会上万兆的都有自己的想法吧。

@woyaojizhu8 必然的。另外大城市普遍网速快，是因为搞新基站肯定是大城市回血快，毕竟人基数，用新技术掏钱的人多些。大城市中普遍慢的地方只有 2 种，新开发的 [偏远区域] 和城中村。我住万达商区，经历了从一个荒芜人烟到地铁通了人声鼎沸，4G 时代，荒芜人烟就建好了基站，网速真的能到 100M，人多了 2018 年，还有 60M，到 19 年末，4g 就剩 2M 了。不说人增加了，晚上 10 点商圈就打烊了，11 点就酒吧和网吧，全家开着，人也没有住满酒店的工作日，一切如 2018 年，只能说，没有降速是假的。换了 5g 手机用 4g 卡，还是能跑到 60 。我从 17 年宽带到期后就没有续费，一直用流量，联通 30g 降速和电信 40g 降速的那种，移动也有 5G 的流量。所以还是跟上时代好些。

双线路的正确用法是哪个线到哪里快走哪个线的策略游戏。

而不是聚合游戏。这种路由性质的策略聚合，和内网端口聚合是两回事，一个 2 层，一个 3 层。

回归下本源，如果是浏览网页这类负载很低的，多路聚合的用法等于废物。下载类的搞个均衡都能两边跑满。

所以再加上一台高带宽的服务器（还是双线路甚至多线路才有用）的成本都够你换个更快速度的宽带。

实现上可以有方案，性价比上得不偿失。

呃，错杀一千比爆流量好太多了。况且也是动态封禁，不会封禁个一年半载。

标记还有个参数，就是 MAC 。外围非法的撞针什么的，一统计聚合，有用的信息就会出来。

没意义的事情，几乎没有人会去做，做这样的事情，必然是有他们想达到的目的，而不是我们猜想的目的。

哪怕是闲着蛋疼或者懒得修改配置一类，也是目的之一，哲学上说。

这个就好比过了 11 点只有个灯灯在闪的警察岗一样，有意义吗？还是没有意义？



当然千方百计打 tag 目的都是一个，都是想获得真正有意义的信息。

@qbqbqbqb 我这边一个城市可以 L2TP，一个不行，跨市不行，得上 openvpn 用非标端口，有时候图省事，都是直接 ssh -L 代理下，联通就算了。

@yangyaofei 呃。在阿里云一类买个流量轻量不就是了。爆破什么的别想了，路由就那点能耐，看视频卡掉线还不坑自己。我个人用华硕系，至少官方固件 ssh 和 ipv6 墙都没有什么问题。官方 openwrt 也没有什么问题，旁路由一直 adguardhome 做 dns 很久了，路由系统，那些 [大神] 作品我没碰过，毕竟是网关，最多是自己编译下官方源的 op，哪怕是改都是自己下源码改，除了 uboot，CFE 一类闭源，自己不能研究，老毛子那些固件，不都是 asus 放出的源码改的。改源码的最开始都是 gpio 的问题，wifi 驱动的参数调节。
另外官方的软件也是软件，bug 该有的还是有，也不见得稳不稳，不翻车都是基于 cpu 不过热，没过多的硬错误，没有因为设备多而爆 RAM，没有因为缓存泄露而爆 RAM，RAM 合理回收。像 256M+以上的 RAM 的双核路由，家用设备不多于 25 台，不会常时间跑满千兆内网 nat 的，几乎都不会存在什么大问题。所谓插件什么，GUI 后面都是脚本实施，还不如直接自己写脚本，当它是一台 linux 来处理不就是了。本来还没有那么多事情，一个脚本解决的问题，偏偏要加个 luci-gui 来耗资源，何必呢。

ip6tables -I INPUT -p tcp -d ::11/::ffff --dport 22 -j ACCEPT
ip6tables -I OUTPUT -p tcp -d ::11/::ffff --sport 22 -j ACCEPT

防火墙，一进一出，两个命令的事情。你竟然要 udp 爆破。网关不可修改，只能 frp 了。不尝试下 r8000 ipv6 进 vpn ？

@yangyaofei

呃，总感觉你是喜欢杀鸡用牛刀，我是能简单些就简单些。

写一个爆破程序，远比刷个 openwrt 并学会使用快多了，毕竟非常规手段，暴力包异常，公司那边一查不死翘翘。爆破家里这边，路由的承载力就那么多，杀敌一千自损 3000 的样子。

省事就继续 frp 的 xtcp 打洞就是，公司那边用 ipv6 接入 aws，家这边可以走 ipv4 。唯一要改动的 aws 的 frps 服务器监听地址用 [::],其他和你以前玩耍的一样。

网络这个东西，一般没有异常多的流量，ISP 一直都不会管你，所谓手机不能联通只是因为手机网络这边，为了安全，是像 wifi 一样 AP 隔离。but，不知道你那边怎么样，我是经常用移动手机 RD，叫他们电信手机开热点直接远程 3389 的（ PC 那边要开启远程），ping 不通，但远程没什么问题。

一般只会封锁 80，L2TP，PPTP 那几个入站端口而已，其他端口基本都不封禁。

修改防火墙是运维层面的东西，写个程序都快到后端了。有钥匙可以开门，干嘛拿个斧头砍。

@cdh1075 实际上是知道的，楼主他这个就是 DHCP-PD 了，回去看看 23#

电信、联通、移动的 PD 是基本一样的，WAN 和 LAN 网段在第二段改动，PD 按下发的看后缀分配改动。

WAN 是 2408:1111:abcd:1234:xxxx:xxxx:xxxx:xxxx

LAN 的 PD 是 2408:1112:1234:xxxx::/64 这样，每次拨号实际上也就 xxxx 在变，感觉缩小了范围后，更容易被扫描了。

有状态的，底下的机器就是 2408:1112:1234:xxxx::yyyy 这样。

无状态的，底下的机器就是 2408:1112:1234:xxxx:abcd:78fe:fe90:ghij

所以他的 PD 前缀就是下发了。问题是 R8000 官方固件问题。没 SSH，iptable 都写不了。只能刷官改的梅林或者 OPENWRT 一类才能开墙直通。

然后所以无论 WAN 和 LAN 都是公网 IP，开启 WAN 端口，WAN 那边那个 ip 也是可以直连路由，LAN 口的 IP 也是可以直连。

IPV6 的安全只能靠墙了。所以很多路由器的固件干脆就没给你设置 ip6tables 的机会。

@yangyaofei

你把问题搞复杂了。

哪怕两个都是内网 ipv4+公网 ipv6，都能直接联通的，不通就是墙的配置问题。

FRP 打洞一类，数据本来就是中转，所以就慢咯。

整理一下：

1.PC-A 是家里的 PC，2408 公网，PC-B 是公司的，带 IPV6 （无论是公网 IPV6 还是 NAT6 ）
2.PC-B 能连出访问 ipv6 的网站，但不能连入。

这样的情况，用 aws+frp，aws 要是双栈，frps 放在 aws 上，两边都作为 frpc 不就是了。frps 监听[::]这个，一端的是 ipv4 也行的。PC-A 这段按照 IPV4 的配置就行，PC-B 那段连接 FRPS 用 AWS 的 IPV6 地址，这样也能通的。要是 AWS 是单 IPV6,PC-A 和 PC-B 都是 frpc 按照 ipv4 照搬就是。

要省掉 aws，就得从路由器动手。如果是官方固件，大概我会说，放弃吧，开个 ssh 都困难。
PC-B 只能连出，PC-A 就要当 server，当 server 解决 2 个问题，要访问到，就是开墙，第二个问题一般前缀是变动的，需要 ddns 。ddns 简单，哪怕是 pc 开个虚拟机或者 win 的计划任务跑脚本都行，毕竟当 server 都是要开机的。

倒是研究下 R8000 原版固件怎么 ssh 能开 iptables 。我放老家的 R7000 很久都没有登录过，都忘了界面是怎样了。现在用 asus 的多些还有 openwrt 。R8000 作为路由拨号，网关就是它，不解决这个，有公网 ipv6 实际上等于私网。

开启 ipv6 墙就是==ipv4 端口转发。呃，翻了下 google，一大票人也在网件的官网论坛求 ssh 和 iptables 的问题。店大欺客的样子。

因为不同地区，比如我老家山卡拉，ipv6 访问双栈的 aaaa 就很慢，但广州就很快，每个区域的墙内路由就是不一样。

但发这个确实没有意义。

我只是不明白你第一条回复单 ipv4 访问不慢，还有楼主原话题中想单独走 ipv6 接入他想接入的服务器，所以我才那样回复。

有什么问题问楼主去。我都不想打字了。

@v2tudnew

呃，正常都能理解，单栈服务器那边的解析出来是 A，没有 AAAA，你的 PC 不会用一个不存在的“AAAA”去访问啊。

DNS 就是把网址解析，然后返回 A 和 AAAA （如果有），然后让系统这边选。

然后双栈的 win 就优先连接 AAAA 这个地址了。

有意思的是，比如二级路由中禁用 IPV6，一个双栈的一级路由，二级路由下的设备访问一个双栈的服务器，也就是网关的 DNS 还是会给二级路由返回一个 A 和 AAAA 记录，二级路由的设备只有 IPV4，当然也不会尝试一个“非法”返回地址，格式都不一样。

换个例子，一个只有 AAAA 记录的，比如 IPV6 公网挂 ddns 域名，单 IPV4 访问 DNS 返回 AAAA，系统都会直接认为地址非法，尝试连接都会。

另外说的绕路不一定是出墙，而是国内双栈的一些服务器，双栈的 PC 去访问，IPV6 的路由跳转数和 IPV4 的跳转数不同的，时间也是有差别的。我说的绕路是说这个，可能在 V2 绕路都是说出墙的线路。

traceroute 一下不就知道了。有朋友开 IPV6 会变慢，然后说 IPV6 烂是因为这个。

从一开始我都是说现象，并没有说要怎么解决。因为你看回复下来就知道，实际上楼主想做什么都没有特别明确。

毕竟楼主他一直认为 pc 获得的 ipv6“本地地址”是私网地址。

@yangyaofei

呃。不知道怎么讲。

IPV6 的分配方式有多种，就是前缀，一种是 netive，就是原生，然后 DHCP-PD 才是像你说的，给你内网一个前缀网段，然后你的路由器爱怎么分发是你路由内部的事情。
这个情况就是 WAN 口的 IPV6 地址设置地址段都和 LAN 口的不一样。DHCP-PD 模式的话，就是把前缀网段分给路由的 LAN 口。

另一个是 passthrough，让 WAN 口的 IPV6 的 RA 通过 LAN 去分发到下级，就是 PC 和 WAN 口是同网段的。你可以尝试下手机，比如安卓开个热点，实际上就是 passthrough 。

=====================

另一个是后缀，如果是无状态，设备这边会根据前缀加上 mac 插入 fffe 变成一个完整的 ipv6 地址，如果是有状态，就是短地址。

=====================

但无论如何分配，路由都是一个门啊，就是协议上是 IPV6，链路上还是通过

AWS--》 internet--》光猫---》路由的 WAN 口---》路由的 LAN---PC

这样进来的，所以还是需要配置路由防火墙的（ WAN 口准入），默认情况下，开启的 IPV6 防火墙，任何外网，就是通过 WAN 口入的，比如 AWS 对 PC 的访问都会被丢弃的。如果需要从外网访问 PC，需要在路由开启防火墙放行，如果是固定地址，就写固定的地址，如果是变动的前缀，就写 pc 的后缀加掩码，比如 pc 是 2408:1111::1234,开放 3389 端口，防火墙那边就需要开放 ::1234/::ffff 的 3389 端口。在 ip6tables 里看就是从 WAN 口监听访问::1234:3389 的包，转发到::1234:3389

你要知道数据流的方向。路由禁止 WAN 口的 PING 包，LAN 中的公网 ipv6 的 PC 一样 ping 不到的。

反过来连出创建的连接无影响，比如 PC--》路由的 LAN--》路由的 WAN 口---》光猫---》 internet--》 AWS


所以应该理一理思路，你要做什么事情？是像让远程的 AWS HTTP 服务器，而把资源放在 IPV6 公网的本地，用户访问 HTTP 时，AWS 反向代理，IPV6 接入本地，拉取资源？

还是，本地通过 ipv6 去访问 AWS 服务器，而不是通过 IPV4 去访问。

如果是 2xxx 开头一类地址，路由网关的防火墙 ipv6，或者 ip6tables，设置下转发和开放端口，外网就能直接访问到那个设备。

唯一本地地址 unique local addresses （ ULA ）才是 IPV6 真正的“私网”地址，一般 DD00::/80 开头

全局单播地址 global unicast addresses （ GUA ）就是所谓的公网 IPV6 地址，国内常见的 2409：2408：240e，还有隧道类的 2001：一类。

本地链路地址 link-local addresses 常见就是 fe80:: 开头。

本地链路和唯一本地地址，只能在局域网交流。要出去，ULA 才能 NAT，fe80 就算 NAT 了，对面接受的路由也会把包丢掉。

@yangyaofei 亲，先去了解下 IPV6 的地址分类，至少 2xxx 开头的都是全球唯一地址了，也就是所谓的“公网 IPV6 地址”了，不是 NAT 的地址。

IPV6 地址目前三大运营商的公网是：

电信：240e
联通：2408
移动：2409

路由 PD 下发就是路由器拨号得到一个 2408:8206::/60 或者 2408:8206::/56 一类，让路由自己分配子网，下面的设备比如你的 PC 就是 2408:8207::11 这样，这个就是独立的公网 ip 。


so，真正的 NAT，或者说 NAT6 是这样的：


协议: DHCPv6 客户端
地址: dd08:1111:2222::abcd:1234:efgh:5678/64 《--PC 获取的 ULA 本地链路地址
网关: fe80::1111:2222:3333:4444 《--路由器 WAN 口的本地链路地址
DNS 1: dd08:1111:2222::1 《--路由器 LAN 口的地址

所以实际上你已经是 ipv6 公网地址去访问 AWS 服务器了。至于为什么，上面回复说了，WIN 下默认策略会优先用 ipv6 去连接双栈服务器，所以 AWS 显示你的 PC 的“本地地址”并不奇怪。

所以，你问的问题实际上是不存在。

若要只想用 ipv6 直连双栈服务器，本地屏蔽掉服务器那边的 ipv4 地址，只 host ipv6 的地址解析。

@v2tudnew 没看懂回复。没有说单栈访问慢。

你是双栈的 pc，win10 一类默认是 dns 找网址的 a 和 aaaa 记录，如果都返回，连接策略优先用 aaaa 记录连接，如果 dns 网址只有 a 记录返回，当然只会用 ipv4 去连接。

比如：

Server: 127.0.0.1
Address: 127.0.0.1#53

Name: openwrt.org
Address 1: 139.59.209.225
Address 2: 2a03:b0c0:3:d0::1af1:1

又比如

Server: 127.0.0.1
Address: 127.0.0.1#53

Name: www.baidu.com
www.baidu.com canonical name = www.a.shifen.com
Name: www.a.shifen.com
Address 1: 14.215.177.38
Address 2: 14.215.177.39
www.baidu.com canonical name = www.a.shifen.



https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/networking/configure-ipv6-in-windows

注册表的键值不就是这个

服务器是双栈，要都是只能 ipv6 接入，返回 aaaa 和 a 记录，pc 这边也是双栈，是用 ipv4 连，也会用 ipv6 连接，netstat 看下不就知道了。

有的地区 ipv6 的路由很烂，会绕路，优先用 aaaa 去访问网站就会变慢。所以在这样的双栈共存期，必然会存在这样的问题。

当然，有 CDN 的除外。

@yangyaofei 网件的 ipv6 确实基本残废，有的省份配置对，在 ipv6 设置那个，选 pppoe 和 ipv4 同账号，下面不是选 6-4，选自动配置就是 pd 下发的。

呃，另外并没有看懂。本地地址。

另外的曲线救国方式，就剩下 SSH -L/-R 这样代理访问了。

aws 双栈的情况，然后你这边网络也是双栈的情况，win 系统或者其他系统，会调度，可以是访问 AAAA，也可访问 A 记录，默认情况，有 ipv6 的 ULA 地址和全球单播地址，会优先使用 ipv6 去连接服务器，除非服务器是单栈。否则两个都是随机的，比如 openwrt.org 是双栈的，查询 dns 时会返回 AAAA 和 A 记录 2 个地址，浏览器去浏览的时候，看系统调度，可能连的是 ipv6，也可能是 v4 。

如果你指定要 ipv6 去连接的话，就得掐死 v4 的连接。所以就算你 pc 获得了公网 ipv6，也不是都会用 ipv6 去连接服务器的。

这个也就是为什么现阶段，开了 ipv6 访问反而变慢的原因，系统默认先走 ipv6，但遇到没有双栈，或者 ipv6 线路由差的情况，再回到 v4 访问，感官上就慢了。

如果是单线路的，只能 ipv6 访问的，ipv4 要登录访问的那种，你只有 ipv4 出的压根就上不去的。上去了就是路由做了 6-4 了。两个网本来就一个长江和黄河，两条路都不在一个道上的。那些转换的都是打洞中转的，用双栈的服务器，比如路由，双栈的 vps 。

@yangyaofei socat 不是“nat”，应该说是代理，socat 是可以跨 v4 和 v6 转发的。

比如外连入内，IPV6 的 wan 到 IPV4 的 LAN，WAN_IP 2409:1234:abcd::5678，LAN_IP 10.10.10.3，内网设备的端口是 3389，WAN 口开放 IPV6 的接入端口 3390，走 TCP 流量，那 socat 就是：

socat TCP6-LISTEN:3390,reuseaddr,fork TCP4:10.10.10.3:3389

反过来也一样。监听本地网关（路由 LAN_IP ）比如 10.10.10.1，端口 1234，数据转发到通过 WAN 的出去的外网的 IPV6 服务器 2001:1111:2::3 的 22 端口，就是

socat TCP4-LISTEN:1234,reuseaddr,fork TCP6:[2001:1111:2::3]:22

那么 ssh -p 1234 [email protected] 就等于 ssh -p 22 root@[2001:1111:2::3] 了。

不过 socat 很大问题是单个端口转发，不过可以脚本多条命令建立多个端口。监听也可以限定那个地址监听，比如 wan 的 IP 或者 LAN 的 IP 。

性能是有损失的。不过 4 转 6 这样的方便。普通应用，比如 ssh，web 页面，还有远程桌面，都没什么大问题。

问题是，网件一般不会有 socat 这类的。换个路由，带 PD 下发的不就好了，估计是很早前的路由器了，16-17 年的基本都是支持 IPV6 下发的才对。有本地链路 FE80 那些就没有什么意义，那些包都出不了 WAN 口。

@INTEL2333

这个对于楼主来说不是更复杂了，RADAD 这类守护程序，能在路由器安装运行，来自动分配全球单播地址，那路由器也能安装 NAT6，也能 passthrough 了。

若作为单独 server 安装，全内网分配单播地址，或者 ULA 地址让本地设备可以本地路由，网关没有啊。

哪怕楼主拨号是得到了不变动的单播前缀，用 RADVD 自动派发无状态，设备都有了单播地址，路由到网关呢？

网关 LAN 这边只有 ipv4，这个东西就好像 ASUS 的路由一样，web 只监听了 ipv4，路由是支持 ipv6 的，哪怕是 ULA 唯一本地地址访问路由，也打不开设置的 web 网页。

网络边界网关到内网这个没双栈的问题啊。