請教試用IPv6 Dual stack的Windows 防火牆設定應該是怎樣比較合適?

顯示結果從第 1 筆 到 8 筆,共計 8 筆
謝謝您2個謝謝
  • 1 琥珀
  • 1 fierycloud

主題: 請教試用IPv6 Dual stack的Windows 防火牆設定應該是怎樣比較合適?

  1. #1
    會員
    註冊日期
    2002-06-22
    所在地區
    100M/40M
    討論區文章
    55

    請教試用IPv6 Dual stack的Windows 防火牆設定應該是怎樣比較合適?

    因為目前i-040gw有直接提供IPV6區域網路,所以修正下。

    一、電腦環境是Win7及Win10(兩台電腦):
    1.
    關閉所有通道上的IPv6 (https://support.microsoft.com/zh-tw/kb/929852)。
    且關閉ISATAP、Teredo、6to4。 (可能各作業系統不太一樣)
    netsh interface isatap set state disabled
    netsh interface 6to4 set state state=disabled
    netsh interface teredo set state disable
    關閉IP Helper 服務

    使用ipconfig /all看有沒有撥號與網路卡以外的通道?

    主要使用Chrome瀏覽。一般使用上因為只有瀏覽網路,所以應該算是正常。 (i-040gw有開DHCP跟無線)

    2.使用speed guide網站的TCP Optimizer 4,測試(連到www.google.com 的,應該是各網站不同)MTU,040gw預設是PPPOE(自動1492)跟IPOE(應該是沒用過)。

    區域網路測起來是1492,區域網路預設是1500,改成1492;
    寬頻連線(PPPOE撥號)測起來是1480,預設本來就1480。

    改法是參照網路搜尋到的,先找出要改的網路介面idx
    (因為如果有亂動過registry,可能就不太適合用 名稱,可能出現element not found 元素找不到,比較適合用idx。)

    (1)以系統管理員權限開啟命令提示字元,
    netsh interface ipv4 show interface
    Idx Met MTU 狀態 名稱
    --- ---------- ---------- ------------ ---------------------------
    24 10 1480 connected Hinet IPv6
    1 4275 4294967295 connected Loopback Pseudo-Interface 1
    5 4235 1500 connected 乙太網路
    (2)
    netsh interface ipv4 set subinterface "5" mtu=1492 store=persistent
    netsh interface ipv6 set subinterface "5" mtu=1492 store=persistent
    (本來040gw的區網沒有直接硬體撥號支援IPV6的時候,區域網路中的IPV6協定,個人是設定成沒有勾選的狀態。)

    (其實區域網路的部分,似乎沒有作用,因為Win10區域網路似乎會停止,會顯示無網際網路存取。Win7是顯示多重網路(更新都有安裝)。)

    二、只是因為於網站IPv6 test - IPv6/4 connectivity and speed test 測試的時候,IPv6 connectivity下, 有一項ICMP 顯示Filtered。17分。 所以就想嘗試一下點選該項右側顯示的ICMP相關設定。

    有嘗試網路上搜尋到的兩種Windows防火牆設定方向:
    1.開啟預設的"檔案及印表機共用"ICMPv6 in out相關,維持Filtered,17分(應該是因為一個是網域;一個公共與私人的,但預設遠端是本機子網路。)
    2.自訂輸入規則的(網域、公共、私人)ICMPv6的"回應要求"(變成Reachable,19分);及"重新導向"(維持Filtered,17分)。
    但至少在個人一般網路瀏覽環境,兩者皆感覺沒有變化。

    然後因為有些文章是提及ICMP開啟回應也可能會Ping的相關攻擊,所以如果完成相關線上服務支援需求,應該要回復成關閉狀態(某電腦廠商的服務網站Q&A)。
    才發覺到,應該要更限縮下開啟的範圍,比如埠?之類的。


    3.所以重新看了一遍WIKI的Path_MTU_Discovery,似乎是提及IPv4是使用 (Type 3, Code 4),IPv6是使用TYPE2。不過在防火牆設定時,是顯示已經有相同的規則,才發現是不是因為已經有ICMPv4(核心網路功能 - 需要無法與目的地取得連線片段) 及IPv6"封包太大"的預設開啟值。
    感覺上此時個人使用的一般網路瀏覽環境也沒有變化。(... ...因為就是預設值)

    4.不過似乎沒有"ICMPv4封包太大"的預設值。但是ICMPv4下有"封包太大"可以設定。不曉得作用是如何? 只是設定後感覺沒變化。(好像有順一點,但也可能是錯覺。)

    因此想請教Windows 防火牆設定應該是怎樣比較合適? 包含輸出輸入、IPV4、IPV6
    (目前的進展是覺得,是不是應該就限定欲開放的網路程式,比如Chorme的ICMPv6 Echo權限,不過該狀況下還是Filtered,17分。)


    此文章於 2017-08-22 08:48 PM 被 fierycloud 編輯。

  2. #2
    あなたの側に居る 琥珀 的大頭照
    註冊日期
    2002-08-17
    所在地區
    中和區 / LTE
    討論區文章
    9,583
    http://ipv6-test.com/,三、四分
    http://test-ipv6.com/,零分

    分數本身不重要,可以上網最重要。

    Windows 10 服務,任意變更設定,通常愈改愈糟。
    fierycloud 謝謝這篇文章

  3. #3
    會員
    註冊日期
    2002-06-22
    所在地區
    100M/40M
    討論區文章
    55

    回覆: 請教試用IPv6 Dual stack的Windows 防火牆設定應該是怎樣比較合適?

    此篇,無法取得IPV6 DNS的狀況(1607 14393),自1703 15063.13開始,是正常的 (因為全新安裝完,去注意的時候已經是升級.13的狀況)

    一、
    另一臺Win7都是正常自動取得。

    一台Win10更新至14393.10- .223時 (之前1511版應該是正常,更新完都會自動升級,看到的時候就是.10,不知道.0是怎樣),PPPOE不能自動取得IPv6版的DNS位址(IP&Gateway正常);IPv4的正常。

    1.網路連線詳細資料是以下
    連線特定 DNS 尾碼: 這項是空白
    描述: ... ...
    實體位址: ‎這項是空白
    DHCP 已啟用: 否
    IPv4 位址: ... ...
    IPv4 子網路遮罩: 255.255.255.255
    IPv4 預設閘道: 這項是空白
    IPv4 DNS 伺服器: 168.95.1.1, 168.95.192.1
    IPv4 WINS 伺服器: 這項是空白
    NetBIOS over Tcpip 已啟用: 否
    IPv6 位址: ... ...
    連結-本機 IPv6 位址: ... ...
    IPv6 預設閘道: ... ...
    IPv6 DNS 伺服器: 這項是空白,但是根據http://www.ipv6.hinet.net/form/HiNet...ct-setting.pdf 應該是要有DNS
    2.ipconfig /all 也只有同上兩組IPv4的Hinet DNS, 沒有IPv6的Hinet DNS

    3.測試網站是顯示
    IPv6 test - IPv6/4 connectivity and speed test
    ... ...
    SLAAC No (因為一直都這樣,是表示沒有用到SLAAC?)
    ... ...
    DNS4 + IP6 Reachable
    DNS6 + IP4 Unreachable
    DNS6 + IP6 Unreachable
    A.撥號(4、6都選)與區網(4、6都選,或是只有選4),都選自動取得DNS的時候,同上,DNS僅第一項正常。
    B.撥號(4、6都選)與區網(選4),只要撥號的4,有手動填DNS(8.8.8.8;168.95.1.1),6是自動DNS,DNS三項都會是正常的。(此時ipconfig /all並不會顯示有v6DNS,但仍會有v6閘道,IP)
    (但是在另一台Win7 即使,撥號只勾選IPv6與自動,區域網路只勾選v4,仍是正常的,反正就是可以自動取得v6的DNS,閘道,IP)
    C.如果撥號只選6,手動填DNS時,ipv6-test.com 測出來的Browser Default 項目會是IPv4。

    二、
    有試過以下都無效
    1.設定-網路與網際網路-狀態-網路重設 (會顯示再5分鐘重開)
    2.netcfg -d (P.S.本來以為以上兩種重設可以重設所有連線相關序號,但是不行。 而且不會動到PPPOE的設定)
    3.
    ipconfig /flushdns
    arp -d *
    arp -d -a
    nbtstat -R
    nbtstat -RR
    route -f
    netsh interface ipv4 delete arpcache
    netsh interface ipv4 delete destinationcache
    netsh interface ipv4 delete neighbors
    netsh interface ipv6 delete destinationcache
    netsh interface ipv6 delete neighbors
    netsh interface isatap set state disabled
    netsh interface 6to4 set state state=disabled
    netsh interface teredo set state disable
    netsh interface portproxy reset
    netsh interface httpstunnel reset
    netsh interface ipv4 reset
    netsh interface ipv6 reset
    netsh interface tcp reset
    netsh advfirewall reset
    netsh winsock reset

    重新開機
    netsh int ipv4 reset、netsh int ipv6 reset 有出現access denied。
    (1)搜尋到開啟存取權限就會正常(重開機就會鎖回去),不過,因為裡面沒內容不曉得究竟是重置了那些項目(之前沒內容,reset 都成功後,還是沒內容)。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nsi\{eb004a00-9b1a-11d4-9123-0050047759bc}\26
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Nsi\{eb004a01-9b1a-11d4-9123-0050047759bc}\25

    (2)似乎也可用(系統管理員權限開啟的)PowerShell (不過效果未知。自定的DNS似乎不會變化,其他未知)
    SG :: How to repair TCP/IP and Winsock
    Remove-NetIPAddress

    4.DISM.exe /Online /Cleanup-image /Restorehealth (因為有想過會不會是安裝過程有遺失檔案,但是看起來沒作用,在最新版中似乎會連上網更新)
    Dism.exe /online /Cleanup-Image /StartComponentCleanup /ResetBase (清理,但是只適用於Win 8.1以後)
    5.重新啟動控制台-系統管理工具-服務-DNS Client 以及 DHCP Client
    6.使用媒體製作工具,重新下載安裝也無效。 但是有發現如果1.2.3.4.都做一次,開機時進安全模式再出來,開機時跟網路會比較順。

    三、
    還是只是最近Hinet DNS不穩定(但是另一台Win7似乎都正常)

    四、
    感覺比較接近的是stateful 或是stateless DHCP的設定之類的
    比如這2篇,但是試過似乎沒作用。
    https://support.microsoft.com/en-us/kb/961433
    https://support.microsoft.com/en-us/kb/2822311

    以下應該是原狀。DNS切換成自動或是自訂都是這樣。但是正常來說,似乎advertise、routerdiscovery、advertisedefaultroute、managedaddress、otherstateful的啟用與否,似乎都會有點不同。
    netsh int ipv6 show int
    netsh int ipv6 show int "X" (填寫上項命令中要查詢的IDX號)

    可以自動取得IPv6 DNS的那台Win7
    IPv6
    ----------------------------------------------
    IfLuid : ppp_5
    IfIndex : 608
    狀態 : connected
    計量 : 20
    連結 MTU : 1480 位元組
    可連線時間 : 15500 毫秒
    基本可連線時間 : 30000 毫秒
    重新傳輸間隔 : 1000 毫秒
    DAD 傳輸 : 3
    站台首碼長度 : 64
    站台識別碼 : 1
    轉送 : disabled
    公告 : disabled
    芳鄰探索 : enabled
    芳鄰無法連線偵測功能 : disabled
    路由器探索 : enabled
    管理的位址設定 : disabled
    其他可設定狀態設定 : enabled

    弱式主機傳送 : disabled
    弱式主機接收 : disabled
    使用自動計量 : enabled
    略過預設路由 : disabled
    通告的路由器存留期 : 1800 秒
    通告預設路由 : disabled
    目前的躍點限制 : 64
    強制 ARPND 喚醒模式 : disabled
    導向 MAC 喚醒模式 : disabled
    無法自動取得IPv6 DNS的Win 10(但是可以自動取得IPV4)
    IPV6
    ----------------------------------------------
    IfLuid : ppp_0
    IfIndex : 23
    狀態 : connected
    計量 : 25
    連結 MTU : 1480 位元組
    可連線時間 : 22500 毫秒
    基本可連線時間 : 30000 毫秒
    重新傳輸間隔 : 1000 毫秒
    DAD 傳輸 : 3
    站台首碼長度 : 64
    站台識別碼 : 1
    轉送 : disabled
    公告 : disabled
    芳鄰探索 : enabled
    芳鄰無法連線偵測功能 : disabled
    路由器探索 : enabled
    管理的位址設定 : disabled
    其他可設定狀態設定 : enabled

    弱式主機傳送 : disabled
    弱式主機接收 : disabled
    使用自動計量 : enabled
    略過預設路由 : disabled
    通告的路由器存留期 : 1800 秒
    通告預設路由 : disabled
    目前的躍點限制 : 64
    強制 ARPND 喚醒模式 : disabled
    導向 MAC 喚醒模式 : disabled
    ECN 功能 : application
    五、
    不過只要手動輸入DNS的IPv6位址,就正常。 (包含手動輸入中華電信的IPv6 DNS)
    比如說 使用自訂的不同的幾個來源的DNS
    http://www.ipv6.hinet.net/form/HiNet...ed_setting.pdf
    2001:b000:168::1
    2001:b000:168::2
    或是
    https://developers.google.com/speed/...dns/docs/using
    2001:4860:4860:0:0:0:0:8888
    2001:4860:4860:0:0:0:0:8844
    或是
    發現暫時解決方案,就是在連線完成的時候,執行ipconfig /renew6即可。(重開機或是重新連線會失效,需要每次... ...)
    https://social.technet.microsoft.com...tpronetworking
    此文章於 2017-10-13 01:01 PM 被 fierycloud 編輯。

  4. #4
    會員
    註冊日期
    2002-06-22
    所在地區
    100M/40M
    討論區文章
    55

    回覆: 請教試用IPv6 Dual stack的Windows 防火牆設定應該是怎樣比較合適?

    P.S. 嘗試選擇完全重設了一下,結果SLID不見了... ...
    (因為看到有些網路討論,SLID在接頭沒有拔除的狀況下,似乎不能變更,所以應該是不會不見,但就是不見了。 )
    部分回復出廠預設值(保留用戶原設定參數)
    請注意,按下部分回復預設值後,SLID、撥接設定與 Wi-Fi設定將被保存,
    其餘設定將會全部回復原廠預設值。

    按下部分回復預設值後,以下的設定將會被套用:
    LAN IP: 192.168.1.1
    部分回復預設值

    完全回復出廠預設值(用戶設定參數會完全清除)
    如欲清空所有自訂的設定並復原成原廠設定,請按完全回復預設值
    按下完全回復預設值後,以下的設定將會被套用:
    LAN IP: 192.168.1.1
    完全回復預設值

    SLID 回復成Default。
    設定完PPPOE,但無法連線。 所以就打了障礙申告電話... ...
    但是幾分鐘後,重開,居然就可以連線了... ...
    (首次來裝設的時候,師傅也是詢問使用帳號密碼後設定的)

    (打了障礙申告電話,本來是說要明天早上,但約10分鐘後,就有師傅說要過來重新設定SLID,因為會有另外的驗證機制,可能會有上網問題,大概再5分鐘後,就到府。設定SLID完成。要打開、拔光纖插頭後,才能設定。 )

    但還是一樣,家中win10那台電腦無法以自動的方式,取得IPv6 DNS(IPv6 IP 及Gateway正常) (Win7那台全部正常)

    P.S.
    師傅特別告知,有重新設定PPPOE,是wifi.hinet.net的,可以少占用一個撥接取得的IP。
    (可能是來自於目前光世代基本型(數據機內建)的家用第一路免費WIFI方案。(應該幾年以前以前就有某些是內建免費提供家用WIFI的,比如光世代一定速度以上,只是當時方案不叫這名字)
    http://wifi.hinet.net/pwlan/rates/index.html#home_wifi
    因為其告知是內部設定,專屬的一組帳號(原帳號@wifi.hinet.net)與密碼(如果根據網路,可以用網頁密碼檢視工具,比如Chrome的相關外掛,看相關設定頁面。)

    (不過之前使用的DSL6641K,也有被遠端設定成wifi.hinet.net的帳號,以及開啟DHCP與無線功能,應該也包含可能是家中有申請WIFI無限通的關係吧! 因為之前家用WIFI似乎要收69?元的月租費的時候,WIFI無限通的方案是有包含免費家用WIFI!

    目前家中該光世代線路還是有使用WIFI無限通。

    兩者是不是使用相同的帳號密碼就不得而知,因為使用者不在家中。

    首次裝機時,師傅有問過家中是否有申請家用無線網路,因為他們的施工文件有顯示出來。
    當時也還有問過當時的師傅,如果其中一方改了wifi.hinet.net密碼,是不是會彼此影響到,比如使用WIFI無限通的人改了密碼,是不是數據機的也要改... ...
    不曉得是不是因為這樣,所以當時首次裝機的師傅,沒有直接設定WIFI那組帳號密碼,才改用向家中詢問的帳密,也不得而知。)
    此文章於 2016-08-18 05:32 PM 被 fierycloud 編輯。

  5. #5
    會員
    註冊日期
    2002-06-22
    所在地區
    100M/40M
    討論區文章
    55

    回覆: 請教試用IPv6 Dual stack的Windows 防火牆設定應該是怎樣比較合適?

    引用 作者:琥珀 瀏覽文章
    IPv6 test - IPv6/4 connectivity and speed test,三、四分
    Test your IPv6.,零分

    分數本身不重要,可以上網最重要。

    Windows 10 服務,任意變更設定,通常愈改愈糟。
    如果是工作用電腦應該不太適合亂開放設定
    因為查詢到,使用Dual Stack,可以嘗試關閉各種通道相關。 (關閉之後,連一般操作,都感覺真的順暢很多。當然也可能是錯覺。)
    直接關閉三個有關的。 另外兩個目前只嘗試直接重設。 因為通常都只有看到前三個。 (Win7 跟Win10 命令不太一樣?)
    netsh interface isatap set state disabled
    netsh interface 6to4 set state state=disabled
    netsh interface teredo set state disable
    netsh interface portproxy reset
    netsh interface httpstunnel reset

    關閉通道上的IPv6
    https://support.microsoft.com/zh-tw/...nts-in-windows

    關閉IP Helper


    此文章於 2017-10-13 01:21 AM 被 fierycloud 編輯。

  6. #6
    會員
    註冊日期
    2002-06-22
    所在地區
    100M/40M
    討論區文章
    55

    回覆: 請教試用IPv6 Dual stack的Windows 防火牆設定應該是怎樣比較合適?

    如果是工作用電腦應該不太適合亂開放設定。

    因為突然覺得,既有的規則,看起來都是有限定網路種類,比如說本機子網路與網域。所以目前是嘗試另外設定開放了ICMPv4與v6各自的輸入(與輸出)規則。 感覺上似乎有變順,但是可能也沒有或無關。
    Windows 防火牆-進階設定-輸入(與輸出)規則-新增規則-自訂-所有程式-ICMPv4與v6,各自設一次。

    PS. 有使用Cfos speed 因此防火牆跟防毒也都有開放spd.exe。(cfosspeed.exe 根據說明沒有網路存取。另有開放防毒。) 不過最新BETA版,似乎跟最新版韌體的040gw有衝突? 其狀態視窗,不知何時開始,就會不斷消失或出現! 但是該時段網路感覺並不會斷斷續續!
    此文章於 2017-09-12 03:13 PM 被 fierycloud 編輯。

  7. #7
    會員
    註冊日期
    2002-06-22
    所在地區
    100M/40M
    討論區文章
    55

    回覆: 請教試用IPv6 Dual stack的Windows 防火牆設定應該是怎樣比較合適?

    如果是工作用電腦應該不太適合亂開放設定。
    (上一篇的,另開放輸入(與輸出)的ICMP v4與v6規則後,只有由17分變成到19分,仍沒有IPv6 hostname)

    剛發現 分數變成20/20了 有出現IPv6 hostname
    IPv6 test - IPv6/4 connectivity and speed test

    是不是Hinet有甚麼設定更新,有沒有電腦端要設定甚麼,可能會更合適之類的?
    比如說Cfos speed 重新設定校正,winsock 重設,寬頻撥號重設之類的

    PS. 040gw韌體似乎更新了 I040GWR170508
    而且可以硬體PPPOE取得IPV6
    此文章於 2017-08-05 09:16 PM 被 fierycloud 編輯。

  8. #8
    會員
    註冊日期
    2002-06-22
    所在地區
    100M/40M
    討論區文章
    55

    回覆: 請教試用IPv6 Dual stack的Windows 防火牆設定應該是怎樣比較合適?

    P.S. 以下是不太相關的事。(而且網路嚴重緩慢的狀況,在手動與用其他程式刪除後,就有緩和,關閉通道後,感覺又更順了一點,如果單純直接執行以下程式,是否能清理,不得而知,僅供參考。 應該不太適合在工作用電腦上亂試。)

    突然發現了一個可以重整文中提到的,家中電腦,有數百個(600多)interface Index number,的程式。
    (似乎是因為這個BUG
    https://support.microsoft.com/en-us/...er-you-restart
    家人不曉得為什麼,明明是桌上型電腦,也沒有無線網路卡,但是就嘗試開啟了無線基地台?(沒有成功,但是虛擬通道網路卡增加的原因應該也只有這個比較接近。) 加上原本Win7 IPV6預設是開啟 ,可能因此,反正就出現#600多個區域網路與#3-400個虛擬通道網路卡。 網路因此變得很緩慢,連嘗試更換網路卡驅動程式都要很久。 移除後就有變快。)

    JJClements.co.uk
    JJClements.co.uk
    2) I found a copy (Unknown Adapter Fix.zip) of a Microsoft tool called ndiscleanup.exe that can be used to clean the registry of networking information. From an elevated command prompt I ran the x64 version of ndiscleanup.exe:

    ndiscleanup.exe -cleanup -all
    第一次執行之後,有顯示500多項無法移除。
    (因為之前試過很多網路上提到方法,包含安裝更新與關閉通道(或關閉IPv6)後,直接進去registry刪除,或是有人寫好的6to4remover之類的。 但是並不會重置其號碼。結果就是整個很亂,連寬頻連線都不會出現在網路與共用中心,只會出現在下一層的介面卡;而且之前似乎介面卡中的區域網路名稱是區域網路,後來變成網路,目前是變成乙太網路。)
    再執行一次,是顯示移除項目為零。
    重新開機後,整個序號看起來是重置過的。 (而且寬頻連線也出現在共用中心了)
    包含目前有在使用的區域網路以及寬頻連線,interface index number都恢復到應該是正常的值,在20以內。 (原來應該一個是604,一個是605。(因為一直嘗試各種方法,包含增刪registry,以及網路卡移除、重裝、或更新,還有寬頻撥號刪除與重設。 結果就是號碼一直增加))

    route print 可以看到有作用的。基本上就跟前文中提到的 netsh interface ipv4 show interface 效果類似。
    或是MSinfo 元件-網路-介面卡。 可以看到每個序號是對應到甚麼。

    ps. windows 10 網路重設,似乎也會重新整理所有介面的序號。
    附加檔案 附加檔案
    此文章於 2017-09-17 03:11 PM 被 fierycloud 編輯。
    琥珀 謝謝這篇文章

類似的主題

  1. 夜市攤位要用的桌子 哪種比較合適?
    作者:Gunking 所在討論版:-- 閒 話 家 常 灌 水 版
    回覆: 2
    最後發表: 2007-06-12, 11:59 AM
  2. [問題]Windows sp2 無法顯示Windows防火牆設定值(附圖)
    作者:chw88 所在討論版:-- Windows 討 論 版
    回覆: 1
    最後發表: 2006-03-24, 04:07 PM
  3. 【求助】請教如何匯出XP SP2 防火牆設定 ??
    作者:anson lin 所在討論版:-- Windows 討 論 版
    回覆: 3
    最後發表: 2004-08-24, 08:06 PM
  4. 【求助•緊急】應該是技嘉的7VT600P-RZ主機板中SATA的問題
    作者:iamnew 所在討論版:-- 電 腦 硬 體 討 論 版
    回覆: 12
    最後發表: 2004-06-30, 11:46 AM
  5. DI-704的防火牆設定
    作者:dino750 所在討論版:-- 網 路 硬 體 版
    回覆: 5
    最後發表: 2002-01-26, 07:48 PM

 

windows 10 ipv6設定

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •