IPV6下老毛子Padavan 设置+动态域名直接映射内网设备+防火墙设置
时间:2023-02-07 02:28:02 | 来源:建站知识
时间:2023-02-07 02:28:02 来源:建站知识
折腾前言:
前两天一直在折腾openwrt单臂软路由的设置,家里时不时断网,很是心烦。折腾过程中发现openwrt插件虽多,但是玩的明明白白,还是差点事,比如那个防火墙,就时不时抽风。于是拿出了家里的小古董k2p,刷上最新的老毛子固件,直接起飞,移动千兆,丝毫不虚,防火墙规则能即时生效,内网设备,一条命令,直接动态域名解析。ipv6下,该有的功能都有,直接把它升级为主路由。
硬件准备:
主路由:k2p版本K2P_V53.4.3.9-099_21-10-8 (2021-10-25)
ap:ax6000
宽带:中国移动
光猫做过桥接
软件准备:
putty64(windows)或finallshell(mac)
其他:
阿里购入域名一枚
路由器拨号设置:
正常的填入用户名密码
ipv6设置如下
这样设置下来类似于openwrt的dhcp-pd。意味着运营商给我们下发前缀,后面的地址是设备自己生成的。
路由器动态域名设置
虽然不知道是什么时候加入的,这动态域名太方便了,双协议映射,第三个是ipv6,前两个我就不写了,移动的公网,大家懂的。
域名相关的阿里apikey的获取,在之前的教程中写过,大家可以直接翻看。
将获取到的api和key输入进去,直接应用
这里需要注意的地方是,需要修改脚本文件下的一个参数,因为wan口ipv6的下发速度超级慢,lan口联网即可下发,这里修改脚本文件中的获取信息,将wan口改为lan口,折腾了快一个小时,还以为自己的ipv6获取方式不对,简直太坑了。
找到这样一段
ifconfig$(nvram get wan0_ifname_t) | awk '/Global/{print $3}' | awk -F/'{print $1}'
修改为
ifconfig$(nvram get lan0_ifname_t) | awk '/Global/{print $3}' | awk -F/'{print $1}'
#wan口和lan口的地址效果是一样的,因为都是公网地址,这里使用起来不像ipv4下,分公网和内网,全球一张网,那就是ipv6,所以,直接获取lan口。
输入完成后,看系统日志,更新很快,更新完基本解析就能用。
到这一步,动态域名与ip的转换就打通了,剩下的就是端口的开启,我是被这个防火墙折腾的死去活来的。
防火墙设置
我们设置完成后,先来测试路由器是否能通过访问,这里需要打开两个地方,第一个是通过互联网访问,第二个是通过内网访问,将这两个端口都改为80端口后,直接打开网址,就可以直接访问路由器的管理界面,需要切换端口的朋友注意,这两个端口号要保持一致,还要在防火墙上打开对应的端口,因为除了80端口,防火墙自动添加规则外,其他端口,防火墙都不会自动打开。
需要开启路由器的ssh,这样,可以输入命令不正确的话,可以看到报错
例子:开启路由器80端口
ip6tables-I INPUT -p tcp --dport 80 -j ACCEPT
动态域名直接映射内网设备
在老毛子里面这个可以说超级简单,直接就可以将动态域名映射到内网设备,只需要一条命令,再也不用什么socat转发。享受直连的快乐,只需要内网设备的mac地址。
打开ali动态域名,查看纯shell下的命令,如果比如你的mac地址是0000000001,这里我用mac地址为0000000001的设备做演示,命令是这样写的
为了节省域名,这里直接用二级域名的形式进行解析
dn@xxxxx.cn@00000000A1@@fe80::@
这样,设备一获得地址,就会直接被动态域名映射。
参数说明:使用@符号分割,①前缀名称②域名 ③MAC【不限大小写】④匹配关键词的ip6地址【可留空】⑤排除关键词的ip6地址【可留空】⑥手动指定ip【可留空】
各项参数使用@隔开,二级域名,比如我的域名是
http://dn.xxxxx.cn需要指向的内网设备mac地址为00000000A1,第四段匹配关键词忽略,第五段填写fe80::(忽略掉内网ipv6地址),第六段忽略不写。
打开防火墙指定端口
这时候大家根据需求打开防火墙的对应端口,比如需要打开电脑的远程控制端口,我们直接在ssh终端中输入
ip6tables-I INPUT -p tcp --dport 3389 -j ACCEPT
#打开防火墙的3389端口
ip6tables-I FORWARD -p tcp --dport 3389 -j ACCEPT
#开放3389端口转发,能将3389的数据转发到内网。可以理解为打开内网设备的3389端口
什么,你想打开指定地址的指定端口转发,放心,踩了这么多坑,当然也找到方法了
ip6tables-I FORWARD -d ::1111:1111:1111:1111/::FFFF:FFFF:FFFF:FFFF -p tcp--dport 3389 -j ACCEPT
这样的话会匹配后缀为1111:1111:1111:1111的内网设备,为它开启3389端口
这样的话,访问域名直接可以实现远程控制
如果内网有nas的话,大家也可以直接部署相关域名,我这边没封80端口,将nas部署到公网下的话,不用端口号,输入域名直接就可以访问。
(现挖个坑,准备折腾pve安装黑群晖,现在手里还没有nas)
路由器防火墙设置
需要注意的是,重启后,防火墙会重置,我们需要将命令,写入启动文件。
在防火墙启动后启用
折腾总结:
用朋友的话说,大家的教程基本都是挖坑不管填坑。难点在与动态域名映射后的防火墙规则方面,openwrt现在恩山的大神做的有的直接带socat转发。但是ipv6的支持,还是不是很方便,希望这篇文章能给大家动态域名映射的时候提供一个思路。
感觉文章写的不错的朋友请关注,点赞,支持,转发一下