是否要在局域网中使用真实 IPv6 地址?

59 天前
 maybeonly
讨论一个问题,是否要在局域网中使用真实 IPv6 地址?

所谓真实 IPv6 地址,比如运营商 PD 给我 2001:db8:aaaa::/60 ,下游可以从路由器得到 2001:db8:aaaa::1234:5678:9abc:def0/64 (通过 slaac 或者 dhcpv6 )的地址。

所以现实考虑,如果启用 IPv6 的话,下发的地址有以下几种:
a. 真实 IPv6 地址。如前所述。
  隐私有问题。
  容易被 P2P 利用。
  在复杂的网络中实现稍有困难。

b. fd 开头的地址。
  可能会被认为没有 IPv6 连接,或者优先使用 IPv4 。
  需要 SNPT/DNPT 或者 IPMAP 。
  对于 DDNS 等场景,可能需要单独获取 IPv6 地址,通过外部接口或者计算。

c. 随便偷一段公网,比如 2b2b:250::/64 。
  不标准。
  其他同(b)。

各位是如何选择的,有什么想法?

p.s. 当然还有其他的方案,这里就不拿出来说了,如
d. 关掉立刻解决烦恼
e. nat66 才是最 666 的
2543 次点击
所在节点    宽带症候群
20 条回复
kenneth104
59 天前
a1 ,隐私有啥问题,或者说有啥隐私?
a2 ,ban 掉外网 v6 ,就不会对外 P2P
a3 ,自动获取 v6+ddns
maybeonly
59 天前
@kenneth104 感谢回复。
> a1 ,隐私有啥问题,或者说有啥隐私?
webrtc leak ,特别是某不作恶的公司干掉 webrtc 选项以后
> a2 ,ban 掉外网 v6 ,就不会对外 P2P
(d)不考虑
> a3 ,自动获取 v6+ddns
a3 这个 ddns 没难度啊,复杂的网络指的是……我的另一个帖子那种程度。
相反,在 b3 做 ddns 需要算一下(我用算的,所有 ddns 托管在路由器上)
a3 的实际问题,简单的说就是,局域网内同时有真地址和 fd 地址,在边界处做 snpt/dnpt ,实际上没过边界的话不可以互相访问,ddns 解析到在自己家的公网也不行。解决起来也不困难,内部访问根本不需要走 ipv6 。
tool2dx
59 天前
我也有这个烦恼,本质上 ipv6 的防火墙没以前 ip4 好用了,默认设备公网穿透性还是挺强的。

但是相对来说,在 ip4 公网稀缺的年代,开 ip6 总比没开 ip6 要好很多,利大于弊吧。
bobryjosin
59 天前
我自己是 nat 在用,地址随便找了一段非保留段,其实也可以去 he 分配一个段玩 nat ,nat 后,缺点是 bt 协议的软件没有针对 ipv6 nat 进行优化,连通性会下降,优点是默认访问不了局域网,和 ipv4 一样可以灵活的配置防火墙和路由,权衡利弊我选择 nat ,bt 这类应用,我是单独划了一个 vlan 分配公网地址,在设备上配置防火墙,至于性能问题,之前我的帖子也讨论过,性能不太烂的设备基本都没啥问题。
ranaanna
59 天前
当然是用“真实 IPv6”啦,
a. 即使是一个/64 子网,IPv6 地址也多得用不完
b. 完全可以不用 MAC 地址生成的 IPv6 地址,愿意的话 Windows 可以生成很多临时地址,MacOS 有 privacy addressing
c. 和 IPv4 一样,路由器可以帮你屏蔽任何 IPv6 入站请求,而且,没有 NAT 设置更加简单
d. 出站规则的设置,和 IPv4 并没有什么不同
综上,“隐私有问题”并不成立,P2P 也不会多利用,实现也不会比 NAT66 困难。NAT66 已经很傻了,偷公网 IP NAT66 ,why ?
goodryb
59 天前
目前是 A ,路由器上开着 ipv6 防火墙 ,只能主动出,不能主动进
ranaanna
59 天前
@maybeonly #2 webrtc leak 并不是一件什么事儿吧。首先“真实 ip 地址”不算什么隐私的东西,其次如果想要隐藏真实 ip ,要用 vpn 和代理以及不用 webrtc ,靠 b c e 并不奏效
zwy100e72
59 天前
请问何为"真实 ipv6 地址"?

对于 eui-64 生成的,携带了设备 mac 的地址(可以在地址里看到 ff:fe 标志),主流操作系统都支持再生成一套临时地址,貌似就是楼上说的 privacy extension

对于 fdxx:: 开头的地址,是需要楼主自己配置(配置前缀或者 NATv6 )才会下发的,可以和运营商给的 2001:da8:: 的地址共存

设备安全方面还是要靠防火墙、杀毒软件以及自身安全意识来保障,不能认为 ipv6 地址空间大就无需防火墙

个人对于 NAT6 是不赞同的,ipv6 的初衷就是要去 NAT

最后,我认为 ip 地址可以类比手机号码,不能完全算作隐私,至少不是核心隐私,不必过于担心其泄漏问题
allin1
59 天前
webrtc 的问题 i 谷锅自己就有搞一个扩展 npeicpdbkakmehahjeeohfdhnlpdklia 可以防泄露
不相信谷锅还有第三方的 bkmmlbllpjdpgcgdohbaghfaecnddhni
ho121
59 天前
局域网中应该有 linklocal 地址吧,就是 fe 开头的
lcy630409
59 天前
不太明白你想干啥?使用局域网应用 但是害怕 ipv6 保留在外网?
ipv6 默认的防火墙规则 一般都是拒绝主动联入啊
还有局域网应用用啥 ip 是应用自己的选择
piero66
58 天前
没必要,防火墙策略做好就够了,真想玩深入可以注册 asn 在家里播一段自己的 ip6 ,然后做策略路由
MFWT
58 天前
我选择可口百事混着喝:偷 IP+NAT 6 ,内网用 dd00::/48 ,主打一个叛逆(
creepersssss
58 天前
我用 NAT66 ,局域网设备拿到公网 ipv6 容易跑 pcdn 毁坏宽带,nat66 也方便管理
iijboom
58 天前
有公网了反而想用 nat 了,专线固定公网?不行,隐私怎么办,给我改回动态内网,最好出口都是动态全国飞的
terrancesiu
58 天前
NAT66 也不行,如果有多线接入还有策略路由的情况下,我更喜欢使用 NPTv6
maybeonly
58 天前
@terrancesiu 对,我现在是双线,以前用联通地址往下分,移动出去的话就 snpt 。某一天换成 fd 试试了,两边 snpt

@piero66 墙内家宽接 asn 不现实,要用地址的话也没必要,偷一段就是了,更隐私,而且有生之年不会分出去。

@allin1 不是所有东西都能装扩展……或者说基本上只有 pc 能装扩展。

@zwy100e72 webrtc 能同时拿到内部和外部地址。一个有点现实的场景就是,墙外网页能直接拿到墙内 v6 。当然,如果访问个墙内接口也能拿,但是那就是针对性的了。

至于防火墙,我个人是不爱开,虽然开起来也很容易,但是这种东西除非实在守不住……还是让设备通达比较好。
sofm
58 天前
每台设备 都可以分配独立的 ipv6 ,每台设备的 ipv6 地址是动态变化的,一般是 2^64 次方可能性。
为什么这样设计, 因为 多 也是一种安全性设计。
fisherfisher
53 天前
如果路由器上设置防火墙关闭所有非可控端口,那么即使知道了你网络内部设备的真实 ip ,外部应该也是访问不了吧?
所以我觉得真实 ip 自身并不增加更多安全隐患。当然,如果你头铁不开防火墙,那确实可能是问题。

然后我也觉得 ipv6 在内部 ip 地址和具体设备的对照管理是,有些复杂。我自己也没有找到合理的方法。
目前内部设备之间使用私有 ip4 地址+hostname 。
maybeonly
53 天前
@fisherfisher
现实的问题是:本来出墙是境外 ip ( v4 )的,然后 webrtc 却能拿到一个 2408 的中国联通 local ip (出墙 v6 被我扔黑洞了;或者有必要出的话 nat66 )
并不是害怕他连进来,如果害怕的话会在各种环节使用防火墙
p.s. 我管理 v4 v6 映射表在路由器上跑了个程序,ip mon nei 收集和维护对应关系

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1083252

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX