设为首页收藏本站

简体中文 繁體中文 English 日本語 Deutsch 한국 사람 بالعربية TÜRKÇE português คนไทย

切换到窄版

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
恩山无线论坛»论坛 无线设备软件相关板块 OPENWRT专版 openwrt等固件针对ipv6地址变动 地址模糊匹配 副路由ipv ...
广告投放联系QQ68610888
返回列表 发新帖
查看: 405|回复: 2

openwrt等固件针对ipv6地址变动 地址模糊匹配 副路由ipv6转发相关问题

[复制链接]
dca***
| 显示全部楼层 |阅读模式
本帖最后由 dcarrot 于 2024-1-16 03:21 编辑


网络的简单拓扑图,目前做法是二级路由使用Lucky将服务端的v4流量转发到本地然后暴露二级路由
因为ipv6的前32位(前四段)会变动,防火墙目标设置在变动后失效。
所以在配置防火墙时参考https://www.right.com.cn/forum/thread-4052554-1-1.html设置模糊匹配
但是在设置时有一些问题:
首先在openwrt中



防火墙目标可以设置掩码或者一个单独ip? 这让我不能理解。掩码在我的理解中不是指定一个ip中网络部分和主机部分的范围么
比如/64就是ffff:ffff:ffff:ffff:0000:0000:0000:0000其实就是表达二进制1:1:1:1:0:0:0:0(1网络部分0主机部分)
我的ip为3a0d:87bf:6e29:2f41:fae8:1c65:9402:2222 (参考,随机生成)
按照设置,我尝试了设置为
::fae8:1c65:9402:2222/::ffff:ffff:ffff:ffff
或者 ::fae8:1c65:9402:2222/64
::fae8:1c65:9402:2222/0
最终结果都是不正确的,要么无法访问这个地址,要么可以访问了,但是有一些其他地址也可以被访问了
尝试了一会,最终用一个奇怪的结果达成了我的要求: ::fae8:1c65:9402:2222/ffff:ffff:ffff:ffff:fae8:1c65:9402:2222  而且缺省为::fae8:1c65:9402:2222/64 也是不行的
非常抽象哈。。。。我开始尝试理解,难道这里的/后的掩码地址表达的是整个ip的范围?
比如:: (全是0000的缺省后:: )/ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff就是指从0000到ffff中的所有地址?好像这样是最能解释的。。
我设置(::缺省,换成0000直观点)  0000:0000:0000:0000:fae8:1c65:9402:2222/ffff:ffff:ffff:ffff:fae8:1c65:9402:2222 就是前64位地址可以从0000到ffff匹配(匹配所有),后64位这四段就是匹配从fae8:1c65:9402:2222到本身这一个地址¿
还请大佬们解答。。。实在理解不了

openwrt ipv6helper, openwrt ipv6 pppoe, openwrt ipv6 fe80, openwrt ipv6转ipv4, openwrt ipv6 nat

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

相关帖子

我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

supe***
| 显示全部楼层
本帖最后由 superzjg 于 2024-1-16 15:13 编辑

刚测试了,应该没问题,用的通常的写法,也就是你的第一种写法
图片是用连接了手机热点的ipad远程我的电脑的截图,目标地址固定好可以连上; 然后断开电脑网卡再启用,电脑无状态v6地址发生变化,就连不上,看上去没有问题
另,也同时限制源地址和目标地址测试,也没有问题,配置好后可以连上,ipad wifi地址变化后就连不上了,符合预期,此步未截图,但配置文件如下:

  1. config rule
  2.         option target 'ACCEPT'
  3.         option src 'wan'
  4.         option name 'test'
  5.         option family 'ipv6'
  6.         option proto 'tcp'
  7.         option dest 'lan'
  8.         option dest_port '3389'
  9.         option dest_ip '::41e8:9edc:b801:d481/::ffff:ffff:ffff:ffff'
  10.         option src_ip '::6d74:ed2e:132d:1a1c/::ffff:ffff:ffff:ffff'
复制代码





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

点评

dcarrot
非常感谢你的回复,这两天又多尝试了几次,不知道那天怎么回事,但是最终还是以 ::fae8:1c65:9402:2222/::ffff:ffff:ffff:ffff 这样的格式成功的 重启路由重新获取ip前64位变化正常访问 之前我重启连不上可能是ddns  详情 回复 发表于 2024-1-18 15:33
我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

dca***
 楼主| | 显示全部楼层
superzjg 发表于 2024-1-16 10:21
刚测试了,应该没问题,用的通常的写法,也就是你的第一种写法
图片是用连接了手机热点的ipad远程我的电脑 ...

非常感谢你的回复,这两天又多尝试了几次,不知道那天怎么回事,但是最终还是以
::fae8:1c65:9402:2222/::ffff:ffff:ffff:ffff 这样的格式成功的
重启路由重新获取ip前64位变化正常访问
之前我重启连不上可能是ddns取的ip变成了较短的那串(缺省较多的),较长的ip有时候在前有时候在后
副路由ddns用脚本取最长的那串
还是假设ip为 3a0d:87bf:6e29:2f41:fae8:1c65:9402:2222
  1. ip -6 addr show dev br-lan | awk '/inet6 / {print $2}' | awk -F'/' '/fae1c65:9402:2222/ {print $1}' | awk '/^3a0d/' | awk 'NR==1{print $0}'
复制代码
  1. 取br-lan所有ip | 取inet6开头的所有ip | 取fae8:1c65:9402:2222结尾的ip(随mac不变动) |  取开头为3a0d的ip(运营商不变动) |  取第一行(有时候网卡会有两条符合的ip,都能访问,取第一个就行)
复制代码

我的恩山、我的无线 The best wifi forum is right here.
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

有疑问请添加管理员QQ86788181|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )

GMT+8, 2024-4-28 05:50

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

| 江苏省互联网有害信息举报中心 举报信箱:js12377 | @jischina.com.cn 举报电话:025-88802724 本站不良内容举报信箱:68610888@qq.com 举报电话:0519-86695797

快速回复 返回顶部 返回列表