OpenWrt IPv6 NAT配置OpenWrt IPv6 NAT配置的详细教程
我之前一直用OpenWrt做路由器,IPv4玩得挺溜,NAT啥的都没问题。但最近ISP给分配了IPv6,一下子把我搞懵了——这IPv6不是说地址多到用不完吗,每个设备都能有公网IP,那还要NAT干啥?结果现实打脸,有些场景下还是得用类似IPv4 NAT的功能,比如内网设备隐私保护或者多WAN分流时避免地址冲突。OpenWrt官方其实不推荐在IPv6下用传统NAT,但提供了一个叫NPTv6(Network Prefix Translation)的替代方案,说白了就是前缀转换,不影响端到端连接性。
一、基本概念:NAT和IPv6到底是啥关系?
NAT(Network Address Translation)就是个地址转换工具,让一堆设备能共用一个公网IPv4地址上网。它能省IP地址,还能顺便隐藏内网结构,算是个安全屏障。但IPv6地址空间巨大,理论上每个设备都能分到公网IP,所以NAT在IPv6里本来不该存在。可现实很骨感,有些ISP给的IPv6前缀会变,或者企业合并网络时需要做前缀转换,这时候就得用NPTv6了。它不像IPv4 NAT那样破坏端到端连接,只是单纯改个前缀,更像是一种路由适配方案。
二、准备工作:别急着配置,先检查这些!
在折腾之前,你得先确认OpenWrt路由器已经正确联网,而且拿到了IPv6地址。登录管理界面,在“状态” -> “概要”里看WAN接口有没有拿到全球单播地址(一般是2xxx开头的)。如果这里没显示,那后面全白搭。另外,防火墙得放行ICMPv6,不然邻居发现协议(NDP)没法工作,IPv6就废了。我就吃过亏,ping不通外网,查了半天是防火墙把ICMPv6拦了。
三、安装软件包:缺了这些连命令都跑不起来
OpenWrt默认不带NPTv6工具,得手动装。用SSH连上路由器,运行:
opkg update opkg install nptv6 iproute2
这俩包是关键:nptv6是做前缀转换的,iproute2是管理高级路由策略的。如果opkg update失败,可能是网络没配好,先解决基础联网问题再继续。
四、配置接口:网络结构不对,啥都白搭
接着要改网络配置文件,路径是/etc/config/network。这里得小心,改错了可能直接断网。我的配置大概是这样的:
config interface 'wan'
option ifname 'eth0'
option proto 'dhcp'
config interface 'lan'
option type 'bridge'
option ifname 'eth1 eth2'
option proto 'static'
list ipaddr '192.168.1.1/24'
config interface 'ipv61234'
option ifname '@wan'
option proto 'static'
list ipaddr '2001:db8::/64' # 换成你的实际前缀
注意这里有个坑:如果你的ISP是通过DHCPv6分配前缀,可能得用“option proto 'dhcpv6'”而不是静态指定。我就是在这里卡了好久,一直拿不到地址,后来发现是协议类型选错了。
五、防火墙规则:不开放权限等于自断经脉
IPv6防火墙比IPv4更严格,默认可能拦掉所有进站流量。得编辑/etc/config/firewall,加上这些规则:
config zone
option name 'wan'
option network 'wan ipv61234'
option input 'ACCEPT'
option output 'ACCEPT'
config forwarding
option src 'lan'
option dest 'wan'
config forwarding
option src 'lan'
option dest 'ipv61234'
config rule
option src 'lan'
option target 'ACCEPT'
重点是确保lan到wan和IPv61234的转发都是ACCEPT,不然数据包出得去回不来。我曾经犯过只开wan不开ipv61234的错误,结果内网设备能ping通外网但收不到回包,调试到怀疑人生。
六、启用与测试:重启服务并验证结果
配置完一定要重启服务让改动生效:
/etc/init.d/network restart /etc/init.d/firewall restart
然后赶紧测试连通性:
ping -c 4 google.com -I 2001:db8::1 # 用你的LAN接口IPv6地址 ping -c 4 2001:4860:4860::8888 # 测试IPv6 DNS服务器
如果ping不通,先用tcpdump抓包分析:
tcpdump -i br-lan icmp6 tcpdump -i eth0 icmp6
看看数据包到底卡在哪一环。我遇到过ISP屏蔽ICMPv6的情况,只能换TCP测试(比如curl -6 ip.sb)。
七、高级选项与故障排除:这些坑我都踩过
如果一切正常,恭喜你!如果不行,常见问题有:
1. ISP不支持IPv6或限制了PD(Prefix Delegation)分配:有些宽带商虽然给了IPv6地址,但不分配前缀,导致内网设备拿不到公网IP。这时候得联系ISP或者改用6in4隧道。
2. 防火墙规则冲突:OpenWrt的防火墙配置是叠加的,可能旧规则拦了新流量。建议用“uci show firewall”全面检查规则优先级。
3. 路由表错误:IPv6依赖RA(Router Advertisement)广播路由信息,如果radvd没配好,内网设备可能无法识别默认网关。可以用“ip -6 route”查看路由表是否正确。
如果想更进阶,可以结合VPN做加密隧道,或者用MAP-T/E实现IPv4-over-IPv6转换。不过那就属于高阶玩法了,新手先打好基础再说。
IPv6的NPTv6配置比IPv4 NAT更依赖网络基础知识的理解,但一旦配通,你会发现IPv6的简洁和强大是真香!希望这篇踩坑记录能帮你少走弯路。
点击链接加入群聊四群:722808830
点击链接加入群聊三群:751529538(已满)
点击链接加入群聊二群:376877156(已满)
点击链接加入群聊一群:622891808(已满)
饿了么红包
本站附件分享,如果附件失效,可以去找找看
