Tplink路由器TL-ER6120T的ipv6防火墙问题

zhgna

最近更新了家里的网络设备，买了tplink路由器TL-ER6120T。小白第一次用企业款，要自己从头配置，折腾了好久才基本搞定。使用下来感觉比原来的5408PE要强一些，两条宽带也终于能跑满速了。
现在遇到的问题是，TL-ER6120T带有ipv6的防火墙，有开关选项。关闭防火墙，测试ipv6连接正常，若打开防火墙，ipv6测试就失败。但是，p2p下载时，不管开或关防火墙，都能连上其它ipv6的用户，也有上下传速度，说明入站连接又是ok的。
ipv6防火墙除了开关外，找不到其它配置菜单，那这个防火墙该是关掉还是开着呢？关掉有风险吗？出厂缺省是关的。

ssl0008

关掉以后家里所有的windows电脑的3389端口都在暴露公网，时间一久必中勒索病毒

编辑：tp企业路由器的ipv6防火墙不能配置策略，但可以选端口，根据你的描述，端口你选反了...

zhgna

ssl0008 发表于 2024-2-29 18:31
关掉以后家里所有的windows电脑的3389端口都在暴露公网，时间一久必中勒索病毒

编辑：tp企业路由器的ipv6 ...

这么严重啊，路由器上没做3389端口映射也会暴露公网上吗？
但是打开ipv6防火墙，测试就如图，等于路由器没启用ipv6。

zhgna

ssl0008 发表于 2024-2-29 18:31
关掉以后家里所有的windows电脑的3389端口都在暴露公网，时间一久必中勒索病毒

编辑：tp企业路由器的ipv6 ...

那很有可能的。小白第一次配置，又没说明书，只能按自己想当然也搞，麻烦你看看ipv6防火墙选的接口对不对？

TWSzzz

把防火墙开着好了，防火墙实际并不影响IPV6的通信，只是测试通不过罢了
CMD PING一下百度能PING到V6地址就没问题

ssl0008

wan不行就选lan，试一下是否电脑能ipv6test，手机用流量ping不通电脑v6地址
ipv6里没有nat、upnp、端口转发，为什么？因为子网里每一个v6设备都会有一个公网ip。

zhgna

TWSzzz 发表于 2024-2-29 20:56
把防火墙开着好了，防火墙实际并不影响IPV6的通信，只是测试通不过罢了
CMD PING一下百度能PING到V6地址就 ...

谢谢，这样的话就不去折腾了，我看bt下载时是能连到其它ipv6的peers。
ping了下百度，v6地址是有显示，但ping不通。其它几个v6网站地址也一样不通。

zhgna

ssl0008 发表于 2024-3-1 10:30
wan不行就选lan，试一下是否电脑能ipv6test，手机用流量ping不通电脑v6地址
ipv6里没有nat、upnp、端口转发 ...

谢谢，我试试看改其它接口会怎样。
说到端口映射，路由器上却有个ipv6的端口选项，但感觉没法设置，因为终端的ipv6地址是isp动态分发的，没法绑定的。不知它这个配置是怎么用的。

BH1PXK

ipv6的 icmpv6 防火墙要放通的 。如果禁止了 可能造成ipv6网络问题。

BH1PXK

如果配置好了 是可以ping通的。 我也是前几天才开的ipv6 防火墙， 只留了几个端口 其他都屏蔽了。 icmpv6是放通所有的，没有限制。

小希来啦

看了一轮下来感觉就是你设置问题，建议你将目前的端口信息、防火墙配置都截图出来，不然真的答不了你的疑问。

BH1PXK

小希来啦 发表于 2024-3-1 14:33
看了一轮下来感觉就是你设置问题，建议你将目前的端口信息、防火墙配置都截图出来，不然真的答不了你的疑问 ...

估计最大可能性是防火墙拦截了icmpv6协议。

zhgna

BH1PXK 发表于 2024-3-1 14:18
如果配置好了 是可以ping通的。 我也是前几天才开的ipv6 防火墙， 只留了几个端口 其他都屏蔽了。 icmpv6是 ...

第一次上手，对防火墙配置一头雾水，请指点一下哦。
原先设置ipv6防火墙的接口是wan，网站测试不过，也ping不通外网，但内网v6都没问题。
现在把ipv6防火墙的接口改成lan，测试正常，百度v6也ping通了。ICMP似乎不通，路由器上找不到ICMPv6。
但不知这两者接口设置有什么区别，作用又是什么？
至于开放端口，如8楼所说，不知该如何配置。

BH1PXK

ICMPv6（Internet Control Message Protocol for the Internet Protocol Version 6）是IPv6的基础协议之一，具有差错报文和信息报文两种，用于IPv6节点报告报文处理过程中的错误和信息。

icmpv6 是用来协商pmtu 之类的信息的。 如果不通 。因为ipv6链路中间不能分片。 可能会造成数据丢失，上网卡顿之类的。
原则上 防火墙 应该绑定在wan口的 。wan1 和wan2 .
你那个设置点开看看 ，有没有对应的协议。 看看能不那写防火墙规则的。 如果有 找到icmpv6 协议放通就行了。

zhgna

小希来啦 发表于 2024-3-1 14:33
看了一轮下来感觉就是你设置问题，建议你将目前的端口信息、防火墙配置都截图出来，不然真的答不了你的疑问 ...

谢谢！现在设置里能找到的与ipv6防火墙相关的就两个地方：
一是防火墙开关，这里有接口的选项，感觉应该选入口wan，但这样的话，ipv6测试就不通的。若选lan，ipv6测试是通的。选wan或选lan不知是有啥差别，各意味做什么？


其次，端口映射里面也有ipv6，但因为ipv6地址是isp动态分发的，一直在变，不知端口该如何与v6地址绑定？（下图）


除此之外，还没找到与v6防火墙相关的设置。

zhgna

BH1PXK 发表于 2024-3-1 14:51
ICMPv6（Internet Control Message Protocol for the Internet Protocol Version 6）是IPv6的基础协议之一 ...

感谢！那个设置只是相当于确认按钮，没有菜单的。

BH1PXK

zhgna 发表于 2024-3-1 14:44
第一次上手，对防火墙配置一头雾水，请指点一下哦。
原先设置ipv6防火墙的接口是wan，网站测试不过，也pi ...

我去tp的网站看了一眼， 好像没有ipv6相关配置的信息。  不知道能不那进命令行配置的。。
我手头用的华为的企业路由器 ，他家的文档比较详细， 我在那边看的教程的。  原理上是一样的， 具体怎么实现 ，要看设备了 。不行打tp的客服电话问下吧。

BH1PXK

zhgna 发表于 2024-3-1 14:54
感谢！那个设置只是相当于确认按钮，没有菜单的。

那就只能用设备自己的防火墙了。 我之前的路由器配置了ipv4防火墙 没有配置ipv6的 一直处于裸奔状态， 前几天才发现了。 幸亏当时nas没有配置ipv6地址。

zhgna

嗯嗯，谢谢兄弟！我等下咨询tp客服看看，不过用tp产品很多年了，感觉期望客服还不如chh。
刚上tp官网看了一下，原来ipv6防火墙是最新固件才添加上去，看来还是新鲜版本。

小希来啦

zhgna 发表于 2024-3-1 14:52
谢谢！现在设置里能找到的与ipv6防火墙相关的就两个地方：
一是防火墙开关，这里有接口的选项，感觉应该 ...

选LAN不对吧，感觉你选LAN能连上应该是防火墙失效了才上去的

小希来啦

防火墙开关打开后没有设置规则的地方吗，我建议你仔细找找菜单有没有

nn1122

小希来啦 发表于 2024-3-1 16:23
选LAN不对吧，感觉你选LAN能连上应该是防火墙失效了才上去的

事实上就是选LAN才对，因为获取V6的各类终端都是通过接口LAN下发的

nn1122

我之前测试了，选择LAN接口，能阻止具有V6地址的各类终端设备的入站请求，任何端口和协议包括ICMP（ping）协议都会被阻断，但是出站也就对外访问不受任何影响

zhgna

nn1122 发表于 2024-3-1 16:36
我之前测试了，选择LAN接口，能阻止具有V6地址的各类终端设备的入站请求，任何端口和协议包括ICMP（ping） ...

你说的应该是对的，我试了下的情况是：
1、防火墙选wan，v6测试网站显示失败，外网v6地址ping不通，外网访问网内群晖nas成功，网内v6之间全通。p2p下载能连上其它v6用户。
2、防火墙选lan，v6测试网站显示成功，外网v6地址ping的通，外网访问网内群晖nas失败，网内v6之间全通。p2p下载能连上其它v6用户。
因此，感觉还是应该选wan接口。

Theslayer

我的2260t至今没搞明白怎么获取ipv6

saga

Theslayer 发表于 2024-3-1 18:32
我的2260t至今没搞明白怎么获取ipv6

我记得用快速配置的时候勾选v6可以自动生成配置

Theslayer

saga 发表于 2024-3-1 22:13
我记得用快速配置的时候勾选v6可以自动生成配置

中间还有一台5008f不知道有没有关系？

jim9606

测试下内外网ICMPv6是不是都正常工作就是了，可能LAN开启防火墙就是预期设置。

另外我觉得头痛的是企业网络设备好像都不怎么考虑支持RA/SLAAC自动配置那套，很多东西差不多是静态配置才能用的意思，例如好像没法给V.PN网段配GUA前缀。

saga

Theslayer 发表于 2024-3-2 00:36
中间还有一台5008f不知道有没有关系？

跟中间交换机没关系的，2260t口太少了，后面肯定要接交换机的

https://www.bilibili.com/read/cv21623874/

可以参考这篇帖子后面ipv6的手动配置
主要是三步：1，wan口开启复用v4拨号获得v6；2，Lan网桥开启v6；3、dhcp开启v6分配

zhgna

Theslayer 发表于 2024-3-1 18:32
我的2260t至今没搞明白怎么获取ipv6

ipv6设置不复杂的，tp家各款企业路由的设置大同小异，就是pppoe以及lan的桥接和hdcp项下配置一下。
若hdcpv6获取不到地址，可以试试slaac。