大内网入坑小记—修改光猫桥接并配置IPv6实现外网访问NAS

本内容来源于@什么值得买APP，观点仅代表作者本人 ｜作者：丶Source

创作立场声明：本文仅用于记录这次尝试移动宽带桥接及 IPv6 相关配置，实现通过外网访问路由器及 NAS，方便后续翻查，也给感兴趣的值友一定的参考

NOTE本文字数 4500+，配图 30+，预估阅读时间 9 ~ 12 分钟

写在前面

最近忙搬家，欠的文章都还没补充，又入了一个移动宽带的新坑。

这次趁机记录一下方便后续翻查，也是给使用移动宽带的值友一个参考

本文大纲如下，方便值友快速获取想要阅读的部分：

入了移动宽带的坑

白嫖移动宽带

其实一开始还是对移动宽带有一些偏见的，包括：

大内网，无法基本无法从外网访问回来

稳定性问题，听说会偶尔直接断网，玩游戏炸裂

运营商服务较差，这个在装宽带也是深有体会

不过现在都已经支持 IPv6，而且也比较少玩网游，考虑试试移动宽带（主要是便宜

在跟客服沟通后，确定现在用的 38 块钱的套餐是可以参加首年免费的活动，立即入手

1 年免费的 300M 移动宽带

1 年免费的移动 IPTV 业务

因小区有活动，新装宽带安装费用仅需 1 元

相当于 1 块钱买了一年的移动宽带 + IPTV（附带光猫+电视盒子），

本着反正不用钱先试试，不行再拉多一条电信宽带的想法，直接让客服帮忙下单了

移动宽带安装

因为小区移动宽带已经全覆盖了，并且还有之前留下的光纤接口

师傅上门后就是装个光猫、IPTV 盒子再配置上网即可，都不需要重新拉线

在安装过程中，跟师傅聊了一下，获取到的信息：

移动宽带默认不给桥接（至少师傅不会给你配置桥接）

移动公网 IPv4 需要收费，好像是一年 1000 多

移动默认已经分配了 IPv6

本着也是白嫖的宽带，肯定不会去弄个公网 IPv4 了，只能从 IPv6 开始折腾

光猫信息

这次分配到的光猫型号是 ZXHN F663NV9，中兴吉比特，配置是：

带 4 个 RJ45 网口，其中 2 个千兆，2 个百兆

带 1 个 RJ11，也就是电话口

带无线功能，但是只有 2.4G

带 USB 口，目测应该是 USB2.0

从背面获取到了光猫管理后台的信息之后登录光猫，使用普通的 user 用户登录

光猫管理后台也确实简陋哈哈，顺便随手关闭了光猫的 WiFi

因为自己已经有了专门的路由器，也就不依赖的光猫的无线，更何况只有 2.4G

还是用回自己的主路由无线比较靠谱

光猫改桥接

在折腾外网 IPv6 访问的时候，因为前面多了一层光猫，很多测试都比较麻烦

于是就准备折腾把光猫改成桥接，虽然宽带师傅不肯做，但这种事情，自己处理也行的。

获取超级密码

还是比较幸运，师傅没重置超密，所以按照网上流传的超密直接登录成功

CMCCAdmin

aDm8H%MdA

以超管用户登录后，就可以拥有更多的权限了，这也是光猫改桥接的前提

登录之后，先进行光猫的数据备份，为了兼容性考虑找了一个 FAT32 的 4G U 盘

将 U 盘接入光猫的 USB 口之后就可以进行备份了

备份出来就只有一个 cfg 文件，尝试打开，不过看起来是 16 进制

有备无患，备份完毕后就可以开始搞事情了

获取宽带密码

因为新装宽带的时候，如果没问，师傅也不会给你宽带的账号密码

下图需要点击 连接名称 从下拉框中找到拨号连接

尝试通过网上流传的利用 chrome F12 修改 html 代码的方式，也失败了

修改完密码由原来的实心圆点变成 ******，无法拿到明文，估计这版本固件修复了

跟客服沟通后，客服提供初始密码以及重置指引，需要自己来尝试

保险起见，我们先在当前的光猫路由模式下来尝试密码，控制好变量，

以避免后续桥接之后拨号失败无法快速确认是账号问题还是桥接问题

删除原来的 6 个实心圆点密码，先尝试 123123（因为刚好看到有人就是这个）

点击下方的修改，会触发重新拨号

回到状态 - 网络侧信息页面检查，如果错了，会提示认证失败

第一次的 123123 失败了，第二次试了一下手机尾号后 6 位就成功了

修改光猫桥接

回到宽带设置页面，开始修改光猫桥接：

原来的路由模式（对应 PPP）无法直接修改桥接，只能删除重建

VLAN ID 需要记住，后续需要用到（如果填错会导致拨号异常）

建议直接对页面截图保存，然后删除了这个 2_INTERNET_R_VID_41

字段解释2连接序号，不同用户可能不一样INTERNET表示是上网业务RRoute，光猫拨号的路由模式VIDVLAN ID 的简写41不同用户一般不一样，涉及到交换机 VLAN 配置

在页面右下角点击 删除 按钮，此时已经无法访问外网了

有什么需要用到的网上资料建议提前访问加载好，或者用手机移动网络来查也行

一、IP 协议与模式

IP 协议版本与原来路由模式一样，因为后续也需要用到 IPv6

IP协议版本选择 IPv4/IPv6 双栈

模式选择 Bridge 桥接

二、端口绑定

因为我是路由器 WAN 口接入光猫第一个网口，所以对应的就是 LAN1

LAN 口与前面路由模式的保持一致（可能有些用户不一样）

取消 SSID1 绑定，因为不需要光猫的无线

三、关闭 DHCP

为了避免后续 DHCP 的影响，建议直接关闭光猫的 DHCP 功能

四、VLAN 配置

这里一定要严格保证 VLAN ID 与之前路由模式的保持一致

VLAN 模式修改为 改写(tag)

VLAN ID 设置为 41

最后点击右下方的 创建 按钮，完成光猫桥接的配置

可以看到，光猫上面已经出现了一个 5_INTERNET_B_VID_41 的连接了

与原来的路由模式连接就是开头的序号位以及模式位不一样，

模式位由原来的 R 路由模式变成了现在的 B 桥接模式了

路由器拨号

回到路由器管理页面进行拨号配置：网络 - 接口 - WAN

切换 PPPoE 拨号并完成配置后，点击右下角 保存amp;应用

如果步骤正确、宽带账密正确的话，这里就可以正常完成拨号了

如上图，就是已经完成拨号的状态了，此时已经可以正常访问到外网了

但是，你会发现已经无法打开光猫的管理后台了，别急，看下文

桥接模式下访问光猫

因为我们修改了路由器 WAN 口为 PPPoE 模式并进行拨号认证：

路由器已经接入移动宽带的子网，脱离了原来光猫的 192.168.1.0/24 子网

路由器不再有 192.168.1.0/24 的网段路由

访问 192.168.1.1 会走默认路由送到移动宽带的拨号子网网关

而移动子网与光猫的子网两者并不互通，不知道要往哪里走，导致无法访问到光猫

如上图，访问光猫的请求数据包会被发到移动的子网网关 172.16.192.1

而我们需要做的，就是要告诉主路由，访问 192.168.1.1 应该发给光猫处理

在路由器管理后台 网络 - 接口 页面，点击 添加新接口

随便取个名字，就 modem 的简写 MDM 吧

新接口协议选择 静态地址

接入到 交换机 VLAN：eth0.2，也就是与 WAN 同个物理机接口

在配置静态地址时候，需要注意：

接口的地址必须与光猫 192.168.1.1 属于同个子网： 192.168.1.2

网关留空，否则会导致默认路由冲突，无法正常上网

最后保存并应用，可以看到接口已经启动了

路由器上也多了 192.168.1.0/24 的路由，走 eth0.2 接口

这个时候，就可以正常访问到光猫的后台了，实现了：

默认流量，主要是公网流量，走移动宽带的子网网关 172.16.192.1

访问光猫流量 192.168.1.1，走 eth0.2 接口发给光猫处理

IPv6外部访问

路由器开启IPv6

目前主路由还是 K3，使用的是 huah0235 的固件，完整集成了 IPv6

本固件完整集成了ipv6，但是想使用需要设置两个地方。第一个要把网络-接口页面IPv6 ULA 前缀里面的内容删掉，保存应用。第二个是把网络-负载均衡-策略-mwan策略中的默认成员修改为“默认（使用主路由表）”，保存应用。

按照指引进行了调整

完成上述两个调整之后，重启一下路由器，之后支持的设备就可以获取到 IPv6

Windows 10：

安卓手机：

并且也可以通过 IPv6 来访问站点了：

外网访问路由器

理论上设备（路由器、电脑、手机）分配到了 IPv6 公网，就具备了从外部访问的条件

但是 OpenWRT 的默认防火墙策略做了一定的安全限制（如上图）：

禁止入站：禁止从外部网络访问路由器本身，比如访问路由器管理后台

接手出站：仅允许从 LAN 口或路由器本身主动发起的外部连接

禁止转发：禁止从外部网络访问路由器内部的设备，比如手机、电脑等

所以即使路由器 WAN 口已经分配到的公网 IPv6 也是无法从外网来访问

最暴力的解决方式无非就是直接将上图中的入站、转发设置为接受

但是这样是相当于在公网上果奔，是强烈不建议的！

比较合理的做法是按需开放，也就是最小权限原则来暴露端口：

默认禁止，以最大限度保护路由器及内部设备

仅允许将需要的暴露到公网访问的端口开放访问权限

所以就可以在 系统 - 高级设置 - 配置防火墙 中添加一条配置规则（config rule）：

配置项内容说明option name‘K3_UHTTPD’用于描述规则作用，便于后续回忆，允许自定义option family‘ipv6’说明是 ipv6 的规则，因为需要通过 ipv6 来访问option target‘ACCEPT’开放访问，才可从公网来访问路由器管理后台option src‘wan’标记规则作用对象为来自公网的请求option proto‘tcp’标记规则作用协议为
TCPoption dest_port‘80’标记规则作用的目标端口为 80 端口，路由器管理后台端口

最终规则对应的效果就是：接受外部的 IPv6 访问访问路由器 80 端口

通过添加本规则，保存后点击 重启防火墙，就可以实现从外部访问：

如上图，添加规则后已经支持从手机 4G 网络访问路由器管理后台

Unraid开启IPv6

Unraid 开启 IPv6 还是比较简单的，不过需要停掉 Array

关于 Array 的详细介绍，可以参考我之前发过的文章：

路由与NAS 篇七：10分钟快速上手unRAID之基础篇（上）是返乡过年？还是就地过年？最新一届#双面过节指南#开始啦！本次征稿活动分为A面返乡和B面就地，大家可以根据自己的情况，分享自己的春节攻略，优秀的投稿文章还有可能能获得优厚的大奖哦，快点击查看活动详情丶Source|赞77评论70收藏545查看详情

然后到 SETTINGSS - Network Settings 页面才可以进行修改：

默认的网络协议是 IPv4 Only，需要修改为 IPv4+IPv6

其他的配置项不需要修改，直接保存即可

然后就可以看到 Unraid 已经获取到公网 IPv6 地址

外网访问NAS

同样的，我们也可以通过添加白名单规则，来允许从外网访问 NAS

这次新建另外一条 NAS 规则，除了名字外，与前面的规则有两处差异

配置项内容说明option dest‘lan’新增配置项用于指定是转发到局域网内option dest_port‘8082 8096’对应 NAS 上运行的服务 FBE、Jellyfin

该规则作用是接受外部 IPv6 访问局域网内任意设备的 8082 及 8096 端口

注意一下，是局域网内任意设备，因为我们没有指定 option dest_ip 配置

所以更严谨的方式应该是补充以下操作：

为 NAS 分配固定的 IPv6 后缀，比如 2222

添加 option dest_ip 则转发到指定匹配后缀 ::2222/::ffff

不过考虑到局域网内也没有其他设备会有服务运行监听这两个端口了，就这样吧

点击保存并重启防火墙之后，就可以通过 NAS 的 IPv6 + 端口号来访问

这样，只需要知道 NAS 分配到的 IPv6 地址，就可以在外面用流量来看剧了

写在后面

最近确实事情比较多，一段时间没有更新文章，不过文虽然迟，但永远不缺席哈哈

照样求一波关注点赞打赏，如果想要了解的或者遇到了问题，都可以留言，定期回复~

接下来的补一下之前欠的 jellyfin 文章了，如有其他想了解也可以跟我说说

不一定都会，但是会的或者有条件尝试的，我会安排出对应文章的。

最后，如果对 Unraid NAS 系统感兴趣的可以看看我之前的两篇文章