Linksys EA4500 / K2 / DW33D 配置 IPv6 NAT 实录，支持 Android

dsanke

前几天搞的IPV6 Relay穿透中继很不稳定，不知道是odhcpd还是什么别的东西有问题。
反正没有IPV6公网IP的需求，我也就看看U2B，索性用NAT解决。固件用的是lean的LEDE R5，之前他的OP内核不支持IPV6 NAT。
linux kernel 版本是 4.4.50

1.安装相关软件

1. opkg update && opkg install kmod-ipt-nat6 ip6tables-mod-nat

复制代码

2.设置 网络 - 接口 - Global ULA Prefix
这里不能用F开头，不然有些网站速度奇慢。

3.设置 odhcpd
网络 - 接口 - LAN
IPv6 分配长度 ：64

这里RA交给radvd来做，odhcpd的RA不支持 RFC6106，Android设备用SLAAC获取不到正确的DNS。
而 Windows 的 SLAAC 获取 DNS 是从 DHCPv6 服务器来的，所以这里需要填上DNS。如果在radvd启用stateful的话，Android设备又不能获取到DNS，算是很奇怪吧。
4. 配置NAT6
新建/etc/init.d/nat6
写入如下内容：

1. #!/bin/sh /etc/rc.common
   
2. # NAT6 init script for OpenWrt // Depends on package: kmod-ipt-nat6
   
3. 
   
4. START=55
   
5. 
   
6. # Options
   
7. # -------
   
8. 
   
9. # Use temporary addresses (IPv6 privacy extensions) for outgoing connections? Yes: 1 / No: 0
   
10. PRIVACY=1
    
11. 
    
12. # Maximum number of attempts before this script will stop in case no IPv6 route is available
    
13. # This limits the execution time of the IPv6 route lookup to (MAX_TRIES+1)*(MAX_TRIES/2) seconds. The default (15) equals 120 seconds.
    
14. MAX_TRIES=15
    
15. 
    
16. # An initial delay (in seconds) helps to avoid looking for the IPv6 network too early. Ideally, the first probe is successful.
    
17. # This would be the case if the time passed between the system log messages "Probing IPv6 route" and "Setting up NAT6" is 1 second.
    
18. DELAY=5
    
19. 
    
20. # Logical interface name of outbound IPv6 connection
    
21. # There should be no need to modify this, unless you changed the default network interface names
    
22. # Edit by Vincent: I never changed my default network interface names, but still I have to change the WAN6_NAME to "wan" instead of "wan6"
    
23. WAN6_NAME="wan6"
    
24. 
    
25. # ---------------------------------------------------
    
26. # Options end here - no need to change anything below
    
27. 
    
28. boot() {
    
29.         [ $DELAY -gt 0 ] && sleep $DELAY
    
30.         logger -t NAT6 "Probing IPv6 route"
    
31.         PROBE=0
    
32.         COUNT=1
    
33.         while [ $PROBE -eq 0 ]
    
34.         do
    
35.                 if [ $COUNT -gt $MAX_TRIES ]
    
36.                 then
    
37.                         logger -t NAT6 "Fatal error: No IPv6 route found (reached retry limit)" && exit 1
    
38.                 fi
    
39.                 sleep $COUNT
    
40.                 COUNT=$((COUNT+1))
    
41.                 PROBE=$(route -A inet6 | grep -c '::/0')
    
42.         done
    
43. 
    
44.         logger -t NAT6 "Setting up NAT6"
    
45. 
    
46.         WAN6_INTERFACE=$(uci get "network.$WAN6_NAME.ifname")
    
47.         if [ -z "$WAN6_INTERFACE" ] || [ ! -e "/sys/class/net/$WAN6_INTERFACE/" ] ; then
    
48.                 logger -t NAT6 "Fatal error: Lookup of $WAN6_NAME interface failed. Were the default interface names changed?" && exit 1
    
49.         fi
    
50.         WAN6_GATEWAY=$(route -A inet6 -e | grep "$WAN6_INTERFACE" | awk '/::\/0/{print $2; exit}')
    
51.         if [ -z "$WAN6_GATEWAY" ] ; then
    
52.                 logger -t NAT6 "Fatal error: No IPv6 gateway for $WAN6_INTERFACE found" && exit 1
    
53.         fi
    
54.         LAN_ULA_PREFIX=$(uci get network.globals.ula_prefix)
    
55.         if [ $(echo "$LAN_ULA_PREFIX" | grep -c -E "^([0-9a-fA-F]{4}):([0-9a-fA-F]{0,4}):") -ne 1 ] ; then
    
56.                 logger -t NAT6 "Fatal error: IPv6 ULA prefix $LAN_ULA_PREFIX seems invalid. Please verify that a prefix is set and valid." && exit 1
    
57.         fi
    
58. 
    
59.         ip6tables -t nat -I POSTROUTING -s "$LAN_ULA_PREFIX" -o "$WAN6_INTERFACE" -j MASQUERADE
    
60.         if [ $? -eq 0 ] ; then
    
61.                 logger -t NAT6 "Added IPv6 masquerading rule to the firewall (Src: $LAN_ULA_PREFIX - Dst: $WAN6_INTERFACE)"
    
62.         else
    
63.                 logger -t NAT6 "Fatal error: Failed to add IPv6 masquerading rule to the firewall (Src: $LAN_ULA_PREFIX - Dst: $WAN6_INTERFACE)" && exit 1
    
64.         fi
    
65. 
    
66.         route -A inet6 add 2000::/3 gw "$WAN6_GATEWAY" dev "$WAN6_INTERFACE"
    
67.         if [ $? -eq 0 ] ; then
    
68.                 logger -t NAT6 "Added $WAN6_GATEWAY to routing table as gateway on $WAN6_INTERFACE for outgoing connections"
    
69.         else
    
70.                 logger -t NAT6 "Error: Failed to add $WAN6_GATEWAY to routing table as gateway on $WAN6_INTERFACE for outgoing connections"
    
71.         fi
    
72. 
    
73.         if [ $PRIVACY -eq 1 ] ; then
    
74.                 echo 2 > "/proc/sys/net/ipv6/conf/$WAN6_INTERFACE/accept_ra"
    
75.                 if [ $? -eq 0 ] ; then
    
76.                         logger -t NAT6 "Accepting router advertisements on $WAN6_INTERFACE even if forwarding is enabled (required for temporary addresses)"
    
77.                 else
    
78.                         logger -t NAT6 "Error: Failed to change router advertisements accept policy on $WAN6_INTERFACE (required for temporary addresses)"
    
79.                 fi
    
80.                 echo 2 > "/proc/sys/net/ipv6/conf/$WAN6_INTERFACE/use_tempaddr"
    
81.                 if [ $? -eq 0 ] ; then
    
82.                         logger -t NAT6 "Using temporary addresses for outgoing connections on interface $WAN6_INTERFACE"
    
83.                 else
    
84.                         logger -t NAT6 "Error: Failed to enable temporary addresses for outgoing connections on interface $WAN6_INTERFACE"
    
85.                 fi
    
86.         fi
    
87. 
    
88.         exit 0
    
89. }

复制代码

5.配置NAT6 服务

1. chmod +x /etc/init.d/nat6
   
2. /etc/init.d/nat6 enable && /etc/init.d/nat6 start

复制代码

6.修改防火墙配置
禁用“Allow-ICMPv6-Forward” 规则

1. uci set firewall.@rule["$(uci show firewall | grep 'Allow-ICMPv6-Forward' | cut -d'[' -f2 | cut -d']' -f1)"].enabled='0'
   
2. uci commit firewall

复制代码

自定义规则加一条：

1. ip6tables -t nat -I POSTROUTING -s $(uci get network.globals.ula_prefix) -j MASQUERADE

复制代码

7.开启IPV6转发
修改/etc/sysctl.conf
加上如下内容：

1. net.ipv6.conf.default.forwarding=2
   
2. net.ipv6.conf.all.forwarding=2
   
3. net.ipv6.conf.default.accept_ra=2
   
4. net.ipv6.conf.all.accept_ra=2

复制代码

8.配置radvd
由于OpenWRT和LEDE目前的trunk都没有radvd了，所以要自己编译一个
把radvd放在/bin，给执行权限

1. chmod +x /bin/radvd

复制代码

新建/etc/radvd.conf，权限644（刚开始设了777结果radvd跑不起来）
写入如下内容：

1. interface br-lan
   
2. {
   
3.         AdvSendAdvert on;
   
4.         AdvManagedFlag on;
   
5.         #配置M标记为0，禁用stateful
   
6.         AdvOtherConfigFlag on;
   
7.         #配置O标记为1，启用stateless
   
8.         MinRtrAdvInterval 3;
   
9.         MaxRtrAdvInterval 10;
   
10.         AdvDefaultPreference high;
    
11.         AdvHomeAgentFlag off;
    
12.         prefix dddd:cccc:bbbb:aaaa::/64
    
13.         #配合Global ULA Prefix
    
14.         {
    
15.                 AdvOnLink on;
    
16.                 AdvAutonomous on;
    
17.                 AdvRouterAddr off;
    
18.         };
    
19.         RDNSS dddd:cccc:bbbb:aaaa::1 2001:4860:4860::8888
    
20.         #RFC 6106 配置 DNS
    
21.         {
    
22.                 AdvRDNSSLifetime 30;
    
23.         };
    
24. };
    

复制代码

9.配置radvd服务
新建/etc/init.d/radvd，写入如下内容，并给执行权限

1. #!/bin/sh /etc/rc.common
   
2. 
   
3. START=99
   
4. 
   
5. stop() {
   
6.         killall radvd
   
7. }
   
8. 
   
9. start() {
   
10.         /bin/radvd
    
11. }

复制代码

执行

1. /etc/init.d/radvd enable && /etc/init.d/radvd start

复制代码

启动服务

至此大功告成。

编译radvd单独来讲：
1.我的路由器是Linksys EA4500,架构是ARM v5，需要交叉编译工具链
先进行一次不完整的固件编译（比较节省时间，编译起来之后Ctrl+Z中断）
再从LEDE的源码里找，
lede/source/staging_dir/toolchain-arm_xscale_gcc-5.4.0_musl_eabi/bin
记下位置
2.配置radvd
到 http://www.litech.org/radvd/ 下载源码并解压
在radvd目录内执行（假设lede是在~目录下）

1. ./configure --host=arm-openwrt-linux CC=~/lede/source/staging_dir/toolchain-arm_xscale_gcc-5.4.0_musl_eabi/bin/arm-openwrt-linux-gcc

复制代码

3.开始make
这个编译速度很快，一下子就好了，得到radvd二进制文件

相关文件我打包传1个附件包含arm_xscale的radvd，以及上面的nat6等脚本和配置文件。

再传一个ramips的radvd给K2 Y1之类的用，适合linux kernel 4.4的
还有ar71xx的给dw33d用，也是kernel 4.4用的


折腾这个的时候参考了如下内容，对原作者表示衷心的感谢
IPv6 NAT + 公网地址 DHCPv6 配置实录，再也不用担心我的Android！
http://koolshare.cn/thread-68208-1-1.html
IPv6 位址的取得 (Autoconfiguration and DHCPv6)
http://hlchang.com/?p=217 ;
openwrt+ndp+ndppd+radvd+dhcpv6,ipv6穿透配置指南
http://bbs.swdyz.com/thread270sw1dyz1.shtml
【转载】 通过openwrt的NAT6转发，使后端设备获得ipv6网络
https://www.right.com.cn/Forum/thread-198647-1-1.html
【进阶类教程】多种无PD的情况下给内网配置IPv6的方法
http://koolshare.cn/thread-46415-1-1.html
2012台網中心電子報─IPv6位址配發技術介紹
http://www.myhome.net.tw/2012_09/p03.htm ;
IPv6 DNS
https://wiki.openwrt.org/doc/howto/ipv6.dns
Router Advertisement (radvd) configuration
https://wiki.openwrt.org/doc/techref/odhcpd
odhcpd
https://wiki.openwrt.org/doc/uci/radvd ;
Linux（RedHat6.4）下配置radvd和dhcpv6
http://xiaoshe.blog.51cto.com/7977863/1305084/ ;

yasasei

感谢楼主分享经验。

sammy84

你好，我也是ea4500，请问lean大大的LEDE R5固件在哪下载呢？谢谢！

dsanke

sammy84 发表于 2017-9-30 18:22
你好，我也是ea4500，请问lean大大的LEDE R5固件在哪下载呢？谢谢！

http://code.taobao.org/svn/Gargo ... shfs-sysupgrade.rar