利用IPV6随时访问家中影音Jellyfin

本文章主要记录通过ipv6实现家庭影音中心在互联网上的访问。

之前很多方案都是通过第三方进行内网穿透，实际体验不是很好。目前ipv6发展迅速，完全可以取代这种以ipv4为中心的内网资源外网访问的方式。ipv6使得ip地址不再紧缺，只需要家中网络一点小小的改变即可实现在外访问家庭影音中心。

1、前提条件

一条宽带，宽带的上传带宽决定了外网访问速度的上限。我使用的是电信500M。
一台nas或者是一台主机，本人没有nas，用的是windows10主机。
一台路由器和一台光猫，光猫是电信公司配的，路由器是小米路由器4A千兆版(R4A)。

本次操作不涉及到影音云的搭建，网上有很多的教程，我是在Windows10安装了jellyfin服务（截止20230811，官网最新版），将电影照片的目录添加到Jellyfin中即可自动刮削，满足基本的需求——影音娱乐和照片浏览。

2、操作

这个操作的核心就是利用ipv6的最大的特性，就是没有所谓的内网nat地址，所有的地址都是互联网可寻址的（除了fe80等开头的保留字段）。为了达到这个目的，我们就要让我们的主机可以被外部网络通过ipv6访问。

2.1 主机开启ipv6

主机开启ipv6支持是第一步，首先将路由器开启ipv6支持，主机网卡开启ipv6，我的windows10在开启了ipv6之后，总是出现无法访问web的情况，遂猜测是DNS出了问题，可以选择手动在主机网卡里面设置DNS为8.8.8.8和114.114.114.114。将路由器和主机开启ipv6支持后，通过以下2个步骤检测ipv6情况。

使用ipconfig(Windows) or ifconfig(macOS、linux)查看网卡地址

# 使用ipconfig(Windows) or ifconfig(macOS、linux)查看网卡地址

ifconfig en0

en0: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500

	options=6463<RXCSUM,TXCSUM,TSO4,TSO6,CHANNEL_IO,PARTIAL_CSUM,ZEROINVERT_CSUM>

	ether 38:f9:d3:9c:e8:da

	inet6 fe80::14a9:a86e:5014:f677%en0 prefixlen 64 secured scopeid 0xa

	inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255

	inet6 2409:8a20:dc:280:1808:33a2:768a:52f8 prefixlen 64 autoconf secured

	inet6 2409:8a20:dc:280:d593:10fe:f5b2:3bc8 prefixlen 64 autoconf temporary

	nd6 options=201<PERFORMNUD,DAD>

	media: autoselect

	status: active

在ipw.cn网站上查看当前网络环境是否是ipv6优先。

通过我的测试，成功获取到24xx开头的ipv6地址之后，基本上都是ipv6访问优先的。如果不行，查看是否开启了代理软件等影响网络的因素。

2.2 光猫改bridge模式

这一步简单的方式就是给宽带安装维护师傅打电话，让他帮你把光猫上面的网络连接方式改为bridge模式，一般来说这样的要求师傅都会同意。现在要光猫的超级管理员密码的时候一般都不给，所以可以让师傅直接给你改，记得一定要宽带账号和密码，我在手机营业厅上获取的宽带帐密和师傅告诉我的不一样，可能他告诉我的时候把密码顺手改了。

2.3 路由器使用ppoe模式拨号上网

在路由器的管理界面，使用上一步获取到的宽带账号进行ppoe方式上网。然后将ipv6设置为native模式，我开启ipv6有时候上网有问题，可以在ppoe拨号阶段将DNS手动改为8.8.8.8或者114。

2.4 修改路由器的防火墙配置

在本地浏览器上可以使用ipv6地址访问，但是过了路由器这一层，比如使用同一个WiFi下的手机去访问就不能访问，说明被防火墙拦截了，需要去路由器上设置一下。由于小米这个路由器默认不开放ssh或telnet等服务，有大佬在github上的代码——OpenWRTInvasion，成功登录小米路由器4A千兆版(R4A)的终端。

其中修改ipv6的iptables配置，将forward规则链开放端口即可。

root@XiaoQiang:~# ip6tables -L forwarding_rule  --line-numbers

Chain forwarding_rule (1 references)

num  target     prot opt source               destination

1    ACCEPT     tcp      anywhere             anywhere             tcp dpt:8096

root@XiaoQiang:~# ip6tables -D forwarding_rule 1

root@XiaoQiang:~# ip6tables -L forwarding_rule  --line-number

Chain forwarding_rule (1 references)

num  target     prot opt source               destination

root@XiaoQiang:~# ip6tables -I forwarding_rule -p tcp --dport 19999 -j ACCEPT

这样的话就开放了本地19999端口到互联网上，处于互联网上的任意IPV6设备都可以访问你的IPV6的19999端口。我的建议是将这个开放的端口设置大一点，不要设置常用端口，防止被扫到。

通过上面4个步骤，现在可以使用手机流量访问你的这个IPV6地址了，访问格式为https://[IPV6]:19999。

2.5 利用ddns将域名和IPV6地址绑定。

windows上有一款开源工具ddns-go，可以实现动态绑定IPV6到域名上，支持多加域名云厂商，主要步骤为：在阿里云上面购买一个域名，然后在控制台添加AAAA域名解析到当前主机的IPV6地址上，在本地运行ddns-go，配置成功即可。

实测下来，每次开关机之后，电脑就会重置IPV6地址，因为目前免费的域名解析时间（TTL）为10分钟，也就是ddns将开机后的IPV6绑定到域名上，需要10分钟的时间生效。这样就实现了使用域名的方式去访问家里的Jellyfin，当然，ddns-go还支持webhook，可以将新的IPV6地址发送到钉钉机器人，这样在手机上也可以收到当前主机的IPV6地址，实现直接访问。

3. 使用场景及安全

由于将个人主机暴露到公网上，理论上人人都能访问到你的主机，但是由于我们开放的是IPV6地址，实际上是无法被扫描的，也就是说只要你不告诉别人，别人是无法得知你的IPV6地址的。我们可以几个手段保护我们的安全。

使用nginx反向代理
将jellyfin添加HTTPS支持（10分建议，注册域名的时候会赠送一些证书）
路由器防火墙最小原则，仅开放特定高端口（不要使用常用端口，10分建议）
jellyfin登录口令设置16位以上，并且设置安全策略，密码试错黑名单等
AAAA解析使用三级或四级域名
不使用域名，就使用钉钉机器人下发的实时IPV6地址（依赖于钉钉服务的稳当性）

我基本上是出差的时候，或者离开家的时候，又想要访问家里的一些资源，就可以利用IPV6实现公网访问家庭资源的需求了。