPV6 ,然后异地直接用 ipsec 组网,稳得很,唯一不爽的是 er-x 的 ipsec offload 不支持 ipv6, 只要开启 offload ,两端内网就不通了,不开的话,速度就只有 40m 上下
|
|
22
liuyin OP @EricInBj 别说了,卧槽,不知道电信是不是颠了,我目前所在的工作室里突然不下发 IPV6 了,然后给了我一个公网 IPV4,另外那边还是 IPV6,真的是麻了.
|
 |
24
chinanala 3 天前
虽然我有很多云服务器,家里也有双公网专线,但是家里云 PVE 还是设置关闭 V4 ,只解析 V6 的 ddns ,然后子网主机关闭 V6 ,只开启局域网的 V4 。走 V6 主机入站,然后用 lucky ,V6 转 V4 ,对外只暴露 PVE 的 V6 (同时设置防火墙白名单)。
|
 |
25
toneal 11 小时 48 分钟前
ipv6 家宽隔几天就换前缀了呀
|
Select Language