关于 IPV6 地址的使用问题

2020-05-08 22:52:18 +08:00
 vhus
抛个砖。
ipv6 地址有了,虽然是动态的……吐槽…省略…
好的地方:可以无视防火墙,透过内网,任意去访问每个网络设备,如远程桌面,文件服务器等。
不好的地方:
1.用这个 IPV6 地址是巨大的折磨。
如:在盒子里播放远程 NAS 里共享的电影:
\\240e-3a1-63F-9390-201-32ff-fe2c-a603.ipv6-literal.net\fies\media\XXX.m2ts 要写这么一长串的字母,快疯了呀。
2.不是每个设备都能支持 DDNS 做域名转换,但很难找到它的 IPV6 地址。就算设备支持 DDNS,一堆设备配置起来也很头痛。
3.IPV6 的网络安全问题,所有设备暴露在公网上,这个就不讨论了。
不知有什么新的或更好的解决方案,请大神们来交流一下。
8312 次点击
所在节点    宽带症候群
47 条回复
Aoang
2020-05-08 23:20:53 +08:00
不支持 ddns 做域名转换是什么意思?这个链接用的不是域名吗?

关于多设备配置 ddns,弄个脚本丢在设备上跑就好了啊。

安全问题,开防火墙,不用弱口令,定期更换。

还有动态 ip 的问题,真给你一个静态的,某天被什么网站、服务 ban 了 ip,你怎么整?准备找运营商投诉?

凡事都有多面性,有利必有弊,根据个人做取舍
cwbsw
2020-05-08 23:24:13 +08:00
1. 远程地址,你 v4 也得用域名啊。本地局域网,可以用 ULA 地址,比如 fd::1 。
2. DDNS 一行 curl 命令的事,能有多复杂。
3. 我的方案,wireguard 连回家里,allowedip 为家里内网网段,在外面可以一直开着,不访问家里内网时不会占用资源。
wazon
2020-05-08 23:44:08 +08:00
不知道你用的是什么 NAS,群晖里带 IPv6 的 DDNS 配置起来应该不麻烦
如果想用一台机器自编脚本集中处理 DDNS,那么局域网内的其他设备可以用邻居发现协议( NDP )找到( https://www.v2ex.com/t/646082#r_8596830
SLAAC 分配的 IP 地址你会暴露给 ISP 和你主动访问的对象。如果想进一步加强安全性可以配 IPv6 的防火墙( https://www.v2ex.com/t/669225?p=1#r_8930837


IPv4 下因为内网的 NAT,所有的外部访问都由路由器集中转发,客观上方便了 DDNS
IPv6 下不再有 NAT,为用户提供了更大的自由度(比如可以有多台 NAS 用同一套端口方案),同时配置的方式也出现了改变。在这种情况下,可以每台设备各自做 DDNS,可以选择一台中枢设备转发流量(模仿 NAT 的模式),也可以选择一台设备根据 NDP 的信息按 MAC 分别配置 DDNS
wazon
2020-05-08 23:46:56 +08:00
补充:
群晖里的 DDNS 是图形界面
SLAAC 分配的 IP 地址除了 本地设备、ISP 和 该设备主动访问的对象,不容易被外人所知,且极难被暴力扫到,因此天生具有一定的安全性
wjswxp
2020-05-09 00:34:14 +08:00
你甚至可以强制使用 IPv6 NAT 以增加安全性,只要网关是公网可访问的,你就可以外部接入啊。
vhus
2020-05-09 00:46:57 +08:00
@Aoang @cwbsw @wazon
谢谢各位,要给设备个分配个域名,但是设备不一定支持,不是所有的设备都能跑脚本,比如我的小米电饭煲。
@Aoang 这个链接用的不是域名吗?---不是域名,那就是 ipv6 的地址。
locoz
2020-05-09 00:54:42 +08:00
1 、内网 dns 解决,路由器上配一下就好了
2 、ipv6 ddns 可以在路由器上做的,这个问题也不大,获取一下 dhcp 表就好了
3 、安全问题也好解决,路由器有防火墙,即使内部设备是公网 ipv6 也仍然能被路由器的防火墙阻断特定端口的通信,你仍然可以只开放特定端口
vhus
2020-05-09 00:55:02 +08:00
ipv6 的好处之一就是网关透明的,不用去考虑 NAT 、端口等问题。
亟待解决的就是如何给每个设备分配个域名,而不是每次敲一长串地址,况且那地址总是在变。
AoTmmy
2020-05-09 00:55:04 +08:00
不支持脚本的可以用端口转发,在内网设备上转发指定端口
vhus
2020-05-09 00:59:08 +08:00
@AoTmmy 那又几乎退回到 IPV4 的配置方式了呀。
zro
2020-05-09 01:00:43 +08:00
3.有公网 IP 不代表就暴露了,要取决网关帮不帮你路由进来的,默认只允许路由出去的。。

@cwbsw #2 你是在 OpenWRT 搭的 WireGuard Server 吗?
vhus
2020-05-09 01:04:03 +08:00
@locoz 如果用 ipv6 dhcp 分配地址,那就跟 ipv4 没有多大差异,也就没必要说这个问题了。
比较容易的是 ND 方式自动分配。
AoTmmy
2020-05-09 01:08:49 +08:00
@vhus 你设备连 curl 或者脚本都不支持的话用 IPv6 也没有什么意义吧,内网走 IPv4 也比 v6 方便。你这个输入的 v6 地址也不知道意义何在,ddns 到 a.ipv6-literal.net 或者 xx.ipb6-literal.net 不就行了
vhus
2020-05-09 01:12:06 +08:00
@zro 常用的家用级路由器,只要获取了公网 ipv6 地址,如果没开防火墙每个设备就都暴露在公网上。
网络安全不是我目前想解决的重点,重点是 ipv6 ddns 。
Atomo
2020-05-09 01:15:35 +08:00
不能跑脚本的设备,根本就没打算让你主动访问,都是被动的,你主动访问小米电饭煲有啥用?

如果该设备有跑服务程序,并且让你主动访问,肯定有设置 ip 的方式

获取 ipv6 地址可以从互联网取得 ( https://)ipv6.ddnspod.com
vhus
2020-05-09 01:23:31 +08:00
@AoTmmy 我的问题是在 ipv6 的使用方面,意义还是有的,ipv6 方便的地方也就是可以 IP 到 IP 的直接连接,不用通过 NAT 、端口转发。问题主要就是----如何不写那么长的字符,转换成固定的域名。
vhus
2020-05-09 01:29:40 +08:00
@Atomo
访问电饭煲当然是做饭,而且设定环境为远程访问,常规方法的是路由器器上做端口映射或架 VPN 这个不用讨论了,我们说的是在 IPV6 环境下的应用。
设备已有 ipv6 地址了。
vhus
2020-05-09 01:33:56 +08:00
统一感谢楼上回复的兄弟们,可能做饭意义不大,我把电饭煲的例子换为打印机吧。^_^
Atomo
2020-05-09 01:37:39 +08:00
从我的角度考虑,物联网设备最好有一个云平台,设备发心跳包告知平台状态和 ip,控制终端(手机或者电脑)通过认证接入平台,进而控制相应的设备
Atomo
2020-05-09 01:43:04 +08:00
想把设备的当前 ipv6 地址和域名做绑定,还是要设备主动告知,不管是告知云平台,还是告知 ddns,否则比较难实现,因为 v6 地址是动态的,这也是 v6 的安全之处

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/669819

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX