告别内网穿透：基于Debian12与公网IPv6 DDNS的轻量级服务器部署指南

1. 为什么选择IPv6+DDNS方案？

最近几年家用宽带普遍开始支持IPv6，这给个人服务器搭建带来了新思路。传统内网穿透方案需要依赖第三方服务器中转流量，既增加了延迟又存在隐私风险。而IPv6直连方案直接让外部设备访问你的本地服务器，速度更快、成本更低。

我最初尝试用FRP做内网穿透时，发现几个痛点：需要额外购买云服务器、配置复杂、转发效率低。后来测试IPv6方案后发现，只要做好DDNS动态解析，稳定性完全不输商业方案。特别是在视频传输、大文件下载等场景下，直连的带宽优势非常明显。

2. 环境准备与验证

2.1 确认IPv6支持情况

在Debian12终端输入以下命令检查IPv6地址：

ip -6 addr show | grep inet6

正常情况会看到以2xxx:开头的全球单播地址（类似2408:8207:7890:abcd::1/64）。如果只看到fe80:开头的链路本地地址，说明路由器未分配公网IPv6。

建议用手机热点做交叉验证：电脑连接手机热点后访问ipw.cn/ipv6，显示的地址应该和局域网内查询到的IPv6前四位相同。我遇到过某品牌光猫需要手动开启IPv6功能的情况，这时需要登录光猫后台（通常是192.168.1.1）找到IPv6设置选项。

2.2 防火墙配置实战

现代Linux系统通常使用ufw防火墙，但默认规则会阻止IPv6连接。执行这些命令开放常用端口：

sudo ufw allow 22/tcp # SSH sudo ufw allow 80/tcp # HTTP sudo ufw allow 443/tcp # HTTPS sudo ufw allow 22/tcp6 # IPv6专用规则

特别注意要分别添加IPv4和IPv6规则。有次我配置完发现外网仍无法访问，排查半天才发现漏了tcp6后缀。可以通过sudo ufw status numbered查看现有规则，用sudo ufw delete 规则编号删除错误配置。

3. 域名与DDNS配置

3.1 域名解析设置

在阿里云控制台添加AAAA记录时，建议主机记录用@表示根域名，这样既能用example.com也能用www.example.com访问。实测发现部分运营商对IPv6解析有缓存，修改记录后最好执行：

dig AAAA example.com @8.8.8.8

观察TTL值是否更新。我推荐使用10分钟的TTL设置，既不会给DNS服务器造成压力，也能在IP变更时快速生效。

3.2 DDNS-GO容器化部署

比起直接安装，用Docker部署ddns-go更便于维护。这个配置脚本我优化过多次：

docker run -d --name=ddns-go \ --restart=always \ --net=host \ -v /opt/ddns-go:/root \ -e PUID=1000 \ -e PGID=1000 \ jeessy/ddns-go

关键点在于--net=host让容器共享主机网络，否则会获取到错误的IP地址。首次访问9876端口时，在Web界面选择"通过接口获取IP"，比网卡模式更稳定。记得勾选"IPv6解析"选项，否则默认只会更新IPv4记录。

4. 服务部署与优化

4.1 Nginx IPv6监听配置

在/etc/nginx/sites-available/default中加入：

server { listen [::]:80; server_name example.com; # 其他配置... }

方括号是IPv6地址的必要格式。遇到过有开发者直接写listen 80导致IPv6无法访问的情况。测试时可以用curl -6 http://example.com指定协议版本。

4.2 系统层优化

Debian12默认的电源管理会主动休眠网络设备，建议禁用：

sudo systemctl mask sleep.target suspend.target

同时修改/etc/sysctl.conf添加：

net.ipv6.conf.all.accept_ra = 2 net.ipv6.conf.default.accept_ra = 2

这能保证路由器广播的IPv6前缀变更时及时更新地址。有次断网后发现服务不可用，就是因为系统没及时获取新的IPv6前缀。

5. 常见问题排查

当发现域名无法访问时，按这个流程排查：

1. 本地ping6测试：ping6 -c 4 2408:8207::1
2. 外网traceroute测试：traceroute6 example.com
3. 检查ddns-go日志：docker logs ddns-go
4. 验证DNS解析：nslookup -query=AAAA example.com

我遇到最棘手的问题是光猫的IPv6防火墙。某些型号会默认过滤入站连接，需要在光猫后台找到"IPv6防火墙"或"安全等级"设置为"低"。如果找不到相关选项，可以尝试将服务器设为DMZ主机（虽然不太安全）。