讨论一个问题,是否要在局域网中使用真实 IPv6 地址?
所谓真实 IPv6 地址,比如运营商 PD 给我 2001:db8:aaaa::/60 ,下游可以从路由器得到 2001:db8:aaaa::1234:5678:9abc:def0/64 (通过 slaac 或者 dhcpv6 )的地址。
所以现实考虑,如果启用 IPv6 的话,下发的地址有以下几种:
a. 真实 IPv6 地址。如前所述。
隐私有问题。
容易被 P2P 利用。
在复杂的网络中实现稍有困难。
b. fd 开头的地址。
可能会被认为没有 IPv6 连接,或者优先使用 IPv4 。
需要 SNPT/DNPT 或者 IPMAP 。
对于 DDNS 等场景,可能需要单独获取 IPv6 地址,通过外部接口或者计算。
c. 随便偷一段公网,比如 2b2b:250::/64 。
不标准。
其他同(b)。
各位是如何选择的,有什么想法?
p.s. 当然还有其他的方案,这里就不拿出来说了,如
d. 关掉立刻解决烦恼
e. nat66 才是最 666 的
所谓真实 IPv6 地址,比如运营商 PD 给我 2001:db8:aaaa::/60 ,下游可以从路由器得到 2001:db8:aaaa::1234:5678:9abc:def0/64 (通过 slaac 或者 dhcpv6 )的地址。
所以现实考虑,如果启用 IPv6 的话,下发的地址有以下几种:
a. 真实 IPv6 地址。如前所述。
隐私有问题。
容易被 P2P 利用。
在复杂的网络中实现稍有困难。
b. fd 开头的地址。
可能会被认为没有 IPv6 连接,或者优先使用 IPv4 。
需要 SNPT/DNPT 或者 IPMAP 。
对于 DDNS 等场景,可能需要单独获取 IPv6 地址,通过外部接口或者计算。
c. 随便偷一段公网,比如 2b2b:250::/64 。
不标准。
其他同(b)。
各位是如何选择的,有什么想法?
p.s. 当然还有其他的方案,这里就不拿出来说了,如
d. 关掉立刻解决烦恼
e. nat66 才是最 666 的
20 条回复 • 2024-10-30 09:58:18 +08:00
 |
1
kenneth104 7 天前
a1 ,隐私有啥问题,或者说有啥隐私?
a2 ,ban 掉外网 v6 ,就不会对外 P2P a3 ,自动获取 v6+ddns |
 |
2
maybeonly OP @kenneth104 感谢回复。
> a1 ,隐私有啥问题,或者说有啥隐私? webrtc leak ,特别是某不作恶的公司干掉 webrtc 选项以后 > a2 ,ban 掉外网 v6 ,就不会对外 P2P (d)不考虑 > a3 ,自动获取 v6+ddns a3 这个 ddns 没难度啊,复杂的网络指的是……我的另一个帖子那种程度。 相反,在 b3 做 ddns 需要算一下(我用算的,所有 ddns 托管在路由器上) a3 的实际问题,简单的说就是,局域网内同时有真地址和 fd 地址,在边界处做 snpt/dnpt ,实际上没过边界的话不可以互相访问,ddns 解析到在自己家的公网也不行。解决起来也不困难,内部访问根本不需要走 ipv6 。 |
 |
3
tool2dx 7 天前
我也有这个烦恼,本质上 ipv6 的防火墙没以前 ip4 好用了,默认设备公网穿透性还是挺强的。
但是相对来说,在 ip4 公网稀缺的年代,开 ip6 总比没开 ip6 要好很多,利大于弊吧。 |
 |
4
bobryjosin 7 天前
我自己是 nat 在用,地址随便找了一段非保留段,其实也可以去 he 分配一个段玩 nat ,nat 后,缺点是 bt 协议的软件没有针对 ipv6 nat 进行优化,连通性会下降,优点是默认访问不了局域网,和 ipv4 一样可以灵活的配置防火墙和路由,权衡利弊我选择 nat ,bt 这类应用,我是单独划了一个 vlan 分配公网地址,在设备上配置防火墙,至于性能问题,之前我的帖子也讨论过,性能不太烂的设备基本都没啥问题。
|
 |
5
ranaanna 7 天前
当然是用“真实 IPv6”啦,
a. 即使是一个/64 子网,IPv6 地址也多得用不完 b. 完全可以不用 MAC 地址生成的 IPv6 地址,愿意的话 Windows 可以生成很多临时地址,MacOS 有 privacy addressing c. 和 IPv4 一样,路由器可以帮你屏蔽任何 IPv6 入站请求,而且,没有 NAT 设置更加简单 d. 出站规则的设置,和 IPv4 并没有什么不同 综上,“隐私有问题”并不成立,P2P 也不会多利用,实现也不会比 NAT66 困难。NAT66 已经很傻了,偷公网 IP NAT66 ,why ? |
 |
6
goodryb 7 天前
目前是 A ,路由器上开着 ipv6 防火墙 ,只能主动出,不能主动进
|
|
7
ranaanna 7 天前
@maybeonly #2 webrtc leak 并不是一件什么事儿吧。首先“真实 ip 地址”不算什么隐私的东西,其次如果想要隐藏真实 ip ,要用 vpn 和代理以及不用 webrtc ,靠 b c e 并不奏效
|
 |
8
zwy100e72 7 天前  1
请问何为"真实 ipv6 地址"?
对于 eui-64 生成的,携带了设备 mac 的地址(可以在地址里看到 ff:fe 标志),主流操作系统都支持再生成一套临时地址,貌似就是楼上说的 privacy extension 对于 fdxx:: 开头的地址,是需要楼主自己配置(配置前缀或者 NATv6 )才会下发的,可以和运营商给的 2001:da8:: 的地址共存 设备安全方面还是要靠防火墙、杀毒软件以及自身安全意识来保障,不能认为 ipv6 地址空间大就无需防火墙 个人对于 NAT6 是不赞同的,ipv6 的初衷就是要去 NAT 最后,我认为 ip 地址可以类比手机号码,不能完全算作隐私,至少不是核心隐私,不必过于担心其泄漏问题 |
 |
9
allin1 7 天前
webrtc 的问题 i 谷锅自己就有搞一个扩展 npeicpdbkakmehahjeeohfdhnlpdklia 可以防泄露
不相信谷锅还有第三方的 bkmmlbllpjdpgcgdohbaghfaecnddhni |
 |
10
ho121 7 天前 via Android
局域网中应该有 linklocal 地址吧,就是 fe 开头的
|
 |
11
lcy630409 7 天前
不太明白你想干啥?使用局域网应用 但是害怕 ipv6 保留在外网?
ipv6 默认的防火墙规则 一般都是拒绝主动联入啊 还有局域网应用用啥 ip 是应用自己的选择 |
 |
12
piero66 7 天前 via Android
没必要,防火墙策略做好就够了,真想玩深入可以注册 asn 在家里播一段自己的 ip6 ,然后做策略路由
|
 |
13
MFWT 7 天前 1
我选择可口百事混着喝:偷 IP+NAT 6 ,内网用 dd00::/48 ,主打一个叛逆(
|
 |
14
creepersssss 7 天前
我用 NAT66 ,局域网设备拿到公网 ipv6 容易跑 pcdn 毁坏宽带,nat66 也方便管理
|
 |
15
iijboom 7 天前
有公网了反而想用 nat 了,专线固定公网?不行,隐私怎么办,给我改回动态内网,最好出口都是动态全国飞的
|
 |
16
terrancesiu 7 天前
NAT66 也不行,如果有多线接入还有策略路由的情况下,我更喜欢使用 NPTv6
|
|
17
maybeonly OP @terrancesiu 对,我现在是双线,以前用联通地址往下分,移动出去的话就 snpt 。某一天换成 fd 试试了,两边 snpt
@piero66 墙内家宽接 asn 不现实,要用地址的话也没必要,偷一段就是了,更隐私,而且有生之年不会分出去。 @allin1 不是所有东西都能装扩展……或者说基本上只有 pc 能装扩展。 @zwy100e72 webrtc 能同时拿到内部和外部地址。一个有点现实的场景就是,墙外网页能直接拿到墙内 v6 。当然,如果访问个墙内接口也能拿,但是那就是针对性的了。 至于防火墙,我个人是不爱开,虽然开起来也很容易,但是这种东西除非实在守不住……还是让设备通达比较好。 |
 |
18
sofm 6 天前
每台设备 都可以分配独立的 ipv6 ,每台设备的 ipv6 地址是动态变化的,一般是 2^64 次方可能性。
为什么这样设计, 因为 多 也是一种安全性设计。 |
 |
19
fisherfisher 1 天前
如果路由器上设置防火墙关闭所有非可控端口,那么即使知道了你网络内部设备的真实 ip ,外部应该也是访问不了吧?
所以我觉得真实 ip 自身并不增加更多安全隐患。当然,如果你头铁不开防火墙,那确实可能是问题。 然后我也觉得 ipv6 在内部 ip 地址和具体设备的对照管理是,有些复杂。我自己也没有找到合理的方法。 目前内部设备之间使用私有 ip4 地址+hostname 。 |
|
20
maybeonly OP @fisherfisher
现实的问题是:本来出墙是境外 ip ( v4 )的,然后 webrtc 却能拿到一个 2408 的中国联通 local ip (出墙 v6 被我扔黑洞了;或者有必要出的话 nat66 ) 并不是害怕他连进来,如果害怕的话会在各种环节使用防火墙 p.s. 我管理 v4 v6 映射表在路由器上跑了个程序,ip mon nei 收集和维护对应关系 |
Select Language