V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
开了 DMZ, 一切测试都没问题, 但基于 ddns 访问内网 ipv6 的域名就失败了, 但是 ipv6 在内网可以访问, 从外网用 ipv6 /域名直接访问都不行.
比如用域名:aHR0cDovL3h0Lm5pdmtrYS5jb206NTU1NTUvbml2a2thLw== 从外面无法访问
用 ipv6 也无法访问: aHR0cDovL1syNDBlOjNiNDoyYzQxOjg3NDA6Ojc3YV06NTU1NTUvbml2a2thLw==
比如用域名:aHR0cDovL3h0Lm5pdmtrYS5jb206NTU1NTUvbml2a2thLw== 从外面无法访问
用 ipv6 也无法访问: aHR0cDovL1syNDBlOjNiNDoyYzQxOjg3NDA6Ojc3YV06NTU1NTUvbml2a2thLw==
Supplement 1 · 3 days ago
我的架构是一台飞牛 nas,关闭了所有防火墙, 在上面用 ddclient 部署了 ddns, 同时部署了一个 x-ui, 希望外面拨号可以进自己家里网络进行远程访问.
成功的话我就可以复制到国外比如越南/马来朋友家里的单独放着小电脑, 进行 TK 直播落地 IP 用.
(不要问为什么不用 tailscale 这些, 问就是不想)
用的是电信的宽带, 然后用的是 360 无线路由器拨号上网, 360 无线路由器上设置了 DMZ.
我用国外一台机器上 ping ddns 的子域名可以通, 然后在内网都可以通过 ddns 子域名和 ipv6 可以访问到飞牛上的 x-资源.
但奇怪的是外面无论是 IPV6 还是 ddns 子域名都无法访问到飞牛上想要的资源, 懵逼了.
我很怀疑 360 的安全黑箱导致, 但没有证据, 不知道其它人遇到过没?
成功的话我就可以复制到国外比如越南/马来朋友家里的单独放着小电脑, 进行 TK 直播落地 IP 用.
(不要问为什么不用 tailscale 这些, 问就是不想)
用的是电信的宽带, 然后用的是 360 无线路由器拨号上网, 360 无线路由器上设置了 DMZ.
我用国外一台机器上 ping ddns 的子域名可以通, 然后在内网都可以通过 ddns 子域名和 ipv6 可以访问到飞牛上的 x-资源.
但奇怪的是外面无论是 IPV6 还是 ddns 子域名都无法访问到飞牛上想要的资源, 懵逼了.
我很怀疑 360 的安全黑箱导致, 但没有证据, 不知道其它人遇到过没?
Supplement 2 · 2 days ago
根据 gemini 的测试方式, 我觉得大概率是被电信屏蔽了:
4. 运营商端口封锁 (ISP Blocking)
这是概率最高的外因。
很多宽带运营商(中国电信/移动/联通)在公网 IPv6 上会封锁常见的敏感端口或非标准高位端口。
• 测试方法:将你的面板端口从 55555 改为一个常用的“安全”端口,比如 8080 或 10000 左右的端口,然后同步修改防火墙和 Cloudflare 。
总结排查顺序
1. 路由器 DMZ:将 192.168.2.199 设为 DMZ 主机。这是在 360 路由器上放行 IPv6 最简单的暴力手段。
2. 更换端口:尝试把 55555 换成 44332 之类的其他随机端口。
3. 抓包观察(高阶):在服务器运行 tcpdump -i any port 55555 -n ,然后在外部主机 curl 。
• 如果你能看到 S (SYN) 包进来,但服务器回了 R (Reset),那是服务器防火墙问题。
• 如果你根本看不到任何包进来,那是路由器或运营商拦截了。
既然你已经能通过本地 curl 拿到 301 响应,说明你的 DDNS 域名到 IP 的映射是完美的。现在只需要把 360 路由器这道“防盗门”彻底推开即可。
4. 运营商端口封锁 (ISP Blocking)
这是概率最高的外因。
很多宽带运营商(中国电信/移动/联通)在公网 IPv6 上会封锁常见的敏感端口或非标准高位端口。
• 测试方法:将你的面板端口从 55555 改为一个常用的“安全”端口,比如 8080 或 10000 左右的端口,然后同步修改防火墙和 Cloudflare 。
总结排查顺序
1. 路由器 DMZ:将 192.168.2.199 设为 DMZ 主机。这是在 360 路由器上放行 IPv6 最简单的暴力手段。
2. 更换端口:尝试把 55555 换成 44332 之类的其他随机端口。
3. 抓包观察(高阶):在服务器运行 tcpdump -i any port 55555 -n ,然后在外部主机 curl 。
• 如果你能看到 S (SYN) 包进来,但服务器回了 R (Reset),那是服务器防火墙问题。
• 如果你根本看不到任何包进来,那是路由器或运营商拦截了。
既然你已经能通过本地 curl 拿到 301 响应,说明你的 DDNS 域名到 IP 的映射是完美的。现在只需要把 360 路由器这道“防盗门”彻底推开即可。
 |
1
blueboyggh 3 days ago via Android
有没有可能是光猫或者路由器的 ipv6 防火墙没开?
|
 |
2
Hermitist OP @blueboyggh 用的路由器拨号, 路由器上 DMZ 指向了这个内网机器 ip.
|
 |
3
xqzr 3 days ago
IPv6 不该用 DMZ 、端口映射
|
 |
5
FrankAdler 3 days ago
dmz 不对 ipv6 生效,ipv6 公网 ip 的话,保证整个链路上的每个环节的防火墙都允许入站端口才行
非要类比的话,就是 ipv4 的时候,保证转口转发一级级传递下去,光猫转到二级路由,二级路由转到指定机器 |
|
6
FrankAdler 3 days ago
https://bbs.itzmx.com/thread-100969-1-1.html 给你参考下,我自己的 ipv6 拿不到光猫超管,已经放弃了
|
 |
7
z775781 3 days ago
既然是路由器拨号的,那么只需要路由器防火墙放行就行了,我用的光猫拨号,下面放了个中兴巡天 AX3000 ,光猫关闭 IPv6Session 防火墙开关,在路由器中将 IPv6 防火墙级别调到低,然后笔记本连接 WiFi ,在笔记本上运行 DDNS ,直接就能连接。
|
|
8
Hermitist OP @z775781 电信维护来我家, 直接让他改为 360 无线路由器拨号, 所以理论上在 360 路由器上放行 ipv6 就可以, 不过 @FrankAdler 说 DMZ 不对 IPV6 生效, 我现在这个情况很诡异.
我的架构是一台飞牛 nas,关闭了所有防火墙, 在上面用 ddclient 部署了 ddns, 然后就是第一个帖子遇到的诡异情况. 我用国外一台机器上 ping ddns 的子域名可以通, 然后在内网都可以通过 ddns 子域名和 ipv6 可以访问到飞牛上的资源. 但奇怪的是外面无论是 IPV6 还是 ddns 子域名都无法访问到飞牛上想要的资源, 懵逼了. |
 |
9
a9htdkbv 2 days ago
DMZ 是 ipv4 时代的产物,ipv6 处处是公网没这个概念的,除非你用 ipv6 nat ,建议检查一下你的路由器防火墙。可以创个软路由拨号试试(比如 ikuai )。
之前我用 ikuai 直接把我内网所有设备的 ssh 通过 ipv6 漏出来 |
 |
11
Ipsum 2 days ago via Android
家用的路由器,一般不支持对 ipv6 做 nat 。
|
|
12
blueboyggh 2 days ago via Android
换个能设置 ipv6 防火墙的路由器就知道是怎么回事了
|
 |
14
109653VIP 2 days ago
运营商默认 dns 记录有返回吗可能被屏蔽了
|
 |
15
fengyaochen 2 days ago via Android
v6 防火墙要允许入站,openwr 原版新建规则,国产的路由器基本也就是 openwrt 换皮,如果没有选项只能 ssh 看看能不能命令或者脚本加一个
|
 |
16
xy323527470 2 days ago
DMZ 、端口映射是针对于 ipv4 的技术,开启后和 ipv6 的网络拓扑完全没有关系
|
 |
17
netboy2008 2 days ago via iPhone
ipv6 哪来的 dmz ?
|
|
19
Hermitist OP @netboy2008 有些文章说 360 的无线路由器, 通过 ipv4 的 dmz 方式来曲线实现 ipv6 的端口转发.
|
 |
20
titanium98118 1 day ago
IPV6 没有 DMZ ,每台设备拿到的都是全球单播地址,只要没有被你家路由器的防火墙拦截了,就能通。
|
 |
21
songyoucai 18h 23m ago
都 IPV6 了 还 DMZ 还端口转发? 大家都告诉他原因了。他还一个劲的犟, 你留个微信 发 50 的红包。这里大部分人都能帮你搞定
|
Select Language