为什么 IPv6 突然不火了？

我国从政策层面推广IPv6，其本意是从国家竞争的层面打破美国对IPv4地址的垄断，但实际上却受阻于国内ISP和云服务商这类“IPv4地主”，实际分配到用户的，是功能打了折扣的“瘸腿IPv6”，IPv6直接寻址、点对点连接的优势很多时候都难以发挥出来。

对于大多数家宽用户来说，大多数光猫和家用路由器默认设置都打开IPv6防火墙，且不一定下发前缀，如果用户没有足够的网络知识去调整光猫、路由器的配置，基本不可能得到直连Internet的IPv6地址。在层层阻碍之下，用户设备即使能够分配到IPv6，也只能够得到一个只出（outbound）不进（inbound）的单向IPv6地址。

案例分析

此案例基于我朋友家的情况，重庆电信光纤入户，光猫为ZXHN F650 4.0，路由器为小米路由AX1800，光猫以路由模式拨号。

由于大多数家庭不会主动改桥接，因此这是大部分家庭普遍的情况，经过两层IPv4 NAT，IPv4的连接性已经变得很差，即使光猫已经有公网IPv4，但电脑上运行NatTypeTester也已经劣化为连接性最差的对称NAT。

F650光猫自带的WiFi可以分配到IPv6地址，但只有2.4G单频，AX1800路由是双频WiFi 6，但只能分配IPv4地址。

第一道门槛：光猫管理密码

由于ZXHN F650 4.0使用远程获取的超级密码，而且早期版本的Web界面提权已经不能用，再重置后由于丢失VLAN配置，而且IMTS不能自动下发，所以一时间找不到恢复配置的办法，只好找电信师傅上门恢复，幸运的是要到了超级密码。

天翼网关3.0（中兴F650 4.0）光猫破解方法（无需拆机） - Jarvis's Blog

如果没有光猫超级密码，由于IPv6防火墙默认开启，无论其他部分怎么配置，IPv6都会是只出不进的状态，能够访问IPv6网站，但无法接受P2P连接。

光猫的配置点一共有两个，一个是在安全>防火墙中关闭IPV6 SESSION，这样连接到光猫获取的IPv6才可以被外界访问。

另一个配置点则是在网络连接INTERNET_R_VID中将地址获取前缀改为AutoConpd，如果是DHCPv6，则小米路由器无法获取前缀。幸运的是，配置完成后，电信为我分配了/56的IPv6前缀。

而小米路由器端则需要在上网设置中打开IPv6网络设置（默认是关闭的），上网方式为Native

同时我们需要确定小米路由器除了能获取WAN IPv6地址，还必须获取到LAN IPv6地址和LAN IPv6前缀，才能正确地给路由器下的设备分配IP地址，而这时还有一个坑，即小米路由器初次开启IPv6后必须重启才能给设备分配IPv6地址。

第二道门槛：小米路由器没有关闭IPv6防火墙的Web界面，需开启SSH并手动关闭防火墙

小米路由器AX1800的ROM默认打开IPv6防火墙，而且在Web界面上不能关闭，导致IPv6仍然是一个“只出不进”的状态，因此我不得不降级小米路由ROM，开启SSH

404NotFound：【小米路由器SSH】小米路由器官方ROM强制打开SSH功能并配置静态路由（适用于AX1800、AC2100等型号）

然后手工更改rc.local，加入命令

才最终能够让小米路由器下所有IPv6终端可以自由地被双向访问。

总结

在此案例中我们可以清楚的看到IPv6网络所遇到的现状，电信运营商迫于政策压力分发IPv6地址，但在光猫处默认将其限制为“半开放”状态，并将关闭防火墙的设置隐藏在超级密码之后，大大提高用户获得全功能IPv6连接的门槛。

而以小米为代表的客户端设备制造商则默认关闭IPv6，并极力隐藏相关设置，提高用户获得全功能IPv6连接的门槛。

最终用户想要获得全功能IPv6，不得不过五关斩六将，恨不得手持好几张网络工程师认证才能搞得定。

而被防火墙削弱后的IPv6服务，丧失了IP网络点对点连接的优势，只能C/S架构（及其变种B/S架构）访问服务器，恨不得回到30年前IBM SNA的时代去，连WebRTC这种典型的P2P架构当代Web协议都因此受阻而不得不绕路TURN服务器，极大地提高了网络应用开发和运营的成本。而受益的则是收过路费的ISP和云服务商。