IPV6下老毛子Padavan 设置+动态域名直接映射内网设备+防火墙设置

前两天一直在折腾openwrt单臂软路由的设置，家里时不时断网，很是心烦。折腾过程中发现openwrt插件虽多，但是玩的明明白白，还是差点事，比如那个防火墙，就时不时抽风。于是拿出了家里的小古董k2p，刷上最新的老毛子固件，直接起飞，移动千兆，丝毫不虚，防火墙规则能即时生效，内网设备，一条命令，直接动态域名解析。ipv6下，该有的功能都有，直接把它升级为主路由。

主路由：k2p 版本K2P_V5 3.4.3.9-099_21-10-8 （2021-10-25）

ap：ax6000

宽带：中国移动

光猫做过桥接

putty64（windows）或finall shell（mac）

阿里购入域名一枚

正常的填入用户名密码

ipv6设置如下

这样设置下来类似于openwrt的dhcp-pd。意味着运营商给我们下发前缀，后面的地址是设备自己生成的。

虽然不知道是什么时候加入的，这动态域名太方便了，双协议映射，第三个是ipv6,前两个我就不写了，移动的公网，大家懂的。

域名相关的阿里apikey的获取，在之前的教程中写过，大家可以直接翻看。

将获取到的api和key输入进去，直接应用

这里需要注意的地方是，需要修改脚本文件下的一个参数，因为wan口ipv6的下发速度超级慢，lan口联网即可下发，这里修改脚本文件中的获取信息，将wan口改为lan口，折腾了快一个小时，还以为自己的ipv6获取方式不对，简直太坑了。

找到这样一段

ifconfig $(nvram get wan0_ifname_t) | awk '/Global/{print $3}' | awk -F/ '{print $1}'

修改为

ifconfig $(nvram get lan0_ifname_t) | awk '/Global/{print $3}' | awk -F/ '{print $1}'

#wan口和lan口的地址效果是一样的，因为都是公网地址，这里使用起来不像ipv4下，分公网和内网，全球一张网，那就是ipv6，所以，直接获取lan口。

输入完成后，看系统日志，更新很快，更新完基本解析就能用。

到这一步，动态域名与ip的转换就打通了，剩下的就是端口的开启，我是被这个防火墙折腾的死去活来的。

我们设置完成后，先来测试路由器是否能通过访问，这里需要打开两个地方，第一个是通过互联网访问，第二个是通过内网访问，将这两个端口都改为80端口后，直接打开网址，就可以直接访问路由器的管理界面，需要切换端口的朋友注意，这两个端口号要保持一致，还要在防火墙上打开对应的端口，因为除了80端口，防火墙自动添加规则外，其他端口，防火墙都不会自动打开。

需要开启路由器的ssh，这样，可以输入命令不正确的话，可以看到报错

例子：开启路由器80端口

ip6tables -I INPUT -p tcp --dport 80 -j ACCEPT

在老毛子里面这个可以说超级简单，直接就可以将动态域名映射到内网设备，只需要一条命令，再也不用什么socat转发。享受直连的快乐，只需要内网设备的mac地址。

打开ali动态域名，查看纯shell下的命令，如果比如你的mac地址是0000000001，这里我用mac地址为0000000001的设备做演示，命令是这样写的

为了节省域名，这里直接用二级域名的形式进行解析

[email protected]@00000000A1@@fe80::@

这样，设备一获得地址，就会直接被动态域名映射。

参数说明：使用 @ 符号分割，①前缀名称 ②域名 ③MAC【不限大小写】④匹配关键词的ip6地址【可留空】 ⑤排除关键词的ip6地址【可留空】 ⑥手动指定ip【可留空】

各项参数使用@隔开，二级域名，比如我的域名是http://dn.xxxxx.cn需要指向的内网设备mac地址为00000000A1,第四段匹配关键词忽略，第五段填写fe80::（忽略掉内网ipv6地址），第六段忽略不写。

打开防火墙指定端口

这时候大家根据需求打开防火墙的对应端口，比如需要打开电脑的远程控制端口，我们直接在ssh终端中输入

ip6tables -I INPUT -p tcp --dport 3389 -j ACCEPT

#打开防火墙的3389端口

ip6tables -I FORWARD -p tcp --dport 3389 -j ACCEPT

#开放3389端口转发，能将3389的数据转发到内网。可以理解为打开内网设备的3389端口

什么，你想打开指定地址的指定端口转发，放心，踩了这么多坑，当然也找到方法了

ip6tables -I FORWARD -d ::1111:1111:1111:1111/::FFFF:FFFF:FFFF:FFFF -p tcp --dport 3389 -j ACCEPT

这样的话会匹配后缀为1111:1111:1111:1111的内网设备，为它开启3389端口

这样的话，访问域名直接可以实现远程控制

如果内网有nas的话，大家也可以直接部署相关域名，我这边没封80端口，将nas部署到公网下的话，不用端口号，输入域名直接就可以访问。

（现挖个坑，准备折腾pve安装黑群晖，现在手里还没有nas）

需要注意的是，重启后，防火墙会重置，我们需要将命令，写入启动文件。

在防火墙启动后启用

用朋友的话说，大家的教程基本都是挖坑不管填坑。难点在与动态域名映射后的防火墙规则方面，openwrt现在恩山的大神做的有的直接带socat转发。但是ipv6的支持，还是不是很方便，希望这篇文章能给大家动态域名映射的时候提供一个思路。

感觉文章写的不错的朋友请关注，点赞，支持，转发一下