openwrt利用nftables在校园网环境下开启nat6 (ipv6 nat)

年初写过一篇openwrt在校园网环境下开启ipv6 nat的文章，利用ip6tables控制ipv6的流量。然而从OpenWrt22版本开始，系统内置的防火墙变为nftables，因此配置方法有所改变。本文主要参考了OpenWRT使用nftables实现IPv6 NAT这篇文章。

友情提示

如果你的学校分配64的后缀，可以先试试把lan口的dhcp改为中继模式，因为lan口设备能获得global地址是最理想的情况。如果像我一样获得了global地址却无法上网，或者学校只分配128后缀地址的话，可以继续按照本文方法配置NAT6。

准备工作

1. 软路由一个
2. OpenWrt-22.xx或以上版本镜像
3. 让WAN口获得ipv6地址（大多数固件默认能够获得ipv6地址，如果你有特殊情况请自行解决一下）

ps. 我用的路由器是redmi ax3000 (RA81)，固件是从openwrt.ai编译得到的。如果你的型号和我一样，欢迎在这里下载固件直接使用。

详细步骤

1. 编辑 /etc/config/dhcp 文件，配置lan口dhcp6服务

在 config dhcp 'lan' 下修改/添加以下配置：

option ra 'server'
option dhcpv6 'server'
option ra_management '1'
option ra_default '1'

2. 编辑 /etc/config/firewall 文件，设定ipv6地址转换

config nat
	option name 'IPv6 Masquerade'
	option family 'ipv6'
	option src 'wan'
	option target 'MASQUERADE'
	list proto 'all'

3. 编辑 /etc/nftables.d/10-custom-filter-chains.nft 文件，降低防火墙匹配延迟

chain user_post_forward {
    ct state established,related accept
    iifname br-lan accept
}

4. 手动指定网关

(1) 终端执行ip -6 route | grep default获取默认网关

输出结果示例：

default from 2001:da8:1111:2222::333 via fe80::5616:51ff:fe56:8fb9 dev wan proto static metric 512 pref medium

(2) 利用默认网关和设备构造命令

将上一步获取到的网关及设备粘贴到route -A inet6 add default gw后面，构造出一条命令

构造的命令示例：

route -A inet6 add default gw fe80::5616:51ff:fe56:8fb9 dev wan

(3) 把构造好的命令添加进系统启动项

编辑/etc/rc.local文件，将构造的命令添加到最后一行 exit 0的上方

5. 重启路由

备注

• 测试结果：
  

• OpenWrt默认分配前缀为fd00::/8的地址作为内网地址，可能会让某些应用更倾向于不使用ipv6（从其他地方看的，我不确定到底有哪些？）。因此可以把这个前缀改为dd00::/8，因为dd前缀的网址作为保留地址没有明确的用途，可以避免应用识别内网ipv6。这个可以通过修改 /etc/config/network 文件中的 globals 配置实现，也可以在 luci界面 -> 网络 -> 接口 -> 全局网络选项 修改。