V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wangbenjun5
V2EX  ›  宽带症候群

国内 ipv6 普及了,但是好像没卵用

  •  1
     
  •   wangbenjun5 · 2020-05-07 11:48:42 +08:00 via Android · 22029 次点击
    这是一个创建于 1665 天前的主题,其中的信息可能已经有所发展或是发生改变。
    很多年前就开始吹 ipv4 地址不够用啦,ipv6 可以给地球上每一粒沙子分布一个独立 ip,可以互联互通……

    10 多年过去了,最近几年国家也在大力推进 ipv6 部署,众所周知,现在手机基本上早已经都是 ipv6 地址了,很多固网宽带也已经是 ipv6 了。

    比如我家的新办理的电信宽带,一开始就是 ipv6,访问很多网站也都是走的 ipv6,然并卵,就我个人而言,和 ipv4 没啥区别,墙依然在,而且也没法在公司直接远程家里电脑,还得端口映射或者 teamviwer……(最开始电信给的还是内网 ipv4 地址,打电话让改的公网)

    至于家里的智能设备,我用的小米的摄像头和空调伴侣,实际上它是先连 WiFi,通过 WiFi 上网(或者蓝牙),根本不依赖 ipv6,再说了,如果真的直连 ipv6,那安全性估计够呛。

    本质上,很多家里的路由器就是一道防火墙,很少有人直接电脑拨号上网,家里设备分配的 ip 还是内网 ip,就算运营商给你一个公网 ip 有啥用呢?还不得端口映射一下

    所以有没有吊大的告诉我,现阶段 ipv6 到底有啥好处?
    第 1 条附言  ·  2020-05-07 15:52:04 +08:00
    很多人没理解我说的意思,说到 ipv6,大家讲的最多的就是每一个设备一个 IP,不再使用 nat 机制,各种设备之间可以互联互通,就好比你局域网一个网段之间的设备。

    其实我比较不确定的一点是,路由器是不是依然是一道防火墙? 举个例子,ipv4 下,路由器给你电脑分配的都是内网 IP,你朋友的 192.168.1.7 肯定不能和你的 192.168.1.8 互通,因为中间从路由器过的时候多了一道 nat,所以就有了各种打洞方法。

    所以 ipv6 下解决了这个问题吗?假设你和你朋友用的都是 ipv6 的猫和路由器,请问能否直连?
    第 2 条附言  ·  2020-05-07 22:15:59 +08:00
    这样吧,我做一个实验,我路由器管理页面里面显示的 ipv6 地址:240e:82:2c82:42eb:f97e:7ab4:3757:e5db

    其中我 Ubuntu 的 ifconfig 的信息:
    inet6 addr: 240e:82:2c02:ce2a:c463:c25e:5016:7fdd/64 Scope:Global
    inet6 addr: fe80::48ef:c32e:37b5:2663/64 Scope:Link
    (求解这 2 个地址有啥区别???)


    1. 电脑浏览器访问: http://[240e:82:2c82:42eb:f97e:7ab4:3757:e5db]/cgi-bin/luci 出来的是我的路由器管理界面,使用手机(电信卡)流量访问是打不开的。(求解???)


    2.电脑浏览器访问: http://[240e:82:2c02:ce2a:c463:c25e:5016:7fdd]/ 显示是我本地的 web 服务(我本地 80 和 8888 端口各启动了一个 web 服务)

    在手机上无论是 80 还是 8888 都显示响应时间过长。(求解???)
    140 条回复    2021-11-02 12:57:28 +08:00
    1  2  
    imdong
        1
    imdong  
       2020-05-07 11:55:12 +08:00 via iPhone   ❤️ 2
    谁告诉你 iPv6 没有墙的?
    只要 ISP 分配的是 /64 的地址,设备没有 IPv6 是路由器的锅。
    至于不能直链,明确的是封端口是常规操作,其他不清楚,也不应该。

    你说的这些其他问题,似乎我都没有遇到过。
    ohao
        2
    ohao  
       2020-05-07 11:57:49 +08:00
    大部分的 IPv6 国内目前速度比 IPv4 慢
    namelosw
        3
    namelosw  
       2020-05-07 11:58:19 +08:00
    每个人一个 IP 还是挺有用的,不然连续搞 tunnel 特别迷,比如 Slack 之类的 command 也只能调公网
    zjm947373
        4
    zjm947373  
       2020-05-07 11:59:41 +08:00
    v6 是直接连公网的吧
    ragnaroks
        5
    ragnaroks  
       2020-05-07 12:00:24 +08:00
    我家里移动不能进来,其它互联互通,再也不用内网穿透了
    order
        6
    order  
       2020-05-07 12:00:47 +08:00
    现有的环境肯定是没有多大用处的,还得是未来几年全部普及之后才能体现出来
    作用从上面的角度方便“管理”,从网络的角度方便互联(当然防护安全还是不能少的),从民众角度步入物联网时代。
    你说的这些还是以现在的角度去看的,当然谁知道天朝 ipv6 网络下是什么样呢🤣
    different
        7
    different  
       2020-05-07 12:12:08 +08:00
    我很好奇,你怎么就觉得 ipv6 没有墙?
    “而且也没法在公司直接远程家里电脑,还得端口映射或者 teamviwer…”
    如果你公司 /家里的网络提供 ipv6 地址并且提供 ipv6 服务,远程连接并不是什么问题。可能只是运行商封了某些端口,换个就行。
    独立的 ipv6 地址,实际上普通用户压根感觉不出来跟 ipv6 地址的区别。你家的米的摄像头和空调伴侣依赖 ipv6 与否,根本不影响体验。首先小米那边的服务器需要支持 ipv6,其次,你还想让 ipv6 能够达到什么效果吗? ipv6 的意义并不在这里。

    最后一个,你用路由器的话,连接的设备都是在局域网里面,里面的内网 ip 当然你是路由器分配的,跟 ipv6 有啥关系,你的所有设备的公网 ip 的出口不就是你的路由器那边吗?除非你路由器有多个网卡,并充钱变强。
    different
        8
    different  
       2020-05-07 12:16:22 +08:00
    ipv6 有什么好处?
    多啊!
    不多吗?
    你是想问多有什么用吗?
    #dog
    optional
        9
    optional  
       2020-05-07 12:18:51 +08:00
    ipv6 当然有意义,ipv4 只能 nat,很多都是 nat3,联机游戏,p2p 都受到巨大的限制。
    wangbenjun5
        10
    wangbenjun5  
    OP
       2020-05-07 12:39:13 +08:00 via Android
    @optional ipv6 也得 nat 吧
    different
        11
    different  
       2020-05-07 12:39:42 +08:00 via Android
    @different #7 后面的一段回答有误。
    wangbenjun5
        12
    wangbenjun5  
    OP
       2020-05-07 12:40:47 +08:00 via Android
    @different 有墙,你说的每个设备都有一个独立 IP 基本上无法实现,除非每一个设备都可以独立拨号上网,类似手机,问题来了,现在手机都是 ipv6,我在我手机上面开个 web 服务,你的手机能访问吗?
    haihongblog
        13
    haihongblog  
       2020-05-07 12:41:08 +08:00
    iot
    lekai63
        14
    lekai63  
       2020-05-07 12:41:29 +08:00
    公司远程到家里应该是可以的。
    我是家里移动宽带有 ipv6,防火墙等都设置需要的端口开放。移动 4G 也有 ipv6,可以通过 ipv6 直接连接路由器后面的 win10 (路由 merlin 做了 passthrough )
    但公司路由权限没有,没有 ipv6 到每个机子。。so,就无法在公司走 ipv6 连接家里了
    ronman
        15
    ronman  
       2020-05-07 12:42:16 +08:00 via Android
    @wangbenjun5 防火墙又不是你配置的当然不行,家宽就可以
    hallDrawnel
        16
    hallDrawnel  
       2020-05-07 12:43:58 +08:00
    有了 ipv6 之后就不用 nat 了,游戏和 P2P 更舒服。防火墙不需要映射啊,直接开端口就好了,我用移动的 ipv6,路由器防火墙开一下端口就能从学校直接通过 ipv6 连到我家,疫情期间炼丹爽歪歪。PT 也更爽了。
    CaptainKevin
        17
    CaptainKevin  
       2020-05-07 12:44:15 +08:00 via Android
    不要期待 ipv6 的到来,因为到时候追踪你就像切菜一样简单
    different
        18
    different  
       2020-05-07 12:47:17 +08:00 via Android
    @wangbenjun5 我没说过每个设备都有一个独立的 IP (我也没说这句话是错的)。
    目前有些地区运营商只提供了 Ipv6 地址,不提供 Ipv6 服务,参考前段时间的广州移动。
    手机的 ip 地址在不同地方,ip 是会发生变化的,而且可能也经过了 nat 。如果这个 ip 是你手机独占,并且开放端口,运营商不做限制,那么你手机为什么不能作为 web 服务器?
    different
        19
    different  
       2020-05-07 12:56:08 +08:00 via Android
    移动端的 IPv4 应该是经过了 nat,ipv4 为私有,通过基站 nat,移动端的 ipv6 地址是否为本地独有我并不了解。
    hoyixi
        20
    hoyixi  
       2020-05-07 12:58:57 +08:00
    v6 开始大规模给屁民用了,就说明 wall 已经准备好了
    cue
        21
    cue  
       2020-05-07 12:58:59 +08:00
    现在家里的那些智能设备,全都只支持 wifi 2.4G ,支持 wifi 5G 就不错了,还 ipv6
    Coioidea
        22
    Coioidea  
       2020-05-07 12:59:41 +08:00
    用途很多呢!至少可观的未来,通过 v6,网络吞吐量会增大吧,链路的各方面硬损耗会降低。

    还没有大规模部署的时候我通过特殊方式家宽搞到了 native ipv6 (不是 tunnel ),那时候线路基本上正常,甚至一些出海站点延迟比 v4 还低,测过 google 和几家 vps 当时走 hk 也没有全球绕。所以你说的问题跟“人”有关。

    感觉是故意打乱国际路由的,因为 ipv6 出国方向是干啥的你不说大家也很清楚

    @CaptainKevin 现在不是吗?
    ychost
        23
    ychost  
       2020-05-07 13:00:16 +08:00
    ipv6 可以更好下种子,怀恋六维论坛
    lihongming
        24
    lihongming  
       2020-05-07 13:01:19 +08:00 via iPhone
    实测在加拿大访问北京家里的路由器 IPV6 地址无法打开,移动宽带,已经修改过路由器的默认端口了,不是 80 也无法访问
    raysonx
        25
    raysonx  
       2020-05-07 13:01:57 +08:00   ❤️ 22
    嘈点太多,楼主对于 IPv6 的理解和观点几乎全是错的。

    > 就我个人而言,和 ipv4 没啥区别,墙依然在
    墙当然在,没墙不会让你用。十年前用教育网 IPv6 的时候就有墙了,谁告诉你没墙的?

    > 没法在公司直接远程家里电脑,还得端口映射或者 teamviwer
    听到“端口映射”这个词,你远程管理还用的还是 IPv4 吧。这段论述显然和 IPv6 没有任何关系。
    IPv6 下所有设备都具有公网地址,无需端口映射。

    > 至于家里的智能设备,我用的小米的摄像头和空调伴侣,实际上它是先连 WiFi,通过 WiFi 上网(或者蓝牙),根本不依赖 ipv6
    同理,这是厂商还不支持 IPv6,不是 IPv6 的没用。

    > 再说了,如果真的直连 ipv6,那安全性估计够呛。
    不理解你说的“安全性”是什么意思。安全性和网络层协议关系不大。

    > 本质上,很多家里的路由器就是一道防火墙,很少有人直接电脑拨号上网,家里设备分配的 ip 还是内网 ip,就算运营商给你一个公网 ip 有啥用呢?还不得端口映射一下
    你这又扯到 IPv4 去了。IPv6 下运营商是按段分配地址的,因此所有的设备都可以有独立的公网地址,不是只有一个,不需要端口映射。

    > ipv6 也得 nat 吧
    技术上可以(比如用 Linux 软路由),实际上不需要,而且多数路由器不支持 IPv6 NAT 。
    trh
        26
    trh  
       2020-05-07 13:04:49 +08:00
    @raysonx
    确实,现在 v2 这种自以为是的小白吐槽贴越来越多,用户平均水平下降得厉害
    geekvcn
        27
    geekvcn  
       2020-05-07 13:07:51 +08:00
    这楼主典型的无知无畏,所以说话完全没逻辑,多了解下 IPv6,搞清楚 IPv6 怎么用,防火墙怎么开关再吐槽,目前 IPv6 唯一的缺点就是带宽相对 IPv4 少,支持站点和服务少
    shanliang
        28
    shanliang  
       2020-05-07 13:09:16 +08:00
    ipv6 主要是为了方便查水表
    moa
        29
    moa  
       2020-05-07 13:25:36 +08:00
    真是无脑,ipv6 的好处多了去了,你不懂不代表没有用.
    weiruanniubi
        30
    weiruanniubi  
       2020-05-07 13:29:37 +08:00
    局域网再怎么搞也是局域网,也是垃圾,屁用没有。
    好处只有一个,就是以后可以 IP 实名制,出生即绑定 IP,终生使用,精准查水表。
    dongpengfei1
        31
    dongpengfei1  
       2020-05-07 13:33:58 +08:00 via Android
    我天津联通的宽带每一台设备都有一个地址全端口开放,可能分地区吧。实际使用普通用户肯定感觉不出来呀,
    kuner0614
        32
    kuner0614  
       2020-05-07 13:38:42 +08:00
    我们都知道所谓墙不过是指定网站或者服务器被定向 DNS 污染,GFWlist 以外的网站其实可以访问,相当于 GOV 把一个马蜂窝上的部分洞堵上了。所以我们印象中的墙是不是自己给自己设的?
    cwbsw
        33
    cwbsw  
       2020-05-07 13:52:23 +08:00
    说个实际的用途。FaceTime 在双方都是 IPv6 环境下无需任何额外配置即可直接通信,无需服务器中转。否则现在国际互联网出口这么糟,通过服务器中转体验很差。
    wsy2220
        34
    wsy2220  
       2020-05-07 13:52:59 +08:00
    对你没用不代表对别人没用
    Felldeadbird
        35
    Felldeadbird  
       2020-05-07 14:06:37 +08:00
    所以,大家担心被人查水表?你们是经常在网上发表什么言论呀。。
    NeoChen
        36
    NeoChen  
       2020-05-07 14:10:14 +08:00
    我不太懂,问一下哦,分配到路由器上的 ipv6 地址是不是相当于一个 ip 池,以 ipv4 为例 192.168.0.0/24 (假设这是一个公网 ip ),然后路由器可以给子设备分配 192.168.0.x,然后子设备就不需要通过路由器 nat,直接与公网的设备互联?
    如果说的不对,请别笑话我,这块真不懂。。。😂
    Kowloon
        37
    Kowloon  
       2020-05-07 14:12:22 +08:00 via iPhone
    @dongpengfei1
    但是可惜 v4 的 443 去年没了……
    Kowloon
        38
    Kowloon  
       2020-05-07 14:14:01 +08:00 via iPhone
    @NeoChen
    就是这样,上面 BRAS 负责给你这段 IP 的路由。
    zro
        39
    zro  
       2020-05-07 14:16:01 +08:00
    教育网 IPTV 的 CHC 频道不香么?

    哦,你交费给广电看的啊,那没事了。。
    Cielsky
        40
    Cielsky  
       2020-05-07 14:19:10 +08:00 via Android
    移动墙中墙的局面会改变吧
    raysonx
        41
    raysonx  
       2020-05-07 14:26:03 +08:00
    @NeoChen 可以这么理解。

    现实中,运营商的 BRAS 会给你路由器的分配两个地址段。一个 /64 地址段给 PPPoE 虚拟接口( WAN 口),比如 2001:db8:1::/64,另一个地址段通过 DHCPv6 Prefix Delegation (PD)给下游设备,比如 2001:db8:2::/56 。你会发现路由器的 WAN 口地址和下游设备不在同一个段内。
    wazon
        42
    wazon  
       2020-05-07 14:32:17 +08:00
    民用的 IPv4 公网、IPv4 NAT 、IPv6 都是动态的,通过通信日志查人都需要借助运营商的记录
    个人绑定 IP 不知道是哪里冒出来的消息,现在普遍使用的 SLAAC 隐私扩展等方案就是为了避免通过 IP 追踪到人和设备,执法机关也用不着这么死板的规定才能工作
    whypool
        43
    whypool  
       2020-05-07 14:39:00 +08:00
    你用 IPV100000 都有墙,别叽叽歪歪了
    raysonx
        44
    raysonx  
       2020-05-07 14:42:47 +08:00   ❤️ 4
    另外补充一句,有人说 IPv6 可以给每人终身固定的公网地址,方便追踪或者查水表。个人认为这不太可能发生:

    首先,技术上不可行。人和地址绑定需要实现 IP 地址漫游,而 IP 地址涉及全网路由选路。
    1. 当你切换不同的运营商、到外地、或者切换不同的接入方式时,要保持地址不变,必须要把你的地址通过 BGP 全网宣告出去。然而 BGP 宣告的成本很高,宣告单个地址(或者比接小的地址段)是不被全球各大运营商允许的,否则全网的 BGP 路由表数目将膨胀到天文数字。
    2. 即使上述 1 可行,BGP 的收敛速度也很慢,你总不能接受每次接入网络后几小时的延迟吧。而且不停地断网重连会导致路由表抖动。
    3. 即使上述都可行,同一运营商内路由还需要正确的 IGP 宣告和收敛。

    其次,有成本更低的方法:
    1. 你的办网资料已经实名。
    2. 在 IPv4 下,宽带拨号不论分配的公网还是内网地址,运营商都有日志记录(地址+端口号+时间)。
    3. 各大网站、APP 要发言必须用实名注册。
    raysonx
        45
    raysonx  
       2020-05-07 14:43:55 +08:00
    @wazon 我认为个人绑定 IP 实际上技术上成本高得不切实际,见我上一条回复。
    yty2012g
        46
    yty2012g  
       2020-05-07 14:44:28 +08:00
    @ychost #23 毕业了以后再也没有当年天天在六维做种的感觉了,可惜了我的 10 多 T 的上传积分
    olaloong
        47
    olaloong  
       2020-05-07 14:45:08 +08:00 via Android
    再不济也是公网地址,而且可以和学校的教育网 v6 互连,很爽
    olaloong
        48
    olaloong  
       2020-05-07 14:49:05 +08:00 via Android
    @NeoChen 是的比如移动就给了个 /60 的大段,内网随便分,每个都是公网(Global)地址
    koast
        49
    koast  
       2020-05-07 14:51:54 +08:00 via Android
    @wangbenjun5 #10 ipv6 可以 nat,但没必要。联通移动的 4G 的 ipv6 确实可以开 http 服务并且可以通过 ipv6 直接访问,意义就在于这个 ipv6 地址是全球可路由的,至于能不能访问,那取决于各级设备的防火墙配置,有什么问题吗
    longaiwp
        50
    longaiwp  
       2020-05-07 14:55:47 +08:00
    @raysonx 感谢你的耐心解答,感觉现在自以为是的小白在 V2 越来越多了,用户素质下降太厉害
    littiefish
        51
    littiefish  
       2020-05-07 14:55:49 +08:00 via iPhone
    国内前几年不推 ip6 就是因为墙没准备好。这几年开始推说明准备好了。
    koast
        52
    koast  
       2020-05-07 14:57:36 +08:00 via Android
    @raysonx #25 有一说一,确实。看起来列举了不少名词,但是根据我这个半吊子了解的内容,我觉得他就没理解他说的这些事什么意思....可能连 ip 包在网络中大概怎么传递的这个基本概念都不大清楚
    chinawrj
        53
    chinawrj  
       2020-05-07 15:01:34 +08:00
    所谓的好处就是让你不知道他的好处,但是他就是在那边,你还无形中不断的用它
    zhigang1992
        54
    zhigang1992  
       2020-05-07 15:14:41 +08:00
    @raysonx 我感觉我也是小白,楼主说的安全性我挺理解的呀。

    > 所有的设备都可以有独立的公网地址

    本来我的 NAS,树莓派,各种服务在 LAN 里面。不需要太高等安全等级,毕竟别人连不到。

    如果他们都是 IPv6 的话,不会天天被各种扫描么?
    wazon
        55
    wazon  
       2020-05-07 15:18:53 +08:00
    @raysonx
    让同一个 IPv6 地址跨地区跨网接入,其成本之高,确实与益处完全不对等
    不过我还考虑过,如果不固定整个 IPv6 地址,而是固定后 64bit 的子网呢?这样好像还是有可操作性的

    所以还要考虑另一个层面,那就是固定 IPv6 地址造成的隐私问题
    现代操作系统 IPv6 基本不用 EUI-64,而是引入了一系列随机化技术( https://tools.ietf.org/html/rfc7721 ),很大程度上就是基于隐私和安全的考虑。运营商家庭业务动态分配的前缀,客观上也起到了这个作用
    如果固定子网后缀,那企业可以很轻松地锁定设备和个人并进行追踪,这与我国实行后台实名制的初衷是违背的
    我国的实名制是为了找到违法犯罪的嫌疑人,不是为了给企业借实名认证获得个人信息提供便利。公安部搞“公民网络电子身份标识”、“可信身份认证平台”之类的东西,也体现了这样的意图

    所以说个人绑定 IPv6 地址的政策假设,在现行实名机制的基础上不能提供多少额外的助益,反而带来巨大的隐私风险,更不用说实现可行性上的种种问题了
    geekvcn
        56
    geekvcn  
       2020-05-07 15:20:22 +08:00 via iPhone
    @zhigang1992 无知到可怕,先不说几乎所有设备 IPv6 防火墙都默认打开,默认禁止入站流量,更别说扫 IPv6 是个不切实际的想法,除非你主动暴露 IP 并关闭默认防火墙,不然得扫到猴年马月
    geekvcn
        57
    geekvcn  
       2020-05-07 15:22:55 +08:00 via iPhone
    @zhigang1992 更别说 IPv6 还有隐私扩展,对自己不了解的东西先别急着发表言论,稍微了解一下花不了多少时间
    geekvcn
        58
    geekvcn  
       2020-05-07 15:30:41 +08:00 via iPhone
    @zhigang1992 我估计你也不会主动了解,运营商比如电信,给你个 /56 前缀,理论上你有 2^72 个 IP,可以根据不同策略分配,手动,根据 MAC 计算,随机分配等等,谁会花那么大功夫扫?
    canonlemon
        59
    canonlemon  
       2020-05-07 15:31:36 +08:00
    现在光猫基本上都支持 IPv6 了,如果宽带是光猫拨号上网,那么只要路由器设置为桥接(中继)模式,路由器下面的设备都可以分配到 IPv6 地址。目前市面上大部分的无线路由器在桥接模式下,都可以支持 IPv6 协议。

    另外贴一个信通院发的家庭宽带 IPv6 配置指南: http://www.china-ipv6.cn/#/IPv6/newDetail?currentId=14
    wazon
        60
    wazon  
       2020-05-07 15:37:56 +08:00   ❤️ 3
    @zhigang1992
    假设完全没有防火墙:
    对于前缀,运营商提供的前缀池相比 IPv4 大很多,真正被分配使用的较为稀疏
    对于子网,只要是 SLAAC 生成的 IPv6 地址,靠暴力扫描去找,在时间上是完全不现实的
    即使是安全性最弱的 EUI-64 机制,地址空间也有 2^48 之大。需要很多先验信息才能可能让扫描在时间上可行(且不触发其他安全机制)。
    而现在常用的带隐私扩展的 SLAAC,在 2^64 的空间内几乎是随机的

    所以在这种情况下,暴露地址的风险主要在主动访问上。
    例如你用 NAS 运行 bt,那其他用户会得知你 NAS 的 IP 。如果上面开了不设防的端口,可能就存在风险。但是你的局域网内还有那些其他设备,外人依旧是很难知道的
    对于 Windows 而言,有一个临时地址的机制。你主动访问的网站会得知你的临时 IPv6 地址,但仅在在有效期内可以接受外界的主动连接请求
    mmixxia
        61
    mmixxia  
       2020-05-07 15:40:59 +08:00
    再等等
    wazon
        62
    wazon  
       2020-05-07 16:12:34 +08:00   ❤️ 1
    > 路由器是不是依然是一道防火墙?

    IPv6 的路由器是真正的“路由”,不会像 NAT 一样,天生自带类似防火墙的特性
    也就是说,只要运营商、路由器、设备自身的防火墙没有阻挡,正确配置 IPv6 的设备就是公网上的设备,可以在外部直接通过 IP 地址访问
    在这种情况下,DMZ 、NAT-PMP 、UPnP 之类打洞操作的都不再被需要

    不过需要指出的是:
    个别光猫、一些国产路由器的防火墙默认禁止 IPv6 入站( https://www.v2ex.com/t/660812
    IPv6 下也可以有 NAT,但这严重违背了 IPv6 的设计初衷,目前也缺乏相应的打洞技术支持
    txydhr
        63
    txydhr  
       2020-05-07 16:38:11 +08:00 via iPhone
    @zhigang1992 确实会被扫描,但是扫描 ipv6 的成本极高。ipv4 家用局域网一般也就 255 个地址,而 ipv6 规范规定的最小局域网(/64 )内就多达 18,446,744,073,709,551,616 个,扫都扫不完,而且一般家用设备过一段时间就会自动更换地址。对于 nas 等固定 ip 后缀的,确实需要在 nas 上设置防火墙,和 ipv4 下开启 dmz 的用法差不多。
    villivateur
        64
    villivateur  
       2020-05-07 16:44:36 +08:00
    回楼主的附言,双方都是 ipv6,且路由器支持 ipv6,且路由器没有防火墙的话,是可以直连的。如果是 ipv4 的话,就算你路由器没有防火墙( emmm ),也不能直连
    villivateur
        65
    villivateur  
       2020-05-07 16:45:16 +08:00
    我现在就是用电信的 ipv6 连我家移动的 ipv6 NAS
    wangbenjun5
        66
    wangbenjun5  
    OP
       2020-05-07 16:48:15 +08:00 via Android
    @wazon 感谢解答,了解了
    wangbenjun5
        67
    wangbenjun5  
    OP
       2020-05-07 16:49:16 +08:00 via Android
    @villivateur 哦,了解了
    zhigang1992
        68
    zhigang1992  
       2020-05-07 16:49:59 +08:00
    @wazon 多谢回答!!!

    比如说现在用的 mac,所有 macOS 电脑默认防火墙是关闭的。

    但是我现在居然已经分配到了一个 IPv6 的地址😂

    所以我在访问 V2EX 的过程中,链路上所有的机器都可以知道我的 IP 。

    网站,网站服务提供商(阿里云等),阿里云的 ISP,骨干网,我的 ISP,都可以拿到 这台 mac 的地址。

    他们还可以建一个表来共享一下。

    那么我在 brew 中的 MySQL 按理说可以被他们任何一个人扫描到。

    然后如果我这台机器被入侵了,他可以在这台机器里面以内网方式扫描并攻击所有的其它机器。

    所以,NAT 是不是强制我们开启一个防火墙。虽然这可能不是他的本意。

    所以我在访问 V2EX 的过程中,链路上所有的机器都可以知道我的 IP 。

    网站,网站服务提供商(阿里云等),阿里云的 ISP,骨干网,我的 ISP,都可以拿到 这台 mac 的地址。

    他们还可以建一个表来共享一下。

    那么我在 brew 中的 MySQL 按理说可以被他们任何一个人扫描到。

    然后如果我这台机器被入侵了,他可以在这台机器里面以内网方式扫描并攻击所有的其它机器。

    所以,NAT 是不是强制我们开启一个防火墙。虽然这可能不是他的本意。
    zhigang1992
        69
    zhigang1992  
       2020-05-07 16:50:43 +08:00
    尴尬,粘贴来两边 T_T
    geekvcn
        70
    geekvcn  
       2020-05-07 17:04:46 +08:00 via iPhone
    @zhigang1992 都叫你了解下隐私扩展了,请你先看看自己的 MAC 有几个 V6 地址,了解这几个地址分别是干嘛用的,并且如果 IPv6 防火墙部署在路由器上,各个设备并不需要单独设置防火墙,只要在路由器上配置就行了和你所想要的 NAT 的效果类似
    gqfBzoLVY3Wl4Tng
        71
    gqfBzoLVY3Wl4Tng  
       2020-05-07 17:34:24 +08:00
    @lekai63 #14 有没有什么文章 /教程可以参考啊,Google 了一遍都没合适的,
    kebumail
        72
    kebumail  
       2020-05-07 17:35:28 +08:00 via Android
    你们可以打电话就给公网 IP ?我问邻居一个电信的经理说我们这里很难,定位安徽省会 nj
    wazon
        73
    wazon  
       2020-05-07 17:47:18 +08:00
    @zhigang1992
    用现代 SLAAC 的机制分配的 IPv6 地址:
    被暴力扫描端口的风险相比 IPv4 大大下降( IPv4 下是很常见的攻击形式,尤其是 22 、3389 )
    对于你主动访问的网站,ISP 、网站会知道你的临时 IP 。在 IP 有效期内,如果网站是恶意的,不设防的端口会有风险。
    对于完全自用的服务,ISP 会知道你设备的稳定 IP 。ISP 中有内鬼也是有可能的,不过相比恶意网站,出问题的可能性很小

    如果不考虑 ISP 层面的风险,家用路由器可以不设 IPv6 防火墙。
    分类来看:
    物联网设备因为访问的对象固定、可信,难以被外人发现
    个人计算机、NAS 等有现代操作系统的设备,一般有完善的防火墙和安全机制。只有主动访问的网站才知道你的 IP 。即使访问到恶意网站,机器自身的防火墙也能起到保护作用。如果有临时 IP 机制,那攻击的时间窗更是进一步被缩小。
    机器内自用的端口,绑定 localhost 应该是常识
    局域网内自用的端口,可以仅绑定 IPv4 (好像也可以用 IPv6 的链路本地地址)

    而对于高于家用级的安全要求,还是在路由器防火墙上设置普遍禁止、个别允许的入站规则更为保险

    总的来说:
    对于普通用户,IPv6 的隐私扩展和操作系统自身的安全机制依然可以保证日常使用的安全性
    对于专业用户,在设备之间相互连接、被外网访问方面有了更大的自主设置余地,也存在成熟的 IPv6 防火墙以适应更高的安全需要
    当然,更大的自由度总是会为“作死行为”提供更多的空间,但这不会在总体上影响 IPv6 积极意义
    swiftg
        74
    swiftg  
       2020-05-07 18:18:01 +08:00 via iPhone
    对于我来说 IPv6 目前最大的意义就是没有公网 IP 的移动宽带和电信互联,对比 IPv4 没有 QoS,直接在本地互联而不会泡省会。

    光猫路由器难道不应该默认阻止入站流量吗?不然就是巨大的安全漏洞
    wazon
        75
    wazon  
       2020-05-07 18:23:48 +08:00
    @swiftg 默认禁止入站问题不大。真正的问题其实是很多路由器在操作界面根本没有 IPv6 防火墙的开关( t/660812 )
    newmlp
        76
    newmlp  
       2020-05-07 20:17:55 +08:00
    ipv6 还有内网?
    newmlp
        77
    newmlp  
       2020-05-07 20:20:46 +08:00
    @wangbenjun5 你仔细去了解下 ipv6 的地址分配机制,不存在 nat 的
    xhqppp
        78
    xhqppp  
       2020-05-07 20:23:21 +08:00
    @wangbenjun5 ipv6 是给你分配个 ipv6 段,下面的设备都是公网 ipv6
    newmlp
        79
    newmlp  
       2020-05-07 20:28:24 +08:00
    @zhigang1992 ipv6 数量级都可以给每个沙子分配 ip 地址了,扫描成本太高了吧
    SaigyoujiYuyuko
        80
    SaigyoujiYuyuko  
       2020-05-07 20:36:10 +08:00
    广东这边的话... 我是深圳电信 用过一段时间的 v6 有一些不方便:
    yum 啥的 默认 v6 感觉这 v6 是半残吧 速度很慢
    虽然说 80/443 端口没封 但是去访问 v6 网站 还是很慢 有时候甚至打不开
    tia
        81
    tia  
       2020-05-07 20:45:16 +08:00
    槽点太多,建议多了解下 NAT 、IPV6 的概念再提问
    baiduyixia
        82
    baiduyixia  
       2020-05-07 20:46:43 +08:00
    ipv6 可以给地球上每一粒沙子分布一个独立 ip😂😂😂
    huamiao
        83
    huamiao  
       2020-05-07 20:54:34 +08:00
    IPv6 现在对我唯一的问题是操作系统开始默认使用 IPv6 连接了,但是现在 ISP 给 IPv6 的带宽明显不够,有时候不得不把 IPv6 禁止才能正常的访问网络。
    tia
        84
    tia  
       2020-05-07 20:59:20 +08:00
    >比如我家的新办理的电信宽带,一开始就是 ipv6,访问很多网站也都是走的 ipv6,然并卵,就我个人而言,和 ipv4 没啥区别,墙依然在,而且也没法在公司直接远程家里电脑,还得端口映射或者 teamviwer……(最开始电信给的还是内网 ipv4 地址,打电话让改的公网)

    墙和 ipv 几无关;你公司无法直接远程家里电脑,确认你家电脑 /路由器防火墙是否打开?默认是关闭的。

    >至于家里的智能设备,我用的小米的摄像头和空调伴侣,实际上它是先连 WiFi,通过 WiFi 上网(或者蓝牙),根本不依赖 ipv6,再说了,如果真的直连 ipv6,那安全性估计够呛。

    就是因为以前没有 ipv6,所以这些智能设备都是厂家搭了个服务器给你转发的,因此这和 ipv6 有没有用不是因果关系,而是有了 ipv6 可以节省厂家的很大一笔开销。安全性方面,仍然是由于 v6 仍未普及造成的配套技术 /服务没有跟上,和 ipv6 有用没用仍然没有关系。

    >本质上,很多家里的路由器就是一道防火墙,很少有人直接电脑拨号上网,家里设备分配的 ip 还是内网 ip,就算运营商给你一个公网 ip 有啥用呢?还不得端口映射一下

    这句无力吐槽,看来是完全不懂或者是没有公网 ip 的需求。路由器和电脑拨号与设备分配的 ip 是内网外网仍然没有关系,只不过在 ipv4 时代,运营商给你分的是个 /32 的 ipv4 地址你无法再分子网,因此只能 NAT ;到了 ipv6 时代,运营商分配的都是 /56 或者 /60 的超大地址空间,足以让你给你家设备分配足量的 ipv6 地址。

    >所以有没有吊大的告诉我,现阶段 ipv6 到底有啥好处?

    我建议,实在想不到好处的话,可以光猫里面只选择"ipv4"通信,而不是根据自己的需求判定 ipv6 到底有没有用。
    tia
        85
    tia  
       2020-05-07 21:02:37 +08:00
    @geekvcn #27 这种月经贴我已经习以为常了,坐等 1 个月 /2 个月之后的副本
    flyfishcn
        86
    flyfishcn  
       2020-05-07 21:20:07 +08:00
    好处就是地址多啊。是,我知道有的人可以找运营商要 ipv4 公网地址,问题你能要多少,我家里十几个设备,我都想要,运营商可能给你么?就算是在机房里,你要那么多地址,不要钱么?会免费白给你那么多么? ipv6 就不一样了,我一个人都能随便掏出一大把用都用不完的地址出来。
    flyfishcn
        87
    flyfishcn  
       2020-05-07 21:28:25 +08:00
    @newmlp #76 #77 ipv6 不仅有内网,nat 也是有的。
    ULA 就是典型的内网地址,还要链路本地地址以及文档地址 2001:db8::/32
    nat 是可选项,一般不用,不代表它不存在。
    wazon
        88
    wazon  
       2020-05-07 21:32:51 +08:00
    @tia 选择一个主题贴把问题集中讲清楚,以后碰到近似的甩链接即可
    CheekiBreeki
        89
    CheekiBreeki  
       2020-05-07 21:47:40 +08:00 via Android
    我沒想到還有人問這樣的問題???
    wangbenjun5
        90
    wangbenjun5  
    OP
       2020-05-07 21:59:13 +08:00
    @kebumail 是啊,打电信客服电话说要给分配公网 ip,很简单的事情
    yolee
        91
    yolee  
       2020-05-07 22:04:03 +08:00
    等到 ipv6 普及开来就是 ip 地址实名制时代的到来。
    wangbenjun5
        92
    wangbenjun5  
    OP
       2020-05-07 22:17:21 +08:00
    @wazon
    @flyfishcn
    @tia
    @tia
    @SaigyoujiYuyuko
    @newmlp
    @xhqppp
    @swiftg

    这样吧,我做一个实验,我路由器管理页面里面显示的 ipv6 地址:240e:82:2c82:42eb:f97e:7ab4:3757:e5db

    其中我 Ubuntu 的 ifconfig 的信息:
    inet6 addr: 240e:82:2c02:ce2a:c463:c25e:5016:7fdd/64 Scope:Global
    inet6 addr: fe80::48ef:c32e:37b5:2663/64 Scope:Link
    (求解这 2 个地址有啥区别???)


    1. 电脑浏览器访问: http://[240e:82:2c82:42eb:f97e:7ab4:3757:e5db]/cgi-bin/luci 出来的是我的路由器管理界面,使用手机(电信卡)流量访问是打不开的。(求解???)


    2.电脑浏览器访问: http://[240e:82:2c02:ce2a:c463:c25e:5016:7fdd]/ 显示是我本地的 web 服务(我本地 80 和 8888 端口各启动了一个 web 服务)

    在手机上无论是 80 还是 8888 都显示响应时间过长。(求解???)

    在线等,我电脑一直开着的。。。。
    fensou
        93
    fensou  
       2020-05-07 22:19:26 +08:00 via iPhone
    感觉楼主太平天国拦火车
    fensou
        94
    fensou  
       2020-05-07 22:21:38 +08:00 via iPhone
    wangbenjun5
        95
    wangbenjun5  
    OP
       2020-05-07 22:23:00 +08:00
    @fensou 满 10 分
    cwbsw
        96
    cwbsw  
       2020-05-07 22:23:02 +08:00
    @wangbenjun5
    1.防火墙。
    2.运营商阻断了对家宽 80/443 等端口得访问。
    wangbenjun5
        97
    wangbenjun5  
    OP
       2020-05-07 22:27:10 +08:00
    testipv6.cn 这个网站测出来的 ipv6 地址是 ifconfig 显示的那个 7fdd
    fensou
        98
    fensou  
       2020-05-07 22:27:20 +08:00 via iPhone
    楼主在 ub 上配置一个固定 ip 地址再做 web,
    譬如 240e:82:2c02:ce2a::1234
    fensou
        99
    fensou  
       2020-05-07 22:31:24 +08:00 via iPhone
    主流操作系统因为安全设计会用一个迅速老化的 IPv6 地址作为临时 ip,一般十分钟自动老化更换
    wangbenjun5
        100
    wangbenjun5  
    OP
       2020-05-07 22:31:33 +08:00
    @fensou http://[240e:82:2c02:ce2a:c463:c25e:5016:7fdd]:1234/ 你试试
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3264 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 39ms · UTC 12:26 · PVG 20:26 · LAX 04:26 · JFK 07:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.