光猫F7615UV3b外网访问设置

前言

之前的300M包年纯宽带即将到期，在操作了一圈后，成功办理了78元低消送500M宽带的套餐。与装维沟通说本地还可以申请公网IP后，通过在线客服成功申请到了IPv4的动态公网IP。而IPv6的公网IP本身默认就是有的。

注：

1. 新套餐只能是新装宽带，不支持从之前的套餐转换过来，故存在100元的新装费用。
2. 新套餐坐标北京顺义地区联通，据内部文件，从2025年5月25日起停止申请。
3. 新套餐合约期24个月，提前解约有min(未履约月份数,3)的违约金。
4. 旧套餐虽然是包年的，但是注销时有欠费，原因是安装后次月才开始计算包年，故从安装到本月底是会计算费用的。

分析

由于笔者还有IPTV的使用需求，且不想再动OpenWRT路由器上的配置，故没有采用桥接方式使用，而仍然是路由模式使用光猫。基于此，分析如下：IPv4的公网IP在光猫上，故IPv4的访问需要光猫的配合，采用NAT方式开放特定端口；而IPv6的公网IP在光猫和路由器上都有，故IPv6的访问只需要光猫放行直接访问路由器即可。

笔者的新光猫是中兴的F7615UV3b，当前版本为硬件版本号：V3.0，软件版本号：V3.0.0P1T1，如下配置在这个环境下是可用的。

IPv4设置

1. 配置路由器WAN口的静态IP：

光猫上的网络->LAN侧地址配置->Ipv4 DHCP配置，将结束IP地址后缀从254改为200，缩小DHCP自动分配范围，避免与路由器的静态IP冲突；

光猫上的网络->LAN侧地址配置->静态分配客户端配置，选择刚才空出的地址填一个即可。

2. 配置NAT：

光猫上的应用->高级NAT配置->虚拟主机配置，添加想要的端口映射即可，笔者只开放了Wireguard的UDP端口。

3. 防火墙：

光猫上的安全->防火墙，防火墙等级(IPv4)选择“高”即可，此时访问也是没有问题的，在没有专业知识前不必故意降低等级。

IPv6设置

1. 光猫：

光猫上的安全->防火墙，取消Ipv6spi的勾选，此时已经可以正常访问。

2. 路由器：

除特定端口外（如笔者Wireguard的UDP端口），禁止WAN口上的IPv6直接访问。笔者使用的是OpenWrt，默认配置即禁止。

结果

经配置后可以从外网双栈访问路由器特定开放端口，网速拉满，之前通过挂机宝中转访问的小水管可以关闭了。由于笔者只开放了路由器上Wireguard的UDP端口，且内网设备的公网IPv6分配是被禁止的，故基于Wireguard当前的加密保证，目前内网环境较为安全，风险可控。