V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
de1ta
V2EX  ›  宽带症候群

联通家宽 IPv6 无法接受入站 TCP 请求?

  •  
  •   de1ta · 2020-09-22 09:22:29 +08:00 · 6390 次点击
    这是一个创建于 1559 天前的主题,其中的信息可能已经有所发展或是发生改变。
    环境:
    联通家宽 200M
    光猫 HG2201U 1.0:防火墙等级低(无法关闭)、攻击保护关、QOS 关、光猫拨号(路由拨号存在降速、丢包、断连的问题)
    内网 IPv4 、公网 ipv6 、test-ipv6 10 分
    路由 AC86U 、IPv6 passthrough

    需求:使用 ddns 动态解析 v6 地址,从境内公网直连家庭 NAS,抛弃境外 VPS 上的 frp

    问题:
    1 、从外网直接访问光猫 lan 侧 IPv6 地址可直达光猫 web 后台
    2 、从外网直接访问 NAS ( Debian )地址,无法访问,使用 tcpdump 抓包发现,无 TCP 入站数据
    3 、从外网可以 ping 通 NAS 地址,在 NAS 上 tcpdump icmp6 可看到数据包


    求大佬解疑
    19 条回复    2020-09-26 21:51:11 +08:00
    lbp0200
        1
    lbp0200  
       2020-09-22 09:33:35 +08:00
    NAS ( Debian )防火墙的问题,关掉试试
    定位到原因,记得添加规则,开启防火墙
    de1ta
        2
    de1ta  
    OP
       2020-09-22 10:12:03 +08:00
    @lbp0200 不是防火墙的问题,在使用笔记本进行测试时,使用联通 4G 卡开热点给笔记本电脑分配 IPv6 地址,笔记本上使用 python3 开 web 服务,另一部电信 4G 手机可以从公网直接访问笔记本 IPv6 上的 web 服务。但是同样的测试环境,给笔记本分配联通宽带的 IPv6 地址,从电信 4G 访问就不通,只有 icmp6 包可达。
    hello365
        3
    hello365  
       2020-09-22 10:16:29 +08:00
    我用 ipv6 也无法访问我的 nas,我是移动的家宽,光猫防火墙关了,用的自定义端口也不行,不知道怎么排查...
    huaxie1988
        4
    huaxie1988  
       2020-09-22 10:21:21 +08:00 via iPhone
    一般是光猫防火墙问题,建议用 openwrt 拨号,修改防火墙测试
    tsanie
        5
    tsanie  
       2020-09-22 10:24:19 +08:00
    @de1ta
    我这里不是联通,不能给确定答案,不过看这个描述可能是光猫防火墙的锅。
    提供个方向,光猫防火墙实在关不了的话先临时改桥接用路由器拨号,先控制变量判断是不是光猫防火墙的问题。
    如果确定是光猫防火墙的锅又关不掉的话那就没办法了,换个思路试试 zerotier 。

    @hello365
    nas 和光猫之间有额外的路由器吗?路由系统默认通常都是把 IPv6 forward 屏蔽的,只允许 ICMPv6,像 openwrt 需要手动把 forward 改成 accept,或者在 rules 里手动添加特定 port/dest ip 的 IPv6 forward 规则。
    de1ta
        6
    de1ta  
    OP
       2020-09-22 10:25:55 +08:00
    补充:
    同样的问题: https://www.v2ex.com/t/635357
    参考 @dylan 的解决方案:
    使用 admin 账户 telnet 进光猫后,执行以下命令,理论应该是 v6 全部放行了才对?
    ip6tables -F
    ip6tables -X
    ip6tables -P INPUT ACCEPT
    ip6tables -P OUTPUT ACCEPT
    ip6tables -P FORWARD ACCEPT

    执行后问题依旧,未解决。
    riggzh
        7
    riggzh  
       2020-09-22 10:27:23 +08:00   ❤️ 1
    我的是华硕路由器,默认是启用 ipv6 防火墙的,你可以看看相关设置

    IPv6 防火墙
    允许来自局域网中 IPv6 主机的所有传出流量及相关的传入流量。任何其他传入流量必须得到特别允许。
    您可以不填写远程 IP 地址,以允许来自任何远程主机的流量传入。您也可以设置为一个子网。 (例如:2001::1111:2222:3333/64)
    mm2x
        8
    mm2x  
       2020-09-22 10:58:27 +08:00
    关闭光猫的 IPv6 防火墙就行了。。
    zro
        9
    zro  
       2020-09-22 11:08:05 +08:00
    光猫防火墙要开启 v6 端口转发,没开就丢包了。。我在 RouteOS 是这样设置才能用的
    cshlxm
        10
    cshlxm  
       2020-09-22 11:27:55 +08:00
    光猫改桥接模式吧,路由器拨号,把 防火墙,v6 协议转发打开,应该没问题。
    lbp0200
        11
    lbp0200  
       2020-09-22 11:28:14 +08:00
    @de1ta 光猫改桥接,就可以
    imnpc
        12
    imnpc  
       2020-09-22 11:39:02 +08:00
    联通 的一定要 改桥接
    因为他们的光猫配置有问题
    除了防火墙 最要命的是某些型号 禁止你访问外网的 FTP
    改为桥接立即正常了
    826540272
        13
    826540272  
       2020-09-22 16:58:11 +08:00
    @hello365 用超级密码备份光猫配置文件,然后修改配置文件关闭防火墙,然后再从 USB 接口恢复配置
    de1ta
        14
    de1ta  
    OP
       2020-09-22 20:06:53 +08:00
    @riggzh 感谢,问题解决了,没想到是 AC86U 的问题,关闭 AC86U 的 IPv6 防火墙后,从外网可以直接访问了,80 口可直达,完美
    sasalemma
        15
    sasalemma  
       2020-09-22 21:44:48 +08:00
    @de1ta 建议还是用 ::后缀 /::fff 掩码端口开墙,关了整个 nas 就暴露在 ipv6 外网了。
    de1ta
        16
    de1ta  
    OP
       2020-09-23 09:08:13 +08:00
    @sasalemma 暴露应该也不要紧吧? ipv6 想枚举到我应该挺难的
    tankren
        17
    tankren  
       2020-09-23 09:17:26 +08:00
    防火墙配一下吧 至少要限 geoip:cn
    FFF5279
        18
    FFF5279  
       2020-09-24 21:46:33 +08:00
    华硕的路由 IPV6 防火墙一直有问题
    flynaj
        19
    flynaj  
       2020-09-26 21:51:11 +08:00
    openwrt 是目前支持 ipv6 最好的。最好是原版。https://openwrt.org/ ,桥接,openwrt 拨号,我这里联通 80,443 已经封锁,电信,移动全部端口可以用。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2785 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 14:48 · PVG 22:48 · LAX 06:48 · JFK 09:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.