LiteServer Project Minecraft 主站
LiteServer Project Minecraft 国际站
友链: 白天的小站
Linux中多个IPv6地址带来的问题
前景提要
电信提供了公网IPv6地址, 一般情况下无需改动光猫配置. 有时需要通过管理员密码(找宽带安装师傅要)登录光猫后台启用IPv6功能.
根据观测, 大部分家庭宽带默认开启了较高等级的防火墙, 会禁止外部发起IPv6链接. 需要通过管理员密码登录光猫后台找到防火墙配置, 改为更低等级的防护或关闭防火墙.
注意, 对于家庭网络中光猫-路由器-其他设备的场景, 路由器IPv6配置方式可能需要改为 Native 才能使局域网设备也获得公网IPv6. 某些路由器(比如华硕)的 Stateless 配置似乎存在Bug导致只有路由器本身能获取到v6而下级设备无法正确获取地址.
另外根据观测, 不同ISP(例如联通和电信)之间的公网IPv6地址无法实现互通.
问题概述
两个小区之间都接入了电信的家庭宽带, 其中一端(下称A)开启了允许公网访问. 由另一端(下称B)向开启公网访问的这一端发起WireGuard连接.
电信提供的公网IPv6地址似乎在一段时间之后会失效, 但是在失效前一段时间, 会同时并存多个IPv6公网地址, 例如:
1 | # ip a |
大部分情况下这种情况不会持续太久, 但是有时候老的地址会在 valid_lft 之前实际上失效, 即无法通过该IPv6地址收到来自外部的回包, 但仍然能够通过该地址发送IPv6数据包.
由于WireGuard并不能设置ListenAddress这样的东西, 导致从tcpdump看到远端A能够正常收到来自 240e:xx:3216:xx:xx:xx:xx:xx 的握手包且发送了回包, 但是本端(B)无法正常收到回包导致握手失败.
进一步排查, Linux允许同一个接口有多个IPv6地址, 并且会根据 RFC 6724 来选择出网的IPv6地址的. 可以看到其中并不会根据 preferred_lft 或 valid_lft 进行选择. 而对比到目标地址 240e:xx:3211:... 的最长前缀, 可以发现两个地址到目标地址的最长前缀都是一样的 (0x3211=11001000010001, 0x3216=11001000010110, 0x321a=11001000011010) 因此似乎Linux内核的选择并没有问题, 但实际上会导致通讯一直中断, 直到 240e:xx:3216:xx:xx:xx:xx:xx 这条地址所指定的 valid_lft 归零才会恢复.
解决办法
解决办法有两种:
- 手动(或者通过定时任务)删除
valid_lft更小的IPv6地址
1 | sudo ip addr del 240e:xx:3216:xx:xx:xx:xx:xx/64 dev ens18 |
- 强制该接口重新配置IPv6, 这会立刻删除掉该接口的所有IPv6地址, 内核会重新创建 link-local address, 并完成SLAAC配置.
1 | sudo sysctl -w net.ipv6.conf.ens18.disable_ipv6=1 |
上述命令会使Linux内核创建 fe80::... 这样的 link-local 地址.
如果没有自动获得公网IPv6地址, 对于使用 systemd-networkd 的系统, 可通过 networkctl 触发配置:
1 | $ sudo networkctl |
完成后接口将获取到新的IPv6地址. (不一定和之前的不一样, 但只会有一个)
除了使用 networkctl, 还可以使用 rdisc6 (sudo apt install ndisc6) 命令触发 SLAAC:
1 | $ rdisc6 -1 ens18 |
OpenSSL Command Cheatsheets
生成临时密码
1 | openssl rand -base64 48 |
会生成类似如下的字符串 6/4tsW7PR4bYjdY+zzZWEGIsuUz8RIwrNc8FTeQLoeouGO/C3RK/JeqNi8E6nR1l
1 | tr -dc 'A-Za-z0-9!?%=' < /dev/urandom | head -c 16; echo |
这样生成出来的字符串更适合需要特殊字符的场景, 例如 SYqx!6J3=M8jrUeh
流式加解密
1 | # 加密 |
分块传输(对网盘上传比较友好)
1 | # 加密后分块 |
CBC加密后分块可以配合tar命令使用, tar可以保证缺块的情况下仍然能够最大限度的提取出可用的文件.
split 命令, -d 为使用数字结尾(而不是aaa,aab这样), -a 2 表示补全到两位, 需要预估总输入大小确保不会出现 01, 02, ..., 99, 100 这样的情况. 否则 cat 的时候可能会错乱.
参考资料
近期优秀作品推荐 2025年11月
通过Strongswan与FortiGate建立IPSec隧道
Strongswan侧的配置与之前写的 通过BGP与Google Cloud Router建立高可用链接 文中的过程, 使用到的脚本基本上保持一致, 本文主要介绍FortiGate侧的配置步骤.
目前正在使用的FortiOS版本为 v7.0.17
登录FortiGate, 选择 VPN -> IPSec Tunnels, 点击 Create New, 在下拉菜单中选择 IPSec Tunnel
会自动打开 IPSec Wizard. Template type 选择 Custom, 填写一个名字, 然后点下一步
在打开的新页面中, Network部分做如下配置:
Remote Gateway 选择 Static IP Address, IP Address 填入对端的地址, Interface 选择外网直接的接口, 勾选 Local Gateway 并选择 Primary IP.
NAT Traversal 调整至 Enable
Dead Peer Detection 调整至 On Idle
Advanced 菜单展开, 确保 Add Route 选项是 Enabled
配置 Authentication
Method 选择 Pre-shared Key, 填入 PSK
IKE Version 调整至 2
配置 Phase 1 Proposal
删掉不需要的Encryption配置, 保留 Encryption: AES256GCM, PRF: PRFSHA512.
Diffie-Hellman Group 注意只勾选需要的组.
配置 Phase 2 Selectors
Local Address 选择 Subnet, 0.0.0.0/0.0.0.0
Remote Address 选择 Subnet, 填入端到端的IP. /24 CIDR 段使用 255.255.255.0 作为 mask, /30 CIDR 段使用 255.255.255.252.
展开 Advanced, 去掉不需要的 Encryption, 保留 AES256GCM
确保 Enable Replay Detection 勾选
确保 Enable Perfect Forward Secrecy (PFS) 勾选
Diffie-Hellman Group 注意只勾选需要的组.
点击 OK 保存配置, 回到 IPsec Tunnels 页面, 点击新的隧道一行的 Status 列, 在新打开的页面中, 找到对应的隧道(会高亮), 右键 在打开的菜单中选择 Bring Up -> All Phase 2 Selectors
打开 Policy & Objects -> Firewall Policy, 配置防火墙策略
打开 Policy & Objects -> Central SNAT, 配置出网NAT
打开 Network -> Static Routes, 将端到端的IP CIDR添加为静态路由.
打开 Network -> DNS Servers, DNS Service on Interface 栏点击 Create New, 在新打开的页面中 Interface 选择新创建的隧道, Mode 选择 Recursive, 点击 OK 保存配置
(可选) 打开 Network -> Interfaces, 找到新创建的隧道, 双击打开新页面. 在 Address 栏中, IP 填入端到端的本端IP, 注意不需要填写CIDR后缀或mask. 对端IP填写端到端的对端IP+mask, 使用空格分开.
参考
Route-Based VPN Tunnel FortiGate <-> Cisco ASA
Phase 2 configuration | FortiGate / FortiOS 7.6.4 | Fortinet Document Library
Proxmox Backup Server 使用SMB挂载
因为不是很想把PBS放到NAS或者另外的单独设备上, 目前打算把PBS作为一个VM装在PVE里, 然后这个VM单独走PVE的SMB Backup (磁盘分20G应该足够了) 其他的VM走PBS做备份, 这样可以享受PBS提供的差分备份方案.
唯一的问题在于PBS默认是不支持SMB的, 目前只支持本地磁盘, 可移动设备, S3存储(实验性). 所以大概的思路就是先进shell手动mount一下然后再作为”本地磁盘”添加datastore.
1 | apt install cifs-utils |
编辑 /etc/fstab, 添加smb mount point
1 | //<NAS地址>/pbsbackup /mnt/nas-store cifs vers=3.0,iocharset=utf8,file_mode=0777,dir_mode=0777,uid=backup,gid=backup,username=<SMB用户名>,password=<SMB密码> 0 0 |
使挂载生效
1 | systemctl daemon-reload |
回到PBS web端, 添加datastore的时候, backing path 填写 /mnt/nas-store 即可.
参考
近期优秀作品推荐 2025年8月
盧盧快閉嘴 / 劉思达LOFTHESTAR - 猜不透 (說唱版)「如果忽遠忽近的灑脫 是你要的自由 那我寧願回到一個人生活」【動態歌詞/PinyinLyrics】♪
若月亮沒來 (若是月亮還沒來) - 王宇宙Leto/喬浚丞『若是晨風還沒來,晚風也可吹入懷』【動態歌詞】
【循环歌曲】《Bloody Mary》(Slowed Instrumental)“人们对Bloody Mary的开发程度不足百分之一”(无损音质) 彩礼视频一转买车BGM
《航天の小曲》《赛博の小曲》《人类进步の小曲》《群星の小曲》《高燃の小曲》 R3cover-Lazer Boomerang | Lazer Boomerang - R3cover (Original Mix)
《进步の小曲》《进部の小曲》《考公の小曲》鸳鸯戏 (DJ完整版) —— 略略略
MENTE MÁ - NAKAMA (Official Lyric Video) 刀马刀马
Minecraft 1.18 New Music Disc “otherside”
ATLXS - PASSO BEM SOLTO (SLOWED) | ATLXS - PASSO BEM SOLTO (SLOWED) so bay so~
热歌新好听版!浮生未歇:不能不想你,挣扎在爱与痛的缝隙!4K无损好视听 我只能在爱与痛之间喘息 不能不想你(好听版)
口是心非 (煙嗓版) (原唱:張雨生)- 半噸兄弟『在我最需要妳的時候,於是愛恨交錯人消瘦』【動態歌詞】
往期优秀作品推荐
修复Win10下蓝牙音箱音量无法调节的问题
Win10 22H2版本, 通过蓝牙连接音箱之后, 在操作系统内调整音量不起效果, 只能通过外接音箱上的音量调节改变音量大小…
找到一个类似的问题, 解决方案大概如下:
打开注册表管理器
计算机\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Bluetooth\Audio\AVRCP\CT找到DisableAbsoluteVolume值,修改为1,如果没有,右键新建DWORD32位,建立对应值。修改后重启
这样操作下来之后确实可以调整操作系统内音量了, 但是总感觉哪里不太对, 调整外部音箱的音量仍然会修改类似【音量上限】, 而操作系统内的音量总感觉是相对这个上限的某个百分比…
参考
rsync常用命令快速上手
- 复制远程文件到本地
1 | rsync -avzP <远程主机IP>:<远程主机上的路径> <本地主机上的路径> |
注意路径末尾的 /, 源末尾带 / 表示复制文件夹的内容而不是文件夹本身, 相当于少了一层. 目标末尾带 / 或者不带没有区别.
-a: archive mode, 尽量保留文件的各种属性
-v: 详细模式
-z: 压缩
-P: 显示进度
当传输不稳定时(导致ssh会话断开), 由于rsync默认会先创建临时文件并写入, 待同步完成后再重命名到目标文件, 当链接断开时远端rsync over ssh session可能还在继续运行, 因此还没有将临时文件重命名为目标文件, 此时再次发起同步会发现并没有续传而是重传了. 一种简单的解决办法是使用 --inplace 参数跳过rsync的这套机制, 直接创建目标名称文件且就地更新.
- 排除文件
例如仅同步 mp4 文件, 不处理其他任何文件.
1 | rsync -avzP --include '*.mp4' --exclude '*' ... |
- rsync daemon
在不能运行 ssh server 的时候 (比如WSL 1) 可以使用 rsync daemon, 通信不加密但在相对安全的内网环境下还算好用
需要先写一个最简单的配置文件 rsync.conf
1 | port = 12000 |
然后启动 rsync 服务器. 强制前台, 指定配置文件, 输出日志到控制台.
1 | rsync --daemon --no-detach --config rsync.conf --log-file=/dev/stdout |
- 客户端连接至 rsync daemon
客户端列出服务端分享了哪些文件
1 | rsync -rdt rsync://<主机IP>:12000 |
会有类似这样的显示:
1 | files SHARED LOCAL FILES |
同步文件方法与基于ssh链接使用方法一致:
1 | rsync -avzP rsync://<远程主机IP>:<远程主机上的路径>/files/ <本地路径> |
参考
近期优秀作品推荐 2025年5月
W&W & KSHMR - Bad (Official Music Video)
Deorro - Five Hours (Static Video) [LE7ELS]
攬佬SKAI ISYOUGOD【八方來財·因果】HD 高清官方完整版 MV 来财, 来
攬佬SKAI ISYOURGOD/AR劉夫陽【大展鴻圖】HD 高清官方歌词版MV 别墅里面唱K
白水寒 - 天真的橡皮(DJ林泽版)「人生呐 能不能放过我这一次」
卢润泽 - 别让爱凋落 (DJ抖音版) (Remix Tiktok) - DJ卡点节奏版 | 循环歌单🎧 || 《别让爱凋落》卢润泽:“My Love,请别让爱凋落”
【黄诗扶】“人是寻常人 遇谁才缤纷” | 《赴鸿门》(歌词PV) | 【排骨】赴鴻門
T-ARA (티아라) - NUMBER NINE (넘버나인) [Han/Rom/Eng] Color Coded Lyrics
精卫 (DJ抖音版) - 30年前、50年后『是现在我所有期待 所有的爱,为什么不明白 说的话为什么不记得 为什么不记得。』♪ || 一听就上头的神曲 | 抖音热门歌曲 | 抖音 | TikTok
[Edit] CMon - DJ Sok - 给我闹 - DouYinBGM 2025 美式追逐的小曲 给我闹 | (ko bản quyền)《美警追车の小曲》CMon-DJ Sok | Arash feat. Sean Paul - She Makes Me Go (Official Video)
10. Basshunter - I Can Walk On Water