华硕路由器ipv6开启
缘起
最近网上看到消息,很多的宽带已经开启了ipv6的支持,想到最近也有下载需求,而且如果有公网ipv6,未来可能能更方便的访问,最近就折腾了一下华硕路由器上的ipv6。
折腾过程
环境信息
宽带:移动的宽带 路由:华硕ac68
开启ipv6
宽带送的光猫从后台看了下,默认已经开启了ipv6,因此只需要在华硕路由器开启ipv6即可。
在路由器ipv6中进行开启,主要设置如下:
联机类型:passthrough DHCP-PD:开启 自动接dns:开启
经过这一步设置,各个客户端可以正常获取ipv6地址了,但是立马暴露出如下三个问题:
1、分配的公网ipv6地址外网访问行如何
2、安全性如何确保
3、局域网的pi-hole还怎么发挥作用
4、局域网的自动fq还怎么生效
立马检查了这些项目:
1、分配的公网ipv6从外网根本访问不了
2、 pi-hole就没办法工作了,因为dns走了ipv6自动分配的
3、fq也不能生效了,ipv6地址直接走掉了
因此下面的过程就是解决这些问题了
解决外网访问问题
通过ping6命令,从手机卡网络的ipv6访问进来后,发现到光猫的ipv6地址后就不通了,根本到不了路由器,因此分析是光猫做了屏蔽外部访问,考虑使用光猫桥接,路由器拨号来解决。
既然要路由器桥接,就需要破解光猫,默认是光猫拨号的。这里提供两个破解的思路。
1、google搜索光猫型号 破解 2、搜索某个省份的超级密码 3、通过运营商的内部系统查询,部分省份查询地址可以找到,比如广东移动 光猫破解
而我折腾了好久,没看到设备破解的方案,采用了运营商内部系统查询的方法,最终破解了光猫的密码。
通过超级密码进入后,就可以把上网的连接改成桥接模式,在路由器里进行拨号,其中上网账号和密码可以在运营商app内查到。
使用路由器拨号后,试了下外网的ipv6访问,是可以了。 另外ipv6的设置有一些变化,拨号类型改变为Native,其他的配置保持类似。
安全性确保
经过上面的步骤,外部可以访问内部公网ipv6地址了,这样看来非常的不安全,因为有很多的外部恶意扫描漏洞等,我们需要进行安全性的设置。
看了华硕的ipv6防火墙,开启后测试从外部还能沟通ping通,但是经过测试,其他接口都是不通的,这个ping是ipv6协议中网络邻居发现协议所需要的。
因此,对于安全性的确保,我们使用华硕路由器自带的ipv6防火墙即可,如果需要暴露某个服务,可以开启某台机器的某个端口,切记不能关闭防火墙,这样就在公网上裸奔了
这么设置后,我留心观察了路由器的系统日志,有不少的DROP日志,确认了端口,访问的都是下载这些p2p,没有恶意的其他扫描了,因此安全问题也不大。
看了华硕路由器,发现不少被drop的到内网的请求,经过分析,大部分是正常请求,但是超时了,被路由器拒绝(从内网向外网发请求后,一段时间内是可以外网向内网指定端口发数据的)
另外,这里建议如果没有外部访问内网的需求,可以直接光猫拨号即可,内部地址能获取到ipv6地址使用,但是外部访问不了内网,也是非常安全的方案啦。
pi-hole dns方案在ipv6的使用
上面也讲了,如果ipv6地址直接从ipv6的dns获取解析了,那么广告过滤也就失效了。我们需要让各个客户端还是从pi-hole系统获取dns解析。
换句业内的说法,dns也要双栈,让ipv6也从我们的pihole获取dns。
首先,pihole本身没有什么问题,所在的服务器自己开启ipv6后,就可以通过ipv6地址获取dns解析了,现在的问题,是不使用默认的ipv6 dns。
经过一段时间的查询,采用如下的方案解决:
1、wan口拨号不使用上级dns,写pi-hole的dns地址
2、ivp6内不使用上级dns,写pi-hole的本地ipv6地址(fe80开头的)
3、华硕路由器dnsmasq内的dhcp设置里,增加下发ipv6的dns,地址写pihole的ipv6
修改华硕路由器里/etc/dnsmasq.conf文件dhcp-option
dhcp-option=lan,option6:23,[<fe80... DNS IPv6 address>]
经过上面设置,所有的客户端ipv4和ipv6流量,都会经过pihole进行dns解析,因此广告过滤功能就生效了。
fq功能的使用
通过上面的设置,dns解析走的是pihole,但是我在局域网部署有基于iptable的fq,也需要上网流量走一下这个dns,因此目前的dns结构如下:
即:开启了ipv6,但是ipv6dns的解析,依然采用老的链路,采用双栈的架构去解析ipv6,局域网的设置没有变化。
且fq中的远程vps是只有ipv4的,解析的地址也是v4,不用配置v6的iptables,保持和以前一样。
关于dns解析压力
从pihole上看到的情况,目前的所有操作系统在有ipv6时,基本都是双栈的,即同时请求ipv4和ipv6的dns解析,因此dns解析量基本翻倍了。
发现openwrt软路由启用doh/dot后,openwrt经常超时,pihole报N/A,经过分析,是openwrt的adblock的屏蔽列表过大(50w+)后,就经常超时了,应该是性能不够了,此时系统的负载在1+
在openwrt路由上,没办法把adblock去除掉了,后端的dns解析,出于安全考虑,采用了doh、dot方式使用了阿里云、腾讯云,抛弃了之前的114,据说会有些劫持。
总结
经过这么一波折腾,就目前来看,如果日常使用,就按运营商的设置来就好,把路由器的ipv6功能开启就好,还是光猫拨号,更安全些。
如果是有公网ipv6需求的话,才考虑折腾路由器拨号。
另外,就目前来看,ipv6还是不够普及的,必须开启双栈,而我目前做的基本也就是这样了,纯ipv6国内基本不可用,基本就是一部分支持ipv6而已。
关于ipv6对下载的帮助,个人感觉会稍大点,因为可以直接连接了。
参考资料
https://zhuanlan.zhihu.com/p/110418905
https://www.4330.cn/thread-23554-1-1.html
https://www.right.com.cn/forum/thread-526949-1-1.html
https://www.snbforums.com/threads/trouble-with-ipv6-custom-dns-or-with-dhcpv6-server-disabled.24514/
发表评论