1. 服务器/VPS/主机用户Telegram电报群: https://t.me/openos
    黑群晖 Synology Telegram电报群: https://t.me/nasfan
    排除公告

群晖最近有个很奇怪的问题(关于ipv6)

本帖由 zzddagdca2022-09-17 发布。版面名称:群晖 Synology DSM

  1. zzddagdca

    zzddagdca Active Member

    注册:
    2021-04-23
    帖子:
    258
    网络环境 路由器 openwrt 防火墙 流量规则放行了群晖端口 路由器拨号 ipv6正常
    群晖和群晖vmm下的windows都是通过ddnsgo解析ipv6到不同域名,配置完后群晖和windows外网访问正常(ipv6)

    好这个奇怪的问题就是只要群晖一重新启动,外网域名就登陆不了群晖,改成真实ipv6地址再访问也失效,不是防火墙端口的问题因为这个时候vmm下的windows居然可以外网域名登陆,说明防火墙端口以及域名解析都OK的,哎好奇怪啊,这个问题最近换了个openwrt路由才出现的,之前直接小米ax6000 关闭防火墙一直没有问题,而且奇怪的是现在换成小米ax6000,好像也是一样了,重启之后群晖就不能用域名和ipv6地址访问了。

    经过反复检查,我感觉是群晖的问题,因为不可能以前小米ax6000都正常的换一次openwrt路由就不正常了唯一可能也只能是群晖。

    于是我的对策就是,关闭群晖网卡的ipv6,然后再重启一次群晖,重启后再开启网卡的ipv6,这样ipv6和域名都能登陆群晖了。恶心啊,不让重启了还。
     
    最后编辑: 2022-09-17
  2. zzddagdca

    zzddagdca Active Member

    注册:
    2021-04-23
    帖子:
    258
    为什么群晖重启后丢失ipv6配置里面的 dns服务器 地址的配置,是openwrt ipv6配置的问题吗?
     
  3. 曳尾i66

    曳尾i66 Member

    注册:
    2021-04-15
    帖子:
    43
    个人遇到一个情况可参考,重启OpenWrt软路由重新拨号后IPv6改变,而群晖NAS的IPv6还是之前的,所以导致访问不了,需重启网络,计划任务添加root运行自定义脚本,时间间隔自定
    代码:
    #!/bin/sh
    if ! ping6 -c 2 2400:3200::1 > /dev/null 2>&1
    then
    echo "The IPv6 is down! Now try restarting!" |  /etc/rc.network restart
    fi
     
  4. zzddagdca

    zzddagdca Active Member

    注册:
    2021-04-23
    帖子:
    258
    感谢兄弟建议,
    我后续群晖重启之后又不能访问了,我从新修改了配置后正常了。取消了原先固件默认的ipv6设置(虽然默认就能获得ipv6地址内网设备也能通过ipv6网站测试,就是重启以后设备会丢失ipv6 dns 和网关配置信息)取消使用openwrt内置ipv6的管理配置,LAN上ipv6按照DHCPv6-PD 中继的思路去设置,这样群晖就每次重启也能访问。

    算是结案了。
     
  5. 二狗子

    二狗子 Member

    注册:
    2020-12-29
    帖子:
    37
    请问一下。我现在有240e:331:开头的公网ipv6的地址。然后也是用的ddns-do做的解析。另外光猫已经设为了中继。靠小米AX5来拨号上网。也能过ipv6的测试网站。而且我通过5G手机网络也能ping通。但是就无法从外网访问。(另外试了端口映射和dzm都试了。访问不了)提示是拒绝访问。我的理解是都拒绝了。应该链路是通的。多半是小米的路由器还有后台的防火墙。但是那我设置了端口映射和dzm为什么也还是不行
     
  6. fwq2000

    fwq2000 New Member

    注册:
    2021-11-10
    帖子:
    29
    [​IMG]
    我是这样设置的,openwrt IP不变。 群晖随便重启IPV6不会变。
     
  7. zzddagdca

    zzddagdca Active Member

    注册:
    2021-04-23
    帖子:
    258
    ipv6 不存在 nat 你设置端口转发没有意义了,你应该开启防火墙规则,你对应的服务端口放行数据就可以了。
     
  8. sasalemma

    sasalemma New Member

    注册:
    2022-02-03
    帖子:
    9
    你并不太理解ipv6,虽然不存在nat,但本质ipv6子网都是 wan-lan的方式,特别是正常的dhcp-pd模式,下级子网在有防火墙的情况下,和wan口ipv4有防火墙一样,是lan--》wan全部转发,但wan-lan的转发默认是拦截的。和地址是否公网无关。ipv6地址是否公网和你能直连是两回事。

    只是并不在ipv4端口转发配置,而是如你说的,在规则里或者自定义写forward,加上前缀子网变动,用后缀转发,即

    wan口,到 机器 ::aaaa:bbbb:cccc:dddd/::ffff:ffff:ffff:ffff 端口开启转发。

    而且所谓的nat,本质是大家默认写了规则,预留的地址,不转发到外网的固化规则+地址替换。地址替换才是nat核心,内网地址是转发规则问题。
     
  9. zzddagdca

    zzddagdca Active Member

    注册:
    2021-04-23
    帖子:
    258
    你没有理解我的意思,我的路由器刷机了刷成openwrt,可能因为固件版本的问题ipv6的适配上有点差异,我的问题自己已经解决了,我是路由器直接桥接光猫的,我的ipv6用的是native模式,所有内网设备都是分配运营商的外网ip地址,目的就为了全屋智能设备外网可以控制,我是通过防火墙开放服务端口给外网进内网,当然安全不安全就另当别论了。你的意思我明白,dhcp-pd模式下是会分配一个前缀。但是在native模式下前缀是运营商分配,我只需要放行端口就行了。
     
  10. sasalemma

    sasalemma New Member

    注册:
    2022-02-03
    帖子:
    9
    所以才说你还是没有理解ipv6。

    native模式就是dhcp-pd,上级路由告知前缀,机器自己生成ip地址。slaac。pd分配的所有地址,都是“公网地址”没有问题。

    这个是ipv6最正常的样子。

    而因为路由本身的目的,就是把不同网段的路联通,就是把人民1街的信转送到人民2街。防火墙的作用就是:

    人民2街是封闭街区,老刘住人民2街3号,他给人民1街2号的老王发信,信能发出,然后信差等着还能直接把老王的回信带回来。

    但要是老王的想给直接送信,就得通过人民二街的街道办,直接给老刘开个绿灯,以后有老刘家的信就直接给老刘送家门口。

    街道办就是防火墙。转发,就是送信到老刘家门口。端口转发,就是送信到老刘街门口的第几个信箱。

    ipv6 的pd模式下,lan和wan的子网是不同网段的。

    就是

    假如是 2409:1:1:2220::/60

    wan口地址 2409:1:1:2220::1 ,lan地址段最大也就是 2409:1:1:2228/61 子网段,NAS 假如分配了61段子网,就是 2409:1:1:2228::1

    用ipv4类比就是 192.168.1.0/24 和 192.168.2.0/24

    那么有防火墙存在的情况下, 2409:1:1:2228/61 子网段 的机器,比如 2409:1:1:2228::1 能访问 2409:1:1:2220::1 ,反过来就不行。

    而ipv6同样有端口转发,只是现在的openwrt 并没有做成luci界面。唯一做了就是自定义规则自己写,或者如你所说,直接开放端口。

    你在op中防火墙的FORWARD表里就能看到,配置的开放端口,wan区域 到lan区域 ,就是开启了wan到lan下任何地址的转发。

    就是 访问 wan口的 8888,转发到 lan下所有地址的 8888。

    wan区域到此设备就是开放外网到路由自己的转发。

    自定义写就类似于

    ip6tables -t filter -I FORWARD -p tcp --dport 8888 -d ::/:: -j ACCEPT
    ip6tables -t filter -I FORWARD -p udp --dport 8888 -d ::/:: -j ACCEPT

    不指定lan段ip地址,就挨个问呗,反正叫到老刘。老刘会答到。

    只是增加网络不需要的浪费而已,确实,还把所有机器的8888端口都暴露在wan外。毕竟谁都能叫一声谁家有8888号技师。



    而早期,pd没有配置,有的路由系统,就是类似于桥接,直接把wan口和lan口在ipv6协议上直接联通,这个就不是native模式。

    wan-lan 在ipv4上 是 192.168.1.1 和 192.168.2.1 。但ipv6是同样的网段,所以就是不存在“转发”,直接开放端口,等于是

    人民1街和2街的街道办其实是个摆设,但名义还是转发,毕竟还是需要传个声。

    所以一般,op对ipv6支持都挺不错了,写个后缀又不难。都是 ::后缀4段地址/::4段掩码的小事。


    所以从本质来说,ipv6的lan下机器,开放端口,其实和ipv4的端口转发是一样的。都是 forward,转发。


    你在op你那个防火墙状态表里的看一下就知道了。


    其实这些回复和题主的问题无关的

    楼主的问题,其实是群辉因为ipv6的pd前缀变动后,路由地址刷新后,路由也认为群辉知道了,确实群辉知道也好不知道也好,路由也是不管的,pd模式就是那个ra服务器,只管告知,不管反馈,我告大家,今天起,我们是人民3街,你原来几号,自己修改下,原来人民2街3号,现在就是人民3街3号。那你喜欢用旧地址无所谓,导致路由转发到新地址,而群辉的主地址还是旧地址,没有刷新。

    都是linux,hotput那些ifac端口定时重启下算了。
     
    已获得 曳尾i66zzddagdca 的点赞。