/tag/ipv6

新装的电信宽带，300m 的，自动升级到了 500m 。 和 chatgpt debug 两天也不行，最后得出的结论是可能光猫有防火墙，或者运营商做了 ipv6 入站拦截。我个人比较倾向是光猫有防火墙。 ipconfig 显示是有公网 ipv6 地址的，手机连 5g 也能 ping 通，但是 wire guard 死活不通，跑的 80 、8080 端口的服务也都进不来，没有任何流量。 我现在严重怀疑是光猫防火墙的问题，我记得几年前也装过宽带，光猫里可以开启和关闭防火墙，但是现在这个光猫设置页面没有防火墙的选项了。 去网上查说要超管账号，但是我试了几个都不行。没招了。 光猫设备： 设备类型 GPON 天翼网关(双频 WiFi6) 产品型号 HS8145X6-10 下面是几个测试的结果。 测试 结果 手机 IPv6 测试 10/10 手机 Ping 电脑 IPv6 成功 电脑本机 curl localhost:80/8080 成功 电脑本机 curl 自己 IPv6:80/8080 成功 Python 服务监听 正常 Windows 防火墙关闭 仍失败 WireGuard UDP 无握手 HTTP 80 失败 HTTP 8080 失败 其实没有特别的需求要用 ipv6 ，平时远程也有云主机。但是有公网 ipv6 还是想用一下，这不比我腾讯云 5m 的小水管快多了么。 现在主要是卡在设置不了光猫的防火墙，没有超管账号。验证不了是不是光猫防火墙的问题。 然后其实也没什么思路，如果不是光猫防火墙的问题，还能是什么呢。 补一下光猫的设置页面： https://i.imgur.com/EUJIxe1.png https://i.imgur.com/lLqtJky.png https://i.imgur.com/McGeSnl.png https://i.imgur.com/X2kbAhZ.png https://i.imgur.com/oyEmvKs.png helphelphelphelphelphelphelp

新装的电信宽带，300m 的，自动升级到了 500m 。 和 chatgpt debug 两天也不行，最后得出的结论是可能光猫有防火墙，或者运营商做了 ipv6 入站拦截。我个人比较倾向是光猫有防火墙。 ipconfig 显示是有公网 ipv6 地址的，手机连 5g 也能 ping 通，但是 wire guard 死活不通，跑的 80 、8080 端口的服务也都进不来，没有任何流量。 我现在严重怀疑是光猫防火墙的问题，我记得几年前也装过宽带，光猫里可以开启和关闭防火墙，但是现在这个光猫设置页面没有防火墙的选项了。 去网上查说要超管账号，但是我试了几个都不行。没招了。 光猫设备： 设备类型 GPON 天翼网关(双频 WiFi6) 产品型号 HS8145X6-10 下面是几个测试的结果。 测试 结果 手机 IPv6 测试 10/10 手机 Ping 电脑 IPv6 成功 电脑本机 curl localhost:80/8080 成功 电脑本机 curl 自己 IPv6:80/8080 成功 Python 服务监听 正常 Windows 防火墙关闭 仍失败 WireGuard UDP 无握手 HTTP 80 失败 HTTP 8080 失败 其实没有特别的需求要用 ipv6 ，平时远程也有云主机。但是有公网 ipv6 还是想用一下，这不比我腾讯云 5m 的小水管快多了么。 现在主要是卡在设置不了光猫的防火墙，没有超管账号。验证不了是不是光猫防火墙的问题。 然后其实也没什么思路，如果不是光猫防火墙的问题，还能是什么呢。 补一下光猫的设置页面： https://i.imgur.com/EUJIxe1.png https://i.imgur.com/lLqtJky.png https://i.imgur.com/McGeSnl.png https://i.imgur.com/X2kbAhZ.png https://i.imgur.com/oyEmvKs.png helphelphelphelphelphelphelp

新装的电信宽带，300m 的，自动升级到了 500m 。 和 chatgpt debug 两天也不行，最后得出的结论是可能光猫有防火墙，或者运营商做了 ipv6 入站拦截。我个人比较倾向是光猫有防火墙。 ipconfig 显示是有公网 ipv6 地址的，手机连 5g 也能 ping 通，但是 wire guard 死活不通，跑的 80 、8080 端口的服务也都进不来，没有任何流量。 我现在严重怀疑是光猫防火墙的问题，我记得几年前也装过宽带，光猫里可以开启和关闭防火墙，但是现在这个光猫设置页面没有防火墙的选项了。 去网上查说要超管账号，但是我试了几个都不行。没招了。 光猫设备： 设备类型 GPON 天翼网关(双频 WiFi6) 产品型号 HS8145X6-10 下面是几个测试的结果。 测试 结果 手机 IPv6 测试 10/10 手机 Ping 电脑 IPv6 成功 电脑本机 curl localhost:80/8080 成功 电脑本机 curl 自己 IPv6:80/8080 成功 Python 服务监听 正常 Windows 防火墙关闭 仍失败 WireGuard UDP 无握手 HTTP 80 失败 HTTP 8080 失败 其实没有特别的需求要用 ipv6 ，平时远程也有云主机。但是有公网 ipv6 还是想用一下，这不比我腾讯云 5m 的小水管快多了么。 现在主要是卡在设置不了光猫的防火墙，没有超管账号。验证不了是不是光猫防火墙的问题。 然后其实也没什么思路，如果不是光猫防火墙的问题，还能是什么呢。 补一下光猫的设置页面： https://i.imgur.com/EUJIxe1.png https://i.imgur.com/lLqtJky.png https://i.imgur.com/McGeSnl.png https://i.imgur.com/X2kbAhZ.png https://i.imgur.com/oyEmvKs.png helphelphelphelphelphelphelp

新装的电信宽带，300m 的，自动升级到了 500m 。 和 chatgpt debug 两天也不行，最后得出的结论是可能光猫有防火墙，或者运营商做了 ipv6 入站拦截。我个人比较倾向是光猫有防火墙。 ipconfig 显示是有公网 ipv6 地址的，手机连 5g 也能 ping 通，但是 wire guard 死活不通，跑的 80 、8080 端口的服务也都进不来，没有任何流量。 我现在严重怀疑是光猫防火墙的问题，我记得几年前也装过宽带，光猫里可以开启和关闭防火墙，但是现在这个光猫设置页面没有防火墙的选项了。 去网上查说要超管账号，但是我试了几个都不行。没招了。 光猫设备： 设备类型 GPON 天翼网关(双频 WiFi6) 产品型号 HS8145X6-10 下面是几个测试的结果。 测试 结果 手机 IPv6 测试 10/10 手机 Ping 电脑 IPv6 成功 电脑本机 curl localhost:80/8080 成功 电脑本机 curl 自己 IPv6:80/8080 成功 Python 服务监听 正常 Windows 防火墙关闭 仍失败 WireGuard UDP 无握手 HTTP 80 失败 HTTP 8080 失败 其实没有特别的需求要用 ipv6 ，平时远程也有云主机。但是有公网 ipv6 还是想用一下，这不比我腾讯云 5m 的小水管快多了么。 现在主要是卡在设置不了光猫的防火墙，没有超管账号。验证不了是不是光猫防火墙的问题。 然后其实也没什么思路，如果不是光猫防火墙的问题，还能是什么呢。 补一下光猫的设置页面： https://i.imgur.com/EUJIxe1.png https://i.imgur.com/lLqtJky.png https://i.imgur.com/McGeSnl.png https://i.imgur.com/X2kbAhZ.png https://i.imgur.com/oyEmvKs.png helphelphelphelphelphelphelp

新装的电信宽带，300m 的，自动升级到了 500m 。 和 chatgpt debug 两天也不行，最后得出的结论是可能光猫有防火墙，或者运营商做了 ipv6 入站拦截。我个人比较倾向是光猫有防火墙。 ipconfig 显示是有公网 ipv6 地址的，手机连 5g 也能 ping 通，但是 wire guard 死活不通，跑的 80 、8080 端口的服务也都进不来，没有任何流量。 我现在严重怀疑是光猫防火墙的问题，我记得几年前也装过宽带，光猫里可以开启和关闭防火墙，但是现在这个光猫设置页面没有防火墙的选项了。 去网上查说要超管账号，但是我试了几个都不行。没招了。 光猫设备： 设备类型 GPON 天翼网关(双频 WiFi6) 产品型号 HS8145X6-10 下面是几个测试的结果。 测试 结果 手机 IPv6 测试 10/10 手机 Ping 电脑 IPv6 成功 电脑本机 curl localhost:80/8080 成功 电脑本机 curl 自己 IPv6:80/8080 成功 Python 服务监听 正常 Windows 防火墙关闭 仍失败 WireGuard UDP 无握手 HTTP 80 失败 HTTP 8080 失败 其实没有特别的需求要用 ipv6 ，平时远程也有云主机。但是有公网 ipv6 还是想用一下，这不比我腾讯云 5m 的小水管快多了么。 helphelphelphelphelphelphelp

除了把 HomePod 放到 IoT VLAN ，还有什么更优雅的解决方案吗？

除了把 HomePod 放到 IoT VLAN ，还有什么更优雅的解决方案吗？

除了把 HomePod 放到 IoT VLAN ，还有什么更优雅的解决方案吗？

除了把 HomePod 放到 IoT VLAN ，还有什么更优雅的解决方案吗？

除了把 HomePod 放到 IoT VLAN ，还有什么更优雅的解决方案吗？

除了把 HomePod 放到 IoT VLAN ，还有什么更优雅的解决方案吗？

求助佬们，我想写一个ipv6远程唤醒的app，家里网络通过 test-ipv6.com 测试通过的。手机也是通过的， 手机纯5G网络 往家里ipv6发送唤醒魔法包，为啥电脑无法唤醒呢？ 路由器的防火墙我已经关闭了。 内网wol唤醒是没有问题的，通过测试的。 对了，我发帖之前搜索过ipv6相关的，没有答案，所以才发帖的。 12 个帖子 - 9 位参与者 阅读完整话题

上周开始家里的移动ipv6突然抽风了，往外和往内双向都能ping通，然后手机用移动流量也能访问家里的ipv6。但是ipv6 test以及公网的ipv6地址都访问不了，从教育网往家里的ipv6访问也不行了。打运营商电话也不管用，说要后台查。 6 个帖子 - 4 位参与者 阅读完整话题

如果接入分配的内网 IPv4 ，由于 CGNAT 所以会有最大连接数限制。但如果是公网 IPv6 的话，因为不存在 CGNAT 了，是不是运营商那头就没有连接数限制了（假定内网设备性能支持）？

如果接入分配的内网 IPv4 ，由于 CGNAT 所以会有最大连接数限制。但如果是公网 IPv6 的话，因为不存在 CGNAT 了，是不是运营商那头就没有连接数限制了（假定内网设备性能支持）？

如果接入分配的内网 IPv4 ，由于 CGNAT 所以会有最大连接数限制。但如果是公网 IPv6 的话，因为不存在 CGNAT 了，是不是运营商那头就没有连接数限制了（假定内网设备性能支持）？

如果接入分配的内网 IPv4 ，由于 CGNAT 所以会有最大连接数限制。但如果是公网 IPv6 的话，因为不存在 CGNAT 了，是不是运营商那头就没有连接数限制了（假定内网设备性能支持）？

Clash Meta 在普通 Linux 上通过 IPv6 RA 实现无侵入旁路由 原版 Clash Meta 运行在普通 Linux （非 OpenWrt 路由器）上时，可以开启 TUN 作为旁路由使用。 但如果想要在不侵入主路由的情况下，接管指定设备，在 IPv4 和 IPv6 下会分别遇到不同的协议问题。 IPv4 与 IPv6 的差异 IPv4：DHCP 独占问题 在 IPv4 下，地址分配通常依赖 DHCP 。 DHCP 协议在同一个子网内通常只能存在一个 DHCP Server 。如果强行设置两个 DHCP Server ，最终会变成“谁回复快谁生效”的抢答游戏，容易导致网关、DNS 、地址池混乱。 IPv6：RA 可控性更好 在 IPv6 下，地址分配、路由宣告和 DNS 宣告主要通过 ICMPv6 Router Advertisement （ RA ）完成。 RA 可以指定： 默认路由优先级 默认路由生存时间 DNS 服务器 DNS 生存时间 因此，通过控制 RA 的优先级和生存时间，可以实现不侵入主路由的旁路由接管。 IPv4 仍然存在的问题 IPv4 侧仍然存在 DHCP 无法无侵入接管的问题。 不过好消息是，现在大部分设备，例如 Windows 和 Android ，会优先使用 IPv6 DNS ，并优先解析 IPv6 地址进行外呼。 因此，在接管 IPv6 之后，实测 Android 体验几乎等同于 VPN Service 并且部分场景优于，比如不会被各类金融 APP 检测到代理强制退出。 技术实现细节 ICMPv6 Router Advertisement 协议 IPv6 使用 ICMPv6 替代了 IPv4 中的 ARP ，以及部分 DHCP 功能。 RA （ Router Advertisement ）是 ICMPv6 Type 134 报文，由路由器定期组播发送到： ff02::1 即所有节点地址。 当路由器收到主机发送的 RS （ Router Solicitation ，Type 133 ）时，也会立即响应 RA 。 RA 报文核心字段 字段 长度 含义 Router Lifetime 2 字节 宣告自身作为默认路由的有效期，单位为秒；设为 0 表示撤销 Preference 2 位 路由优先级： 01 = high ， 00 = medium ， 11 = low Current Hop Limit 1 字节 后续发往互联网的报文使用的默认 Hop Limit RA Option 字段 RA 还可以通过 Option 字段携带附加信息： Option 类型 编号 作用 Source Link-Layer Address 1 发送方 MAC 地址 MTU 5 建议链路 MTU RDNSS 25 递归 DNS 服务器地址 优先级与生存时间的协同控制 这是实现旁路由无侵入接入的关键。 假设： 设备 Preference Lifetime 旁路由 high 180 秒 主路由 medium 1800 秒 此时流程如下： 客户端收到两个路由器的 RA 。 客户端优先选择 preference = high 的旁路由作为默认网关。 即使旁路由下线，主路由的 RA 依然有效。 如果旁路由正常退出，会发送 lifetime = 0 的撤销报文。 客户端收到撤销报文后，会立即回切到主路由。 RDNSS：DNS 服务器宣告 RDNSS 是 IPv6 旁路由接管中的关键设计。 RA 报文中的 RDNSS Option （ Type 25 ）可以携带一个或多个 DNS 服务器地址。 与 IPv4 DHCP 不同，RDNSS 与地址分配解耦。旁路由无需参与地址分配，只需要宣告 DNS 即可。 RDNSS Option 格式： Type: 8 bits ，值为 25 Length: 8 bits ，单位为 8 字节，计算方式为 1 + 2 * address_count Lifetime: 32 bits ，单位为秒 Addresses: 可变长度，一个或多个 IPv6 地址 Windows 10+ 和 Android 系统会优先使用通过 RDNSS 获取的 DNS 服务器，且优先级通常高于 DHCPv4 分配的 DNS 。 因此实际效果是： IPv4 不经过旁路由，DHCP 仍由主路由负责。 IPv6 DNS 解析通过旁路由。 DNS 请求进入旁路由后，可按 Clash 规则转发或直连。 业务流量在 IPv4 下仍走主路由默认网关。 业务流量在 IPv6 下，如果旁路由 RA 优先级为 high ，则走旁路由。 实测 Android：由于大部分 App 会优先通过 IPv6 进行外呼，即使 IPv4 回退，也能正常解析和访问，用户体验基本不受影响。 内核预备条件 Linux 内核默认不会主动发送 RA ，需要启用 IPv6 转发。 代码中可以通过写入 sysctl 控制文件实现： func enableIPv6Forwarding(ifName string) { writeSysctl("/proc/sys/net/ipv6/conf/all/forwarding", "1") writeSysctl("/proc/sys/net/ipv6/conf/eth0/forwarding", "1") writeSysctl("/proc/sys/net/ipv6/conf/eth0/accept_ra", "2") } 含义如下： 配置项 作用 conf/all/forwarding = 1 启用全局 IPv6 转发，是内核允许发送 RA 的前提 conf/eth0/forwarding = 1 在目标接口上启用 IPv6 转发 conf/eth0/accept_ra = 2 即使启用了转发，仍然接受其他路由器的 RA 其中， accept_ra = 2 很关键。它可以确保旁路由本身仍然能从主路由获取 IPv6 路由。 RA 数据包构造 RA 报文可以直接在内存中构造为字节数组，无需依赖外部库。 func buildRouterAdvertisement( iface *net.Interface, preference byte, lifetime uint16, dnsServers []net.IP, dnsLifetime uint32, ) []byte { packet := make([]byte, 16, 32) packet[0] = icmpv6RouterAdvertisement // Type = 134 packet[4] = raDefaultCurrentHopLimit // Hop Limit = 64 packet[5] = preference // 路由优先级 binary.BigEndian.PutUint16(packet[6:8], lifetime) // Source Link-Layer Address Option if len(iface.HardwareAddr) == 6 { packet = append(packet, 1, 1) // Type = 1, Length = 1 packet = append(packet, iface.HardwareAddr...) } // MTU Option if iface.MTU > 0 { // Type = 5, Length = 1, MTU value } // RDNSS Option if len(dnsServers) > 0 { packet = append(packet, buildRDNSSOption(dnsServers, dnsLifetime)...) } return packet } RDNSS 的 lifetime 可以设置为 router lifetime 的 3 倍： advertisement := buildRouterAdvertisement( iface, preference, lifetime, []net.IP{src}, uint32(lifetime)*raRDNSSLifetimeMultiplier, ) // raRDNSSLifetimeMultiplier = 3 这样即使路由宣告过期，DNS 信息仍然可以维持一段时间，避免 DNS 抖动。 主动刷新与被动响应 func (r *routerAdvertiser) loop() { ticker := time.NewTicker(r.interval) // 默认 30s // 监听 RS 请求 go func() { for { n, cm, _, err := r.packetConn.ReadFrom(buf) if err != nil { return } if n > 0 && buf[0] == icmpv6RouterSolicitation { r.send(r.advertisement) } _ = cm } }() // 定期发送 RA for { select { case <-ticker.C: r.send(r.advertisement) case <-r.done: return } } } 工作机制： 定时器每 30 秒发送一次 RA 。 goroutine 监听 RS 请求。 收到 RS 后立即回复 RA 。 新设备接入网络时发送 RS ，旁路由立即响应。 因此，新设备几乎可以立即感知到旁路由的存在。 优雅退出 Clash Meta 关闭时，可以发送 3 次 lifetime = 0 的撤销 RA： func (r *routerAdvertiser) Close() error { r.closeOnce.Do(func() { close(r.done) for i := 0; i < 3; i++ { r.send(r.withdraw) time.Sleep(100 * time.Millisecond) } r.rawConn.Close() }) return nil } 这会通知所有客户端：该路由器已经不可用。 客户端随后会自动回切到主路由。 这正是“不侵入”的关键：不修改主路由配置，也不破坏现有网络拓扑。 配置方式 在 Clash Meta 的 TUN 配置段中启用： tun: enable: true stack: mixed router-advertise: enable: true interface: eth0 default-preference: high default-lifetime: 180 interval: 30 字段说明： 配置项 含义 enable 是否启用 TUN stack TUN 使用的网络栈 router-advertise.enable 是否启用 RA 宣告 router-advertise.interface 发送 RA 的物理接口 router-advertise.default-preference 默认路由优先级，可选 high 、 medium 、 low router-advertise.default-lifetime 默认路由 lifetime ，单位为秒 router-advertise.interval RA 发送间隔，单位为秒 实测验证 在同一广播域内抓包，可以看到旁路由定时发出的 RA： fe80::xxxx:xxxx:xxxx:xxxx > ff02::1: ICMPv6 Router Advertisement hop limit 64, Flags [none], pref high router lifetime 180s source link-address option: xx:xx:xx:xx:xx:xx mtu option: 1500 rdnss option, lifetime 540s, addr: fe80::xxxx:xxxx:xxxx:xxxx 也可以主动发送 RS 触发 RA 响应： python3 -c " import socket import struct sock = socket.socket(socket.AF_INET6, socket.SOCK_RAW, socket.IPPROTO_ICMPV6) sock.setsockopt(socket.IPPROTO_IPV6, socket.IPV6_MULTICAST_HOPS, 255) rs = struct.pack('!BBHI', 133, 0, 0, 0) sock.sendto(rs, ('ff02::2', 0)) " 抓包验证： tcpdump -i eth0 -vv -n 'icmp6 && ip6[40] == 134' 如果能够看到旁路由立即返回 RA ，即说明“新设备无感接入”能力生效。 总结 通过 IPv6 RA 实现旁路由接管的核心思路是： 不接管 IPv4 DHCP ，避免与主路由冲突。 通过 IPv6 RA 宣告更高优先级的默认路由。 通过 RDNSS 宣告旁路由自身作为 DNS 。 正常运行时以较短周期刷新 RA 。 退出时发送 lifetime = 0 的撤销 RA 。 主路由始终保留较长 lifetime ，确保旁路由异常时客户端可自动回切。 这种方式可以在不修改主路由配置的情况下，实现对支持 IPv6 设备的无侵入旁路由接管。 代码在这直接 patch 到 clash meta 就能运行 ra-feature.patch

Clash Meta 在普通 Linux 上通过 IPv6 RA 实现无侵入旁路由 原版 Clash Meta 运行在普通 Linux （非 OpenWrt 路由器）上时，可以开启 TUN 作为旁路由使用。 但如果想要在不侵入主路由的情况下，接管指定设备，在 IPv4 和 IPv6 下会分别遇到不同的协议问题。 IPv4 与 IPv6 的差异 IPv4：DHCP 独占问题 在 IPv4 下，地址分配通常依赖 DHCP 。 DHCP 协议在同一个子网内通常只能存在一个 DHCP Server 。如果强行设置两个 DHCP Server ，最终会变成“谁回复快谁生效”的抢答游戏，容易导致网关、DNS 、地址池混乱。 IPv6：RA 可控性更好 在 IPv6 下，地址分配、路由宣告和 DNS 宣告主要通过 ICMPv6 Router Advertisement （ RA ）完成。 RA 可以指定： 默认路由优先级 默认路由生存时间 DNS 服务器 DNS 生存时间 因此，通过控制 RA 的优先级和生存时间，可以实现不侵入主路由的旁路由接管。 IPv4 仍然存在的问题 IPv4 侧仍然存在 DHCP 无法无侵入接管的问题。 不过好消息是，现在大部分设备，例如 Windows 和 Android ，会优先使用 IPv6 DNS ，并优先解析 IPv6 地址进行外呼。 因此，在接管 IPv6 之后，实测 Android 体验几乎等同于 VPN Service 并且部分场景优于，比如不会被各类金融 APP 检测到代理强制退出。 技术实现细节 ICMPv6 Router Advertisement 协议 IPv6 使用 ICMPv6 替代了 IPv4 中的 ARP ，以及部分 DHCP 功能。 RA （ Router Advertisement ）是 ICMPv6 Type 134 报文，由路由器定期组播发送到： ff02::1 即所有节点地址。 当路由器收到主机发送的 RS （ Router Solicitation ，Type 133 ）时，也会立即响应 RA 。 RA 报文核心字段 字段 长度 含义 Router Lifetime 2 字节 宣告自身作为默认路由的有效期，单位为秒；设为 0 表示撤销 Preference 2 位 路由优先级： 01 = high ， 00 = medium ， 11 = low Current Hop Limit 1 字节 后续发往互联网的报文使用的默认 Hop Limit RA Option 字段 RA 还可以通过 Option 字段携带附加信息： Option 类型 编号 作用 Source Link-Layer Address 1 发送方 MAC 地址 MTU 5 建议链路 MTU RDNSS 25 递归 DNS 服务器地址 优先级与生存时间的协同控制 这是实现旁路由无侵入接入的关键。 假设： 设备 Preference Lifetime 旁路由 high 180 秒 主路由 medium 1800 秒 此时流程如下： 客户端收到两个路由器的 RA 。 客户端优先选择 preference = high 的旁路由作为默认网关。 即使旁路由下线，主路由的 RA 依然有效。 如果旁路由正常退出，会发送 lifetime = 0 的撤销报文。 客户端收到撤销报文后，会立即回切到主路由。 RDNSS：DNS 服务器宣告 RDNSS 是 IPv6 旁路由接管中的关键设计。 RA 报文中的 RDNSS Option （ Type 25 ）可以携带一个或多个 DNS 服务器地址。 与 IPv4 DHCP 不同，RDNSS 与地址分配解耦。旁路由无需参与地址分配，只需要宣告 DNS 即可。 RDNSS Option 格式： Type: 8 bits ，值为 25 Length: 8 bits ，单位为 8 字节，计算方式为 1 + 2 * address_count Lifetime: 32 bits ，单位为秒 Addresses: 可变长度，一个或多个 IPv6 地址 Windows 10+ 和 Android 系统会优先使用通过 RDNSS 获取的 DNS 服务器，且优先级通常高于 DHCPv4 分配的 DNS 。 因此实际效果是： IPv4 不经过旁路由，DHCP 仍由主路由负责。 IPv6 DNS 解析通过旁路由。 DNS 请求进入旁路由后，可按 Clash 规则转发或直连。 业务流量在 IPv4 下仍走主路由默认网关。 业务流量在 IPv6 下，如果旁路由 RA 优先级为 high ，则走旁路由。 实测 Android：由于大部分 App 会优先通过 IPv6 进行外呼，即使 IPv4 回退，也能正常解析和访问，用户体验基本不受影响。 内核预备条件 Linux 内核默认不会主动发送 RA ，需要启用 IPv6 转发。 代码中可以通过写入 sysctl 控制文件实现： func enableIPv6Forwarding(ifName string) { writeSysctl("/proc/sys/net/ipv6/conf/all/forwarding", "1") writeSysctl("/proc/sys/net/ipv6/conf/eth0/forwarding", "1") writeSysctl("/proc/sys/net/ipv6/conf/eth0/accept_ra", "2") } 含义如下： 配置项 作用 conf/all/forwarding = 1 启用全局 IPv6 转发，是内核允许发送 RA 的前提 conf/eth0/forwarding = 1 在目标接口上启用 IPv6 转发 conf/eth0/accept_ra = 2 即使启用了转发，仍然接受其他路由器的 RA 其中， accept_ra = 2 很关键。它可以确保旁路由本身仍然能从主路由获取 IPv6 路由。 RA 数据包构造 RA 报文可以直接在内存中构造为字节数组，无需依赖外部库。 func buildRouterAdvertisement( iface *net.Interface, preference byte, lifetime uint16, dnsServers []net.IP, dnsLifetime uint32, ) []byte { packet := make([]byte, 16, 32) packet[0] = icmpv6RouterAdvertisement // Type = 134 packet[4] = raDefaultCurrentHopLimit // Hop Limit = 64 packet[5] = preference // 路由优先级 binary.BigEndian.PutUint16(packet[6:8], lifetime) // Source Link-Layer Address Option if len(iface.HardwareAddr) == 6 { packet = append(packet, 1, 1) // Type = 1, Length = 1 packet = append(packet, iface.HardwareAddr...) } // MTU Option if iface.MTU > 0 { // Type = 5, Length = 1, MTU value } // RDNSS Option if len(dnsServers) > 0 { packet = append(packet, buildRDNSSOption(dnsServers, dnsLifetime)...) } return packet } RDNSS 的 lifetime 可以设置为 router lifetime 的 3 倍： advertisement := buildRouterAdvertisement( iface, preference, lifetime, []net.IP{src}, uint32(lifetime)*raRDNSSLifetimeMultiplier, ) // raRDNSSLifetimeMultiplier = 3 这样即使路由宣告过期，DNS 信息仍然可以维持一段时间，避免 DNS 抖动。 主动刷新与被动响应 func (r *routerAdvertiser) loop() { ticker := time.NewTicker(r.interval) // 默认 30s // 监听 RS 请求 go func() { for { n, cm, _, err := r.packetConn.ReadFrom(buf) if err != nil { return } if n > 0 && buf[0] == icmpv6RouterSolicitation { r.send(r.advertisement) } _ = cm } }() // 定期发送 RA for { select { case <-ticker.C: r.send(r.advertisement) case <-r.done: return } } } 工作机制： 定时器每 30 秒发送一次 RA 。 goroutine 监听 RS 请求。 收到 RS 后立即回复 RA 。 新设备接入网络时发送 RS ，旁路由立即响应。 因此，新设备几乎可以立即感知到旁路由的存在。 优雅退出 Clash Meta 关闭时，可以发送 3 次 lifetime = 0 的撤销 RA： func (r *routerAdvertiser) Close() error { r.closeOnce.Do(func() { close(r.done) for i := 0; i < 3; i++ { r.send(r.withdraw) time.Sleep(100 * time.Millisecond) } r.rawConn.Close() }) return nil } 这会通知所有客户端：该路由器已经不可用。 客户端随后会自动回切到主路由。 这正是“不侵入”的关键：不修改主路由配置，也不破坏现有网络拓扑。 配置方式 在 Clash Meta 的 TUN 配置段中启用： tun: enable: true stack: mixed router-advertise: enable: true interface: eth0 default-preference: high default-lifetime: 180 interval: 30 字段说明： 配置项 含义 enable 是否启用 TUN stack TUN 使用的网络栈 router-advertise.enable 是否启用 RA 宣告 router-advertise.interface 发送 RA 的物理接口 router-advertise.default-preference 默认路由优先级，可选 high 、 medium 、 low router-advertise.default-lifetime 默认路由 lifetime ，单位为秒 router-advertise.interval RA 发送间隔，单位为秒 实测验证 在同一广播域内抓包，可以看到旁路由定时发出的 RA： fe80::xxxx:xxxx:xxxx:xxxx > ff02::1: ICMPv6 Router Advertisement hop limit 64, Flags [none], pref high router lifetime 180s source link-address option: xx:xx:xx:xx:xx:xx mtu option: 1500 rdnss option, lifetime 540s, addr: fe80::xxxx:xxxx:xxxx:xxxx 也可以主动发送 RS 触发 RA 响应： python3 -c " import socket import struct sock = socket.socket(socket.AF_INET6, socket.SOCK_RAW, socket.IPPROTO_ICMPV6) sock.setsockopt(socket.IPPROTO_IPV6, socket.IPV6_MULTICAST_HOPS, 255) rs = struct.pack('!BBHI', 133, 0, 0, 0) sock.sendto(rs, ('ff02::2', 0)) " 抓包验证： tcpdump -i eth0 -vv -n 'icmp6 && ip6[40] == 134' 如果能够看到旁路由立即返回 RA ，即说明“新设备无感接入”能力生效。 总结 通过 IPv6 RA 实现旁路由接管的核心思路是： 不接管 IPv4 DHCP ，避免与主路由冲突。 通过 IPv6 RA 宣告更高优先级的默认路由。 通过 RDNSS 宣告旁路由自身作为 DNS 。 正常运行时以较短周期刷新 RA 。 退出时发送 lifetime = 0 的撤销 RA 。 主路由始终保留较长 lifetime ，确保旁路由异常时客户端可自动回切。 这种方式可以在不修改主路由配置的情况下，实现对支持 IPv6 设备的无侵入旁路由接管。 代码在这直接 patch 到 clash meta 就能运行 ra-feature.patch

如果接入分配的内网 IPv4 ，由于 CGNAT 所以会有最大连接数限制。但如果是公网 IPv6 的话，因为不存在 CGNAT 了，是不是运营商那头就没有连接数限制了（假定内网设备性能支持）？