中国移动浙江杭州海外ipv6 tcp不通原因排查分析

背景

家里一条中国移动浙江杭州宽带出现了一个很奇怪的 IPv6 问题：

• 国内 IPv6 网站的 TCP/443 正常；
• 海外 IPv6 地址可以 ping 通；
• 但是海外 IPv6 的 TCP 连接不通，包括 HTTPS 443 和自有海外服务器的 SSH 22；
• 同样是中国移动 IPv6，另一条宽带的海外 IPv6 TCP 又是正常的。

这类问题很容易被误判成 DNS、MTU、光猫防火墙、OpenWrt 配置错误。实际排查下来，问题更像是移动出口或中间链路按源 IPv6 前缀分流后，部分前缀的海外 TCP 路径异常。

为了避免暴露家庭网络的完整地址，下面只保留网段级别信息，具体主机地址和接口 IID 均已脱敏。

当前网络结构

网络结构大致如下：

1
2
3
4
5
6
7
8
9

终端设备
  |
ImmortalWrt / OpenWrt
  |
中国移动光猫
  |
中国移动 IPv6 网络
  |
海外服务器

当时拿到的主要 IPv6 网段如下：

可以看到，两个宽带虽然都属于中国移动 2409:8a28::/32 附近的地址，但从 /40 开始就已经不同：

1
2

异常宽带所在大致范围：2409:8a28:600::/40
正常宽带所在大致范围：2409:8a28:800::/40

这意味着它们在移动内部可能已经走不同地址池、BRAS、城域网出口或海外出口策略。

先排除本地配置问题

在 ImmortalWrt 上固定同一个源地址测试，结果如下：

这个结果说明：

1. IPv6 地址、路由、RA/DHCPv6 基本不是问题，因为国内 IPv6 TCP 能通；
2. 不是海外 IPv6 完全不通，因为 ICMPv6 能通；
3. 问题集中在海外方向的 TCP。

光猫 WAN 口抓包

为了确认包有没有从本地发出去，我在光猫上放了一个静态编译的 tcpdump，直接抓光猫 PPP WAN 接口。

抓包结果显示，从 ImmortalWrt 发往自有海外服务器 TCP/22 的 SYN 已经从光猫 WAN 口发出：

1
2
3
4

光猫 ppp 接口：
本地 LAN 前缀地址 > 海外服务器:22 Flags [S]
本地 LAN 前缀地址 > 海外服务器:22 Flags [S]
本地 LAN 前缀地址 > 海外服务器:22 Flags [S]

同时在海外服务器网卡上抓包，完全收不到这些 SYN：

1
2
3

海外服务器 eth0：
0 packets captured
0 packets received by filter

这一步基本可以排除光猫和 OpenWrt 没有把包发出去的问题。包已经离开家庭网络，但没有到达海外服务器。

同一个源地址反复验证

为了避免不同源地址造成误判，后续测试固定使用同一个 LAN 侧源地址所在网段：

1

2409:8a28:6e9:69a1::/64

结果依然是：

• 国内 IPv6 TCP 正常；
• 海外 IPv6 ICMPv6 正常；
• 海外 IPv6 TCP 超时；
• 光猫 WAN 能看到 SYN 发出；
• 海外服务器收不到 SYN。

这说明问题不是 DNS，也不是随机某次连接失败。

伪源前缀探测

后面做了一个更关键的验证：在 ImmortalWrt 上临时加一些未分配给本线路的 IPv6 源地址，只对自有海外服务器发极少量测试包，同时远端 tcpdump 观察是否能收到。

注意：这种方式只能判断“带这个源前缀的包是否能穿过移动出口到远端”，不能代表这个地址真的能正常使用。因为这个地址并没有分配给本线路，回包不会正确回到本线路。

测试现象：

这说明移动链路并没有对源地址做非常严格的入口校验，至少伪源 ICMPv6 可以到远端；同时也说明，海外 TCP 是否到达和源 IPv6 前缀强相关。

前缀抽样结果

随后对 2409:8a28::/32 内的一些前缀做了低速抽样。所有测试都只打自有海外服务器的 TCP/22，远端以 tcpdump 判断 SYN 是否到达。

/40 粗扫

每个 /40 取一个代表地址，结果只有这两个代表点到达：

1
2

2409:8a28:800::/40  代表点到达
2409:8a28:c00::/40  代表点到达

异常线路所在的 2409:8a28:600::/40 代表点未到。

不过代表点失败不等于整个 /40 都失败，所以继续细扫。

/44 细扫

2409:8a28:600::/40 内：

异常线路所在的 2409:8a28:6e9::/48 落在 2409:8a28:6e0::/44 内。

2409:8a28:800::/40 内：

另一个正常宽带所在的 2409:8a28:824::/48 落在 2409:8a28:820::/44 内，测试结果为到达。

2409:8a28:c00::/40 内：

2409:8a28:6e0::/44 继续细分

因为异常线路落在 6e0::/44 内，所以继续细分到 /48。

结果：

这里可以看到，6e0::/44 内部也是混合的。6e1::/48 能到，6e9::/48 不能到。

2409:8a28:6e9::/48 继续细分

异常线路所在的 2409:8a28:6e9::/48 继续细分到 /52，16 个代表点全部未到：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16

2409:8a28:6e9:0000::/52  未到
2409:8a28:6e9:1000::/52  未到
2409:8a28:6e9:2000::/52  未到
2409:8a28:6e9:3000::/52  未到
2409:8a28:6e9:4000::/52  未到
2409:8a28:6e9:5000::/52  未到
2409:8a28:6e9:6000::/52  未到
2409:8a28:6e9:7000::/52  未到
2409:8a28:6e9:8000::/52  未到
2409:8a28:6e9:9000::/52  未到
2409:8a28:6e9:a000::/52  未到
2409:8a28:6e9:b000::/52  未到
2409:8a28:6e9:c000::/52  未到
2409:8a28:6e9:d000::/52  未到
2409:8a28:6e9:e000::/52  未到
2409:8a28:6e9:f000::/52  未到

异常线路的 LAN 前缀落在 2409:8a28:6e9:6000::/52 内。

2409:8a28:6e1::/48 对比

作为对照，对能到的 2409:8a28:6e1::/48 也细分到 /52。16 个代表点全部到达。

这说明异常不是整个 2409:8a28:6e0::/44 的简单统一策略，而是更细粒度的源前缀分流或出口路径差异。

前缀结果汇总表

下面把主要探测结果合并成一张表。这里的“到达”表示伪源 TCP SYN 能在自有海外服务器 tcpdump 中看到；“未到”表示远端没有抓到对应 SYN。

结论

这次排查得到的结论是：

1. 本地光猫和 ImmortalWrt 已经把海外 TCP SYN 发出；
2. 国内 IPv6 TCP 正常，海外 IPv6 ICMPv6 正常；
3. 海外 IPv6 TCP SYN 在离开本地后、到达远端前丢失；
4. 丢失与源 IPv6 前缀强相关；
5. 异常线路所在的 2409:8a28:6e9::/48 按 /52 抽样全部未到；
6. 对照的 2409:8a28:6e1::/48 按 /52 抽样全部到达；
7. 另一个正常宽带所在的 2409:8a28:824::/48 也落在抽样显示正常的区域。

因此，这个问题不太像 DNS、MTU、光猫防火墙或 OpenWrt 配置错误，更像是中国移动浙江杭州这条线路当前拿到的 IPv6 源前缀被分配到了有问题的海外 TCP 出口路径，或者对应源前缀在中间链路上被策略性丢弃。

后续处理建议

如果遇到类似问题，可以按这个顺序排查：

1. 固定同一个源 IPv6 地址测试国内和海外 TCP；
2. 同时测试 ICMPv6，区分“IPv6 全不通”和“只有 TCP 不通”；
3. 在光猫或主路由 WAN 口抓包，确认 SYN 是否已离开本地；
4. 在自有海外服务器抓包，确认 SYN 是否到达远端；
5. 如果有另一条宽带或另一段 IPv6 前缀，可以用同一目标做对照；
6. 向运营商报障时，重点描述“国内 IPv6 TCP 正常、海外 IPv6 ICMP 正常、海外 IPv6 TCP SYN 从本地发出但远端收不到”，不要只说“IPv6 不通”。

如果运营商无法处理，临时绕过方案通常只有：

• 重拨尝试获取不同 IPv6 前缀；
• 使用另一条出口正常的宽带；
• 对海外流量走隧道或代理；
• 暂时关闭客户端对海外目标的 IPv6 优先级。

这类问题的本质不在家庭网络内部，而在运营商 IPv6 出口路径和源前缀策略上。