ASUS华硕路由器IPv6二级路由设置

需求描述

• 天翼网关-GPON（TEWA-600AGM） 一台老得不能再老的中国电信光猫，已获取telecomadmin的密码。
• ASUS路由器RT-BE57 简称A路由
• ASUS路由器RT-ACRH17 简称B路由

电信光猫放在客厅电视柜台上，RT-BE57放在餐厅，RT-BE57与电信光猫LAN口有线连接，RT-ACRH17放在卧室，与RT-BE57的LAN口有线连接。

A路由一般提供家人日常WIFI使用，也可设置访客网络或者供智能家居联网使用，B路由主要是负责工作游戏专用网络。

电信光猫、A路由和B路由都有各自的IPv4网段，互联通信主要靠静态路由表，所有路由及终端设备都可以获取到IPv6地址，能开启防火墙就尽量开启，路由使用官方固件，尽量通过路由器管理界面操作。

操作配置

1. 登录光猫启动IPv6设置

使用超级管理员telecomadmin进行登录，老光猫大部分可以通过安全漏洞获取，新版光猫基本只能通过微信客服或者装维师傅获取，基本上也是一次性的，有效期一过，密码就会重置随机，所以操作时，尽可能保持管理网页状态活跃，避免多次索要超级密码。老光猫的密码获取方式放在参考信息里，如有需要可进行浏览尝试。

使用电脑或者手机连接到光猫，在浏览器地址栏输入192.168.1.1，按下回车并进入天翼网关登录界面。登录界面如下：

注意：图中的初始密码是指普通用户的密码，而不是超级管理员的密码。有些光猫的默认网关不一定是192.168.1.1，如果不确定，可以在windows上通过CMD命令行输入ipconfig进行查询。

输入用户名telecomadmin和查询到的超级管理员密码按回车即可进入管理界面。管理界面如下：

点击导览栏中的网络，然后再点击网络下方的子目录网络设置，然后再点击左侧的网络连接，连接模式选择路由，即光猫拨号上网。IP模式选择IPv4&IPv6，IPv4信息地址获取方式选择PPPoE，IPv6信息获取地址方式选择AutoConfigured，并勾选获取前缀。路由模式配置界面如下：

如果是打算桥接，让A路由拨号上网，连接模式就选择桥接，IP模式依然选择IPv4&IPv6，光猫的IPv6信息也就不需要配置。桥接模式配置界面如下：

不管是路由还是桥接模式，都需要确认取消启用DHCPv6服务器选项，具体操作是点击导览栏中的网络，然后再点击网络下方的子目录用户侧管理，然后再点击左侧的IPv6设置，将启用DHCPv6服务器取消勾选，其他信息可以不作改动。

最后在各个页面点击保存按钮，等待光猫配置生效。

2. A路由开启IPv6

登录A路由，一般要求电脑或者手机直连A路由，华硕路由器的网关一般是192.168.50.1，如果不确定，可以通过ipconfig进行查询。当连接A路由可以正常上网时，再进行IPv6设置。方便故障排查。

登录ASUS管理界面后，点击左侧的IPv6导航目录，如果目前光猫是路由拨号，联机类型选择Passthrough，IPv6 DNS设置中的自动接上DNS服务器选项保持默认启用即可。IPv6 Passthrough联机类型设置界面如下：

如果有需求也可在此设置其他非运营商的IPv6 DNS服务器:

• 2400:3200::1 aliyun IPv6 DNS服务器
• 2001:4860:4860::8888 Google IPv6 DNS服务器
• 2606:4700:4700::1111 Cloudflare IPv6 DNS服务器

自定义IPv6 DNS服务器界面如下：

注意：接口选项只在A路由拨号上网时才会出现

如果是光猫桥接，A路由拨号上网，则：

• 联机类型：Native
• 接口：PPP
• DHCP-PD：启用
• 自动配置设置：Stateless
• 自动接上 DNS 服务器：启用
• 是否启动路由广播：启用

IPv6 Native联机类型设置界面如下：

点击应用本页面设置，等待路由器设置生效。如果是手机直连A路由，此时查看WLAN详情，应该可以看到IPv6地址有三个地址：

• fe80::xxxxxx
• 240e:xxxxxx
• 240e:xxxxxx

fe80是IPv6本地链路地址，两个240e中，一个是IPv6 地址，另一个是临时 IPv6 地址，打开浏览器输入http://v6.testmyipv6.com，如果显示Excellent!，则IPv6配置生效了。如果是电脑连接，一般windows是不启用IPv6的，需要在以太网卡属性中勾选Internet 协议版本6（TCP/IPv6），如果还是获取不到IPv6正常地址，建议重启一下电脑。

防火墙也是可以开启的，如果是光猫路由拨号，建议在光猫上开启防火墙，如果光猫太老，IPv6防火墙规则限制得太死，也可以把光猫上的防火墙关闭，然后把A路由的防火墙开启，当然，因为采用的是Passthrough穿透联机，防火墙规则不能精细化配置；如果是A路由拨号上网，建议关闭光猫上的防火墙，开启A路由上的防火墙。A路由的防火墙配置界面如下：

启动Dos防护选项一般建议关闭，可以提高路由器性能，如果是有IPv6出站需求，也可开启，但更好的方式是用CF套一层。

最后，因为A路由和B路由默认网关相同，需要将A路由的网段修改成192.168.2.1，点击左侧导航目录内部网络(LAN)，选择内网地址设置，将IP地址修改为192.168.2.1，子网掩码设置为255.255.255.0，点击应用本页面设置，等设置生效后，再进入DHCP服务器目录查看IP池是否设置正确。A路由IPv4网段修改界面如下：

3. B路由开启IPv6

将B路由的WAN口网线插入A路由LAN口，登录B路由，一般要求电脑或者手机直连B路由，华硕路由器的网关一般是192.168.50.1，如果不确定，可以通过ipconfig进行查询。当连接B路由可以正常上网时，再进行IPv6设置。方便故障排查。

点击左侧导航目录中的IPv6，将联机类型选择为Passthrough，自动接上DNS服务器选择启用，也可以选择关闭，并设置自定义DNS服务器，来覆盖A路由设置IPv6 DNS服务器设置。B路由IPv6联机设置界面如下：

如果B路由上游有设置防火墙，也可关闭B路由上的防火墙设置，特别是IPv6防火墙，如果觉得不够安全，也可以启用。

至此，两级路由串联IPv6设置就算完成了，此时不管是A路由还是B路由的终端应该都有正确IPv6地址，可通过浏览器访问http://v6.testmyipv6.com进行确认。

然而月满则亏，水满则溢，彷佛一切都配置好的时候，华硕路由器却特别能挖坑，具体作妖细节请查阅故障排查

故障排查

1. 二级B路由上的终端访问不了IPv6网页

一级A路由及其终端可以访问IPv6网页，二级B路由本身也可以在管理界面ping通IPv6 DNS，但是二级路由下辖终端却不能访问IPv6网页，很奇怪的是，这些终端又可以通过IPv4上网，只是纯IPv6网站不能访问，连ping和tracert(traceroute)都不通。

如果将A路由换成梅林（Merlin）路由又是可以通的，通过wireshark和tcpdump工具，一路排查到是A路由的组播问题。问题表象原因是A路由的邻居缓存表有关B路由终端的IPv6记录显示FAILED，具体查询命令如下：

ip -6 neigh show

如果你通过手动添加，则是可以通的，具体操作命令如下：

# 添加一条记录 ip -6 neigh add [IPv6地址] lladdr [MAC地址] dev [网卡接口]
ip -6 neigh add 2001:db8::1 lladdr 00:11:22:33:44:55 dev eth0
# 删除一条记录 ip -6 neigh del [IPv6地址] dev [网卡接口]
ip -6 neigh del 2001:db8::1 dev eth0

那究竟是什么原因导致这个邻居缓存记录有但是失败呢？IPv6邻居缓存表主要是通过NDP（Neighbor Discovery Protocol，邻居发现协议）来建立的，而NDP通过五种不同类型的ICMPv6报文来维护邻居缓存表。后续通过tcpdump抓包分析发现，ICMPv6报文是单向贯通的，即B路由终端的ICMPv6报文可以直达A路由，但是A路由的ICMPv6报文却只能到达B路由，回复B路由的终端的报文在A路由的br0网桥中直接被丢弃。所以造成了一个奇怪的现象，在B路由上是可以ping通IPv6地址的，而B路由上的终端却不行，同时A路由的IPv6邻居缓存表是有B路由终端IPv6地址的，只是不通罢了。而造成这个问题的根源则是A路由的组播机制，

路由器的组播（Multicast）原理是通过“一份数据，多个接收者”的机制，实现高效的点到多点数据传输。与广播不同，组播数据只会被发送给对该数据感兴趣的特定节点集合。而B路由是通过Passthrough实现IPv6联机，无法正常发送加入组播请求，那能不能换一种联机模式呢？很遗憾，如果要想B路由终端获取IPv6公网地址，只能通过Passthrough去穿透，ISP运营商会给你的拨号路由前缀，但没有授权下发前缀，也就是说A路由桥接拨号上网也无法下发前缀。所以问题焦点就变成了关闭组播设置，网上查资料有说停用内部网络(LAN) > IPTV > 启动组播路由，也有说停用无线网络 > 专业设置 > 开启 IGMP Snooping 功能，然而统统试了一遍，却没有效果。最后，居然是通过SSH修改A路由文件才立即生效，修改命令如下：

# 关闭br0组播
echo 0 > /sys/class/net/br0/bridge/multicast_snooping

修改之后，B路由的终端终于可以正常访问IPv6网页了。

2. 为什么B路由终端可以访问IPv6网页，但是却不能ping通IPv6地址

这就是华硕路由另一个作妖的地方了，查看IPv6防火墙FORWARD规则：

ip6tables -L FORWARD --line

结果显示：

DROP ipv6-icmp anywhere anywhere ipv6-icmp echo-request limit: avg 1/sec burst 5

即使在web页面关闭了IPv6防火墙，这条规则依然存在，就算删除了，只要IPv6防火墙更新，这条规则又加了回来。后来查资料才得知，这条规则居然是内核生成的，硬编码无法更改。解释一下，这是一条ICMPv6 流量限速（Rate Limiting）规则，通过令牌桶算法来防止 ICMP 泛洪攻击（Ping Flood），系统平均每秒钟只允许通过 1 个 ICMPv6 Echo Request 数据包。如果请求频率长期高于这个值，多余的包会被直接丢弃。系统允许你在瞬间（或初始时刻）连续发送最多 5 个 包，而不触发限速。最扯的是，这个burst 5居然是共用的，很容易触发限速上限。

3. RT-BE57上传不了文件

RT-BE57将scp命令阉割了，也没有SFTP，也没有USB接口，看来只能链接下载了，不过天无绝人之路，其实还可以通过SSH隧道传输二进制流，具体命令如下：

cat tcpdump | ssh -p 1026 [email protected] "cat > /tmp/home/root/tcpdump"

RT-ACRH17还是有SFTP，可以在本地将tcpdump上传到B路由，然后在B路由上通过上述命令把文件传输给A路由。

参考信息

1. IPv6网页测试地址

http://v6.testmyipv6.com/

2. 光猫破解

https://www.callmewing.com/books/hardware/Modem.html

3. tcpdump文件

https://raw.githubusercontent.com/andrew-d/static-binaries/refs/heads/master/binaries/linux/arm/tcpdump

4. 破解四川天邑光猫TEWA-600AGM和TEWA-600AEM

https://www.chinadsl.net/thread-139310-1-1.html