求诊断：群晖 IPv6 互通，光猫 IPv6 路由模式+路由器 IPv6 后面的终端能否访问？

路由器防火墙关一下试试

简单啊，手机开流量访问群晖端，现在电信移动的 4g 5g 网络都是原生的 ipv6 地址,如果能访问就去排查办公端
如果不能访问先排查群晖这里。
群晖端：
你先确定一下群晖获取的 ipv6 地址是不是 240e(电信是这个)开头的 ipv6 地址
然后确定一下 ddns 的 ipv6 地址就是你获取的 240e 的 ipv6 地址，群晖经常在做 ddns 的时候把内网的 ipv6 地址解析上去。

你说的这个情况大概率是办公端的问题。看你电脑的 ipv6 是不是 240e 开头的。

ping 不通一般都是防火墙问题，检查光猫防火墙、路由器防火墙，还有 windows 默认是禁 ping 的，需要放行。建议用手机 termux 调试。

有些路由默认禁止 ipv6 入站数据包，得关掉

要用 IPv6 ，建议还是用可配置 IPv6 防火墙的 ROS 或者 OpenWRT 之类的拨号

糊里糊涂能用了：
@shijieheping @tunazero 两端光猫都已设置为低或关档位。
@y4nssss 做了如下尝试，不知道是不是起了作用：
1. 光猫进超级管理员勾选 IPv6 的 Passthrough 功能。
2. 光猫端口映射添加[群晖 IPv4:5000]、[群晖 IPv4:5001]两条。 //疑问：对 IPv6 来说，IPv4 的端口映射是不是没用？
3. 群晖 DDNS 禁用 IPv4 模式，只开启 IPv6 模式。//从办公端电脑能打开群晖网页，用 https://ipw.cn/ipv6ping/ 测试 xx.synology.me 也是 IPv6 地址。

以上说明 IPv6 打通了能成功使用，但是两个疑问：
a. SSH 下群晖的 IPv6 地址显示如下，群晖 DDNS 选择的是 240e:3a1:826 这个地址，但是这个地址显示有效期只有大约 3 天，是为什么？
b. mngtmpaddr dynamic 和 deprecated mngtmpaddr dynamic 有什么区别？
inet6 240e:3a1:826:xxx:9209:xxx:fe09:72db/64 scope global mngtmpaddr dynamic
valid_lft 256153sec preferred_lft 169753sec
inet6 240e:3a1:829:xxx:9209:xxx:fe09:72db/64 scope global deprecated mngtmpaddr dynamic
valid_lft 4117sec preferred_lft 0sec

用 ping 来调试不是很好，因为一个是一些设备默认禁止 ping ，再一个是很多网络设备的防火墙对于 ICMP 和 TCP 有着不同的策略
建议你直接起一个 httpd ，来调试
家那边的防火墙要放行对应端口的 TCP 流量。同时要确定运营商不会阻断 http 连接。如果会阻断的话，可以试试 zerotier

#6
你是家庭宽带，这是前提
prefix 是会变换的。你先检查一下那个被弃用的地址是不是因为下发的 prefix 发生了改变
看起来都是 SLAAC 的地址，SLAAC 下分配的临时 IPv6 地址本来就是只有比较短的租期，并且会定期变化
感觉你只是因为把 ipv6 的 firewall 关闭了而已

还有，如果同时有 A 记录和 AAAA 记录，但是你的 ipv4 是不能够访问的，浏览器很有可能会尝试先用 ipv4 来访问，发现超时之后直接认为 server down 了。
你虽然是 dual stack 的，但是浏览器并不会同时向多个 ip 发送完整的请求之后再来选择，它的 mechainism 很 dinner

ipv6 的防火墙没关，我家宽 ipv6 ，是猫+路由+服务器的形式，外部随意一台有 ipv6 的手机就能访问家里的服务器
前提是家里的路由器关了 ipv6 的防火墙（光猫有点老，控制面板里的防护墙只对 ipv4 生效，所以你的如果有 ipv6 防火墙的话，也需要关掉）

@systemcall 这是光猫的 IPv6 的获取方式：
GUA 获取方式 SLAAC
DNS 获取方式 DHCPv6
前缀获取方式 DHCPv6
网关获取方式 SLAAC

光猫的防火墙没有做设置，IPv4 的端口映射可以删除吗？

@Apol1oBelvedere #11
正常情况下，可以删除，因为 v4 和 v6 正常情况下是完全分开的

@citydog 我是光猫+群晖，设备型号 TEWA-707E 光猫防火墙等级如下所示，字面看只有 Ping 防护的差异。
防火墙等级说明：
高： 允许合法的广域网访问；禁止 WAN 侧 Ping 。
低： 允许合法的广域网访问；允许 WAN 侧 Ping 。

@Apol1oBelvedere 选低试试

@citydog 一直是低没变过。6#帖子写了目前能用。

@systemcall @citydog
经过测试，确认到一个选项：
电信 TEWA-707E 光猫的设置选项：安全->共攻击保护设置->防攻击保护[ ]选项，一旦勾选后，原先的 DSM 网页连接只能持续 5 分钟就会停止响应。取消勾选后，就能立刻恢复网页连接。
目前不知道这个选项做了什么保护，推测是屏蔽入站连接。