中國從政策層面推廣IPv6,其本意是從國家競爭的層面打破美國對IPv4地址的壟斷,但實際上卻受阻於國內ISP和雲服務商這類「IPv4地主」,實際分配到使用者的,是功能打了折扣的「瘸腿IPv6」,IPv6直接尋址、點對點連線的優勢很多時候都難以發揮出來。
對於大多數家寬使用者來說,大多數光貓和家用路由器預設設定都開啟IPv6防火墻,且不一定下發字首,如果使用者沒有足夠的網絡知識去調整光貓、路由器的配置,基本不可能得到直連Internet的IPv6地址。在層層阻礙之下,使用者器材即使能夠分配到IPv6,也只能夠得到一個只出(outbound)不進(inbound)的單向IPv6地址。
案例分析
此案例基於我朋友家的情況,重慶電信光纖入戶,光貓為ZXHN F650 4.0,路由器為小米路由AX1800,光貓以路由模式撥號。
|---------| |-------------| |---------|
~~~FTTH~~~|ZXHN F650|--------|Xiaomi AX1800| (((((WIFI)))))|Computers|
|---------| |-------------| |---------|
192.168.1.1 192.168.31.1 192.168.31.nnn
由於大多數家庭不會主動改橋接,因此這是大部份家庭普遍的情況,經過兩層IPv4 NAT,IPv4的連線性已經變得很差,即使光貓已經有公網IPv4,但電腦上執行NatTypeTester也已經劣化為連線性最差的對稱NAT。
F650光貓內建的WiFi可以分配到IPv6地址,但只有2.4G單頻,AX1800路由是雙頻WiFi 6,但只能分配IPv4地址。
第一道門檻:光貓管理密碼
由於ZXHN F650 4.0使用遠端獲取的超級密碼,而且早期版本的Web界面提權已經不能用,再重設後由於遺失VLAN配置,而且IMTS不能自動下發,所以一時間找不到恢復配置的辦法,只好找電信師傅上門恢復,幸運的是要到了超級密碼。
如果沒有光貓超級密碼,由於IPv6防火墻預設開啟,無論其他部份怎麽配置,IPv6都會是只出不進的狀態,能夠存取IPv6網站,但無法接受P2P連線。
光貓的配置點一共有兩個,一個是在安全>防火墻中關閉IPV6 SESSION,這樣連線到光貓獲取的IPv6才可以被外界存取。
另一個配置點則是在網絡連線INTERNET_R_VID中將地址獲取字首改為AutoConfigured,如果是DHCPv6,則小米路由器無法獲取字首。幸運的是,配置完成後,電信為我分配了/56的IPv6字首。
而小米路由器端則需要在上網設定中開啟IPv6網絡設定(預設是關閉的),上網方式為Native
同時我們需要確定小米路由器除了能獲取WAN IPv6地址,還必須獲取到LAN IPv6地址和LAN IPv6字首,才能正確地給路由器下的器材分配IP地址,而這時還有一個坑,即小米路由器初次開啟IPv6後必須重新開機才能給器材分配IPv6地址。
第二道門檻:小米路由器沒有關閉IPv6防火墻的Web界面,需開啟SSH並手動關閉防火墻
小米路由器AX1800的ROM預設開啟IPv6防火墻,而且在Web界面上不能關閉,導致IPv6仍然是一個「只出不進」的狀態,因此我不得不降級小米路由ROM,開啟SSH
然後手工更改rc.local,加入命令
ip6tables -F
ip6tables -X
ip6tables -P INPUT ACCEPT
ip6tables -P OUTPUT ACCEPT
ip6tables -P FORWARD ACCEPT
才最終能夠讓小米路由器下所有IPv6終端可以自由地被雙向存取。
總結
在此案例中我們可以清楚的看到IPv6網絡所遇到的現狀, 電訊供應商迫於政策壓力分發IPv6地址,但在光貓處預設將其限制為「半開放」狀態,並將關閉防火墻的設定隱藏在超級密碼之後,大大提高使用者獲得全功能IPv6連線的門檻。
而以小米為代表的客戶端 器材制造商則預設關閉IPv6,並極力隱藏相關設定,提高使用者獲得全功能IPv6連線的門檻。
最終 使用者想要獲得全功能IPv6,不得不過五關斬六將, 恨不得手持好幾張網絡工程師認證才能搞得定。
而被防火墻削弱後的IPv6服務,喪失了IP網絡點對點連線的優勢,只能C/S架構(及其變種B/S架構)存取伺服器,恨不得回到30年前IBM SNA的時代去,連WebRTC這種典型的P2P架構當代Web協定都因此受阻而不得不繞路TURN伺服器,極大地提高了網絡套用開發和營運的成本。而受益的則是收過路費的ISP和雲服務商。
