V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wazon
V2EX  ›  宽带症候群

国内品牌的民用级路由器有哪些已经支持 IPv6 防火墙控制 和 穿透模式 ?

  •  2
     
  •   wazon · 2020-04-09 15:09:55 +08:00 · 6372 次点击
    这是一个创建于 1693 天前的主题,其中的信息可能已经有所发展或是发生改变。

    根据信通院的监控平台(这个网站不错,推荐一个),新出的国产路由器基本都支持 IPv6 了。
    不过“IPv6 管理功能较弱”这个问题还很明显,其中个人比较关心的有两个:

    1. 控制界面没有 IPv6 的防火墙开关,默认参照 openwrt 的缺省设定拒绝一切入站连接
    2. 只支持原生 IPv6 ( SLAAC+DHCPv6 )、静态、NAT6,没有 IPv6 穿透模式( Netgear 的固件一般称作“Passthrough”)

    防火墙开关很好理解,IPv6 好不容易让用户的每台机子都有(至少一个)公网 IP,结果外网传入统统被防火墙挡住了,那公网 IP 的意义(不再需要 DMZ 、端口转发、UPnP 等各种共用 IP 、NAT 打洞的额外操作)瞬间就减小了很多

    如果光猫可以直接桥接,那现有的 IPv6 模式就足够了。可是有的地区想切换到桥接会面临一些阻碍,很多地区要接入同一个运营商的 IPTV,就必须设置在路由模式下(可破解,但如果碰到分 A/B 面 + DHCP Option 125 的就非常麻烦)。运营商的光猫在路由模式往往不能正确继续下发更小的子网前缀,从而导致下级路由器要么用不了 IPv6,要么得用 NAT6 (同样消解了 IPv6 存在的意义)。而 IPv6 穿透模式可以直接透传 IPv6 连接,交给上层光猫管理,通常可以使路由模式下级路由器接入的主机都能用上原生的 IPv6.

    据我所知,现在国内品牌的民用级路由器,有的无法实现这两个功能,有的需要拿到 root 才可以手动实现,在固件中自带上述功能的很少听说(只知道一个华硕)。所以想更多地了解一下,有哪些支持已经 IPv6 防火墙控制 和 穿透模式 ?

    27 条回复    2020-07-14 00:55:15 +08:00
    qbqbqbqb
        1
    qbqbqbqb  
       2020-04-09 15:39:30 +08:00   ❤️ 2
    说一下目前我知道的:

    华硕(ASUS)路由器:支持 IPv6 防火墙开关和自定义放行规则; IPv6 模式里有"Passthrough"但实际上是 Relay 模式(即不是真的透传,而是通过 NDP Proxy 来实现同前缀的不同子网的联通),使用 6relayd 实现,不太稳定。(目前通过 Relay 实现 IPv6 透传只有两种方案,一种是不太稳定的 6relayd,另一种是新版 OpenWRT 专用的 odhcpd,后者比较稳定)

    网件(NETGEAR)路由器:支持 Passthrough 模式(真透传,非 Relay );不支持防火墙配置,IPv6 标准模式下禁止传入连接,Passthrough 模式下无防火墙。

    TP-Link:新固件才支持 IPv6 。支持 IPv6 透传(固件里称为“桥模式”)。应该不支持防火墙配置。
    qbqbqbqb
        2
    qbqbqbqb  
       2020-04-09 15:44:51 +08:00
    题外话,其实 IPv6 有防火墙的情况,也可以沿用以前的 NAT UDP 打洞设施来实现穿透防火墙 P2P 通信,而且成功率比穿透 NAT 更高,因为不存在某些特殊类型 NAT 打不了洞的情况。
    wazon
        3
    wazon  
    OP
       2020-04-09 15:45:59 +08:00
    @qbqbqbqb TP-Link 新固件的情况我还是第一次知道(一段时间以前在官网翻说明书没有找到答案)
    另外,不知道你有没有留意过华硕的 6relayd 中继是否会改变数据包的 MAC 地址?如果统一替换成路由器的 MAC,那在很多限定 MAC 的场景下,可以实现一个口接一批设备且每个设备都有公网 IPv6 。
    onion83
        4
    onion83  
       2020-04-09 15:51:29 +08:00
    ROS 中 IPv4 和 IPv6 功能互相独立,从地址、防火墙、甚至 TCP 连接全部独立对待,清晰明了。
    onion83
        5
    onion83  
       2020-04-09 15:51:50 +08:00
    补图:
    qbqbqbqb
        6
    qbqbqbqb  
       2020-04-09 15:54:13 +08:00
    @wazon Relay 模式实现的透传,肯定是会改 MAC 的。应该能起到伪装 MAC 的作用。而且 traceroute 里会多路由器一跳。

    如果是 NETGEAR 这种真透传,就不会改 MAC,traceroute 里也看不到路由器。
    cwbsw
        7
    cwbsw  
       2020-04-09 16:14:29 +08:00
    这网站扯淡的吧,完全不靠谱。
    qwvy2g
        8
    qwvy2g  
       2020-04-09 18:02:16 +08:00 via Android
    用了个 h3c 路由,可是不会用命令行配置 ipv6,获取光猫的 ipv6 。例子太少了。
    Archeb
        9
    Archeb  
       2020-04-09 18:05:49 +08:00
    这网站纯属瞎扯啊,路由器由于硬件限制没有办法升级固件或者厂商不去支持倒是说得通,移动设备 IPv6 Ready 还能按硬件型号算的?我刷个系统不就支持了...
    wazon
        10
    wazon  
    OP
       2020-04-09 18:40:22 +08:00
    @cwbsw 尽管本人对部分数据的含水量也有怀疑,但好歹也是有官方背景的数据,还是能看出很多东西的
    @Archeb 虽然移动设备的支持本质上是软件问题,但按硬件型号算应该是从普通购买者的角度去考虑的,也具有合理性
    littlewing
        11
    littlewing  
       2020-04-09 18:51:58 +08:00
    @onion83 哇,用 ROS 的大佬,之前一直想买一个 ROS,但是怕自己不会用,而且要爬墙似乎也很麻烦,像梅林啥的直接插件配置一下就行了
    onion83
        12
    onion83  
       2020-04-09 19:05:05 +08:00   ❤️ 1
    @littlewing 有几张实际使用截图可供参考: https://www.v2ex.com/t/645517#reply5
    Archeb
        13
    Archeb  
       2020-04-09 22:17:10 +08:00
    @wazon 带宽数据统计应该有参考意义,这个终端统计实在是不严谨
    raysonx
        14
    raysonx  
       2020-04-09 22:25:29 +08:00
    个人的体验目前家用市场上的路由器对 IPv6 支持都不太好(当然不知道最近有没有改观),比如当重新拨号前缀变更后不能自动更新下游设备的地址,也不支持多级路由器下层层 PD 更小的子网。OpenWRT 这两者都支持。
    所以最好是用可以刷 OpenWRT 的设备,或者用软路由。
    zro
        15
    zro  
       2020-04-09 22:34:26 +08:00
    @littlewing #11 目前我是 ROS 主网关+OpenWRT 旁路由,可以全面发挥各自所长了~🤣
    bin456789
        16
    bin456789  
       2020-04-09 22:36:03 +08:00
    路由器不知道,我发现我 2018 年的光猫有 Passthrough 功能
    littlewing
        17
    littlewing  
       2020-04-09 23:28:15 +08:00
    @zro 其实我更想直到用 ros 做主网关相比直接用 openwrt 有什么优势吗?
    celeron533
        18
    celeron533  
       2020-04-09 23:30:02 +08:00
    > 分 A/B 面 + DHCP Option 125

    哈哈魔都 IPTV 没跑了
    wazon
        19
    wazon  
    OP
       2020-04-09 23:38:08 +08:00
    @Archeb 右下角有说明:“以上数据均为 LTE 网络环境下测试结果”。根据信通院《国内主流 LTE 移动终端 IPv6 支持能力》的这篇文章,LTE 下不同终端的 APN 协议配置不一。对于大多数用户而言,手机厂商不推新的配置文件,他们在 LTE 下就用不上 IPv6 。所以分终端标注支持情况还是有一定参考价值的。
    ChristianSwift
        20
    ChristianSwift  
       2020-04-09 23:40:50 +08:00 via iPhone
    群晖的 SRM 也还可以,防火墙设置很清晰,这应该也算是国产吧
    zro
        21
    zro  
       2020-04-10 00:20:27 +08:00   ❤️ 1
    @littlewing #17 大概想到就几样:NAT 转换比 OP 好些(听说的,没实测过);自带协议多; WinBox 超好用,手机端 APP 也全功能;多拨成功率高(没试过); DNS 暂时没 dnsmasq 好用;应该没楼主说的 IPv6 穿透。。😌

    另外就是刚买回来开始用,200M 的移动,在 speedtest 能跑出 250M,换下来的 OP 怎么测也只是接近 200M,但最近才给 OP 开启了 Offload,就没重新测试对比过~
    tankren
        22
    tankren  
       2020-04-10 08:36:06 +08:00
    我用 pfsense 但是只给网管开了 IPV6 方便回家 客户端没有开 IPV6 体验不好
    wazon
        23
    wazon  
    OP
       2020-04-10 22:38:52 +08:00
    @zro IPv6 中继有么,在很多情况下中继反而比穿透更有意义
    zro
        24
    zro  
       2020-04-10 22:48:43 +08:00
    @wazon #23 5 楼图中的 DHCP Relay 应该是你说的那种中继。。如果是重度使用 IPv6,国内的固件可以不用考虑了,目前我接触过的固件,也就 OpenWRT 支持得比较完善~
    qbqbqbqb
        25
    qbqbqbqb  
       2020-04-18 19:35:15 +08:00   ❤️ 1
    @zro DHCP Relay 单用不能实现 IPv6 中继,还需要 NDP Proxy 。
    donteatweed
        26
    donteatweed  
       2020-05-03 12:50:06 +08:00
    360 5pro 最新固件支持 ipv6 穿透,不支持防火墙控制
    lentrody
        27
    lentrody  
       2020-07-14 00:55:15 +08:00   ❤️ 1
    今天遇到个 TP 的普通路由器顺手升级了下固件,结果居然多了 IPv6,型号好像是 886n 。好像没有防火墙,我用笔记本通过手机热点上网可以用 IPv6 远程连接这台路由器下的电脑。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2699 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 15:40 · PVG 23:40 · LAX 07:40 · JFK 10:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.