IPv6 京东云无线宝与群晖配合使用

让网络支持 IPv6

目标

1. 内部网络可以通过 test-ipv6 的测试
2. 外网网络可以通过 IPv6 访问到局域网的设备

解决方案

光猫

由于现在可以直接使用 IPv6 的网，未进行任何的设置

路由器

• 如果 IPv6 未开，手动将其打开
• IPv6 上网方式改为Native
• 选择自定义 DNS
  • 2400:3200::1
  • 2400:3200:baba::1
• 防火墙开关选择关闭

其它

• Native 与 PASSTHROUGH（直通/桥接）区别，可参考华硕路由器开启IPv6
• 无法设置入站规则，即只能对防火墙进行关闭
• 无法 IPv6 DMZ 或端口映射，即只能对防火墙进行关闭
• 对 Nat6 并未测试成功，同时需要路由器支持 Nat6 的 DMZ 或端口映射

自动配置群晖 DDNS

目标

这里我使用的 Docker 来跑 DDNS

1. 广域网 IPv6 Global 的域名解析
2. 局域网内部 IPv4 的域名解析

解决方案

可行性

• IPv6 支持局域网和广域网的访问
• IPv4 支持局域网的访问（无电信公网IP，无法做 DMZ 或端口映射）

步骤

• 套件中心，安装 Docker（如未安装）
• 在注册表中搜索DDNS，选择NewFuture/DDNS进行下载
• 在映像中选择NewFuture/DDNS，点击启动
  • 存储空间中创建Config文件映射
  • 添加文件文件内容如下，映射至/config.json

    {
      "$schema": "https://ddns.newfuture.cc/schema/v2.8.json",
      "id": "123456",
      "token": "654321",
      "dns": "dnspod",
      "ipv4": ["nas.wishrd.cn"],
      "ipv6": ["nas.wishrd.cn"],
      "index4": "default",
      "index6": "default",
      "ttl": 600,
      "proxy": "DIRECT",
      "debug": true
    }
    

  • index4和index6分别使用默认的获取IP方式
• 在网络中选择使用与 Docker Host 相同的网络，使用Docker的Host网络
• 进行创建容器，并在 Dnspod 上进行 DNS 解析生成

群晖 SSL 证书的配置

解决方案

• 在DNSPOD或别的云服务器提供商申请SSL证书
• 控制面板/安全性/证书
• 新增导入申请的SSL证书
• 配置对其系统默认及你所需服务使用导入的新证书

群晖防火墙安全性配置

目标

1. 外网拦截非Https及其它所需服务的端口
2. 内网允许所有的端口通行
3. 解决Windows的SMB服务走的 IPv6 访问问题
4. 解决Docker的内部代理访问群晖问题

解决方案

• 控制面板/安全性/防火墙
• 编辑规则对规则进行新增管理
  • 添加所有端口和所有通讯协议，及来源于局域网(10.6.6.0/24)的允许规则(解决内网访问问题)
  • 添加所有端口和所有通讯协议，及来源于Docker局域网(172.16.0.0/24)的允许规则(解决 Docker 访问问题)
  • 添加WS-Discovery, SMB和所有通讯协议，及来源于240e:000::/32的允许规则(解决 Windows 的服务发现及 SMB 访问问题)
  • 添加管理用户接口(5001)和TCP通讯协议，及来源于所有的允许规则(解决外网访问问题)
  • 添加所有端口和所有通讯协议，及来源于所有的拒绝规则

Docker HTTP 服务

解决方案

• 控制面板/应用程序门户/反向代理服务器
• 新增代理反向服务器，让其支持 IPv6
• 来源配置
  • 使用HTTPS
  • 端口自定义
  • 启用 HSTS
  • 启用 HTTP/2
• 目的地配置
  • 端口使用 Docker 的 HTTP 服务端口

其它问题

• 外网无法访问群晖 Docker 的服务（需打开 Docker IPv6 的支持）