群晖NAS启用IPv6后无法外网访问？

1. IPv6 基础概念与群晖NAS外网访问机制

IPv6作为下一代互联网协议，旨在解决IPv4地址枯竭问题。其128位地址空间为每台设备提供全球唯一可路由的公网地址。在启用IPv6后，群晖NAS理论上可通过该地址直接被外部网络访问，无需NAT穿透或端口映射（如IPv4中的DMZ/端口转发）。然而，实际部署中常因配置缺失导致外网访问失败。

• IPv6地址类型：包括全局单播地址（GUA）、本地链路地址（LLA）和唯一本地地址（ULA）
• 默认情况下，路由器通过SLAAC或DHCPv6为设备分配GUA
• 群晖NAS需获取GUA才能实现真正意义上的公网可达性
• 若仅获得ULA或LLA，则无法从外网路由到达
• ISP是否分配/48或/56前缀直接影响内网子网划分能力

2. 常见故障点分析：从网络层到应用层逐级排查

3. 深度排查流程图：系统化诊断路径

```mermaid
graph TD
    A[确认NAS已启用IPv6] --> B{是否获取全局单播地址?}
    B -- 否 --> C[检查路由器RA广播设置]
    B -- 是 --> D{能否ping通外部IPv6地址?}
    D -- 否 --> E[检查默认网关及路由表]
    D -- 是 --> F{路由器是否开启IPv6入站过滤?}
    F -- 是 --> G[配置防火墙放行TCP 5000/5001]
    F -- 否 --> H{DSM防火墙是否允许IPv6流量?}
    H -- 否 --> I[添加IPv6访问规则]
    H -- 是 --> J{DDNS是否支持IPv6?}
    J -- 否 --> K[更换支持AAAA记录的服务商]
    J -- 是 --> L[验证域名解析是否指向最新IPv6]
```

4. 路由器与防火墙关键配置步骤

1. 登录路由器管理界面，进入IPv6设置模块
2. 确保WAN侧获取到有效的IPv6前缀（通常为/48或/56）
3. 启用“路由器通告”(Router Advertisement) 并设置为“服务器模式”
4. 在LAN侧启用“自动分配全局地址”功能
5. 进入防火墙设置，创建入站规则：
   • 协议：TCP
   • 目标端口：5000 (HTTP), 5001 (HTTPS)
   • 源地址：::/0（允许所有IPv6来源）
   • 动作：允许（Allow）
6. 保存并重启IPv6服务以生效规则
7. 部分高端路由器（如OpenWrt、Asuswrt-Merlin）需手动加载ip6tables模块
8. 使用命令行测试：ip6tables -L INPUT -v 查看规则是否加载
9. 启用日志记录以便调试丢包原因
10. 定期审查规则防止策略冲突

5. 群晖DSM防火墙与服务绑定配置

即使路由器放行流量，群晖自身的防火墙也可能阻断连接。进入【控制面板】→【安全性】→【防火墙】：

- 启用防火墙（若关闭则跳过）
- 编辑规则集，新增规则：
  名称: Allow IPv6 Web Access
  来源: 自定义IP，输入 ::/0
  协议: TCP
  端口范围: 5000,5001
  操作: 允许
- 应用后测试外网访问

此外，需确认Web Station服务已绑定IPv6地址：