目前?宽带运营商已基本开通家庭宽带IPv6功能,最近因为要做一些IPv6.先在家做一些准备,把测试工作做好IPv6搞好耍耍。
我家一直在用Mikrotik的ROS路由器功能强大,但配置麻烦。原配置一次,不太顺利,成功一段时间后就不行了,因为没用,所以就不管了。这次准备找出问题的根源,彻底解决。
因为网上介绍ROS开IPv也有很多文章,只是简单地记录过程,主要是与你分享几点需要特别注意。
一、准备:
1、 确定光猫设置为网桥模式(使用路由器)PPPoE拨号上网是使用的网桥模式),路由模式根据自己的光猫模型在网上找教程改网桥,或者找运营商安装维修工程师改模式。
2、 确定路由器ipv6功能包已启用
IPv6功能包
3、 确定PPPoE Client使用的Profile打开了IPv6支持
4、 确定IPv6转发已打开
IPv6转发
5、 确定IPv6/FireWall未启用过滤规则(这是坑);
6、 确定计算机网络IPv6协议支持已打开
Windows协议支持
二、配置过程:
1、 配置IPv6/DHCP Client
DHCPv6
2、 配置IPv6的公共DNS服务器,我用阿里云DNS
DNS6
3、 配置内网侧IPv6地址
添加自动分配地址:1 ,将1号地址分配给路由器
内网地址
4、 配置IPv6/ND
IPv6/ND
5、 配置IPv6/Firewall,放行ICMP进入和转发,开放UDP 546端口(大坑)关闭其他流量进入和转发
IPv6/Firewall
6、 电脑网线或WiFi重新连接获取地址,如果非网卡状态出现fe80开头的IPv6地址说明IPv6已成功开通,用ping -6 ipw.cn测试一下
Ping6
7、 设置电脑IPv4优先;
Windows下默认是IPv6优先,使用命令修改优先级:
netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 100 4
效果是设置IPv4优先级最高,可以使用默认恢复 netsh interface ipv6 reset
三、说几个关键点
1、 IPv6的安全问题
在默认状态下,每一个IPv所有6台设备都有世界上唯一的地址,并且相互访问,这就导致内网设备可以直接从互联网上访问,如果不进行安全设置,可能会受到攻击,默认过滤规则应保护普通路由器。ROS我需要动添加,我简单设置了5条规则,应该够了。(wan是自己设置的网口组,包括外网接口和PPPoE拨号网络)
?(wan是自己设置的网口组,包括外网接口和PPPoE拨号网络)
? 0和1号规则是放行ping网络状态测试方便;
? 2号规则是打开路由器UDP546端口的input,这个端口是DHCPv6需要的;
? 3号和4号规则是屏蔽所有其他外网发起的连接和转发;Firewall v6
2、 UDP 546端口
这个端口的问题是一个大坑。我需要强调的是,当我最初的配置开始成功时,它就失败了,因为它曾经被怀疑是运营商网络的问题。因为DHCP6获取地址成功后,为了安全,我设置了防火墙过滤规则。当时没问题,因为IP已成功,有效期为3天,只要不释放或重新拨号即可。但重启或重新拨号后就是这样,状态一直处于searching…ERROR
在各种尝试过程中,发现最终关闭防火墙drop规则成功后,必须扔掉互动数据包,但互联网上互联网IPv6的配置教程没有提到这个问题,也不确定要放哪些端口,直到查DHCPv当你看到这个原则时,你会看到这个
https://zhuanlan.zhihu.com/p/140004463DHCPv6
原来DHCPv6在发布地址时,需要主动连接路由器UDP 546端口,跟IPv4的DHCP过程不同,我犯了经验主义。找到原因后,直接释放问题就解决了。找到原因后,直接释放问题就解决了。和大家分享一下,注意不要再踩。
3、 IPv6优先级
因为目前的互联网IPv6资源仍然相对缺乏,而且windows默认是IPv6优先,这可能会导致网络访问减慢,最好将其改为IPv4优先,平时正常访问IPv4.需要特别访问IPv6网站走v6网络。
Win下列相关设置命令:
查看优先级:netsh interface ipv6 show prefixpolicies
IPv4优先级最大化:netsh interface ipv6 set prefixpolicy ::ffff:0:0/96 100 4
默认重置:netsh interface ipv6 reset (我没试过,不知道会不会有其他影响。如果不放心,可以用上面。修改设置命令回默认优先级10)