联通家宽 IPv6 无法接受入站 TCP 请求？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 1891 天前的主题，其中的信息可能已经有所发展或是发生改变。

环境：
联通家宽 200M
光猫 HG2201U 1.0:防火墙等级低（无法关闭）、攻击保护关、QOS 关、光猫拨号（路由拨号存在降速、丢包、断连的问题）
内网 IPv4 、公网 ipv6 、test-ipv6 10 分
路由 AC86U 、IPv6 passthrough

需求：使用 ddns 动态解析 v6 地址，从境内公网直连家庭 NAS，抛弃境外 VPS 上的 frp

问题：
1 、从外网直接访问光猫 lan 侧 IPv6 地址可直达光猫 web 后台
2 、从外网直接访问 AS （ Debian ）地址，无法访问，使用 tcpdump 抓包发现，无 TCP 入站数据
3 、从外网可以 ping 通 NAS 地址，在 NAS 上 tcpdump icmp6 可看到数据包

求大佬解疑

光猫

IPv6

NAS

tcpdump

19 条回复 2020-09-26 21:51:11 +08:00

lbp0200

2020-09-22 09:33:35 +08:00

NAS （ Debian ）防火墙的问题，关掉试试
定位到原因，记得添加规则，开启防火墙

de1ta

2020-09-22 10:12:03 +08:00

@lbp0200 不是防火墙的问题，在使用笔记本进行测试时，使用联通 4G 卡开热点给笔记本电脑分配 IPv6 地址，笔记本上使用 python3 开 web 服务，另一部电信 4G 手机可以从公网直接访问笔记本 IPv6 上的 web 服务。但是同样的测试环境，给笔记本分配联通宽带的 IPv6 地址，从电信 4G 访问就不通，只有 icmp6 包可达。

hello365

2020-09-22 10:16:29 +08:00

我用 ipv6 也无法访问我的 nas,我是移动的家宽,光猫防火墙关了,用的自定义端口也不行,不知道怎么排查...

huaxie1988

2020-09-22 10:21:21 +08:00 via iPhone

一般是光猫防火墙问题，建议用 openwrt 拨号，修改防火墙测试

tsanie

2020-09-22 10:24:19 +08:00

@de1ta
我这里不是联通，不能给确定答案，不过看这个描述可能是光猫防火墙的锅。
提供个方向，光猫防火墙实在关不了的话先临时改桥接用路由器拨号，先控制变量判断是不是光猫防火墙的问题。
如果确定是光猫防火墙的锅又关不掉的话那就没办法了，换个思路试试 zerotier 。

@hello365
nas 和光猫之间有额外的路由器吗？路由系统默认通常都是把 IPv6 forward 屏蔽的，只允许 ICMPv6，像 openwrt 需要手动把 forward 改成 accept，或者在 rules 里手动添加特定 port/dest ip 的 IPv6 forward 规则。

de1ta

2020-09-22 10:25:55 +08:00

补充：
同样的问题： t/635357
参考 @dylan 的解决方案：
使用 admin 账户 telnet 进光猫后，执行以下命令，理论应该是 v6 全部放行了才对？
ip6tables -F
ip6tables -X
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT

执行后问题依旧，未解决。

riggzh

2020-09-22 10:27:23 +08:00

我的是华硕路由器，默认是启用 ipv6 防火墙的，你可以看看相关设置

IPv6 防火墙
允许来自局域网中 IPv6 主机的所有传出流量及相关的传入流量。任何其他传入流量必须得到特别允许。
您可以不填写远程 IP 地址，以允许来自任何远程主机的流量传入。您也可以设置为一个子网。 (例如：2001::1111:2222:3333/64)