V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
oblivion
V2EX  ›  宽带症候群

运营商改造为 IPoE 的优势与劣势以及 IPv6 的安全性问题

  •  6
     
  •   oblivion · 2022-08-27 10:39:51 +08:00 · 20463 次点击
    这是一个创建于 821 天前的主题,其中的信息可能已经有所发展或是发生改变。
    很高兴能这么快看到三家运营商共同在 IPoE 改造方向上的进展,

    相关贴
    江苏电信: /t/875362
    江苏联通: /t/875742
    浙江移动: /t/875467

    PPPoE 什么时候被淘汰: /t/859349
    运营商架构改变: /t/802962

    在各个回帖中,都对 IPoE 的优势劣势意见不一,
    看下来大概的讨论方向

    认为优势的
    1.IPoE 性能更好,真正原生以太网性能,对运营商对用户都可以降低成本,不再需要为 PPPoE 的低性能买单,跑高带宽不再需要投入更好的硬件,软路由也不需要很高配置,任意硬件都可以双向满速传输。
    2.IPoE 不存在 MTU 问题。
    3.IPoE 目前三家都是静态分配地址和 prefix ,DDNS 需求或许可以降低?

    认为劣势的:
    1.运营商加料,让协议不通用。
    2.都习惯了 PPPoE ,老设备改造很麻烦。
    3.担心丢失公网 IP 。
    4.担心运营商限制桥接。
    5.影响自己跑 PCDN 。

    另外改造 IPv6 的安全性问题,
    目前看到电信和联通是光猫默认阻断入站连接,
    移动是默认开放全部连接,直接裸奔
    在这个默认配置上的争议也很大,有人需要放通,为此不惜折腾桥接,有人要阻断,要安全,
    而且目前很多人都是直接关闭光猫的阻断或者桥接,并且没有配置任何终端防护措施。

    相关贴:
    /t/875719
    /t/875489
    /t/875570
    /t/875608


    问题:
    1.运营商选择 IPoE 的路线正确吗,这个是未来趋势吗,以及为什么运营商会选择在这个时间改造呢?
    2.仅仅是区域性改造,还是有计划全国都要改造呢?
    3.IPoE 静态分配地址后是否会产生安全性相关的问题,比如内网设备全部裸奔的情况,是选择运营商在网关默认阻断呢还是选择用户自己为每个设备配置防火墙呢?
    第 1 条附言  ·  2022-08-27 20:36:22 +08:00
    好了,此贴终结,不讨论了,
    好好一个讨论 IPoE 的帖子被歪成讨论真假公网 IP 了,不知你们是对 IPoE 有什么误解。
    也不知是哪个地方让如此多的人在群里被歪曲理解成改造了 IPoE 就没有公网 IP 了,就没有自由了。

    IPoE 与 PPPoE 一样都是互联网接入认证 AAA 系统的一个环节,IPoE 改造与否都不会影响你们公网 IP 的分配,
    希望不要将 IPoE 视为魔鬼,我们不应当阻止运营商的发展,应当安心接受现实。

    犹如 PPPoE 一样,既能分配公网地址,也能分配私网地址,分配公网地址与否与你们当地运营商有关,与技术无关。
    IPoE 认证也一样,既能分配公网地址,也能分配私网地址,分配公网地址与否与你们当地运营商有关,与技术无关。

    并不是说原来有公网 IP 的改造为 IPoE 就没有公网 IP 了,原来私网 IP 的改造为 IPoE 就有公网 IP 了,完全无关。

    而且目前所有的光猫,只要是千兆以上接口的,在 IPoE 接入场景下不会存在任何性能问题,不会像 PPPoE 一样需要硬件加速或者需要占用很高的 CPU 资源。

    真假公网 IP 也没有必要讨论,既然运营商选了这项技术,那你们也没有办法阻止,安心接受吧。


    为了防止谣言满天飞,特意联系三个运营商的相关帖子的宽带主人做了以下测试:


    目前三地改造只针对部分地区宽带新装用户,老用户暂无群友反馈被改造。

    江苏电信改造 IPoE 后:IPv4/IPv6 原生公网直接 DHCP 分配到光猫,Prefix 长度 /56 ,IPv4/IPv6 除了 80 ,123 ,139 ,443 ,445 等常见不开放端口外,其他端口全部正常开放,公网可连通( IPv6 需要联系后台开放),NAT1 、Fullcone ,IPv4/IPv6 均支持 MTU 1500 ,IPv4 最大连接数可正常跑出 10 万以上。

    江苏联通改造 IPoE+4in6 后:IPv6 原生公网直接 DHCP 分配到光猫,IPv4 采用 4in6 接入,Prefix 长度 /60 ,IPv4 采用 1:1 NAT 方式分配给 4in6 接口地址,除了 80 ,123 ,139 ,443 ,445 等常见不开放端口外,其他端口全部正常开放,公网可连通,NAT1 、Fullcone ,IPv4/IPv6 均支持 MTU 1500 (其中 IPv6 到 AFTR 网关 MTU 2048 )。IPv6 端口除上述常见不开放端口外,全部正常开放,入站连接正常。IPv4 最大连接数可正常跑出 10 万以上。

    浙江移动改造 IPoE+4in6 后:IPv6 原生公网直接 DHCP 分配到光猫,IPv4 采用 4in6 接入,Prefix 长度 /60 ,IPv4 采用 CGNAT 方式分配给 4in6 接口地址,IPv4 所有端口均不开放。NAT1 、Fullcone ,IPv4 MTU 1480 ,IPV6 MTU 1500 。IPv6 端口除上述常见不开放端口外,全部正常开放,入站连接正常。IPv4 最大连接数最大只能同时保持 6000 左右。
    102 条回复    2022-08-30 14:13:04 +08:00
    1  2  
    lockdona
        1
    lockdona  
       2022-08-27 10:57:01 +08:00
    我的感觉,现在很多 pon 专线就是基于 IPoE 认证的,某种意义上安全性更高,MTU 的问题的确是解决了,桥接问题不存在吧? PCDN 可能会被精准控制,毕竟运营商能掌控的信息更多了,IPV6 的安全问题有可能在上层设备得到解决
    icegaze
        2
    icegaze  
       2022-08-27 11:01:38 +08:00 via Android
    IPOE 还是 pppoe 用户一般没有感知的。

    安全性 pppoe 略好有限。但其实安全不安全,运营商很容易搞定的,CGNAT 的时候不给入站新建连接就行了,用户毫无操控能力。

    现在运营商大干快上 NAT4444 ,复用率达到 12-14 左右,所以用户 ip4 公网地址的申请难度大大降低。

    接入层的形式革新,不大会影响全面的感受,因为木桶原理,各个环节上的短板决定了整体感受。
    heiher
        3
    heiher  
       2022-08-27 11:10:55 +08:00
    公网 IPv4 、IPv6 和入站放通对我来说是刚需,4in6 tunnel 公网 IPv4 就 gg 了吧
    jngke931126
        4
    jngke931126  
       2022-08-27 11:16:02 +08:00
    @icegaze "复用率达到 12-14 左右" 是指每 12-14 个用户使用一个公网 IP 嘛
    icegaze
        5
    icegaze  
       2022-08-27 11:21:40 +08:00 via Android
    @jngke931126

    是的,好的时候几个人共用,差的时候最多同时间有 14 个用户复用同一个公网 ip ,然而你自己路由器上还显示你获得的是这个公网 ip……^_^
    Marionic0723
        6
    Marionic0723  
       2022-08-27 11:25:34 +08:00 via Android
    @icegaze 那可不一定,运营商把公网卖给云服务商多香,给普通客户还要防着他们搭建个什么“违规”服务啥的。
    jngke931126
        7
    jngke931126  
       2022-08-27 11:38:36 +08:00
    @icegaze #4 难道路由器通过 PPPoE 拨号获得是是这个十几个人共用的公网 IP? 不太可能吧
    icegaze
        8
    icegaze  
       2022-08-27 11:42:42 +08:00 via Android
    @jngke931126
    是这样的,,,这十几号用户都认为此时自己获得了 1.2.3.4 的 ip 地址,且他们搜一下自己的地址,确实如此…

    技术原理查一下 NAT4444
    skies457
        9
    skies457  
       2022-08-27 11:43:24 +08:00 via iPhone
    是移动会有人联系上门改 IPoE 吗?
    icegaze
        10
    icegaze  
       2022-08-27 11:43:27 +08:00 via Android
    @Marionic0723 主要是为降低投诉量而已…
    lns103
        11
    lns103  
       2022-08-27 11:45:40 +08:00 via Android
    @icegaze 都分配一个公网 IP 不会出现端口冲突吗?
    如果运营商重映射端口那与 CGNat 又有什么区别?
    dxgfalcongbit
        12
    dxgfalcongbit  
       2022-08-27 11:46:06 +08:00 via Android
    思路是当前方案能用就不要乱动,怕出新 bug…
    icegaze
        13
    icegaze  
       2022-08-27 11:50:06 +08:00 via Android
    @lns103 不会端口冲突的,因为根本就禁止从互联网访问用户的 ip ,,所有连接都是从用户侧发出的…
    dem0ns
        14
    dem0ns  
       2022-08-27 11:52:14 +08:00   ❤️ 1
    早该砍掉 pppoe 。ODN 中已经有 vlan 封装,然后宽带拨号又封装一层 pppoe ,叠 buff 呢
    icegaze
        15
    icegaze  
       2022-08-27 11:59:27 +08:00 via Android
    @lns103
    传统的 CGNAT ,用户进入 BRAS 时获得 10....的内网地址,在 CR 出去的时候 NAPT 一下变成公网地址,,,
    新一代的 NAT4444 的方案里,在 BRAS 之前给用户公网地址,在 BRAS 之后转化为 10....的内网地址,在 CR 出去到互联网的时候再 NAPT 变成公网地址,,,这样,出去的端口,和用户路由器上的端口,肯定是不一样了,所以才有可能十多个用户同时复用一个 ip (但显然最多连接数也会从 6 万多减少到 6 千多)
    hzdrro
        16
    hzdrro  
       2022-08-27 12:01:45 +08:00
    ds-lite 同样有 MTU 的问题啊,40 字节不比 pppoe 的 8 字节还多
    onion83
        17
    onion83  
       2022-08-27 12:03:51 +08:00 via iPhone
    关于楼上说的 nat4444 技术原理
    jngke931126
        18
    jngke931126  
       2022-08-27 12:04:48 +08:00   ❤️ 1
    @icegaze #13 这个真神奇啊。
    但还是有 SNAT 吧, 不然两个用户用相同的本地端口和协议对外发起连接的时候回来数据无法区分了。
    onion83
        19
    onion83  
       2022-08-27 12:06:38 +08:00 via iPhone   ❤️ 8
    icegaze
        20
    icegaze  
       2022-08-27 12:07:54 +08:00 via Android
    @jngke931126
    刚查了一下资料,
    最西面那个省份的电信,NAT4444 已经做到 30 用户共用一个 ip 了,可怜的用户每个人只能最多用 2000 个连接了…
    icegaze
        21
    icegaze  
       2022-08-27 12:10:28 +08:00 via Android
    @jngke931126

    它经历了两次 NAT 转化,
    公网到内网,再内网到公网,
    所以叫做 NAT4444 (日本称为 NAT444 ,一个意思)

    原理参见 19 口大胸弟提供的 PPT 图片
    jngke931126
        22
    jngke931126  
       2022-08-27 12:18:13 +08:00
    @icegaze #21 真是没事找事的毫无正面价值的发明
    #19 提到这个东西利用了 PPPoE 的特性, 转到 IPoE 后这种假公网会现出原形嘛
    lns103
        23
    lns103  
       2022-08-27 12:48:21 +08:00 via Android
    @icegaze 所以这个假公网就是骗不懂的人的,实际体验和 fullcone 的 CGNAT 没有区别吧,都不能开放端口到公网,但是可以通过 UDP 进行 p2p 连接,bt 下载连接到 DHT 节点之后也会有 UDP 传入连接
    cwbsw
        24
    cwbsw  
       2022-08-27 13:00:18 +08:00 via iPhone
    有这么多人去杠公网 IP 吗,值得电信出这种招。
    电信宁愿出这种招也不给,公网 IP 真有这么缺?
    Marionic0723
        25
    Marionic0723  
       2022-08-27 13:26:01 +08:00 via Android
    @onion83 还有假公网,那这种怎么看破呢?低位和高位端口各开一个服务,看看流量能否访问?用路由跟踪看看出去前是不是有奇怪的丢包?
    我之前用内网的时候,NAT 类型也是 A ,虽然进出端口还不一样。
    fhbyljj
        26
    fhbyljj  
       2022-08-27 13:27:34 +08:00 via Android   ❤️ 2
    @onion83 非专业人士要求使用公网 IP ,罪魁祸首就是那些傻 X 短视频或者 UP 主

    天天在哪儿说申请公网 IP 提高网速,揪着那不到两位数的 ping 在哪里扯蛋
    fhbyljj
        27
    fhbyljj  
       2022-08-27 13:30:57 +08:00 via Android
    @cwbsw 因为有短视频或者 UP 主天天跟小白说申请公网 IP 提高网速
    fhbyljj
        28
    fhbyljj  
       2022-08-27 13:58:41 +08:00 via Android
    @Marionic0723 同问,这种 NAT4444 怎么分辨???
    wuosuper
        29
    wuosuper  
       2022-08-27 14:07:04 +08:00 via Android
    @icegaze @jngke931126 @lns103 @Marionic0723 @fhbyljj 这种假公网无法分辨,即使是 10 人共享同一个公网,所有端口除了不该通的其他端口全通,出去的端口不会重映射,这个是某厂的专利,CGNAT 可以将同一个端口复用给最多 30 个用户,七元组 NAT ,连接数也不限制,每个用户连接数可以到 200 万左右,只有 10 个人同时开放同一个端口的情况才会冲突。开放端口的情况,访问这个假公网,网关会采用广播的方式把 syn ack 同时发送给共享这个 IP 的用户。
    wuosuper
        30
    wuosuper  
       2022-08-27 14:11:43 +08:00 via Android
    @hzdrro @heiher 目前联通的话公网无影响,ipv4 是 1:1 nat 除了不能直接分配到设备没什么问题。另外 mtu 但话,联通给 ipoe 用户开了 jumbo frame ,到 ds-lite 网关是 2048 的 MTU ,ipv4 可以保障是 1500 MTU 出去,并且 ipv4 实测 ping baidu 、114 都支持 1500 MTU
    acbot
        31
    acbot  
       2022-08-27 14:16:38 +08:00
    @icegaze 共享 IP 我觉得不难,我很好奇如果这些共享用户如果都向公网开放了同一个端口,整个技术是如何处理的? 有相应的技术文章可以参考吗?
    465456
        32
    465456  
       2022-08-27 14:17:34 +08:00
    IPoE 的优势大于劣势,优势:速度更快,劣势:现在不知道怎样桥接。安全性:不用运营商的光猫更安全,路由器改为开源的 OpenWrt
    acbot
        33
    acbot  
       2022-08-27 14:18:37 +08:00
    认为劣势的:
    1.运营商加料,让协议不通用。

    这个就是最糟糕的地方,那岂不是以后就全是定制版设备,也不知道他们这样搞意义在哪里?
    cloudsigma2022
        34
    cloudsigma2022  
       2022-08-27 14:24:30 +08:00
    我想问 ipv6 入站问题。

    光猫下挂设备 ,如 路由器,获取的 ipv6 ,如果在路由器上开 22 端口。在 外部,如 vps 上能不能 telnet 这个 ipv6 的 22 端?
    acbot
        35
    acbot  
       2022-08-27 14:26:06 +08:00
    @465456

    认为劣势的:
    1.运营商加料,让协议不通用。

    这个就是问题了,如果都采用标准协议 PPPOE 还是 IPOE 都无所谓
    lns103
        36
    lns103  
       2022-08-27 14:29:46 +08:00
    @wuosuper 这么说,如果两个共享 IP 的人在同一个端口开了不同服务,是都可以用没有问题的?
    另外,我学校的电信宽带公网 IP 从上学期某天起就无法从公网 TCP 入站,只能 UDP 入站,但是学校内网可以正常通过 TCP 入站,追踪路由发现没有走到公网,TCP 入站的对端 IP 也是学校内网 IP ,起初我觉得是防火墙改了,现在想是不是遇到了这种假公网?
    wuosuper
        37
    wuosuper  
       2022-08-27 14:34:12 +08:00 via Android
    @acbot 突出自 /主 /可 /控嘛,具体内容搜索下“中兴通讯有线网络 IPv6 技术白皮书”,看 1.3.2 内容。
    acbot
        38
    acbot  
       2022-08-27 14:39:59 +08:00
    @wuosuper 内外有别可以理解但问题是三大都是自家的啊 为何还要搞不同的标准?这个应该搞国标才对吧 第三方也好跟进不是吗
    cloudsigma2022
        39
    cloudsigma2022  
       2022-08-27 14:40:34 +08:00
    @onion83 #19

    同一个 ip ,用不同的端口区分服务,请问,如果是同一端口,如何区分服务?

    这张图,就是为了减少投诉,而私自搞的,不符合标准的架构图,其实跟大局域网没啥区别。

    比如用户 1 在 ip1.2.3.4 上了一个 kms 1688 的端口,
    用户 2 也在这个 IP 上开了一个 vps 1688 的端口。端口相同,服务不同。

    对于访问者而言,我的数据包是直接访问 1.2.3.4:1688 ,作为这个架构,你是如何把访问者的数据包发送给准确的服务?

    根本不合逻辑!
    cloudsigma2022
        40
    cloudsigma2022  
       2022-08-27 14:44:00 +08:00
    共享只能共享出去的链路,不能共享进来的链路。

    共享出去的,跟之前的大局域网一样。只是,每个人显示的 ip 跟 pppoe 拨号所得的 ip 相同。

    无法在这个 ip 上开任何服务。因为不能共享进来的链路。
    acbot
        41
    acbot  
       2022-08-27 14:48:06 +08:00
    @lns103
    @cloudsigma2022

    看来我们都有着同样的疑问。 在操作系统层面多个服务其实可以共享端口就是不知道这个技术是如何共享端口的!
    wuosuper
        42
    wuosuper  
       2022-08-27 15:07:53 +08:00 via Android
    @acbot @cloudsigma2022 @lns103 这套架构在浙江已经上线了两年之久了,如果不是有人把这张图发出来,不会有人感觉的到自己是假的 IP ,入向连接也可以正常共享没有问题这是某厂的专利,文档中提到了你们所疑惑的情况,比如 10 个用户在共享 1.2.3.4 ,你访问 1.2.3.4:1688 ,实际网关是会在这 10 个用户中广播*:1688 的端口请求包,以 10 个用户中第一个响应的用户作为目标建立 DSTNAT ,两个以上用户同时开放端口文档中也提到了会有问题,另外用户也可以在光猫中配置端口映射,光猫会采用 PCP 协议通知网关预占端口。况且有公网 IP 的用户开端口袋需求是少之又少,开到同一个端口的情况更是少之又少,即便冲突了重新拨号换另一个共享 IP 再次冲突的可能性更是少之又少。所以既然运营商选了这套模式,厂商也可以去申请专利,就不要质疑它的合理性以及合不合逻辑了,更大的概率是你没想通,非标架构一定会在某些地方投机取巧,只是自己完全想不通而已。
    wuosuper
        43
    wuosuper  
       2022-08-27 15:10:23 +08:00 via Android
    另外这贴是讨论 IPoE 的,我作为发联通贴的也很想在这里讨论,希望还是不要讨论假公网 IP 了,完全可以作为新话题新开一贴讨论。
    terrancesiu
        44
    terrancesiu  
       2022-08-27 15:18:08 +08:00 via iPhone
    上面说十几个家庭共享一个 v4 舒服,我们湖南联通,每户 1024 个连接数,64 个家庭共享一个公网 v4 。
    cloudsigma2022
        45
    cloudsigma2022  
       2022-08-27 15:19:59 +08:00   ❤️ 1
    @wuosuper #42 整天瞎 jb 自己乱搞,搞小聪明,就这还专利?还想重塑互联网体系,还想搞国际标准?
    cloudsigma2022
        46
    cloudsigma2022  
       2022-08-27 15:22:18 +08:00
    @acbot 问题是网络架构是三层的,不存在 7 层应用层,到了应用层,有 n 种解决办法。除非他是软件定义网络。
    acbot
        47
    acbot  
       2022-08-27 15:25:32 +08:00
    @cloudsigma2022 对嘛,所以我也有同样的疑问!
    lovelylain
        48
    lovelylain  
       2022-08-27 15:28:08 +08:00 via Android
    @onion83 666 ,这个假公网相比没有公网 ip
    的有缺点吗?
    s1e42NxZVE484pwH
        49
    s1e42NxZVE484pwH  
       2022-08-27 16:14:13 +08:00 via iPhone
    @icegaze 这样以来,家里搭建的云服务就彻底 g 了啊
    jujusama
        50
    jujusama  
       2022-08-27 16:20:38 +08:00
    不能桥接就不能多拨咯!
    wuosuper
        51
    wuosuper  
       2022-08-27 17:19:05 +08:00 via Android
    @zayia @acbot @cloudsigma2022 @icegaze
    不论原理如何,但事实上就是浙江现在已有的假公网用户,开放的服务 https/anyconnect/ssh/rdp 都可以正常被访问,bt/pt 公网连接不受影响,nat 类型也不受影响,都与真正的公网一致,唯一能发现是假公网的破绽是自己拨号已经掉了,但是 ping 上一个公网 IP 依然是通的,但后期其他地区运营商在部署时已经默认禁止 ping 了
    acbot
        52
    acbot  
       2022-08-27 17:31:27 +08:00
    @wuosuper 破绽多,端口开放就是一个最大的破绽。 你说的禁止 ping 又是一个。
    cloudsigma2022
        53
    cloudsigma2022  
       2022-08-27 18:55:44 +08:00
    @wuosuper 用 工具扫下,就知道开了多少个端口。比对下,哪些不是自己的。就能发现是不是 fake public ip
    abuabu
        54
    abuabu  
       2022-08-27 19:44:49 +08:00
    我觉得这个技术有意思呀。不要执着于假这个词,回源本真,需要公网 ip 的作用不就是为了外网能够访问吗。

    一个公网 ip 可以复用多个端口,免得一个人只需要一个 8080 却导致六万多个端口浪费的情况。有些云主机限定你只能使用某个范围的端口是不是也用的这个技术呀?
    NXzCH8fP20468ML5
        55
    NXzCH8fP20468ML5  
       2022-08-27 20:34:46 +08:00
    我觉得想出 NAT4444 这个技术的人真牛逼!
    不过话说回来,不如大力推广 IPv6 ,争取 IPv4 退网。
    Marionic0723
        56
    Marionic0723  
       2022-08-27 20:35:18 +08:00
    @wuosuper
    @terrancesiu
    @cloudsigma2022
    @acbot
    @jobmailcn
    @abuabu
    @lns103
    @fhbyljj

    假公网 IP 的话题移步这里吧 https://www.v2ex.com/t/875867 楼主的贴子一开始是说 IPoE 的,咱们好像都偏题了。
    oblivion
        57
    oblivion  
    OP
       2022-08-27 20:38:24 +08:00
    @Marionic0723 #56 感谢,我也不知道怎么就歪楼了,正经的 IPoE 贴被歪成假公网,而且现在到处群里谣言满天飞,我也 Append 了一些说明。
    wwbfred
        58
    wwbfred  
       2022-08-27 20:39:39 +08:00
    NAT444 这样的公网 IP 是有安全隐患的。
    而且 UDP 怎么办? UDP 无连接,先别说开服务了,两个人打一个游戏,恰好用到同一个客户端口,直接凉凉。
    oblivion
        59
    oblivion  
    OP
       2022-08-27 20:42:12 +08:00
    @wwbfred
    @xxfye
    @abuabu
    @cloudsigma2022
    实际上本贴的 IPoE 与假公网无任何关联,
    莫名其妙就歪楼了,辛苦大家去另一帖讨论,谢谢 /t/875867
    NXzCH8fP20468ML5
        60
    NXzCH8fP20468ML5  
       2022-08-27 20:45:49 +08:00
    回归正题,IPoE 一个好处可能是一些软路由的 WAN 流量更快了吧。
    之前看见 LEAN 大在群里抱怨 PPPOE 包是加密的,无法利用 zero-copy 技术加快转发性能,导致 R68S WAN 和 LAN 难以跑满 2.5G 带宽,不知道后面解决了没有。
    Marionic0723
        61
    Marionic0723  
       2022-08-27 20:47:55 +08:00
    @oblivion 不过我也挺好奇 IPoE 到底是怎么把 v4 带过来的,看前面貌似说的底层协议都是纯 v6.类似于 he.net 的那种隧道吗?我那阿里云就没有 v6 地址,还得在家开 VPN 服务,专门做一个纯 ipv6 接口,下发 ipv6.客户端使用 v4 单栈连上家里的服务器,然后远程拿 v6 过去用。
    公网 IP 的分配和这个原理一样,只不过是运营商网关不做 NAT 了吧?
    我在哪里看的说有些公司把公网地址当内网用,那这些内网设备需要连公网,是否可以关闭 v4 的 NAT ?
    oblivion
        62
    oblivion  
    OP
       2022-08-27 20:49:10 +08:00
    @xxfye #60 是的,IPoE 首当其冲的优势就是对性能要求更低,仅仅是在 DHCP 过程中认证,认证通过后完全就是正常的三层性能,真正的原生以太网,不需要额外设计 PPPoE 硬件加速器,也不需要提升硬件配置加快 PPPoE 的性能,因为 PPPoE 大部分都是只吃单核性能的,也无法进行多核优化。而 IPoE 就简单了,完全可以节省出处理 PPPoE 的资源来处理其他任务,对硬件性能的需求也会降低。
    wwbfred
        63
    wwbfred  
       2022-08-27 20:51:19 +08:00
    @oblivion 歪了就歪了呗?比萨斜塔也没见给拆了啊。
    oblivion
        64
    oblivion  
    OP
       2022-08-27 20:52:13 +08:00
    @Marionic0723 #61 IPoE 其实就是 DHCP+认证,电信是直接正常 DHCP 分配 IPv4 和 IPv6 的,只不过移动和联通选了抛弃 IPv4 的方案,接入网只保留 IPv6 ,在家庭网关通过 4in6 隧道连接到一个统一的机房网关 NAT 出去。也就是对用户是透明无感知的,v4v6 都正常使用正常访问互联网。
    NXzCH8fP20468ML5
        65
    NXzCH8fP20468ML5  
       2022-08-27 21:01:32 +08:00
    @oblivion 其实影响真的不大,也就部分软路由爱好者开心了,
    实际上硬路由的 NPU 不仅包括 PPPoE ,还有一些 v4/v6 NAT ,wifi 加速,硬件加密等林林总总一大堆,多出一点点芯片面积做 PPPoE 加速成本也不大。
    cest
        66
    cest  
       2022-08-27 21:12:13 +08:00
    @xxfye #65 在乎的人不会用 stock firmware
    而各种加速没驱动没文档,跟没有一样
    很多加速也没用,複杂点就 fallback to cpu 了
    dreamage
        67
    dreamage  
       2022-08-27 21:54:40 +08:00
    NAT4444 牛,居然还能这样实现
    Damn
        68
    Damn  
       2022-08-27 23:20:02 +08:00
    @wuosuper #42 “况且有公网 IP 的用户开端口袋需求是少之又少,开到同一个端口的情况更是少之又少,即便冲突了重新拨号换另一个共享 IP 再次冲突的可能性更是少之又少。”
    感觉网络灵异事件突然间全都有解了。。。
    还带来了连接数骤降的 debuff 。。
    我好想说,想出这玩意的人烂腚眼啊。。
    jousca
        69
    jousca  
       2022-08-27 23:46:58 +08:00
    V 站一直以来流传的观点就是一定要路由器拨号,瞧不起光猫拨号……
    哈哈哈哈。

    认为光猫 NAT 效率低。 好的,运营商现在 NAT4444…… 你连提高效率的机会都没有了。
    Kowloon
        70
    Kowloon  
       2022-08-28 00:19:28 +08:00 via iPhone
    @fhbyljj
    还有把教人光猫扔垃圾桶的,都是些什么乱七八糟的?
    BloodBlade
        71
    BloodBlade  
       2022-08-28 00:31:53 +08:00
    有个问题想问下,担心 IPoE 丢失公网 IP 这一条,是因为 4in6 隧道技术所限无法分配公网 IP ,还是因为担心运营商会趁机收回?
    wuosuper
        72
    wuosuper  
       2022-08-28 00:59:59 +08:00 via Android   ❤️ 1
    @BloodBlade #71 两者都有,因为 4in6 限制接口地址只能是 192.0.0.2-192.0.0.6 ,所以不能直观的看到自己有没有公网 IP ,运营商具体要看配置方式。可以看下 op 的补充里面,有总结的三家运营商目前的情况。
    datou
        73
    datou  
       2022-08-28 01:59:10 +08:00
    @jousca 我是单纯因为 IPv6 防火墙的问题推荐用路由器拨号,还得是能够设置 IPv6 防火墙的路由器
    buddha
        74
    buddha  
       2022-08-28 08:56:02 +08:00
    @oblivion 请问一下 现在我的联通是光猫桥接 软路由 Openwrt pppoe 拨号 拿到的公网 ip 然后软路由上开 vpn 那软路由下面的设备都无需配置访问 google.
    如果以后改成了 IPoE 光猫无法桥接的话, 那上述这套还有效吗?
    Damn
        75
    Damn  
       2022-08-28 09:43:16 +08:00
    @jousca 自己控制网关可以做很多操作,比如 VPN ,跑一些脚本,自定义 DHCPv4/v6 ,屏蔽广告什么的,哪家的光猫也没可能开发 /开放这些功能。。我一直用的小水管,哪家的光猫性能都够用,但就是功能无法满足。。
    jousca
        76
    jousca  
       2022-08-28 09:55:25 +08:00
    @datou 我一直是光猫拨号(中移动家宽),路由器是 NETGEAR WNDR4700 ,也算老古董了。路由器支持 V6 透传。所以我客户机能拿到光猫分配的 V6 地址。 IPV4 NAT 是 FullCone 。所以移动最近给我换了最新的带审计的光猫之后,还是和以前一样,P2P 下载速度正常,IPV6 使用正常。

    @Damn 光猫可以自定义 DHCP V6 ,我目前就是光猫上设置的 V6 DHCP 范围。我 PC 能长期固定分配使用一个 V6 地址。
    Damn
        77
    Damn  
       2022-08-28 10:03:06 +08:00
    @jousca 并不能实现个性化的配置,比如只给某(几)个设备分配 v6 ,或者根据 mac 地址或者 arch 分配不同的 dhcp option ,也就无法实现不同的设备不同的 dns 或网关,和网络启动。。
    我目前的路由器上就跑了 VPN ,自己写的签到脚本,自己的设备通过 dhcp option 指向不同的 dns 屏蔽广告,手机同时指向不同网关实现富强,与家人的分开,家人的设备稳定优先。还有一个设备通过网络启动,这些都不是光猫能实现的。。
    Damn
        78
    Damn  
       2022-08-28 10:04:23 +08:00
    @jousca 光猫做路由,只能说是勉强实现了部分功能,远远达不到可用的地步。。
    jousca
        79
    jousca  
       2022-08-28 10:08:48 +08:00
    @Damn 我主路由 NETGEAR WNDR4700 ,光猫主要是配合运营商上端 BRAS 功能,比如话音功能,IPTV 功能。除非你弄个家宽只是上网,而且还是低速率的。

    现在很多地方运营商 1000M 和 2000M 的家宽都必须光猫拨号才能达到速率。自己拨号会限制在 300M 。 未来会逐步收紧接入方式。建议你早点做打算。
    baobao1270
        80
    baobao1270  
       2022-08-28 10:11:07 +08:00
    新技术应用固然是好的,但是要看对谁有利、对谁有害。

    感觉这东西其实有点像 AT&T 的 802.11x 认证,无论使用标准 IPoE 还是私有的,大方向是运营商收紧对设备控制,即“设备的控制权在运营商(光猫)”而不是“用户处”了。
    jousca
        81
    jousca  
       2022-08-28 10:11:54 +08:00
    @Damn 还有就是,家宽面向广大对网络不了解到客户,运营商减轻运维压力,会把功能进行全部集中控制,这也是运维现状。 不支持家宽自己折腾。

    就拿中移动来说,商用专线 298 元 200M 的,拨号都免了,直接给你一个固定 V4 地址,路由器直接配在 WAN 口就可以上网。你折腾家宽还不如直接换线路。
    Damn
        82
    Damn  
       2022-08-28 10:37:50 +08:00
    @jousca 但是要营业知道的啊。。
    Damn
        83
    Damn  
       2022-08-28 10:38:09 +08:00
    @jousca 但是要营业执照的啊。。
    Archeb
        84
    Archeb  
       2022-08-28 11:16:05 +08:00
    “也不知是哪个地方让如此多的人在群里被歪曲理解成改造了 IPoE 就没有公网 IP 了,就没有自由了。”

    当然是某个脑补的投稿者+不验证来源随便发表的 telegram“科技”频道
    acbot
        85
    acbot  
       2022-08-28 11:50:38 +08:00
    @abuabu "...需要公网 ip 的作用不就是为了外网能够访问吗。..." 在 NAT1 的基础上限定一下每个用户 NAT 端口范围就可以了,何必搞他们这么复杂并且还没有真正解决问题(就是开放端口相同的情况),这才是让人疑惑的地方!
    bluaze
        86
    bluaze  
       2022-08-28 14:24:11 +08:00
    @Damn 搞个旁路由,关了光猫的 DHCP 不就好了
    BloodBlade
        87
    BloodBlade  
       2022-08-28 14:32:34 +08:00   ❤️ 1
    @wuosuper 多谢解答,也就是说楼主所举例中的 1:1NAT 可以像公网 IP 一样使用,只不过客户端没办法轻易辨认是这种 1:1NAT 还是传统的 NAT (像是后文的浙江移动),那么有没有什么好方法可以快速区分这两种情况呢?
    另外想吐槽这个 4in6 的地址数量也太少了,才 5 个。
    siyanmao
        88
    siyanmao  
       2022-08-28 14:47:16 +08:00
    现在的 IPoE 没有用户名 /密码之类的信息,仅靠物理设备的位置进行认证。这要求整个接入网络的管理要求非常严格准确,风险很大的。哪怕是 PON ,也会出现安装的时候实际可用的资源和系统记录的资源对不上这种情况,更别说以太网入户那种了。PPPoE 在接入时有用户名密码校验,位置和系统记录不匹配会被发现,IPoE 可能就没机会了。在中国这个对“落地查人”要求很高的场合,大量出现此类问题是不可接受的。这种情况下,运营商只能在自己的盒子里做非标行为来加强控制,不仅给后期维护带来了麻烦,用户的选择权也自然受到限制。
    回过头看看历史,PON 上运营商很多都选择了与物理设备无关的 LOID 认证,机卡和一的手机最终还是被淘汰了。早期的小区宽带都是 IPoE 的,最后也转向了 PPPoE 。
    所以我认为,IPoE 需要提供一种标准化的,与物理设备和位置无关的,包含用户标识和保密认证信息的认证方式,要不迟早被运营商玩坏。
    bibiisme
        89
    bibiisme  
       2022-08-28 15:06:43 +08:00
    @siyanmao 1 楼那个江苏电信 ipoe 有用户名+密码认证
    siyanmao
        90
    siyanmao  
       2022-08-28 15:31:35 +08:00
    @bibiisme 这不就是我说的在自己的盒子里做非标行为嘛。没看到具体的协议细节,但是看之前的描述,这个绝无进 RFC 的可能。也就 CTC 之类的大运营商能在设备商和客户两边强推。
    cwbsw
        91
    cwbsw  
       2022-08-28 16:21:43 +08:00
    @siyanmao
    另一个帖子里有人提了个方案我觉得挺好的。
    桥接模式下光猫作为 DHCP Relay ,收到下游 DHCP 请求后添加上认证信息再转发给上游。
    fan88
        92
    fan88  
       2022-08-28 16:33:18 +08:00
    我们从来不反对技术的进步与革新,但中国很多部门的行事风格,就是喜欢借着噱头夹带私货。

    PPPOE 改成 IPOE 是进步,这没什么好反对的,但一定有某些地区的某些运营商,会藉此收回公网 IP (包括但不限于改为内网 IP ,改为 NAT4444 等技术手段)或强迫用户使用光猫上网以达到监控用户终端信息的目的(用作商业或提供给 GOV 部门)。
    Marionic0723
        93
    Marionic0723  
       2022-08-28 21:39:07 +08:00 via Android
    @fan88 有可能会出现光猫里内置证书,国产手机也自带证书,来解密 HTTPS 流量的事情吗?
    Laitinlok
        94
    Laitinlok  
       2022-08-29 00:37:29 +08:00 via Android
    #20 @icegaze 都會沖突的, Source Public IP: Source Port -> Destination IP: Destination Port, 那個 Source Public IP: Source Port 有可能出現沖突而無法接收封包
    icegaze
        95
    icegaze  
       2022-08-29 08:05:48 +08:00 via Android
    @Laitinlok

    不会的,,,,

    在最后出去到互联网的那次 NAPT 的时候,
    会根据不同的内网 ip 地址给予不同的端口区间,

    所以即使是两个用户产生了完全一样的 ip 四元组,
    在运营商的 CGNAT 里也能区分,记忆,并保证回程数据能准确返回给用户。
    icegaze
        96
    icegaze  
       2022-08-29 08:08:18 +08:00 via Android
    @zayia

    是的呀,本来运营商也不想给你提供对外服务的能力,,,大家都用 DDNS 对外服务了,谁还买专线,买云服务器呢…
    icegaze
        97
    icegaze  
       2022-08-29 08:09:41 +08:00 via Android
    @lns103 就是为了降低投诉率的,实际上绝大多数的用户不懂的也都欣欣然接受了。
    icegaze
        98
    icegaze  
       2022-08-29 08:14:44 +08:00 via Android
    @jngke931126

    也不能完全是说没事儿找事儿吧,

    至少如中移动的宽带,,,一般用户没有公网 ip ,但每月加 20 元就可以有… 所以,你看,也算是创收了呢。

    这个是网络层的方案,
    和接入方式( IPOE 还是 pppoe ,固网还是手机,,)无关的,谁都可能碰到这种构架。
    leefor2020
        99
    leefor2020  
       2022-08-29 13:01:30 +08:00
    @icegaze 如果真的能有白纸黑字的协议,只加 20 就给公网 IP ,那也行啊
    但是目前有些运营商 /地区连这个渠道都没有
    ruruex
        100
    ruruex  
       2022-08-29 13:39:32 +08:00
    @icegaze NAT4444 的命名是怎么来的?不应该叫 NAT444 吗?日本用的是国际通用的说法啊。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1134 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 22:57 · PVG 06:57 · LAX 14:57 · JFK 17:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.