使用wgsd+wireguard+ipv6连接内网

因为搬迁，需要重建内网，遇到了一些问题。以前因为北京联通提供公网IP，所以从外部访问内网不是问题。但是南方小城的电信并不提供公网IP，不仅如此，同城两个宽带也是不能互通的，这是我始料未及的。

虽然从外部访问，我可以使用公网服务器进行中转，但是两个内网我想使用直连。一开始我选择了tinc，因为它能自动打孔。发现不行之后，我手动测试了一下，发现两个ipv4网络根本就是不通的，不管是内网ip还是公网ip。也就是说，同城两个宽带只能通过NAT访问外网，之间是没有直通路由的。

如果ipv4网络不同，那么ipv6呢？直接ping天翼网关是不通的，这可能跟防火墙有关。同理，要访问网关之后的设备，也被网关防火墙所限制。下一步自然就是获取天翼网关的超级密码了，为此我还把网关给不小心重置了，不得不请师傅来处理。最后，也没有获得超级密码。

另外，在天翼网关的后面了，我还接了一个路由器，内网设备接在这个路由器上。之前使用北京联通的时候，是修改了光猫为桥接模式，获得DHCPV6 Delegated Prefix的。现在因为不能桥接不能自己拨号，只能使用RA Replay和NDP proxy了。因为只有/64前缀，只能使用SLAAC进行配置。另，因为路由器的OpenWrt版本较低，设置ipv6 relay颇费了一番周折，后面使用了新版本的ohcpd就好了。

搞定了ipv6地址分配的问题，就还是防火墙的问题了。如果有超级密码，上去修改一下就可以允许外部访问通过了。但这真的是个好主意么？以前在ipv4时代，NAT间接的承担了防火墙的功能，阻止未经允许的外部访问。进入ipv6时代之后，没有了NAT，理论上是万物可以直接互联了，但是却带来了安全隐患，所以默认的防火墙规则是阻止一切。

难道非得要超级密码么？在ipv4时代，人们使用NAT穿透来规避防火墙规则进入内网。使用类似的打孔原理，我们也可以穿越ipv6防火墙。即内外两台设备同时互访，里应外合就可以打开防火墙。

在ipv6情况下，因为不存在nat，ip和端口是固定的，所以配置是很简单的，直接写对端的ip和端口即可。用nc简单测试一下，两端同时执行

"nc -p 1234 对端IPv6地址 1234"

结果是，ipv6网络居然是通的。所以，我是可以在不修改天翼网关的情况下进行同城直连的！

剩下的问题就是，天翼网关在重启之后，分配的ipv6前缀会改变。我们需要DDNS，这个跟ipv4是一样的。

最后选择了使用wireguard作为隧道，wgsd作为DDNS服务器。提一句，wgsd-client不能运行在openwrt上，这时可以使用wireguard-watchdog脚本，并在dnsmasq添加以上DDNS服务器专门解析_wireguard._udp.example.com域名。另外，wireguard需要persistent keep alive，wgsd节点的allowed ips则可以不写。

这个方案同样适用于ipv4，甚至可以实现nat穿透，但不一定会成功。但是，对于ipv6，则一定会成功。这也是ipv6存在的意义吧。

最后购买了一台ipv6-only的vps作为DDNS服务器，然后发现github居然不支持ipv6访问！