当前位置：首页 > news >正文

openwrt利用nftables在校园网环境下开启nat6 (ipv6 nat)

news 2025/7/7 17:08:29

年初写过一篇openwrt在校园网环境下开启ipv6 nat的文章，利用ip6tables控制ipv6的流量。然而从OpenWrt22版本开始，系统内置的防火墙变为nftables，因此配置方法有所改变。本文主要参考了OpenWRT使用nftables实现IPv6 NAT
这篇文章。

如果你的学校分配64的后缀，可以先试试把lan口的dhcp改为中继模式，因为lan口设备能获得global地址是最理想的情况。如果像我一样获得了global地址却无法上网，或者学校只分配128后缀地址的话，可以继续按照本文方法配置NAT6。

ps. 我用的路由器是redmi ax3000 (RA81)，固件是从openwrt.ai编译得到的。如果你的型号和我一样，欢迎在这里下载固件直接使用。

在 config dhcp 'lan' 下修改/添加以下配置：

option ra 'server'
option dhcpv6 'server'
option ra_management '1'
option ra_default '1'

config natoption name 'IPv6 Masquerade'option family 'ipv6'option src 'wan'option target 'MASQUERADE'list proto 'all'

chain user_post_forward {ct state established,related acceptiifname br-lan accept
}

(1) 终端执行ip -6 route | grep default获取默认网关

输出结果示例：
default from 2001:da8:1111:2222::333 via fe80::5616:51ff:fe56:8fb9 dev wan proto static metric 512 pref medium

(2) 利用默认网关和设备构造命令
将上一步获取到的网关及设备粘贴到route -A inet6 add default gw后面，构造出一条命令

构造的命令示例：
route -A inet6 add default gw fe80::5616:51ff:fe56:8fb9 dev wan

(3) 把构造好的命令添加进系统启动项
编辑/etc/rc.local文件，将构造的命令添加到最后一行 exit 0的上方

测试结果：
OpenWrt默认分配前缀为fd00::/8的地址作为内网地址，可能会让某些应用更倾向于不使用ipv6（从其他地方看的，我不确定到底有哪些？）。因此可以把这个前缀改为dd00::/8，因为dd前缀的网址作为保留地址没有明确的用途，可以避免应用识别内网ipv6。这个可以通过修改 /etc/config/network 文件中的 globals 配置实现，也可以在 luci界面 -> 网络 -> 接口 -> 全局网络选项修改。