请不要把任何和邀请码有关的内容发到 NAS 节点。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
邀请码相关的内容请使用 /go/in 节点。
如果没有发送到 /go/in,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
求诊断:群晖 IPv6 互通,光猫 IPv6 路由模式+路由器 IPv6 后面的终端能否访问?
Apol1oBelvedere · 2022-12-12 18:55:53 +08:00 · 3235 次点击这是一个创建于 702 天前的主题,其中的信息可能已经有所发展或是发生改变。
群晖端:
- 光猫:开启 IPv6,路由模式,网线直连群晖,群晖。
- 群晖:开启 IPv6,开启 xx.synology.me 的 DDNS ,https://ipw.cn/ipv6ping/ 能 Ping 通群晖的 IPv6 地址。
- 内网电脑:使用 https://xx.synology.me:5001/#/signin 和 https://[IPv6]:5001/#/signin 的网址能打开群晖登录界面。
办公端:
- 光猫:开启 IPv6,路由模式,PPPOE 拨号。
- 磊科路由器:开启 IPv6 。
- 办公电脑:开启 IPv6 。http://www.test-ipv6.com/ 能成功检测到 IPv6 且 10/10 完全通过。
存在问题:
- https://ipw.cn/ipv6ping/ 无法 Ping 通办公端光猫、路由器、电脑任何一个 IPv6 地址,这是什么原因?
- 办公电脑也无法访问成功群晖的 DDNS 地址或[IPv6]:5001 网址。这个问题该怎么解决?
 |
1
shijieheping 2022-12-12 19:08:50 +08:00
路由器防火墙关一下试试
|
 |
2
y4nssss 2022-12-12 19:13:10 +08:00
简单啊,手机开流量访问群晖端,现在电信移动的 4g 5g 网络都是原生的 ipv6 地址,如果能访问就去排查办公端
如果不能访问先排查群晖这里。 群晖端: 你先确定一下群晖获取的 ipv6 地址是不是 240e(电信是这个)开头的 ipv6 地址 然后确定一下 ddns 的 ipv6 地址就是你获取的 240e 的 ipv6 地址,群晖经常在做 ddns 的时候把内网的 ipv6 地址解析上去。 你说的这个情况大概率是办公端的问题。看你电脑的 ipv6 是不是 240e 开头的。 |
 |
3
tunazero 2022-12-12 19:34:33 +08:00 via Android
ping 不通一般都是防火墙问题,检查光猫防火墙、路由器防火墙,还有 windows 默认是禁 ping 的,需要放行。建议用手机 termux 调试。
|
 |
4
newmlp 2022-12-12 19:35:10 +08:00
有些路由默认禁止 ipv6 入站数据包,得关掉
|
 |
5
zro 2022-12-12 20:01:46 +08:00
要用 IPv6 ,建议还是用可配置 IPv6 防火墙的 ROS 或者 OpenWRT 之类的拨号
|
 |
6
Apol1oBelvedere OP 糊里糊涂能用了:
@shijieheping @tunazero 两端光猫都已设置为低或关档位。 @y4nssss 做了如下尝试,不知道是不是起了作用: 1. 光猫进超级管理员勾选 IPv6 的 Passthrough 功能。 2. 光猫端口映射添加[群晖 IPv4:5000]、[群晖 IPv4:5001]两条。 //疑问:对 IPv6 来说,IPv4 的端口映射是不是没用? 3. 群晖 DDNS 禁用 IPv4 模式,只开启 IPv6 模式。//从办公端电脑能打开群晖网页,用 https://ipw.cn/ipv6ping/ 测试 xx.synology.me 也是 IPv6 地址。 以上说明 IPv6 打通了能成功使用,但是两个疑问: a. SSH 下群晖的 IPv6 地址显示如下,群晖 DDNS 选择的是 240e:3a1:826 这个地址,但是这个地址显示有效期只有大约 3 天,是为什么? b. mngtmpaddr dynamic 和 deprecated mngtmpaddr dynamic 有什么区别? inet6 240e:3a1:826:xxx:9209:xxx:fe09:72db/64 scope global mngtmpaddr dynamic valid_lft 256153sec preferred_lft 169753sec inet6 240e:3a1:829:xxx:9209:xxx:fe09:72db/64 scope global deprecated mngtmpaddr dynamic valid_lft 4117sec preferred_lft 0sec |
 |
7
systemcall 2022-12-12 22:08:46 +08:00
用 ping 来调试不是很好,因为一个是一些设备默认禁止 ping ,再一个是很多网络设备的防火墙对于 ICMP 和 TCP 有着不同的策略
建议你直接起一个 httpd ,来调试 家那边的防火墙要放行对应端口的 TCP 流量。同时要确定运营商不会阻断 http 连接。如果会阻断的话,可以试试 zerotier |
|
8
systemcall 2022-12-12 22:19:31 +08:00
#6
你是家庭宽带,这是前提 prefix 是会变换的。你先检查一下那个被弃用的地址是不是因为下发的 prefix 发生了改变 看起来都是 SLAAC 的地址,SLAAC 下分配的临时 IPv6 地址本来就是只有比较短的租期,并且会定期变化 感觉你只是因为把 ipv6 的 firewall 关闭了而已 |
|
9
systemcall 2022-12-12 22:21:48 +08:00
还有,如果同时有 A 记录和 AAAA 记录,但是你的 ipv4 是不能够访问的,浏览器很有可能会尝试先用 ipv4 来访问,发现超时之后直接认为 server down 了。
你虽然是 dual stack 的,但是浏览器并不会同时向多个 ip 发送完整的请求之后再来选择,它的 mechainism 很 dinner |
 |
10
citydog 2022-12-12 22:29:15 +08:00
ipv6 的防火墙没关,我家宽 ipv6 ,是猫+路由+服务器的形式,外部随意一台有 ipv6 的手机就能访问家里的服务器
前提是家里的路由器关了 ipv6 的防火墙(光猫有点老,控制面板里的防护墙只对 ipv4 生效,所以你的如果有 ipv6 防火墙的话,也需要关掉) |
|
11
Apol1oBelvedere OP @systemcall 这是光猫的 IPv6 的获取方式:
GUA 获取方式 SLAAC DNS 获取方式 DHCPv6 前缀获取方式 DHCPv6 网关获取方式 SLAAC 光猫的防火墙没有做设置,IPv4 的端口映射可以删除吗? |
|
12
systemcall 2022-12-12 22:38:04 +08:00
@Apol1oBelvedere #11
正常情况下,可以删除,因为 v4 和 v6 正常情况下是完全分开的 |
|
13
Apol1oBelvedere OP @citydog 我是光猫+群晖,设备型号 TEWA-707E 光猫防火墙等级如下所示,字面看只有 Ping 防护的差异。
防火墙等级说明: 高: 允许合法的广域网访问;禁止 WAN 侧 Ping 。 低: 允许合法的广域网访问;允许 WAN 侧 Ping 。 |
|
14
citydog 2022-12-12 22:47:01 +08:00
@Apol1oBelvedere 选低试试
|
|
15
Apol1oBelvedere OP @citydog 一直是低没变过。6#帖子写了目前能用。
|
|
16
Apol1oBelvedere OP @systemcall @citydog
经过测试,确认到一个选项: 电信 TEWA-707E 光猫的设置选项:安全->共攻击保护设置->防攻击保护[ ]选项,一旦勾选后,原先的 DSM 网页连接只能持续 5 分钟就会停止响应。取消勾选后,就能立刻恢复网页连接。 目前不知道这个选项做了什么保护,推测是屏蔽入站连接。 |
Select Language