RDP 使用指北 - IPv6 的连接设置
本文受众:想让自己的电脑从全世界任何地方都能被连上还不想怎么花钱的勇士/莽夫
本文是 RDP 使用指北 的文章之一,有关更多信息,可以访问该分类。
本文仅供技术交流,请自行评估公网暴露风险
概述
安全警告
安全警报
关闭(或部分)防火墙意味着您将您的计算机暴露在公网中,务必确保您的系统已经安装了最新的补丁并且设置了强密码,并且打开了系统更新,并且您需要自行承担由此带来的风险。
你可以将电脑接入 Internet,但不建议这样做。 如果必须,请确保为电脑设置了强密码。 如果可以,最好使用 VPN。
请不要把你的网络设备放在公网上“裸奔”。
IPv6 公网地址
确认地址存在性
首先确认一下你的电脑是否有公网 IPv6 地址
Shell(命令提示符\PowerShell\PowerShell 7 任选) 运行命令
1 | ipconfig /all |
第一步是找到你的网络适配器,通常任务栏的网络菜单里就有
以太网适配器 (虚拟设备) Microsoft Network Interface Card Teaming Controller:
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Microsoft Network Adapter Multiplexor Driver
物理地址. . . . . . . . . . . . . : ██-██-██-██-██-██
DHCP 已启用 . . . . . . . . . . . : 否
自动配置已启用. . . . . . . . . . : 是
IPv6 地址 . . . . . . . . . . . . : 2409:████:████:████:████:████:████:████(首选)
本地链接 IPv6 地址. . . . . . . . : fe80::968d:be2d:4d2:████%13(首选)
IPv4 地址 . . . . . . . . . . . . : 192.168.1.89(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : fe80::1%13
192.168.1.1
DHCPv6 IAID . . . . . . . . . . . : ████████2
DHCPv6 客户端 DUID . . . . . . . : ██-██-██-██-██-██-██-██-██-██-██-██-██-8A
DNS 服务器 . . . . . . . . . . . : 2a07:a8c0::75:58eb
240c::6666
233.5.5.5
1.1.1.1
114.114.114.114
8.8.8.8
主 WINS 服务器 . . . . . . . . . : 192.168.1.1
TCPIP 上的 NetBIOS . . . . . . . : 已启用
一般而言,你的 IPv6 的前缀只要不是fe80或fd00,且是以2xxx或3xxx为前缀,那么应该是公网 IPv6 地址(全球单播地址, GUA),具体可以访问 IPv6 连接测试 ,如果网站显示的IPv6地址与你 ipconfig 中的 2xxx:xxxx 一致,那就是公网·真。
如果有临时 IPv6 地址,请在向公网暴露时优先使用它,该地址基于 RFC4941 不与设备绑定,且存在可控的生存时间,可以防止一定的开盒和攻击风险,建议使用 DDNS 来防止变动带来的影响。
开放路由器/光猫 IPv6
如果你已经有了 IPv6 地址,那么这一步便可以忽略了,请直接去往关闭防火墙。
如没有,你得参照下面的步骤好好看一下那出了问题,导致你没有跟上时代的步伐.
光猫
对于使用光猫拨号,如果你不知道你家谁在进行拨号上网,那么多半就是光猫毕竟光猫桥接占的是少数
将你的电脑用一根网线,插在光猫上,或者用无线局域网连接你的光猫WIFI(如有),再通过上面节的方法,检查是否存在 IPv6 地址,如果仍然没有,那么你可以考虑拨打一个五位数的电话号码,向他们告知情况。
如果这一步你的设备没有 IPv4 地址(或者为 169 开头),无法连接网络时,那么你的拨号设备应该是你的路由器,就不要找光猫了。
路由器
进入你的路由器管理后台,查找是否有 IPv6 的设置,如果有,把它打开,配置为 DHCPv6 或自动获取。如果没有,请检查你的路由器是否过旧,导致无法使用 IPv6,可以前往搜索引擎搜索你的路由器是否支持使用 IPv6。
如果你的路由器是拨号设备,若支持 IPv6,请检查你的 IPv6 拨号是否打开。
开放防火墙
如果你的路由器\设备上还有防火墙,记得修改配置使相关端口\程序可以进站。
关闭 ipv6Session
如果你还在使用运营商的集控光猫的话,很有可能绝对性的他们为了用户安全而打开了 IPv6 进站防火墙,该防火墙会阻止入站连接,导致从公网不能访问子网设备。
注:该配置在不同运营商/地区修改需权限都不同,有的普通用户即可取消,有的地方则需要超管才可以取消。
使用光猫的用户密码进入光猫后台,找到与下列字段有关的部分:
- 安全
- 防火墙
- 攻击保护
找到下面接近字符的布尔值配置项:
- Ipv6Spi
- ipv6session
- IPv6防火墙控制转发报文
- IPv6 SPI(状态包检测)
- IPv6 防火墙开关
- IPv6 会话防火墙
- IPv6 Session Firewall
不同品牌名称略有差异,如果找不到,可以搜索‘你的光猫型号 + 关闭 IPv6 防火墙’。
安全警告
关闭光猫 IPv6 入站防火墙后,你的所有内网设备的 IPv6 端口都将直接暴露在公网,建议再把路由器的高级防火墙改一改
建议同时在每台设备上开启操作系统自带防火墙。
请不要把你的网络设备放在公网上“裸奔”。
所以,打开你设备的防火墙,等级调高点,在路由器上使用更为详细/高级的防火墙而非过于通用(规则)的防火墙。例如使用 Windows 防火墙高级设置中的‘作用域。
把它取消掉,然后保存/应用配置
如果复选框被禁用,无法取消勾选,那么你可能需要(按实用排序):
- 尝试联系当地运维(如果你知道)(找他要管理密码,或者让他帮你开);
- 在网络上找一些旁门左道;
- 烽火光猫不要超密不改桥接的前提下关闭 ipv6 防火墙 - 燕十七;
- 尝试自己找出光猫的超管密码并以更高权限取消防火墙;
- 换个光调制解调器,比如把光纤直接用猫棒杵在你的软路由上,让软路由拨号;
- 尝试请求安装师傅并给安装师傅一点东西;
- 尝试拨打一个五位数的电话号码(最没用);
降低防火墙等级
如果你在下面的节无法连通你的网络设备,就需要考虑修改防火墙等级。
你应该可以在光猫配置中找到和防火墙有关的防护等级设置,把它调整为 中 或 低。
测试公网连通性
随便到网络上找一个靠谱的全国 IPv6 PING 测试,搜索 IPv6 PING - 搜索
将你的 IPv6 地址填入,点击测试,如果全红/超时,那么你需要看看你的地址填错没有,再去看看你的防火墙是否开放
如果一片绿/两位数的延迟,那么恭喜你,你的电脑在 IPv6 网络上,已经可以从世界上各个国家/地区访问了。
如果 ping 不通,可以尝试在另外一台异局域网设备运行下面的命令来测试端口连通性
1 | Test-NetConnection -ComputerName <你的IPv6地址> -Port 3389 |
System32 Test-NetConnection -ComputerName 2409:████:███:████:████:████:████:████ -Port 3389
ComputerName : 2409:████:███:████:████:████:████:████
RemoteAddress : 2409:████:███:████:████:████:████:████
RemotePort : 3389
InterfaceAlias : (虚拟设备) Microsoft Network Interface Card Teaming Controller
SourceAddress : 2409:████:███:████:████:████:████:████
TcpTestSucceeded : True
Administrator System32
TcpTestSucceeded 为 True 便代表联通成功。
有的地方没有 IPv6 ,就很烦。
注:如果觉得 IPv6 地址变动/不易记,可以考虑使用DDNS(动态域名解析)
参考文章
