@LnTrx 哦哦，是我看错了。我是看到你说“ 基本的玩法就是监听时不再写[::]:80 ，而是绑定[IPv6]:80 ，这样多个服务就可以分别通过独立的 IPv6 地址访问、解析”，这种方案确实只适合服务器，不适合家庭网络环境。

iptables 支持根据 MAC 地址过滤的（使用 --mac-source 参数），OpenWRT 后台也有图形界面可以填写 MAC 地址，不过我没有测试过，您可以试试。另外还有个办法可以尝试，就是在网关上使用 iptables 进行端口转发，这样相当于是白名单，更加安全也更加可控。这个方案和 @jobmailcn 所说的 frp 比较类似，目的是一样的，只是实现上有差异。

其实这两种方案都是依赖网关的安全性来保证内网安全的，如您所说“如果网关自身的入站端口有安全弱点，同时下属设备都假设内网的安全性，那恐怕更加危险”。但从另一个角度讲，让每个设备只负责自己最专业的领域——NAS 就负责提供服务，路由器就负责网络管理和防火墙——个人认为是符合“关注点分离”的原则的（ https://zh.m.wikipedia.org/zh-hans/%E5%85%B3%E6%B3%A8%E7%82%B9%E5%88%86%E7%A6%BB ）。这也是为什么从安全的角度上我并不推荐在软路由上安装各种非网络相关的的服务，像 SMB 文件共享这种。进一步想，如果你担心网关本身的安全问题，可以把防火墙的功能单独抽出来，配置一台硬件防火墙或者一台安装了 pfSense 的软防火墙，这样即使网关被攻破了，防火墙依然生效。这也是很多企业网络的做法。

原版固件没有问题，检查一下光猫的设置——LAN 配置——二 /三层口配置，确保所有口都勾选上了了。以及检查一下 WAN 配置里不需要绑定任何接口

https://user-images.githubusercontent.com/1812118/188676529-1732df36-c0c3-483e-a2ae-a6adffe19e34.png

@youx

1. FTTR 的分光器不需要电源，但主光猫需要呀。你打算把主光猫放在哪呢？还是说你的方案里只有分光器和子光猫，没有主光猫？我不确定这样的可行性

2. 同理，你的第三方网络设备或软路由放在哪里，它们都需要电源吧

3. 3 户以内确实网络体验会好不少，不过对于用户来讲 60/月费用确实没有吸引力，不过再低的定价我怕你利润没有了

4. 售后服务的问题还是没有解决，如果你是为了挣钱，这部分隐形的成本还是要考虑的

最后，我不想也没必要钻牛角尖。我是看你认真的提问，然后没有得到太多的技术性的答复，想帮你从技术角度分析可能存在的问题。假如您一意孤行不想考虑这些问题也没有关系，期待您在成功之后能给我们分享一下您的技术方案，让大家学习一下，毕竟有钱大家一起挣嘛😂

理论上可行，实际操作起来很麻烦。

家庭 PPPOE 每次拨号后前缀都会变化，SLAAC 本身也有（ 24 小时？）的超时时间。你的所有服务都要不停的检测 IPv6 地址变化然后重新监听。这样做成本是很高的，举个例子，你买了一个小米网关开放了一个有漏洞的接口，你要如何刷固件让它监听指定的 IP ？如果买了更多设备呢，每一个设备都要有监听方案

还有一个例子，就是小米网关的监听服务是有漏洞的，并且这个漏洞是一个“有益”的功能，可以用于破解后连接 Home Assistant （见 https://github.com/AlexxIT/XiaomiGateway3 ）。我用这个例子是想说明内网许多服务是需要以“不安全”的形式进行运行的，内网安全不太可能和外网安全等同。你的方案对于 VPS 等场景会更加适合，对于内网就不那么合适了。

其实我们不妨做一个思想上的转变，广域网 /局域网地址不等同于公网 /内网。IPv6 下确实每一个设备都有一个唯一的地址，但并不是所有的地址都是“公网”地址。公网和内网的区别其实只是“本地网络”和“本地之外的网络”，假如你在网关 /路由器的防火墙禁用了 IPv6 的开放端口，内网设备即使分配到了 IPv6 地址，依然也只有内网的服务能力，对吧？

如果不太好理解可以想象这样一个例子，在 IPv4 下路由器路由器使用 1.1.1.1 ，我的电脑使用 1.1.1.2 ，笔记本用 1.1.1.3 ，可以吗？技术上当然可以。虽然它们都是公网 IP ，但我只在内网使用并且不会对外（公网）广播，公网也 ping 不到我的这些设备，那么其实它们就是些内网服务而已。就像一些厂商局域网 IP 都用光了，连美国国防部的 IP 都拿来用了 https://www.v2ex.com/t/365031 ，是一样的道理

因此通过使用网关防火墙，人为划分了公网和内网的界限，并没有太大的问题，并且会比为每一个设备配置防火墙要更简单、可行和安全

遇到奇怪的速率问题重启光猫和路由器，亲测

@MNIST 电信是 HN8145Q 哈，这三款外观几乎是一模一样的，都是白色方形三根天线。HN8145V 是黑色椭圆形两根天线

访客 Wi-Fi 是不是有单独的防火墙规则？一般路由器的访客网络都是屏蔽 LAN 间互相访问的

没看出 @wangyuyang3 有什么阴阳怪气，既然楼主来问了，人家也只是提醒你相关的法律风险，毕竟这是最大的风险，正常人第一反应都是这个。

抛开法律因素不谈，倒是楼主你的方案，想的可能过于美好了，我说几个不一样的问题：

1. 现在都是无源光网络了，楼道弱电井有没有“电”可能都是个问题，况且就算有你放自己的设备进去算不算偷电呢？算不算非法占用公共资源呢（弱电井一般归物业管）？我猜运营商使用弱电井应该是要租赁的或者交电费的，有专业人士可以帮忙确认。所以这一条触及的利益方可不少，物业、运营商、供电局任何一方都能举报你给你拿下，反过来讲你要足够厉害能搞定这些部门才行

2. 其实你的需求和是否开通 FTTR 似乎并没有多大关系，你买个 ONU 和 OLT 放弱电井，然后每家每户照样用光猫一样可以实现猫，就是 运营商 PON -> 以太网 -> 自建 PON 。不过一个 OLT 的价格也不便宜，咸鱼二手的要 2 千多，还需要很复杂的配置。但如果你就是想拿 FTTR 的主光猫当 OLT ，那玩意连基础的带宽限制都没有，确定能行吗？

3. 1G 下载带宽看似够用了，但 16 户+PCDN 共享 100M 的上传带宽，你打算给这 16 户留多大上传呢？运营商如此抠门了姑且给每户还留了 30M ～ 40M ，就是为了保证基本的网络可用。16 户去卷那<100M 的上传真的不会有问题吗？

4. 运营商超卖是很正常的，服务器也有共享带宽嘛，但前提是 QOS 得做好，如果没有专业的路由器做 QOS ，这 16 户的网络质量可能就堪忧了，所以弱电井可能又要增加一台设备

5. 60 元合一年 720 ，也不算多便宜的价格了，除非用户没的可选（比如你通过特殊手段垄断了这座楼的宽带），不然为啥不选正经运营商的服务呢？因为不知道你是在哪个城市做，联通异地宽带价格 https://post.smzdm.com/p/ag4lx603/ 可能比你的方案更有性价比，用户没有理由选择

6. 运营商的投入不只是网络、设备这么简单，比如三大运营商宽带报障上门速度都很快，可能比点个外卖还快，能实现好的售后服务的基础是用户基数够大，比如一个小区一千户，配一个师傅正好（数字我瞎说的），既能保证服务又能控制成本，但你只有 16 户，就算找个兼职师傅一个月 60*16=960 也找不来吧？更何况你还咋盈利呢？

@acbot 数据中心是一个很好的例子，类似的还有当年没有路由器的年代，大家都直接用 PC 拨 PPPOE 。这种情况下安全的确是由设备的防火墙和自身开放的服务决定的，我想肯定不会有人敢在自己的 VPS 上开放一个没有密码保护的 Web 服务吧？
NAT 不是被设计用来解决内网安全问题的，但不可否认的是它的确起到了一定的防火墙的作用。在有 NAT 的情况下，即使内网裸奔，网关也能起到一定的防护作用。IPv6 的网关防火墙也是类似的作用，如果内网注定要裸奔，那么总有最后一道防线。而且大部分情况下，使用单一的网关防火墙会比给每一个设备都维护防火墙要容易，更适合普通用户。
如果 NAT=地址转换+防火墙，那么在 IPv6 下我们不需要地址转换了，其实需要的就是一个防火墙

搭配现在常见的多网口软路由非常合适😄

@MNIST 确实，PPPOE 也是链路层，不过和链路聚合比还是高一点点，姑且叫做 2.5 层吧😂 （ https://www.zhihu.com/question/23939177/answer/132566457 ），但是单线程超千兆肯定是没问题的，亲测过。balance-rr 没有 LACP 好，但很可惜这几款光猫只支持 balance-rr 。原理上应该是光猫的 LAN 口硬件交换芯片自带了支持，从内核里是看不出来也无法控制的。

现阶段成本是相当低的，一个 HN8546Q 才一百多块钱，而且能刷华为原厂界面、能切换 10G-PON 、10G-EPON ，全国几乎通用（除了 SDN 网关等特殊情况），搭配现在常见的多网口软路由

@jyeric
“其实我在想有没有办法就是对专门的要映射的服务直接单独分配 ipv6 。比如 bt ，是否可以直接要求获取一个专门的 ipv6 地址专门映射，然后把 webgui 和 bt 端口分开”
最简单的办法就是用 OpenWRT 作为网关，默认开启 IPv6 防火墙，然后只对需要打开的端口进行端口转发。这种场景下，网关就是专门用来暴露端口的，除了网关以外的 IPv6 地址都只能对内网服务，满足你的需求

当然可以，只是必须要选择特定型号的光猫才支持链路聚合，HN8546Q 等三款 Q 结尾的光猫是明确支持的。

并且纠正一个误区，链路聚合是在链路层的，在 TCP/IP 模型里是比 PPPOE 还要低的，因此链路聚合之后只需要单拨即可突破千兆，也不会产生多个内网 IP 的情况，用起来和正常单拨是一模一样的。并且由于使用 balance-rr 模式，即使一条 WAN 口断了，另一个可以顶替上，整体可靠性会增加。

我个人认为这套方案的缺点就是占用网口比较多，CPU 负载可能会高一点。但优点是价格便宜、配置不算复杂、可靠性好，并且上限很高，对于有 4 个千兆口的光猫，理论上最高可以聚合成 4G 的速度，是不是很让人心动？

我认为楼主的担忧是对的，在 IPv6 环境下对网关防火墙的依赖其实是大于 IPv4 的。

在 IPv4 下，NAT 其实起到了部分防火墙的功能，NAT 下的机器默认无法对外暴露端口，除非指定端口转发（相当于防火墙开放端口）或者 DMZ （相当于关闭防火墙）。而在 IPv6 下，是没有这层防护的，因此光猫路由器等设备普遍启用了 IPv6 防火墙默认阻止一切入站连接，但这种办法显然过于简单粗暴，很多情况下用户为了暴露一个服务就只能完全关闭防火墙，使内网所有设备都处于“裸奔”状态。当然，我绝对不是推荐在 IPv6 下再使用 NAT ，防火墙才是正确的选择。

IPv6 的确有一些安全方面的加强，如 @geekvcn 所说，理想状态下无状态的地址分配应配合隐私扩展，相当于分配了两个地址，一个用于入站一个用于出站。但我实际测试了一下，许多服务器操作系统——如 Ubuntu Server 、Windows Server 是默认不会开启隐私扩展的（在 Linux 下可以用 sysctl -a | grep use_tempaddr 进行验证），甚至 https://www.v2ex.com/t/833550#r_11359995 里提到群晖都默认不会开启隐私扩展。因此我们不能过于相信隐私扩展真的生效了。
又如 @acbot 所说，开启防火墙固然会默认禁用入站流量，但对于需要暴露的服务还是需要在防火墙上开放端口的。一旦放开端口，无论是哪种 IPv6 地址其实都开放了，我并没有找到能够“自动区分”隐私地址的规则？如果有可否提供下链接？我在 macOS 上实际测试了自带的防火墙，是没有这种功能的，两个 IPv6 都能被外网访问到
IPv6 地址众多，确实不用太担心被批量扫描的问题，但是对于 P2P 下载、DDNS 等场景下依然有地址泄露的风险。很多人喜欢搞 All in one ，一台机器既当下载机又当 NAS 又跑很多服务，它们都会共用一个 IPv6 地址，“门户大开”是很可能遇到的。

因此对于目前的情况，我建议有对外暴露服务需求的用户最好自行选购一款能够具有高级防火墙功能的路由器 /网关，不用太复杂，可以按照端口进行放行基本就够用了。否则，一定不要轻易关闭光猫里的 IPv6 防火墙。同时也希望光猫的厂家能足够重视 IPv6 防火墙的重要性，把光猫里简陋的防火墙开关升级一下。

另外，安全从来不是只依靠一方面就可以的，内网每个设备的防火墙尽量都开启，网关的防火墙也一样重要，双重保险才是最安全的。只是很多场景下内网的服务无法做到足够安全，比如弱口令甚至无口令的 WebUI 、为了小米摄像头只能开启不安全的 SMB 1.0 等等，这些可都不是容易解决的，总不能让用户自己去这些服务的改源代码吧？网关防火墙作为最后一道防线，哪怕内网真的裸奔，也足够提供大部分人需要的安全性了。

@Pogbag 好像现在咸鱼搜不到 330 升级 1000m 的了，你还有路子吗？

udpxy 尽量用软路由跑，硬路由可能性能不够；以及用 Kodi 看的时候把缓冲改大一点

@PANGPANGDigital Hyper-V 很稳的，我现在软路由就是 Windows Server + Hyper-V + OpenWRT 。

另外推荐装一个 Windows Admin Center ，很好用。

补充一点，如果你希望弱电箱里设备更少一点，直接咸鱼买 4 口千兆的光猫（如 MA5671 ）。连交换机都省了，只放一个光猫肯定不会有散热问题了。

@isc 提供一个省钱的方案，买个便宜的千兆交换机放在弱电箱里，然后改用光猫拨号。原因如下：

1. 千兆交换机功耗都很低，可以满足散热的要求。而且不需要网管，更便宜。上某东搜水星的千兆交换机即可。

2. 光猫如果有管理员账号的话，一般都可以进后台配置 DDNS 和端口转发，如图：
https://user-images.githubusercontent.com/1812118/166693536-cbb92674-0684-473e-9f88-67e7ea2dec38.png
https://user-images.githubusercontent.com/1812118/166693544-0a232d44-6db8-4be9-88d5-9ff9f5ed5679.png

3. 如果光猫支持的 DDNS 运营商不满足要求，能可以从内网找任何一个支持设备做 DDNS 。因为（一部分） DDNS 原理上就是请求一个 HTTP 地址获得当前的公网 IP ，然后和域名绑定起来，所以只要是在同一个光猫下的设备任何一个都可以做 DDNS 。你的场景里，可以用 Win Server 或者 TP-Link ，或者把 d525 放在任何地方。

4. 2202 年了，光猫的 NAT 性能没有那么差劲了。现在光猫最大的瓶颈在 Wi-Fi （一般只有 2.4g ），但放弃 Wi-Fi 单纯当一个路由器还是够用的。

5. 如果光猫无法破解管理员账号，或者 NAT 性能真的很不给力。去咸鱼买一个破解好的光猫，很便宜的。特别是刷了华为原版系统的光猫，还是很好用的（我截图里就是华为系统）。当然如果只是 NAT 性能差，你可以直接让运营商换更好的光猫，毕竟网络无法达标。

最后，6 口的软路由真的没必要，软路由用 CPU 做软交换性能很差，不如一台 2 口软路由+交换机来的方便，体积未必更大。如果后续想继续玩软路由推荐看看 r2s 、r4s 、r86s ，交换机继续沿用。