国内ipv6已经非常普及,ipv6相比ipv4在很多地方都有优势,比如现在网上ipv6的直播源相对比较稳定,ipv4的地址池早已枯竭,ipv6却可以给我们的每一台设备都分配一个公网地址,我们可以非常方便的远程访问家里或者任意地点的任何联网设备,等等用途。所以很多朋友都在使用ipv6,但是在使用过程中却遇到了各种各样的问题,比如打开ipv6以后,网络不稳定以及我们常用的科学上网插件不能正常工作或者造成dns泄露等等。本视频主要讲解怎样在openwrt上面正确配置ipv6,并以openclash为例,讲解科学上网插件分别在主路由和旁路由上面的使用和防止dns泄露。
本篇博客的链接我会放在视频的说明栏和评论区,大家随时可以打开参考。
一、演示环境和前提条件。
1、openwrt系统使用immtalwrt最新版24.10.4。如果有的朋友还不清楚什么是openwrt或者immortalwrt,请参考我之前的视频,链接我放在下面。
2、我已安装了openclash,openclash版本和内核已更新到最新,相关数据库已更新到最新,openclash已经按照我之前的使用openclash防止dns泄露那期视频里面的无dns泄露版本进行了配置,这期视频的链接我放在下面,不会配置openclash的朋友可以参考。
3、光猫采用桥接模式,主路由器拨号上网。
4、如果有的朋友和我一样在使用firefox,请在about:config中将network.dns.preferIPv6的值设定为true,否则浏览器不会使用IPv6访问目标网站。我演示用的浏览器是firefox,已经修改了该选项。
5、除了dns泄露,还有一种泄露称为WebRTC泄露。WebRTC 是指使用浏览器进行网络实时通信。这种技术允许浏览器之间在连接已经建立之后的实时通信,而不需要中间服务器。只要在浏览器中打开 WebRTC,你的真实IP地址就是公开可见的,据我所知,目前所有的常见浏览器这个功能都是默认打开的。有网友反映,无论怎样设置防止dns泄露,有的dns泄露测试网站总会显示自己的真实IP地址,可能性最大的原因就是这些网站利用WebRTC泄露获取了你的真实IP地址,和dns泄露没有任何关系。避免WebRTC泄漏的方法非常简单,只要在浏览器中将该功能关闭即可,而且我们通常情况下是根本不会使用浏览器进行实时通信的,我自己就从来没有使用过。当然,有的朋友可能会用到这个功能,chrome浏览器有专门的插件可以在不关闭WebRTC功能的情况下做到防止WebRTC泄漏,不过我没有测试过,实在不行在需要用的时候打开,平时关闭掉就可以了。不同的浏览器关闭方法不一样,但是都非常简单,请大家自行google搜索,WebRTC泄露不是本视频的重点,我这里就不过多啰嗦了。请大家在做dns泄露测试之前,关闭浏览器WebRTC功能,否则防止dns泄露是没有任何意义的,因为你的浏览器会把你的真实IP地址拱手送给所有人。我演示用的浏览器是firefox,已经关闭了WebRTC功能。firefox的关闭方法是在about:config中将media.peerconnection.enabled的值设定为 false。
二、主路由配置。
1、 Dnsmasq 设置。
过滤器菜单下取消勾选“过滤 IPv6 AAAA 记录”。
2、全局网络选项。
IPv6 ULA 前缀:清空
可以简单的把这一串数字理解为IPv4的私网地址192.168,在我后面的设置里,会为局域网内的每一台设备分配一个IPv6公网地址,不需要私网地址。
3、wan口设置。如果是原版openwrt或者immortalwrt的较新版本,下面的选项全部都是默认选项。
a、高级设置菜单。
获取IPv6地址:自动
覆盖IPv6路由表:未指定
IPv6源路由:勾选
勾选这个选项可以提高ipv6网络的路由效率,但是对有些设备尤其是老旧设备的兼容性不是很好,如果出现兼容性问题可以把这个选项取消勾选试一下。
委托IPv6前缀:勾选
IPv6分配长度:已禁用
IPv6前缀过滤器:请选择
IPv6后缀:::1
IPv6优先级:0
b、wan口正确配置以后,会自动出现一个不可编辑的wan6接口,里面有一个ipv6地址和一个ipv6-PD前缀,如果没有出现,说明配置不正确或者运营商根本没有下发,请检查配置或者联系自己的宽带运营商。
4、lan口设置。
a、高级设置菜单。
委托 IPv6前缀:取消勾选
这个选项是选择是否给二级路由下发前缀, 我做过测试,勾选有可能会有兼容性问题。
IPv6分配长度:64
IPv6分配提示:0
IPv6前缀过滤器:请选择
IPv6后缀:eui64
根据mac地址生成后缀。
IPv6优先级:0
b、DHCP服务器菜单IPv6设置子菜单。
RA服务:服务器模式
DHCPv6服务:已禁用
IPv6 地址由前缀和后缀组成,前缀由运营商下发,就是我们在wan6接口上面看到的ipv6-PD,后缀有两种获取方式:
- DHCPv6(有状态):后缀由 OpenWrt 统一管理,安卓设备以及其他的一些设备(如智能家居设备)不支持该功能。
- SLAAC(无状态):后缀由局域网设备自身生成,所有类型的设备都支持该功能。
所以为了兼容所有设备在这里禁用DHCPv6服务,后面会启用SLAAC。
通告的IPv6 DNS服务器:留空
本地IPv6 DNS服务器:取消勾选
IPv4 DNS服务器可以同时将域名解析为IPv4和IPv6地址,不需要单独的IPv6 DNS服务器用来解析IPv6地址。网络中IPv4和IPv6 DNS服务器同时存在反而会出现问题,比如大家比较关心的dns泄露等等,所以这里选择不通告IPv6 DNS服务器。有的网友反映不打开ipv6没有dns泄露,一打开ipv6就有dns泄露,可能就是这里设置错误的原因。
c、DHCP服务器菜单IPv6 RA设置子菜单。
启用SLAAC:勾选
RA标记:无
5、openclash设置
6、需要用到的测试网站。
三、旁路由配置
1、关于ipv6旁路由配置的说明
现在ipv6的规范还不是非常完善,各种操作系统,软件等等对ipv6的兼容情况即使使用主路由模式也并不乐观,更不用说旁路由模式了。我下面的旁路由配置我只能说在我自己的日常使用场景中没有出现问题,比如看直播、内网穿透、使用科学上网插件并且做到无dns泄露等等,但是我没有能力做非常全面的测试。如果有的朋友需要经常在复杂的场景下使用ipv6,建议使用主路由模式。
1、lan口设置
RA服务:已禁用
DHCPv6服务:已禁用
大家可以简单的把RA服务理解为ipv4里面的dhcp,我在之前的视频里多次强调过,一个网络里面只能有一个dhcp,否则会出现问题。虽然从理论上讲,一个ipv6的网络里面可以出现多个RA服务器,但是我不建议新手朋友这样使用,因为如果多个RA服务器共存,网络里面的设备会获取到多个ipv6网关,为了使网络不出现问题,我们需要手动修改每一个openwrt的配置文件,设置网关的优先级,这对于新手朋友是有一定难度的,如果操作不当,甚至会造成网络瘫痪。另外还有一点需要说明的是,如果你的网络里还有其它的旁路由,不管是做什么用的,同样需要把RA服务关闭。
2、创建lan6
四、关于ipv6看直播和内网穿透。
1、我前面的无论是主路由还是旁路由配置看直播是没有问题的。
2、虽然ipv6为局域网里面的每一台设备分配了公网ip,但是openwrt的默认防火墙设置从安全角度出发是阻止外网访问局域网的,需要修改防火墙设置才能访问局域网,根据对安全的要求不同,有多种配置方法。由于时间关系,本视频暂不涉及,后面我会单独出视频讲解外网怎样利用ipv6访问局域网。
评论
发表评论