求诊断:群晖 IPv6 互通,光猫 IPv6 路由模式+路由器 IPv6 后面的终端能否访问?

2022-12-12 18:55:53 +08:00
 Apol1oBelvedere

群晖端:

办公端:

存在问题:

3334 次点击
所在节点    NAS
16 条回复
shijieheping
2022-12-12 19:08:50 +08:00
路由器防火墙关一下试试
y4nssss
2022-12-12 19:13:10 +08:00
简单啊,手机开流量访问群晖端,现在电信移动的 4g 5g 网络都是原生的 ipv6 地址,如果能访问就去排查办公端
如果不能访问先排查群晖这里。
群晖端:
你先确定一下群晖获取的 ipv6 地址是不是 240e(电信是这个)开头的 ipv6 地址
然后确定一下 ddns 的 ipv6 地址就是你获取的 240e 的 ipv6 地址,群晖经常在做 ddns 的时候把内网的 ipv6 地址解析上去。

你说的这个情况大概率是办公端的问题。看你电脑的 ipv6 是不是 240e 开头的。
tunazero
2022-12-12 19:34:33 +08:00
ping 不通一般都是防火墙问题,检查光猫防火墙、路由器防火墙,还有 windows 默认是禁 ping 的,需要放行。建议用手机 termux 调试。
newmlp
2022-12-12 19:35:10 +08:00
有些路由默认禁止 ipv6 入站数据包,得关掉
zro
2022-12-12 20:01:46 +08:00
要用 IPv6 ,建议还是用可配置 IPv6 防火墙的 ROS 或者 OpenWRT 之类的拨号
Apol1oBelvedere
2022-12-12 21:28:30 +08:00
糊里糊涂能用了:
@shijieheping @tunazero 两端光猫都已设置为低或关档位。
@y4nssss 做了如下尝试,不知道是不是起了作用:
1. 光猫进超级管理员勾选 IPv6 的 Passthrough 功能。
2. 光猫端口映射添加[群晖 IPv4:5000]、[群晖 IPv4:5001]两条。 //疑问:对 IPv6 来说,IPv4 的端口映射是不是没用?
3. 群晖 DDNS 禁用 IPv4 模式,只开启 IPv6 模式。//从办公端电脑能打开群晖网页,用 https://ipw.cn/ipv6ping/ 测试 xx.synology.me 也是 IPv6 地址。

以上说明 IPv6 打通了能成功使用,但是两个疑问:
a. SSH 下群晖的 IPv6 地址显示如下,群晖 DDNS 选择的是 240e:3a1:826 这个地址,但是这个地址显示有效期只有大约 3 天,是为什么?
b. mngtmpaddr dynamic 和 deprecated mngtmpaddr dynamic 有什么区别?
inet6 240e:3a1:826:xxx:9209:xxx:fe09:72db/64 scope global mngtmpaddr dynamic
valid_lft 256153sec preferred_lft 169753sec
inet6 240e:3a1:829:xxx:9209:xxx:fe09:72db/64 scope global deprecated mngtmpaddr dynamic
valid_lft 4117sec preferred_lft 0sec
systemcall
2022-12-12 22:08:46 +08:00
用 ping 来调试不是很好,因为一个是一些设备默认禁止 ping ,再一个是很多网络设备的防火墙对于 ICMP 和 TCP 有着不同的策略
建议你直接起一个 httpd ,来调试
家那边的防火墙要放行对应端口的 TCP 流量。同时要确定运营商不会阻断 http 连接。如果会阻断的话,可以试试 zerotier
systemcall
2022-12-12 22:19:31 +08:00
#6
你是家庭宽带,这是前提
prefix 是会变换的。你先检查一下那个被弃用的地址是不是因为下发的 prefix 发生了改变
看起来都是 SLAAC 的地址,SLAAC 下分配的临时 IPv6 地址本来就是只有比较短的租期,并且会定期变化
感觉你只是因为把 ipv6 的 firewall 关闭了而已
systemcall
2022-12-12 22:21:48 +08:00
还有,如果同时有 A 记录和 AAAA 记录,但是你的 ipv4 是不能够访问的,浏览器很有可能会尝试先用 ipv4 来访问,发现超时之后直接认为 server down 了。
你虽然是 dual stack 的,但是浏览器并不会同时向多个 ip 发送完整的请求之后再来选择,它的 mechainism 很 dinner
citydog
2022-12-12 22:29:15 +08:00
ipv6 的防火墙没关,我家宽 ipv6 ,是猫+路由+服务器的形式,外部随意一台有 ipv6 的手机就能访问家里的服务器
前提是家里的路由器关了 ipv6 的防火墙(光猫有点老,控制面板里的防护墙只对 ipv4 生效,所以你的如果有 ipv6 防火墙的话,也需要关掉)
Apol1oBelvedere
2022-12-12 22:34:29 +08:00
@systemcall 这是光猫的 IPv6 的获取方式:
GUA 获取方式 SLAAC
DNS 获取方式 DHCPv6
前缀获取方式 DHCPv6
网关获取方式 SLAAC

光猫的防火墙没有做设置,IPv4 的端口映射可以删除吗?
systemcall
2022-12-12 22:38:04 +08:00
@Apol1oBelvedere #11
正常情况下,可以删除,因为 v4 和 v6 正常情况下是完全分开的
Apol1oBelvedere
2022-12-12 22:44:38 +08:00
@citydog 我是光猫+群晖,设备型号 TEWA-707E 光猫防火墙等级如下所示,字面看只有 Ping 防护的差异。
防火墙等级说明:
高: 允许合法的广域网访问;禁止 WAN 侧 Ping 。
低: 允许合法的广域网访问;允许 WAN 侧 Ping 。
citydog
2022-12-12 22:47:01 +08:00
@Apol1oBelvedere 选低试试
Apol1oBelvedere
2022-12-12 22:51:28 +08:00
@citydog 一直是低没变过。6#帖子写了目前能用。
Apol1oBelvedere
2022-12-12 23:51:00 +08:00
@systemcall @citydog
经过测试,确认到一个选项:
电信 TEWA-707E 光猫的设置选项:安全->共攻击保护设置->防攻击保护[ ]选项,一旦勾选后,原先的 DSM 网页连接只能持续 5 分钟就会停止响应。取消勾选后,就能立刻恢复网页连接。
目前不知道这个选项做了什么保护,推测是屏蔽入站连接。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/902028

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX