Skip to content

IPv6 公网直达与原始端口授权

直连模式让访问者先通过网关登录,再按 IP 白名单访问飞牛或其他原始端口。它适合确实需要原始端口的 IPv6 环境,不是发布 Web 服务的首选路径。

该模式需要 fn-knock 管理宿主机防火墙,因此仅适用于原生飞牛 FPK 或具备主机能力的 OpenWrt。Docker 不支持直连模式。

前置条件

  • 设备拥有可从公网路由的 IPv6 地址;
  • 路由器与主机防火墙允许网关入口的 IPv6 流量;
  • 已准备 AAAA 记录或能用 DDNS 更新 AAAA;
  • 有一台不在同一局域网的 IPv6 客户端用于验证;
  • 已准备至少一个登录恢复凭据。

配置步骤

  1. 在 DNS 创建 AAAA 记录,或在 DDNS 中只启用 IPv6 更新。先确认该地址确实可从外网访问。
  2. 系统设置 → 模式 选择 直连模式。阅读确认提示;保存后系统会按模式同步防火墙规则。
  3. 认证配置 建立 TOTP 或账号密码,并按需要配置 HTTPS 证书。
  4. 从外网打开网关入口,例如 https://nas.example.com:<网关端口>,完成登录。
  5. 再访问需要的原始服务端口,例如飞牛服务端口;确认当前公网 IPv6 已在白名单中生效。

IP 变化时

直连模式下,访问原始端口的后续连接不会再经过网关。IPv6 前缀或客户端出口改变后,应重新打开网关入口完成认证,等待自动 IP 授权同步,再重试原始服务端口。

验证与排查

  • 在移动网络或另一条 IPv6 网络中测试;家庭 Wi-Fi 可能被本地豁免。

  • AAAA 解析正确但无法连接:检查路由器 IPv6 防火墙、运营商入站策略和主机防火墙。

  • 能登录但原始端口不通:检查白名单记录、模式同步状态和服务是否监听 IPv6。

  • 原始端口能在未登录时访问:立即检查路由器、云安全组和手工防火墙规则,确认没有绕过 fn-knock 的放行。

  • IP 白名单

  • DDNS 管理

  • 选择访问方案

QQ群:1081609274