这是一个创建于 781 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前在用 padavan ,ipv6 开启后很影响烦请体验
一是似乎 ipv6 没什么很成熟的防火墙方案,能够接管 ipv6 流量
二是 dnsv6 优先级太高了:如果设备里有 ipv6 的 dns ,直接直连。导致比如 Netflix 这种不被墙又有地区限制的产品,经常访问失败。哪怕 v4 的 dns 带有 aaaa 结果就会走 v6 直连
开启 fakeip 之后,v6 优先优先级很高,所以各种不被墙的环境依旧是直连效果;而 fake ip 的特性,可以实现纯 v4 透明代理,没有 v6 干扰
顺便问一下现在有成熟的 ipv6 路由器固件翻墙解决方案吗
一是似乎 ipv6 没什么很成熟的防火墙方案,能够接管 ipv6 流量
二是 dnsv6 优先级太高了:如果设备里有 ipv6 的 dns ,直接直连。导致比如 Netflix 这种不被墙又有地区限制的产品,经常访问失败。哪怕 v4 的 dns 带有 aaaa 结果就会走 v6 直连
开启 fakeip 之后,v6 优先优先级很高,所以各种不被墙的环境依旧是直连效果;而 fake ip 的特性,可以实现纯 v4 透明代理,没有 v6 干扰
顺便问一下现在有成熟的 ipv6 路由器固件翻墙解决方案吗
 |
1
Aaron325 OP padavan 开启 fake ip 的唯一小问题是接入路由器的设备必须指定手动置顶设备的 mac 全局代理才有代理效果。
不过这也不算坏事,因为未指定的设备自动绕过代理,反而方便了像是游戏主机、机顶盒 网络设置的顾虑 |
 |
2
lin559671 2022-09-26 00:19:47 +08:00 via Android
全局 IPv6 出国,我现在家里的 IPv6 都是国外的。国内的假如能拿到国内 IPv6 地址,用 nat66 即可访问
|
 |
3
AoEiuV020CN 2022-09-26 09:25:41 +08:00
ip 都 fake 了,这就不够“透明”了,直接导致各种游戏联机问题,
|
|
4
Aaron325 OP @lin559671 目前看只能用 nat66 ,问题是 nat66 并不算 ipv6 特性吧,只是让 v6 模拟 nat
|
 |
5
skies457 2022-09-26 23:13:15 +08:00
fake ip 没法绕过大陆 IP ,国内测速跑不满千兆。。还是得 redir + ipset
|
|
6
skies457 2022-09-26 23:13:54 +08:00
ipv6 流量可以 tproxy 到 clash
|
|
8
Aaron325 OP @skies457 跑不满是因为代理转发的缘故,即使是直连。我目前是纯 ipv4 透明代理,也就是说 ipv6 是直连的,ipv4 跑不满,但 v6 可以。未来 v6 优先是趋势,能有 v6 跑满就足够了吧。相当于一个路由器,v4 专门用来翻墙,v6 跑速度
|
|
9
skies457 2022-09-27 10:53:11 +08:00
@Aaron325 你说把 IPv6 流量转发到 clash 上?就是通过 tproxy 在路由器上劫持呀,思路大概如下(用 nftables ):
``` ip -6 route add local ::/0 dev lo table 130 ip -6 rule del fwmark 130 table 130 >/dev/null 2>&1 ip -6 rule add fwmark 130 table 130 CNIP6=$(cat /etc/clash/CN-ip6-cidr.txt | sed '/^[[:space:]]*$/d' | tr '\n' ',' | sed 's/,$//') nft -f - << EOF table ip6 clash6 flush table ip6 clash6 table ip6 clash6 { set local { typeof ip6 daddr flags interval auto-merge elements = { ::/128, ::1/128, ::ffff:0:0/96, ::ffff:0:0:0/96, 64:ff9b::/96, 100::/64, 2001::/32, 2001:20::/28, 2001:db8::/32, 2002::/16, fc00::/7, fe80::/10, ff00::/8 } } set cnip { typeof ip6 daddr flags interval elements = { $CNIP6 } auto-merge } chain prerouting { type filter hook prerouting priority 5; policy accept; socket cgroupv2 level 1 "bypass.slice" counter accept ip6 daddr @local counter accept ip6 daddr @cnip counter accept tcp dport { 0-65535 } tproxy to :7894 meta mark set 130 counter accept udp dport { 0-65535 } tproxy to :7894 meta mark set 130 counter accept } } EOF ``` |
 |
10
gesse 2022-09-27 11:15:41 +08:00
这个 fake ip 是啥意思?
|
|
11
Aaron325 OP @gesse redir-host 模式流程是:先解析 dns ,按规则看看是要直连还是代理,如果是代理,就把这个请求发送到节点,节点再进行 dns 获取目标 ip ,结果返回到 clash 后再按 clash 的规则判断走规则的代理
fake ip 下是创造一个虚拟的 ip 地址,dns 请求直接发到这个 ip 上,如果是国内 ip 直接直连,如果是国外 ip 按照规则直接打包到对应节点解析返回结果,第一次 dns 请求的时候已经跟虚拟 ip 建立了连接,此时处于等待状态,返回的结果直接连接 对比下来就是少了一次 dns 请求跟规则判断,另外 dns 污染一般都是海外的 ip ,所以需要翻墙的解析一定发生在节点,一定程度解决了污染 |
 |
12
ydq765 2022-10-17 14:53:13 +08:00
@Aaron325 padavan 开启 fake ip 的唯一小问题是接入路由器的设备必须指定手动置顶设备的 mac 全局代理才有代理效果。请问,这个是在哪里指定,我用的 redir 国内测速只有几十兆,比代理还慢,想试试。还有就是你用的是哪个固件呢
|
|
13
Aaron325 OP @ydq765 hiboy 固件。另外我的测试后发现其实手动指定的原因是 sstproxy 分流规则设置但不生效的 bug 。
简言之,如果你你的 clash 选择“只按 clash 内部规则分流”,那么默认都是 fakeip (全局代理)上网,且 lan 口指定 ip 可用;如果有其他分流方案存在,fakeip 下该分流没有效果,且只有手动为每个设备的 mac 指定全局代理才有代理效果(优先级已经高于 lan 口 ip ,等于 ip 指定失效) |
Select Language