1. 因为 slaac 不便于管理,没法配合鉴权认证,所以不开启 slaac ,目前使用的是 dhcpv6 分配地址。
2. 安卓设备不支持 DHCPv6 ,但是安卓设备在收到 RA 报文后,会默认生成一条路由规则,对于 ipv6 的流量会走这条规则出去。
3. 于是就出问题了。尽管学校已经阻止 dns 返回 AAAA 记录,但是奈何不了微信这些客户端会用自己的 DoH 进行解析,所以微信会优先使用 ipv6 地址进行连接。
这样做的后果就是,凡是有 ipv6 地址的微信官方域名,微信都会先尝试连接 ipv6 ,当 ipv6 不通的时候就会回落 ipv4 。所以目前安卓手机连接校园网后,只要是涉及微信的业务都会很卡例如微信支付,起码等个七八秒。
所以想问一下对于这种情况,除了一刀切 ipv6 以外,还有没有什么办法例如通过修改 RA 报文的某些设置,使得手机不会生成默认路由呢?
学校的 RA 报文携带了 Prefix ,如果去掉那手机还能否生成路由,其他设备兼容性如何?
已经头疼了两天,虽然我不是网管但是学校网管表示如果有方案且验证过的话他可以尝试操作一下。
目前情况是 OpenWrt 我自己也不知道怎么去掉 RA 报文里的 Prefix ,没法验证
2. 安卓设备不支持 DHCPv6 ,但是安卓设备在收到 RA 报文后,会默认生成一条路由规则,对于 ipv6 的流量会走这条规则出去。
3. 于是就出问题了。尽管学校已经阻止 dns 返回 AAAA 记录,但是奈何不了微信这些客户端会用自己的 DoH 进行解析,所以微信会优先使用 ipv6 地址进行连接。
这样做的后果就是,凡是有 ipv6 地址的微信官方域名,微信都会先尝试连接 ipv6 ,当 ipv6 不通的时候就会回落 ipv4 。所以目前安卓手机连接校园网后,只要是涉及微信的业务都会很卡例如微信支付,起码等个七八秒。
所以想问一下对于这种情况,除了一刀切 ipv6 以外,还有没有什么办法例如通过修改 RA 报文的某些设置,使得手机不会生成默认路由呢?
学校的 RA 报文携带了 Prefix ,如果去掉那手机还能否生成路由,其他设备兼容性如何?
已经头疼了两天,虽然我不是网管但是学校网管表示如果有方案且验证过的话他可以尝试操作一下。
目前情况是 OpenWrt 我自己也不知道怎么去掉 RA 报文里的 Prefix ,没法验证
第 1 条附言 · 6 天前
已经开 slaac 了
 |
1
wtks1 9 天前
openwrt 有些版本可以阻止 DoH 查询的
|
 |
2
ppoozl 9 天前  1
openwrt 不知道
华为/H3C ipv6 nd autoconfig managed-address-flag ipv6 nd ra prefix default no-advertise 思科锐捷应该也有类似的命令 学校不可能用软路由的 |
 |
4
asde111 9 天前
使用 dhcpv6 分配,不开启 slaac ,那为什么会有 RA
|
 |
5
mooyo 9 天前
确实,为啥会有 RA ? SLAAC 为什么不能通过鉴权?
|
|
6
ppoozl 9 天前
#3 可以的,我这就是这么配的
|
 |
7
fengyaochen 9 天前 1
学校已经阻止 dns 返回 AAAA 记录,那你还要 IPV6 干什么,难道你的 IPV6 只是为了当内网穿透吗
|
 |
8
cq65617875 9 天前
我家里是 dhcpv6+nat6 的环境
之前买了一个 aqara 的中枢网关 莫名的广播一个新的 prefix 和网关 直接把我网关覆盖了导致 v6 网络瘫痪…… 直接拔掉了 |
 |
9
iijboom 9 天前
骂微信或者骂手机厂商或者是骂 Android ?不知道是哪一边弄的,不断尝试用 link-local 地址来上网?你又获取不了 ipv6 地址,学校应该是仅有状态 DHCPv6 吧?
|
 |
10
showgood163 9 天前
收集微信 DOH server address ,然后屏蔽相应解析
我这么用很久了,但不知道是否适合你的情况 |
|
11
showgood163 9 天前
|
 |
12
busier 8 天前 via iPhone
卡是因为 Drop 包,客户端程序要等待连接超时。
直接在网关防火墙 配置 IPv6 包 eject 显式拒绝就可以了撒 又或者,客户端即便生成了默认 IPv6 路由,你应该在你的网关路由上配置 IPv6 路由没有下一跳,即达到 Destination Host Unreachable 的效果,而不是去连一个不存在的下一跳路由而傻傻的等待超时! do you andstander ! |
 |
15
yulihao OP @fengyaochen 阻止 AAAA 返回还是因为那个问题。Android 的手机部分应用拿到 ipv6 地址后会优先走,但实际上 Android 是不支持 dhcpv6 的,他 slaac 个 fe80 的地址,然后下一跳到 ra 网关,然后就卡半天
|
|
16
busier 8 天前 via iPhone
设备只有 fe80 地址的话 是不会默认进行 IPv6 请求的
是在不行,那你在宣告 RA 网关路由的 Forward 链上,显式 Eject 源地址为 fe80 的连接请求,而不要等他自己超时 Drop |
 |
18
Jackm 8 天前
@yulihao @fengyaochen 首先我觉得七楼说的很对,分配了 ipv6 地址却阻止了 AAAA 解析,那要 ipv6 做什么?专门跑 pcdn 吗?(早期为了支持 ipv6 推广,校园里的教育专线 ipv6 是免费的,一种可能你们学校阻止 aaaa 就是想收学生钱)
二种可能:上级部门肯定能从众多的教育网指标中看到你们学校的 ipv6 流量倒数,处于不可用的状态。 其次,学生通过自建或其他加密 dns ,仍能实现 ipv4 解析,ipv6 走数据,对 pcdn 种子下载等起不到一点抑制作用。 在日常使用中,安卓也是有 dns 缓存的,同学外出切一下流量,再连校园网走 ipv6 很简单。 学校的 RA 报文携带了 Prefix ,如果去掉前缀手机能否生成路由? 不下发前缀,怎么生成 ipv6 地址?前缀靠猜吗?这样做就等于没有 ipv6 网络。 就算校园网一直都没有 dns ,纯靠同学开学前支付一下,在上学期间,也不会出现 78 秒付不了款的情况。家用路由器无法复现这种问题,78 秒更多的是你们路由器网关的问题。微信支付 78 秒与你用 ipv4ipv6 无关。 |
 |
19
xyz3210 8 天前
没有 ipv6 的 dns ,这个 ipv6 没法用。既然要用 ipv6 为何又要禁止 AAA 解析?
|
 |
20
LnTrx 7 天前
教育网很多学校也是支持 SLAAC 的,不支持肯定是一个问题
|
Select Language