是否要在局域网中使用真实 IPv6 地址?

2 天前
 maybeonly
讨论一个问题,是否要在局域网中使用真实 IPv6 地址?

所谓真实 IPv6 地址,比如运营商 PD 给我 2001:db8:aaaa::/60 ,下游可以从路由器得到 2001:db8:aaaa::1234:5678:9abc:def0/64 (通过 slaac 或者 dhcpv6 )的地址。

所以现实考虑,如果启用 IPv6 的话,下发的地址有以下几种:
a. 真实 IPv6 地址。如前所述。
  隐私有问题。
  容易被 P2P 利用。
  在复杂的网络中实现稍有困难。

b. fd 开头的地址。
  可能会被认为没有 IPv6 连接,或者优先使用 IPv4 。
  需要 SNPT/DNPT 或者 IPMAP 。
  对于 DDNS 等场景,可能需要单独获取 IPv6 地址,通过外部接口或者计算。

c. 随便偷一段公网,比如 2b2b:250::/64 。
  不标准。
  其他同(b)。

各位是如何选择的,有什么想法?

p.s. 当然还有其他的方案,这里就不拿出来说了,如
d. 关掉立刻解决烦恼
e. nat66 才是最 666 的
1872 次点击
所在节点    宽带症候群
18 条回复
kenneth104
2 天前
a1 ,隐私有啥问题,或者说有啥隐私?
a2 ,ban 掉外网 v6 ,就不会对外 P2P
a3 ,自动获取 v6+ddns
maybeonly
2 天前
@kenneth104 感谢回复。
> a1 ,隐私有啥问题,或者说有啥隐私?
webrtc leak ,特别是某不作恶的公司干掉 webrtc 选项以后
> a2 ,ban 掉外网 v6 ,就不会对外 P2P
(d)不考虑
> a3 ,自动获取 v6+ddns
a3 这个 ddns 没难度啊,复杂的网络指的是……我的另一个帖子那种程度。
相反,在 b3 做 ddns 需要算一下(我用算的,所有 ddns 托管在路由器上)
a3 的实际问题,简单的说就是,局域网内同时有真地址和 fd 地址,在边界处做 snpt/dnpt ,实际上没过边界的话不可以互相访问,ddns 解析到在自己家的公网也不行。解决起来也不困难,内部访问根本不需要走 ipv6 。
tool2dx
2 天前
我也有这个烦恼,本质上 ipv6 的防火墙没以前 ip4 好用了,默认设备公网穿透性还是挺强的。

但是相对来说,在 ip4 公网稀缺的年代,开 ip6 总比没开 ip6 要好很多,利大于弊吧。
bobryjosin
2 天前
我自己是 nat 在用,地址随便找了一段非保留段,其实也可以去 he 分配一个段玩 nat ,nat 后,缺点是 bt 协议的软件没有针对 ipv6 nat 进行优化,连通性会下降,优点是默认访问不了局域网,和 ipv4 一样可以灵活的配置防火墙和路由,权衡利弊我选择 nat ,bt 这类应用,我是单独划了一个 vlan 分配公网地址,在设备上配置防火墙,至于性能问题,之前我的帖子也讨论过,性能不太烂的设备基本都没啥问题。
ranaanna
2 天前
当然是用“真实 IPv6”啦,
a. 即使是一个/64 子网,IPv6 地址也多得用不完
b. 完全可以不用 MAC 地址生成的 IPv6 地址,愿意的话 Windows 可以生成很多临时地址,MacOS 有 privacy addressing
c. 和 IPv4 一样,路由器可以帮你屏蔽任何 IPv6 入站请求,而且,没有 NAT 设置更加简单
d. 出站规则的设置,和 IPv4 并没有什么不同
综上,“隐私有问题”并不成立,P2P 也不会多利用,实现也不会比 NAT66 困难。NAT66 已经很傻了,偷公网 IP NAT66 ,why ?
goodryb
2 天前
目前是 A ,路由器上开着 ipv6 防火墙 ,只能主动出,不能主动进
ranaanna
2 天前
@maybeonly #2 webrtc leak 并不是一件什么事儿吧。首先“真实 ip 地址”不算什么隐私的东西,其次如果想要隐藏真实 ip ,要用 vpn 和代理以及不用 webrtc ,靠 b c e 并不奏效
zwy100e72
2 天前
请问何为"真实 ipv6 地址"?

对于 eui-64 生成的,携带了设备 mac 的地址(可以在地址里看到 ff:fe 标志),主流操作系统都支持再生成一套临时地址,貌似就是楼上说的 privacy extension

对于 fdxx:: 开头的地址,是需要楼主自己配置(配置前缀或者 NATv6 )才会下发的,可以和运营商给的 2001:da8:: 的地址共存

设备安全方面还是要靠防火墙、杀毒软件以及自身安全意识来保障,不能认为 ipv6 地址空间大就无需防火墙

个人对于 NAT6 是不赞同的,ipv6 的初衷就是要去 NAT

最后,我认为 ip 地址可以类比手机号码,不能完全算作隐私,至少不是核心隐私,不必过于担心其泄漏问题
allin1
2 天前
webrtc 的问题 i 谷锅自己就有搞一个扩展 npeicpdbkakmehahjeeohfdhnlpdklia 可以防泄露
不相信谷锅还有第三方的 bkmmlbllpjdpgcgdohbaghfaecnddhni
ho121
2 天前
局域网中应该有 linklocal 地址吧,就是 fe 开头的
lcy630409
2 天前
不太明白你想干啥?使用局域网应用 但是害怕 ipv6 保留在外网?
ipv6 默认的防火墙规则 一般都是拒绝主动联入啊
还有局域网应用用啥 ip 是应用自己的选择
piero66
2 天前
没必要,防火墙策略做好就够了,真想玩深入可以注册 asn 在家里播一段自己的 ip6 ,然后做策略路由
MFWT
2 天前
我选择可口百事混着喝:偷 IP+NAT 6 ,内网用 dd00::/48 ,主打一个叛逆(
creepersssss
2 天前
我用 NAT66 ,局域网设备拿到公网 ipv6 容易跑 pcdn 毁坏宽带,nat66 也方便管理
iijboom
2 天前
有公网了反而想用 nat 了,专线固定公网?不行,隐私怎么办,给我改回动态内网,最好出口都是动态全国飞的
terrancesiu
2 天前
NAT66 也不行,如果有多线接入还有策略路由的情况下,我更喜欢使用 NPTv6
maybeonly
1 天前
@terrancesiu 对,我现在是双线,以前用联通地址往下分,移动出去的话就 snpt 。某一天换成 fd 试试了,两边 snpt

@piero66 墙内家宽接 asn 不现实,要用地址的话也没必要,偷一段就是了,更隐私,而且有生之年不会分出去。

@allin1 不是所有东西都能装扩展……或者说基本上只有 pc 能装扩展。

@zwy100e72 webrtc 能同时拿到内部和外部地址。一个有点现实的场景就是,墙外网页能直接拿到墙内 v6 。当然,如果访问个墙内接口也能拿,但是那就是针对性的了。

至于防火墙,我个人是不爱开,虽然开起来也很容易,但是这种东西除非实在守不住……还是让设备通达比较好。
sofm
1 天前
每台设备 都可以分配独立的 ipv6 ,每台设备的 ipv6 地址是动态变化的,一般是 2^64 次方可能性。
为什么这样设计, 因为 多 也是一种安全性设计。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1083252

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX