在当今的国内网络环境中，想要通过公网IPv4访问家庭内网服务，已经成了一个越来越难实现的”技术挑战”。运营商普遍取消了公网IPv4分配，即使通过光猫桥接获取的IP，也多是100.x.x.x的内网地址。而传统的内网穿透工具（如frp、ngrok）不仅需要额外服务器成本，还经常面临不稳定和速度瓶颈的问题。

但IPv6的普及为我们打开了一扇新门——三大运营商几乎100%支持IPv6，且地址是真·公网。本文将分享一个完整、稳定、成本为零的解决方案：IPv6 + DNSHE DDNS + Caddy反向代理，无需额外付费，无需复杂配置，即可实现安全、稳定的远程访问。

---

为什么IPv6是当前最优解？（附DDNS必要性说明）

1. 无需额外成本

• 国内三大运营商（电信/移动/联通）的宽带普遍提供IPv6
• 不需要加钱办理专线，不依赖额外付费服务
• 手机热点/5G CPE设备同样能获取公网IPv6

2. 真正的公网连接

• IPv6地址是全球可达的，无需NAT转换
• 与IPv4的”内网IP+端口映射”相比，连接更直接、延迟更低

3. DDNS的必要性：解决IPv6动态变化问题

IPv6地址虽然提供公网连接，但它是动态分配的。每次路由器重启或网络重连，IPv6前缀都可能变化。如果没有DDNS，我们需要记住每次变化的IPv6地址才能访问，这显然不现实。DDNS通过将域名与动态IPv6地址关联，确保无论地址如何变化，域名始终指向正确的IP，从而实现稳定访问。

重要提示：IPv6的DDNS比IPv4更可靠，因为IPv6地址变化频率远低于IPv4，且IPv6网络环境更简单。

---

实战方案：完整部署指南

1. 域名准备：白嫖DNSHE二级域名

为什么选择DNSHE？

• 免费提供二级域名（如yourname.cc.cd）
• 支持API动态更新，适合DDNS
• 无广告、无强制付费

操作步骤：

1. 访问 DNSHE官网 注册账号
2. 申请一个二级域名（如home.cc.cd）
3. 添加AAAA记录（IPv6专用）：
   • 主机名：@
   • 记录值：::1（临时占位）
   • TTL：600（10分钟）

获取API更新地址： 在DNSHE控制台找到”动态域名解析”接口，格式如下：

https://api005.dnshe.com/index.php?m=domain_hub&c=api&a=update&domain=yourdomain&username=yourusername&password=yourpassword&ipaddr=[IP]

注意：[IP]是OpenWrt的内置变量，无需手动填写

---

2. OpenWrt DDNS配置

关键点：确保IPv6地址能被正确更新

1. 进入OpenWrt后台：服务 > 动态DNS
2. 添加新服务：
   • 服务名称：dnshe_ipv6
   • 查询主机名：home.cc.cd
   • IP地址版本：IPv6
   • 服务提供商：自定义
   • 更新URL：填写上一步获取的API地址
   • 检查周期：5分钟
   • IP地址来源：接口
   • 接口：wan6（IPv6接口）

验证配置：

• 启动服务后，查看日志确认Update successful
• 在DNSHE控制台刷新域名解析，确认AAAA记录已更新

---

3. 修改LuCI管理界面端口（关键步骤）

问题：OpenWrt的LuCI默认使用80和443端口，与Caddy冲突

为什么需要让出80和443端口？ Caddy作为反向代理服务器，需要监听80（HTTP）和443（HTTPS）端口，才能实现无需在URL中添加端口号，直接通过域名访问。例如，用户可以直接访问https://home.cc.cd，而不是https://home.cc.cd:443。这是HTTPS服务的标准做法，也是用户体验最佳的方式。

解决方案：

1. 进入OpenWrt管理界面：系统 > 管理权 > 网络
2. 修改HTTP端口为8080，HTTPS端口为8443
3. 保存并应用配置

验证：

• 现在LuCI可通过http://192.168.1.1:8080访问
• 80和443端口已空出，供Caddy使用

---

4. 防火墙配置：最容易被忽略的关键步骤

问题现象：配置完成后，外网无法访问

原因：OpenWrt防火墙默认拒绝所有入站连接

为什么需要特定的防火墙规则？

• Caddy需要监听80和443端口，但默认防火墙会阻止所有入站连接
• 仅开放IPv6的入站连接，可以避免IPv4的潜在安全风险
• 限制为IPv6可以确保只有IPv6网络的连接被允许，提高安全性

解决方案：

1. 进入网络 > 防火墙 > 通信规则
2. 添加新规则：
   • 名称：Allow-IPv6-Web
   • 协议：TCP
   • 源区域：wan6
   • 目标区域：lan（或设备）
   • 目标端口：80,443
   • 限制地址族：IPv6

重要提示：仅开放必要的端口，避免安全风险

---

5. Caddy部署：轻量级反向代理

为什么选择Caddy？

• Go语言编写，内存占用极低
• 自动申请和续期HTTPS证书
• 配置简单直观，无需复杂配置

部署步骤：

1. 在路由器上创建配置目录：

   mkdir -p /mnt/docker/caddy/config

2. 创建Caddyfile：

   home.cc.cd {
       encode gzip
       reverse_proxy 192.168.1.1:8080
   }

   注：192.168.1.1:8080是修改后的LuCI地址

3. 启动容器：

   docker run -d \
     --name caddy \
     --restart unless-stopped \
     --network host \
     -v /mnt/docker/caddy/config/Caddyfile:/etc/caddy/Caddyfile \
     caddy:latest

验证：

• 等待1-2分钟，Caddy会自动申请SSL证书
• 用手机4G网络访问https://home.cc.cd，应显示OpenWrt登录界面

---

6. 内网DNS优化：解决”回环”问题

问题现象：在家中WiFi下访问域名时速度慢或失败

原因：内网设备解析到公网IPv6地址，导致数据包绕行

解决方案：DNS劫持（内网直连）

1. 进入网络 > DHCP/DNS > 主机名
2. 添加规则：
   • 主机名：home.cc.cd
   • IP地址：192.168.1.1（路由器内网IPv4）

效果：

• 外网访问：解析到公网IPv6 → Caddy反代
• 内网访问：解析到内网IPv4 → 直连路由器
• 体验无缝切换，速度接近内网带宽

---

安全防范：内网服务暴露的风险与应对

将内网服务暴露到公网，会带来一定的安全风险。虽然IPv6的地址空间极大，使得暴力破解难度增加，但仍需采取以下安全措施：

1. 强密码策略：
   • 为OpenWrt LuCI、NAS等服务设置强密码
   • 避免使用默认密码或常见密码（如admin/admin）
2. 登录尝试限制：
   • 在OpenWrt中启用登录尝试限制（系统 > 管理权 > 限制）
   • 设置最大尝试次数（如5次）和锁定时间（如15分钟）
3. 使用HTTPS：
   • 通过Caddy自动启用HTTPS，避免明文传输
   • 保证数据传输安全
4. 定期更新：
   • 保持OpenWrt系统和软件包更新
   • 及时修复已知安全漏洞
5. 防火墙规则细化：
   • 限制仅允许特定IP地址访问（如家庭IP）
   • 或者使用更复杂的规则，如基于时间的访问控制

---

总结：每个组件的作用

至此，一套完整的公网访问方案就搭建完成了：

1. IPv6 提供了物理通路，让家庭网络成为真正的”公网”，无需NAT转换即可直接访问。
2. DNSHE 提供了免费域名，无需额外付费，且支持API动态更新，为DDNS提供基础。
3. DDNS 确保了路标（域名）永远指向正确的家，解决了IPv6地址动态变化的问题。
4. Caddy 提供了安全的大门（HTTPS）和分流，自动申请证书并实现反向代理，让用户可以直接通过域名访问，无需额外端口号。
5. 本地DNS 优化了回家的体验，让内网访问直连，速度达到内网极限，无需绕行公网。

这套方案的真正价值在于：

• 无需额外付费：域名、服务全部免费
• 长期稳定：IPv6地址由运营商分配，变化频率远低于IPv4
• 体验流畅：HTTPS加密、内网直连优化，访问体验接近本地

---

为什么这套方案优于其他选择？

方案	成本	稳定性	配置难度	适用场景
公网IPv4+端口映射	高（专线）	低	中	企业级需求
内网穿透（frp/ngrok）	中	中	高	临时需求
IPv6+DDNS+Caddy	免费	高	低	家庭/个人长期使用

---

附录：常见问题排查

Q1：DDNS更新失败

• 检查API地址中的参数是否正确
• 确认OpenWrt的wan6接口已获取IPv6地址
• 在路由器终端执行：curl "https://api005.dnshe.com/...&ipaddr=2001:db8::1"

Q2：外网无法访问

• 检查防火墙规则是否已添加
• 确认Caddy是否监听443端口：docker logs caddy
• 使用ping6 home.cc.cd测试IPv6连通性

Q3：HTTPS证书申请失败

• 确认防火墙开放了80端口（Caddy申请证书需要）
• 检查域名是否已正确解析到路0由器IPv6
• 确认LuCI端口已修改为8080/8443

---

结语

在当前国内网络环境下，IPv6已成为家庭内网访问的最优解。通过DNSHE免费域名、OpenWrt DDNS、Caddy反向代理和内网DNS优化的组合方案，我们不仅避免了公网IPv4的获取困境，还实现了稳定、安全、低成本的远程访问。

这套方案的真正价值在于：它不是临时解决方案，而是基于当前网络基础设施的长期解决方案。IPv6的普及是大势所趋，而DDNS+Caddy的组合则让这个趋势变得触手可及。

附：测试IPv6连通性 | DNSHE注册链接