我国从政策层面推广IPv6,其本意是从国家竞争的层面打破美国对IPv4地址的垄断,但实际上却受阻于国内ISP和云服务商这类「IPv4地主」,实际分配到用户的,是功能打了折扣的「瘸腿IPv6」,IPv6直接寻址、点对点连接的优势很多时候都难以发挥出来。
对于大多数家宽用户来说,大多数光猫和家用路由器默认设置都打开IPv6防火墙,且不一定下发前缀,如果用户没有足够的网络知识去调整光猫、路由器的配置,基本不可能得到直连Internet的IPv6地址。在层层阻碍之下,用户设备即使能够分配到IPv6,也只能够得到一个只出(outbound)不进(inbound)的单向IPv6地址。
案例分析
此案例基于我朋友家的情况,重庆电信光纤入户,光猫为ZXHN F650 4.0,路由器为小米路由AX1800,光猫以路由模式拨号。
|---------| |-------------| |---------|
~~~FTTH~~~|ZXHN F650|--------|Xiaomi AX1800| (((((WIFI)))))|Computers|
|---------| |-------------| |---------|
192.168.1.1 192.168.31.1 192.168.31.nnn
由于大多数家庭不会主动改桥接,因此这是大部分家庭普遍的情况,经过两层IPv4 NAT,IPv4的连接性已经变得很差,即使光猫已经有公网IPv4,但电脑上运行NatTypeTester也已经劣化为连接性最差的对称NAT。
F650光猫自带的WiFi可以分配到IPv6地址,但只有2.4G单频,AX1800路由是双频WiFi 6,但只能分配IPv4地址。
第一道门槛:光猫管理密码
由于ZXHN F650 4.0使用远程获取的超级密码,而且早期版本的Web界面提权已经不能用,再重置后由于丢失VLAN配置,而且IMTS不能自动下发,所以一时间找不到恢复配置的办法,只好找电信师傅上门恢复,幸运的是要到了超级密码。
如果没有光猫超级密码,由于IPv6防火墙默认开启,无论其他部分怎么配置,IPv6都会是只出不进的状态,能够访问IPv6网站,但无法接受P2P连接。
光猫的配置点一共有两个,一个是在安全>防火墙中关闭IPV6 SESSION,这样连接到光猫获取的IPv6才可以被外界访问。
另一个配置点则是在网络连接INTERNET_R_VID中将地址获取前缀改为AutoConfigured,如果是DHCPv6,则小米路由器无法获取前缀。幸运的是,配置完成后,电信为我分配了/56的IPv6前缀。
而小米路由器端则需要在上网设置中打开IPv6网络设置(默认是关闭的),上网方式为Native
同时我们需要确定小米路由器除了能获取WAN IPv6地址,还必须获取到LAN IPv6地址和LAN IPv6前缀,才能正确地给路由器下的设备分配IP地址,而这时还有一个坑,即小米路由器初次开启IPv6后必须重启才能给设备分配IPv6地址。
第二道门槛:小米路由器没有关闭IPv6防火墙的Web界面,需开启SSH并手动关闭防火墙
小米路由器AX1800的ROM默认打开IPv6防火墙,而且在Web界面上不能关闭,导致IPv6仍然是一个「只出不进」的状态,因此我不得不降级小米路由ROM,开启SSH
然后手工更改rc.local,加入命令
ip6tables -F
ip6tables -X
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
才最终能够让小米路由器下所有IPv6终端可以自由地被双向访问。
总结
在此案例中我们可以清楚的看到IPv6网络所遇到的现状, 电信运营商迫于政策压力分发IPv6地址,但在光猫处默认将其限制为「半开放」状态,并将关闭防火墙的设置隐藏在超级密码之后,大大提高用户获得全功能IPv6连接的门槛。
而以小米为代表的客户端 设备制造商则默认关闭IPv6,并极力隐藏相关设置,提高用户获得全功能IPv6连接的门槛。
最终 用户想要获得全功能IPv6,不得不过五关斩六将, 恨不得手持好几张网络工程师认证才能搞得定。
而被防火墙削弱后的IPv6服务,丧失了IP网络点对点连接的优势,只能C/S架构(及其变种B/S架构)访问服务器,恨不得回到30年前IBM SNA的时代去,连WebRTC这种典型的P2P架构当代Web协议都因此受阻而不得不绕路TURN服务器,极大地提高了网络应用开发和运营的成本。而受益的则是收过路费的ISP和云服务商。
