IPv6测试网站:
IPv6 测试
参考:
OpenWrt 开启 IPv6 中继 | J's Blog
简单Openwrt ipv6配置,Openwrt WAN6中继模式获取原生ipv6地址,无需PD - 路由器记录
二级路由(openwrt)开启ipv6中继(ipv4和ipv6共存) – late哥哥笔记
总述
现在的网络结构:一级路由 -> OpenWrt (二级路由) -> 设备。
核心问题: 一级路由器通常只从运营商那里拿到了一个 /64 的 IPv6 前缀,它自己用了。它不支持“前缀下发 (Prefix Delegation, PD)”给下级路由器( OpenWrt)。 简单说:一级路由说“我可以给 WAN 口发个身份证,但我没有多余的户口本给去给小弟(LAN设备)发”。
所以,如果按默认设置,OpenWrt 的 WAN6 有 IPv6(已有 /128 和 /64 地址),但 LAN 下面的设备分不到。
解决方案:必须使用“中继模式 (Relay Mode)”
请按照以下步骤操作,不需要把 wan6 改成桥接(那是 AP 模式的做法),通过中继协议让 LAN 设备直接用一级路由的 IPv6。
作为拨号的一级路由,获取ipv6地址然后开启dhcpv6,下面的设备都能获取到ipv6公网地址,到了二级路由就有些麻烦了,理论上会有以下几种方式开启二级路由下的ipv6:
1、由于ipv6是通过pd划分子网,只要地址段够用,二级、三级都可以一直分下去,而且是自动的,由于对ipv6这个协议掌握不深,这种方式没有研究,但是理论上来说这种方式才是正确开启ipv6的方式。
2、把路由当成交换机使用,放弃路由器的wan口,这种方式相当于把二级路由干掉了,直接把所有设备放在一级路由下面,是最直接的方式,可对我来说,二级路由下已经有很多设备绑定了mac地址,在局域网上提供服务,如果把二级路由换成交换机,我所有的机器都要修改ip,所以我放弃了这种方式。
3、还有一种方式是开启二级路由下的ipv6中继,至于ipv4还是使用之前的那一套nat不变,两者互不影响,这样打通后,所有二级路由下的设备都支持双协议,相当完美。
Openwrt作为二级路由,开启ipv6中继
确认接口
首先确认下openwrt的接口,我这边有两个接口,一个是lan口,还有一个wan口,为什么是两个呢,因为wan和wan6其实是同一个接口,只不过为了方便配置,分成了两个逻辑接口,也正因为这样分了,才更有利于ipv4和ipv6分开配置。
WAN6接口设置
网络--接口--WAN6--常规设置
选择WAN6接口,协议设置为dhcpv6客户端,这里配置这个客户端就是为了使(wan wan6) 口能够自动获取到一级路由分配的ipv6地址,从而是ipv6的流量可以流向(wan wan6)口。
WAN口设置
网络--接口--wan--常规设置
接着点开wan口,协议配置成静态地址,填写wan口需要配置的ipv4信息,因为如果不配置静态,下面图中的dhcp的ipv6设置不出现,当然如果ssh连接后命令下配置,这边就不需要配成静态的.
ipv4地址: 一级路由分配给二级路由的地址
ipv4子网掩码: 255.255.255.0
ipv4网关: 一级路由网关地址(后台地址)
网络--接口--wan--DHCP服务器--ipv6设置
下面ipv6设置全部选择中继模式,wan口的中继模式配置的意思是可以让这个wan口继承一级路由的ipv6地址分配功能,从来进一步往lan口分发这种能力。
wan6指定为主接口
LAN口设置
网络--接口--lan--常规设置
切换到lan口,协议配置成静态,ipv4同样按需配置,由于进入了lan口,它和wan就不能在同一个网段,所以这里是ipv4的常规配置,按需配置即可,配置静态也是因为下面能够出现ipv6设置选项。
修改lan的ipv4地址为 新的局域网地址
网络--接口--lan--DHCP服务器--ipv6设置
在ipv6设置同样全部选择中继模式,配置完成后,lan口也就继承了wan口分发过来的ipv6分配能力,这样lan下面的设备就能像一级路由下的设备一样获取ipv6地址了。
ssh设置
最后一步最关键,因为图形化配置上没有这个配置项,所以需要在命令下配置,通过ssh连接工具连到路由器
在/etc/config/dhcp文件中查找到wan口配置,在下面加一行 option master '1',只有配置了这一行,前面的ipv6中继能力才能生效。 部分版本默认开启,不用修改
退出命令窗口,进入路由器下面的随便一个接口点击保存&应用,上面的改动就生效了。
防火墙放行
网络--防火墙--区域
还要解决下openwrt路由器的防火墙,让所有端口可以访问, 如果不打开防火墙策略,那ping公网ipv6地址能通,但是telnet端口不通
重启电脑或重新连接路由器
最后查看电脑获取到的公网ipv6吧,windows电脑去网络适配器下查看。
多测几次, 中继模式下发生效有时候需要几分钟.
进入http://www.test-ipv6.com/测试下ipv6,结果没有意外,而且很稳定。
另外有人说每个设备获取到公网ipv6很不安全,所以还是采用了ipv6nat,如果有这种想法,为什么还要用ipv6呢?ipv6不就是为了不再使用累赘的nat技术而诞生的吗?担心安全问题,那也是多虑了。
首先从ip扫描上来看,一个64位前缀下的主机,黑客使用普通电脑扫50万年才能扫完,公网ipv6地址只是大海中的一粒水珠,或许连水珠都算不上。
其次,ipv6有安全的溯源和加密机制,ipsec 、esp等安全协议是ipv4不具备的,我们只要去彻底了解ipv6就不怕被黑。
再次,防火墙不是摆设,配置严格的入栈策略永远是防止黑客入侵的最佳手段。
详细的ipv6安全防护可以见我这片文章:家庭ipv6的安全和防护(路由器配置ACL策略)
其它设置可选
关闭ipv6源路由
网络--接口--wan6--高级设置--ipv6源路由(关闭) 因为不去掉,会有很多应用连不上。
转发接受
网络---防火墙--区域--wan-转发(接受)
这样设置,IP v6可以直接访问家里.
手册:Openwr手册
![洛谷 B4415:[GESP202509 四级] 排兵布阵 ← 暴力枚举法](http://pic.xiahunao.cn/洛谷 B4415:[GESP202509 四级] 排兵布阵 ← 暴力枚举法)
哪家好?国内主流服务商盘点)
】 Web前端网页制作 html5+css3 - 实践)
