运营商光猫自带防火墙导致NAS无法被互联网上的IPV6用户访问

抖音推荐 2025年07月24日 04:43 1 admin

故障情况

给客户部署了群晖NAS，由于需要在互联网上访问，并且又没有公网IP地址，所以建议客户使用IPV6+DDNS的解决方案。在NAS上接口上获取到公网的IPV6地址，并且与DDNS绑定成功。

在互联网上解析对应域名是可以正常解析，并且可以PING通(如果你的PING不通也是有可能的)。但是就是无法通过WEB访问NAS 的DSM页面。

在同一个局域网中使用对应的DDNS或IPV6地址都是可以访问NAS的DSM页面的。

并且客户还有另外一台群晖NAS也是同一个运营商，但是可以使用IPV6被访问，已经运行6年左右了。

运营商新光猫自带防火墙，并且默认是打开的。所以需要关闭后才能让主动发起的数据从WAN口进入到LAN口。

关闭光猫上的防火墙，如果光猫下面有路由器，路由器也有防火墙，请关闭。每种光猫关闭的方法不一样，以下是我的示例。

把IPV6SPI的勾取消。

安全等级在中及以下。

在windows上tracert能正常到客户的NAS上。

在NAS上使用ssh登录后执行以下命令

sudo -i   #切换为root用户cd /volume1/homes   #进入到第一个存储空间的homes目录中，根据实际情况tcpdump -i eth3 -w cxzdtech.pcap   #抓取eth3接口上的数据包并存放到cxzdtech.pcap

然后测试的客户端上使用Wireshark同时抓包。

下图为电脑端抓的包，从图中可以看到TCP的报文是只有发出去，没有回来的。但是ICMP报文有来有回。就像我们实际所看到的，能PING通但无法访问NAS的DSM页面。

在NAS端上抓的包只有ICMP报文没有TCP的。也就是说三层路由是正常的，可能是中间被拦截了。

由于icmp没有被拦截，只有TCP被拦截了，所以需要一个工具来测试TCP是在哪里被拦截了。在网上找到了nexttrace这个工具，他可以像tracert一样去探测路径，并且发送的数据包可以被指定，而不像tracert一样在WINDOWS下面只能使用ICMP。

但是现在的nextrace版本需要发送TCP报文不能使用WINDOWS平台，还是需要放到linux平台上运行。

使用nexttrace和tracert的结果对比后发现第10跳就应该是NAS，也就是说要么NAS有问题有么NAS上行设备有问题。

从使用nexttrace时抓的包可以看出来，nexttrace也是发TTL逐一加1，也就是说当到光猫时先处理第三层发现TTL为1，转到了下一跳就为0了，所以回了个ICMP Time exceeded的报文回去。但是最后一次发到NAS时被光猫拦截了，所以NAS上没有收到数据包，所以也就没有回复。

发表评论