@tyrantcwj #25 是的,因为hkvps的v6据说连接性和速度会更优一些。而我移动是有v6的,想把它充分利用起来。我的插件是passwall。当我旁路由开启了v6后,譬如访问影巢时打不开(它拒绝内地ip的网站访问)或用ip测试站点(如ipleak.net)ipv6栏显示的是我内地移动的2409的ip段而非hkvps分配的2a0e的ip段(我理解是v6直接绕过了旁路,或旁路没有劫持成功?),请问你的passwll2有针对v6做过哪些设置来解决这个问题么
我是这样做的,把 op 的 lan 拉回 ikuai 的 wan2 ,当作 ikuai 的第二个出口。 爱快 lan1 绑定 ssid1 ,出口走wan1(宽带光猫) 爱快 lan2 绑定 ssid2 ,出口走wan2( op) 这样相当于把两个局域网2层隔离了,按需连接对应的 wifi 就好,就算把op折腾挂了也不影响lan1正常上网 甚至还可以通过划分 vlan ,出第 345 个 lan ,每个做不同用途
使用ipv6节点跟使用ipv6访问某个网站是不一样的概念。假设你使用旁路网关,它负责科学上网,你的设备设置它作为网关和dns,然后你的旁路网关需要有ipv6地址,你的节点需要有ipv6地址并且开放[::]:端口,这个时候你的旁路网关和节点是通过ipv6进行通信的,也就是你利用了移动ipv6连接更优的特性。它跟你访问什么网站,网站是否支持v6并无关系。假如你现在访问google,并且你的代理插件使用了fakeip模式,它并不会在你本地发起dns请求,而是把这个域名通过你的ipv6连接从旁路网关发到你hkvps的服务端。假设你使用的是xray作为服务端,并且设置了使用useipv6v4,也就是优先使用ipv6进行访问,那么在服务端进行dns解析的时候,会优先使用google.com的aaaa记录,然后使用ipv6进行访问,这样就会显示你hkvps的ipv6地址。如果你使用ipv4优先,或者这个网站只允许ipv4访问,那么即使你通过ipv6连接到vps了, 它也只会显示的hkvps的ipv4地址。如果说显示你移动的ipv6,有可能是分流规则有问题,或者说在你本地进行了dns解析。比如你在本地解析了某个域名获得了aaaa记录,那么你就是使用ipv6的地址访问它,而不是域名,那么代理插件就直接让ipv6地址走直连了。我记得好像大部分的插件都不会代理ipv6地址的连接。代理插件中打开ipv6的意思是,在进行dns解析的时候是否允许aaaa记录,而不是说劫持你的ipv6连接到它的内核中。
所以我的观察是,即使你使用ipv4连接到vps,ip探测也可以显示你vps的ipv6地址,而即使你使用了ipv6连接到vps,ip探测也有可能不显示你vps的ipv6地址,但如果显示了你的国内ipv6地址,那么你可以排查一下分流规则或者dns解析规则。
op可能误解了 v4/v6都做nat,才能所有流量都经过旁路网关,不过,其实有一个方法可以做到类似 ipv4的设置不变,将客户机ipv6的dns设置为旁路网关的link address,就是fe80那个地址,同时mihomo开启fakeip。 解释下:ipv4跟原来的一样。ipv6设置后,本地发起的所有域名解析,返回的都是198.18.x.x的fakeip地址,然后下行流量都是本地 --> 旁路网关(198.18.x.x) --> 主路由 --> 远端vps 此时,只要你的vps具有ipv6,你访问境外网站就是优先ipv6。 分流的话,譬如国内地址不要fakeip,则ipv4/ipv6都直接放行,也就是你本机ipv4/ipv6直接访问 弊端:境外纯ipv6访问,则是 本地 --> 主路由 --> 网站。不会经过旁路网关。 我一直使用这个方案,配合分流,国内访问,直接本机ipv4/ipv6,国外 vps ipv4/ipv6
@tyrantcwj #25 是的,因为hkvps的v6据说连接性和速度会更优一些。而我移动是有v6的,想把它充分利用起来。我的插件是passwall。当我旁路由开启了v6后,譬如访问影巢时打不开(它拒绝内地ip的网站访问)或用ip测试站点(如ipleak.net)ipv6栏显示的是我内地移动的2409的ip段而非hkvps分配的2a0e的ip段(我理解是v6直接绕过了旁路,或旁路没有劫持成功?),请问你的passwll2有针对v6做过哪些设置来解决这个问题么
我是这样做的,把 op 的 lan 拉回 ikuai 的 wan2 ,当作 ikuai 的第二个出口。
爱快 lan1 绑定 ssid1 ,出口走wan1(宽带光猫)
爱快 lan2 绑定 ssid2 ,出口走wan2( op)
这样相当于把两个局域网2层隔离了,按需连接对应的 wifi 就好,就算把op折腾挂了也不影响lan1正常上网
甚至还可以通过划分 vlan ,出第 345 个 lan ,每个做不同用途
@CK-CK #31 哦,你是打开了所有设备的v6分配?我是把需要v6的设备做了控制,比如openwrt、appletv、nas,其他的我没有分配。爱快的v6改为有状态,然后改为白名单控制就行了
@tyrantcwj #33 内网的v6是比较好控制的。我遇到的问题主要是内网到外网时,外网识别到的是内地v6而没有识别出hkvps的v6。
@hxdyxd #32 咦,这个方法很有意思,感谢
使用ipv6节点跟使用ipv6访问某个网站是不一样的概念。假设你使用旁路网关,它负责科学上网,你的设备设置它作为网关和dns,然后你的旁路网关需要有ipv6地址,你的节点需要有ipv6地址并且开放[::]:端口,这个时候你的旁路网关和节点是通过ipv6进行通信的,也就是你利用了移动ipv6连接更优的特性。它跟你访问什么网站,网站是否支持v6并无关系。假如你现在访问google,并且你的代理插件使用了fakeip模式,它并不会在你本地发起dns请求,而是把这个域名通过你的ipv6连接从旁路网关发到你hkvps的服务端。假设你使用的是xray作为服务端,并且设置了使用useipv6v4,也就是优先使用ipv6进行访问,那么在服务端进行dns解析的时候,会优先使用google.com的aaaa记录,然后使用ipv6进行访问,这样就会显示你hkvps的ipv6地址。如果你使用ipv4优先,或者这个网站只允许ipv4访问,那么即使你通过ipv6连接到vps了, 它也只会显示的hkvps的ipv4地址。如果说显示你移动的ipv6,有可能是分流规则有问题,或者说在你本地进行了dns解析。比如你在本地解析了某个域名获得了aaaa记录,那么你就是使用ipv6的地址访问它,而不是域名,那么代理插件就直接让ipv6地址走直连了。我记得好像大部分的插件都不会代理ipv6地址的连接。代理插件中打开ipv6的意思是,在进行dns解析的时候是否允许aaaa记录,而不是说劫持你的ipv6连接到它的内核中。
所以我的观察是,即使你使用ipv4连接到vps,ip探测也可以显示你vps的ipv6地址,而即使你使用了ipv6连接到vps,ip探测也有可能不显示你vps的ipv6地址,但如果显示了你的国内ipv6地址,那么你可以排查一下分流规则或者dns解析规则。
这个帖子很有价值。希望能有最终结果
@MFSNBLL #36 非常感谢细致的讲解,我似乎有些理解其中的问题点了。稍后我再根据所示逐一排查下分流规则和dns解析规则,并且研究一下fakeip模式。谢谢
op可能误解了
v4/v6都做nat,才能所有流量都经过旁路网关,不过,其实有一个方法可以做到类似
ipv4的设置不变,将客户机ipv6的dns设置为旁路网关的link address,就是fe80那个地址,同时mihomo开启fakeip。
解释下:ipv4跟原来的一样。ipv6设置后,本地发起的所有域名解析,返回的都是198.18.x.x的fakeip地址,然后下行流量都是本地 --> 旁路网关(198.18.x.x) --> 主路由 --> 远端vps
此时,只要你的vps具有ipv6,你访问境外网站就是优先ipv6。
分流的话,譬如国内地址不要fakeip,则ipv4/ipv6都直接放行,也就是你本机ipv4/ipv6直接访问
弊端:境外纯ipv6访问,则是 本地 --> 主路由 --> 网站。不会经过旁路网关。
我一直使用这个方案,配合分流,国内访问,直接本机ipv4/ipv6,国外 vps ipv4/ipv6