再说 OpenWRT 校园网 IPv6 NAT6

伤心的笔 · 发表于 2020-2-9 16:45

本帖最后由伤心的笔于 2023-10-9 11:06 编辑

注意：NAT6 只是给校园网用户用的，校园网的特点是：不支持 DHCPv6-PD，且设备都需要认证才能联网，满足这些条件才只能使用 NAT6。你的家庭宽带也支持 IPv6，但绝对不要用本贴的办法，只要光猫处于桥接模式，直接使用 OpenWRT 默认设置即可完美支持 IPv6。如果刷了潘多拉等默认不支持 IPv6 的固件，建议改刷老毛子梅林等。

本贴仅仅是给需要 NAT6 的人的参考。如果你不知道是否需要，那就是不需要。

恩山网友 @嘉哥转载过如何在 OpenWRT 下启用 NAT6，地址是 https://www.right.com.cn/forum/thread-198647-1-1.html
本贴是对该贴的修正，无需查看原帖

修正：在新版 OpenWRT 下，route 命令的输出结果发生了改变，原帖的nat脚本不再适合新 OpenWRT 系统，因此 NAT6 可能会因为路由表配置不够导致失败。
这次的步骤中，我对 NAT6 脚本做了修改，用 ip r 命令替换了 route 命令，以适应新版 OpenWRT，同时老版本 OpenWRT 应该依然可用。

注意：请确保你的 OpenWRT 依然是基于 iptables 这一套做的防火墙，如果是基于 nftables 的 OpenWRT 我没有研究过。（比如官方 OpenWRT 从 22.03 版本开始切换为 nftables，国内修改版一般不会跟进这个修改。）

第一步：执行命令

opkg update
opkg install ip6tables
opkg install kmod-ipt-nat6

复制代码

这一步是更新软件源并安装这两个软件包。有些第三方 OpenWRT （比如 X-WRT）自带，注意看提示。

第二步：执行命令

uci set network.globals.ula_prefix="$(uci get network.globals.ula_prefix | sed 's/^./d/')"
uci commit network

复制代码

这一步是将 IPv6 LAN 内网地址由 fd 开头变成 dd 开头。
家庭用户注意：你们宽带的 IPv6 LAN 内网地址不应该是 f 开头，应该是 2 开头，由 DHCPv6-PD 申请。如果不是，你的宽带的IPv6就配错了。内网 IPv6 是极特殊用途的。再次注意，此步骤不适用于家庭宽带，除非你家光猫处于路由模式且不支持 DHCPv6-PD且你无法修改光猫设置时才能使用此办法。

第三步：执行命令

uci set dhcp.lan.ra_default='1'
uci commit dhcp

复制代码

这一步是让DHCP服务器总是通告默认路由。

第四步：创建 /etc/init.d/nat6 文件，内容见最后。你可以选择使用 vi 命令复制粘贴，也可以用 WinSCP 软件把文件传进去。后者请注意文件的换行符必须是LF。

> /etc/init.d/nat6
vi /etc/init.d/nat6

复制代码

文件内容在帖子最底下

第五步：执行命令

chmod +x /etc/init.d/nat6
/etc/init.d/nat6 enable

复制代码

这一步是让 nat6 脚本开机启动。

第六步：执行命令

uci set firewall.@rule["$(uci show firewall | grep 'Allow-ICMPv6-Forward' | cut -d'[' -f2 | cut -d']' -f1)"].enabled='0'
uci commit firewall

复制代码

这一步是因为开启了 NAT6 后相关的 ICMP 转发已经没有意义了，所以不再允许这个防火墙条目。这个步骤可省略，不做也可以。

第七步：修改 /etc/sysctl.conf 文件，修改以下内容，没有的话就添加

net.ipv6.conf.default.forwarding=2
net.ipv6.conf.all.forwarding=2
net.ipv6.conf.default.accept_ra=2
net.ipv6.conf.all.accept_ra=2

复制代码

这一步必做。这一步是开启 IPv6 包转发功能。内核选项最好在 sysctl.conf 文件里改了，而不是看到 nat6 脚本里有了就不做了，否则可能失败。

第八步：重启路由器

第九步：如果由于某些原因重启后还是无法成功 NAT6，需要在 OpenWRT 防火墙规则页面添加一句话，参考这个回帖。

--------

修改后的 NAT6 文件内容如下。注意换行符必须是LF
注意，在更新的OpenWRT里（如OpenWRT 21），有一处地方又发生了变化
文件的 $(uci get "network.$WAN6_NAME.ifname") 可能需要改成 $(uci get "network.$WAN6_NAME.device") 才能生效
因此我进一步改了脚本改成了 $(uci get "network.$WAN6_NAME.device" || uci get "network.$WAN6_NAME.ifname")
或者你可以直接把 WAN6_INTERFACE=$(uci get "network.$WAN6_NAME.ifname") 替换为 WAN6_INTERFACE=wan，其中wan为WAN6对应的网络设备名

#!/bin/sh /etc/rc.common
# NAT6 init script for OpenWrt // Depends on package: kmod-ipt-nat6
# edited by Sad Pencil at 2020-02-09
# replace route command with ip command to solve issues on new OpenWRT
# edited by Sad Pencil at 2021-11-29
# update line WAN6_INTERFACE=$(uci get "network.$WAN6_NAME.device" || uci get "network.$WAN6_NAME.ifname")
START=55
# Options
# -------
# Use temporary addresses (IPv6 privacy extensions) for outgoing connections? Yes: 1 / No: 0
PRIVACY=1
# Maximum number of attempts before this script will stop in case no IPv6 route is available
# This limits the execution time of the IPv6 route lookup to (MAX_TRIES+1)*(MAX_TRIES/2) seconds. The default (15) equals 120 seconds.
MAX_TRIES=15
# An initial delay (in seconds) helps to avoid looking for the IPv6 network too early. Ideally, the first probe is successful.
# This would be the case if the time passed between the system log messages "Probing IPv6 route" and "Setting up NAT6" is 1 second.
DELAY=5
# Logical interface name of outbound IPv6 connection
# There should be no need to modify this, unless you changed the default network interface names
# Edit by Vincent: I never changed my default network interface names, but still I have to change the WAN6_NAME to "wan" instead of "wan6"
WAN6_NAME="wan6"
# ---------------------------------------------------
# Options end here - no need to change anything below
boot() {
[ $DELAY -gt 0 ] && sleep $DELAY
WAN6_INTERFACE=$(uci get "network.$WAN6_NAME.device" || uci get "network.$WAN6_NAME.ifname")
logger -t NAT6 "Probing IPv6 route"
PROBE=0
COUNT=1
while [ $PROBE -eq 0 ]
do
if [ $COUNT -gt $MAX_TRIES ]
then
logger -t NAT6 "Fatal error: No IPv6 route found (reached retry limit)" && exit 1
fi
sleep $COUNT
COUNT=$((COUNT+1))
PROBE=$(ip -6 route | grep -i '^default.*via' | grep -i -F "dev $WAN6_INTERFACE" | grep -i -o 'via.*' | wc -l)
done
logger -t NAT6 "Setting up NAT6"
if [ -z "$WAN6_INTERFACE" ] || [ ! -e "/sys/class/net/$WAN6_INTERFACE/" ] ; then
logger -t NAT6 "Fatal error: Lookup of $WAN6_NAME interface failed. Were the default interface names changed?" && exit 1
fi
WAN6_GATEWAY=$(ip -6 route | grep -i '^default.*via' | grep -i -F "dev $WAN6_INTERFACE" | grep -i -o 'via.*' | cut -d ' ' -f 2 | head -n 1)
if [ -z "$WAN6_GATEWAY" ] ; then
logger -t NAT6 "Fatal error: No IPv6 gateway for $WAN6_INTERFACE found" && exit 1
fi
LAN_ULA_PREFIX=$(uci get network.globals.ula_prefix)
if [ $(echo "$LAN_ULA_PREFIX" | grep -c -E "^([0-9a-fA-F]{4}):([0-9a-fA-F]{0,4}):") -ne 1 ] ; then
logger -t NAT6 "Fatal error: IPv6 ULA prefix $LAN_ULA_PREFIX seems invalid. Please verify that a prefix is set and valid." && exit 1
fi
ip6tables -t nat -I POSTROUTING -s "$LAN_ULA_PREFIX" -o "$WAN6_INTERFACE" -j MASQUERADE
if [ $? -eq 0 ] ; then
logger -t NAT6 "Added IPv6 masquerading rule to the firewall (Src: $LAN_ULA_PREFIX - Dst: $WAN6_INTERFACE)"
else
logger -t NAT6 "Fatal error: Failed to add IPv6 masquerading rule to the firewall (Src: $LAN_ULA_PREFIX - Dst: $WAN6_INTERFACE)" && exit 1
fi
ip -6 route add 2000::/3 via "$WAN6_GATEWAY" dev "$WAN6_INTERFACE"
if [ $? -eq 0 ] ; then
logger -t NAT6 "Added $WAN6_GATEWAY to routing table as gateway on $WAN6_INTERFACE for outgoing connections"
else
logger -t NAT6 "Error: Failed to add $WAN6_GATEWAY to routing table as gateway on $WAN6_INTERFACE for outgoing connections"
fi
if [ $PRIVACY -eq 1 ] ; then
echo 2 > "/proc/sys/net/ipv6/conf/$WAN6_INTERFACE/accept_ra"
if [ $? -eq 0 ] ; then
logger -t NAT6 "Accepting router advertisements on $WAN6_INTERFACE even if forwarding is enabled (required for temporary addresses)"
else
logger -t NAT6 "Error: Failed to change router advertisements accept policy on $WAN6_INTERFACE (required for temporary addresses)"
fi
echo 2 > "/proc/sys/net/ipv6/conf/$WAN6_INTERFACE/use_tempaddr"
if [ $? -eq 0 ] ; then
logger -t NAT6 "Using temporary addresses for outgoing connections on interface $WAN6_INTERFACE"
else
logger -t NAT6 "Error: Failed to enable temporary addresses for outgoing connections on interface $WAN6_INTERFACE"
fi
fi
exit 0
}

复制代码

请不要胡乱输入以及粘贴、复制等方式灌水

请尊重作者、并共同维护网站的正常阅读，否则账户将会被限制发帖、回帖，并且积分可能会被清零，站内短信以及阅读权限等都会受到影响，谢谢。具体限制方式：https://www.right.com.cn/forum/thread-8307840-1-1.html

伤心的笔 · 发表于 2020-7-20 12:21

本帖最后由伤心的笔于 2023-7-15 17:25 编辑

麓仁葭发表于 2020-7-20 09:30
ip a

ip r

这脚本里面最容易出问题的是
处理ipv6默认网关
你看那个脚本里有
WAN6_GATEWAY=$(ip -6 route | grep -i '^default.*via' | grep -i -F "dev $WAN6_INTERFACE" | grep -i -o 'via.*' | cut -d ' ' -f 2 | head -n 1)
这一行
你这边获取的是 fe80::200:ff:fe00:1
如果获取到了2001开头的默认路由，应该就没问题了
inet6 2001:250:4402:2001:2e15:e1ff:fe0e:2a82/128
根据这个，我猜 2001:250:4402:2001::1 是你校园网的默认路由
你可以通过 ip -6 r 命令查看路由表，以及 traceroute6 某个v6域名查看路径确定一下
如果确实是这样的话，改脚本，改成
WAN6_GATEWAY="2001:250:4402:2001::1"

伤心的笔 · 发表于 2020-10-20 11:45

Alex丶微木发表于 2020-10-4 20:22
楼主你好我按照你的步骤不能上网。在luci防火墙自定义规则中增加了一条这个然后就能上网了

脚本中有这句话，你这个应该是脚本哪里卡住了，没执行到

ip6tables -t nat -I POSTROUTING -s "$LAN_ULA_PREFIX" -o "$WAN6_INTERFACE" -j MASQUERADE

复制代码

Nautylus · 发表于 2023-8-11 19:44

伤心的笔发表于 2023-8-8 18:57
首先ifconfig这个命令早就淘汰了，用ip a。

推测是你的路由器没有正常向下游广播RA和DHCPv6 stateful。 ...

感谢大神回复，我重置整个系统又试了一遍后，类似楼上在防火墙自定义规则中加上：

ip6tables -t nat -I POSTROUTING -s `uci get network.globals.ula_prefix` -j MASQUERADE

复制代码

就可以了，目前可以正常使用了

login256 · 发表于 2024-5-24 18:08

谢谢楼主的教程，我发现nftables的话，安装iptables-nft和ip6tables-nft这两个包就可以用了
还有一个疑问，为什么我的WAN_GATEWAY需要时fe开头的地址："fe80::562b:deff:fe6c:7802"，用真正的网关地址： 2402:f000:4:1006::1就不能成功呢？
（或者说我看ifconfig有两个地址，一个2402开头的Global，一个fe80开头的Link，他们有什么区别呢？）
谢谢楼主

cnxzp · 发表于 2020-2-11 03:50

辛苦，收藏了。

skwjzc · 发表于 2020-2-11 13:36

谢谢楼主分享ipv6的办法！

桀哥哥 · 发表于 2020-2-26 20:48

我只想问问这个对校园网有什么用

不耻下问

伤心的笔 · 发表于 2020-2-28 22:17

桀哥哥发表于 2020-2-26 20:48
我只想问问这个对校园网有什么用不耻下问

校园网的IPv6一般来说都没有DHCPv6-PD导致你接了路由器后不能使用IPv6
这个办法就是让校园网路由器用户使用IPv6的

99010 · 发表于 2020-2-28 22:52

本帖最后由 99010 于 2020-2-28 22:53 编辑

楼主要注明一下，init启动脚本只适合openwrt官方固件18.06.x以后版本。

桀哥哥 · 发表于 2020-2-29 20:16

伤心的笔发表于 2020-2-28 22:17
校园网的IPv6一般来说都没有DHCPv6-PD导致你接了路由器后不能使用IPv6
这个办法就是让校园网路由器用户 ...

好的，谢谢啦

伤心的笔 · 发表于 2020-3-1 11:45

本帖最后由伤心的笔于 2020-4-30 10:48 编辑

99010 发表于 2020-2-28 22:52
楼主要注明一下，init启动脚本只适合openwrt官方固件18.06.x以后版本。

不是，很早就有了

在我的记忆里最少也是OpenWRT CC时代的东西，再往前也很有可能

伤心的笔 · 发表于 2020-4-30 10:48

桀哥哥发表于 2020-2-26 20:48
我只想问问这个对校园网有什么用不耻下问

不耻下问这个词是不是用错了

桀哥哥 · 发表于 2020-4-30 11:47

伤心的笔发表于 2020-4-30 10:48
不耻下问这个词是不是用错了

哈哈哈，搞错了搞错了

CORE2020 · 发表于 2020-5-9 16:53

怎么配置完还是不行

麓仁葭 · 发表于 2020-7-8 10:05

5.4内核需要更改哪些东西吗，设置不成功

伤心的笔 · 发表于 2020-7-11 00:39

CORE2020 发表于 2020-5-9 16:53
怎么配置完还是不行

不成功的话，每一步都要检查这一步是不是真的做了
既然是校园网用户，用这个锻炼一下自己的动手能力应该是不错的

友谊 · 发表于 2020-7-11 06:09

本帖最后由友谊于 2020-7-11 08:56 编辑

你好,我用的宽带是湖北电信的
光猫自带路由功能

我在光猫下接了一个centos7软路由
然后软路由的WAN口能正常的获取到IPV6的地址但是我不知道宽带给我的IPV6-PD是多少,请问这个要怎么查看?

我用openwrt的话自动就配置好了,但是我对openwrt研究不是太深, 找了一圈没找到具体是怎么查看获得的PD的

我不喜欢用OPENWRT,我觉得还是用linux自己配置比较好
目前centos7当软路由在IPV4下工作都蛮正常
我在IDC托管的一台服务器用的是centos6当软路由,一年多了,运行一切正常,没有出现任何问题
倒是最开始用openwrt的时候出现过一次网络中断事故,所以我还是喜欢用linux自己改造成软路由

伤心的笔 · 发表于 2020-7-11 22:36

本帖最后由伤心的笔于 2020-7-11 23:08 编辑

友谊发表于 2020-7-11 06:09
你好,我用的宽带是湖北电信的
光猫自带路由功能

然后软路由的WAN口能正常的获取到IPV6的地址但是我不知道宽带给我的IPV6-PD是多少

你软路由作为DHCPv6客户端，要主动地申请PD，他才会给你。默认的Linux，不加设置，只会申请单个DHCPv6地址，而非DHCPv6-PD这么一个网段。

你要是想自己搭建软路由，你大概需要折腾下 systemd-networkd （CentOS 7开始支持，默认不启用）、dhcpcd 还有 dnsmasq 软件。或者其他网络管理器也可以，但我不推荐 CentOS 那个老的脚本

转载自 Arch Wiki
https://wiki.archlinux.org/index.php/IPv6_(%E7%AE%80%E4%BD%93%E4%B8%AD%E6%96%87)#%E5%9C%B0%E5%9D%80%E5%A7%94%E6%B4%BE_(DHCPv6-PD)

地址委派 (DHCPv6-PD)
注意：这个部分是针对自行使用配置网关的内容，不是客户端。如果你使用从市场购得的路由器，请查阅其附带的文档以开启地址委派。

地址委派是一种常见的IPv6部署方式，被许多ISP所采用。具体的做法是将一个地址前缀分配给用户（局域网），即路由器配置为将不同的前缀分配给不同的子网；ISP通过DHCPv6将地址前缀（通常是/56或/64）分发出去，DHCP客户端再将前缀分配给局域网。对于一个拥有两个网卡的简单网关来说，它的工作就是将从WAN口（或虚拟接口，比如ppp）获取的前缀分配给局域网。

使用dibbler

Dibbler是一个支持地址委派的DHCPv6客户端及服务器。它在AUR中：dibblerAUR。

如果你使用dibbler，修改/etc/dibbler/client.conf：

log-mode short
log-level 7
# use the interface connected to your WAN
iface "WAN" {
  ia
  pd
}

提示：查阅手册页dibbler-client(8)以获取更多的信息。

使用dhcpcd

Dhcpcd在IPv4之外也提供了一个完整的支持DHCPv6-PD的客户端。如果你使用dhcpcd，需要修改/etc/dhcpcd.conf。你可能已经在用dhcpcd来配置IPv4,所以只需要对现有的配置进行小幅修改：

duid
noipv6rs
waitip 6
# Uncomment this line if you are running dhcpcd for IPv6 only.
#ipv6only

# use the interface connected to WAN
interface WAN
ipv6rs
iaid 1
# use the interface connected to your LAN
ia_pd 1 LAN
#ia_pd 1/::/64 LAN/0/64

这种配置下，客户端会从WAN接口获取一个前缀，分配给LAN接口。如果ISP分配的是/64的地址，你需要用第二个ia_pd选项。这也会禁用除WAN接口之外的所有路由器请求。
提示：查阅手册页dhcpcd(8)与dhcpcd.conf(5)获得更多信息。

使用WIDE-DHCPv6

WIDE-DHCPv6是原本由KAME计划开发的DHCPv6开源实现。它在AUR中：wide-dhcpv6AUR。

如果你使用wide-dhcpv6，修改/etc/wide-dhcpv6/dhcp6c.conf：

# use the interface connected to your WAN
interface WAN {
  send ia-pd 0;
};

id-assoc pd 0 {
  # use the interface connected to your LAN
  prefix-interface LAN {
sla-id 1;
sla-len 8;
  };
};

注意： sla-len应设置为满足(WAN-prefix) + (sla-len) = 64的值。这里示范的情况是针对一个长度/56的前缀，56+8=64。对于前缀长度/64的网络，sla-len应为0。

要启用或运行wide-dhcpv6，使用如下命令。把WAN改为连接到ISP的网卡:

# systemctl enable/start dhcp6c@WAN.service

提示：查阅手册页dhcp6c(8)与dhcp6c.conf(5)获取更多信息。

账号		自动登录	找回密码
密码			立即注册

再说 OpenWRT 校园网 IPv6 NAT6

请不要胡乱输入以及粘贴、复制等方式灌水

评分

相关帖子

点评

欢迎大家光临恩山无线论坛 /1