内网穿透：IPv4转发与IPv6直连指南

你家里是否也有一台闲置的旧电脑，想把它改造成家庭服务器，却发现一离开家就再也连不上？这种“出门即失联”的困境几乎是每一个入门者都会遇到的难题。

问题的根源在于：家用宽带分配给你的大部分是内网IP。要在外网访问家里的设备，关键在于实现内网穿透。很多人一听到这个词就容易联想到各种复杂的第三方工具，其实真正的互联网基础设施已经为你准备好了两套“官方认证”的零成本方案——IPv4端口转发与公网IPv6。

这篇文章带你拆解这两种方案的核心逻辑与实操路径。

一、基础概念：公网IP与私网IP

在开始动手前，先来搞清楚一个最基础的概念。

公网IP（Public IP） 就像独栋别墅的门牌号，全世界的快递员都能拿着这个地址准确地把包裹送到你家。私网IP（Private IP） 则像公司宿舍——所有宿舍共用大楼的一个大门牌号，快递员只知道大楼的地址，却没办法找到你具体住在哪个房间。

目前80%左右的家庭网络都处于这种“宿舍模式”之下。 由于全球IPv4地址早在2019年就已耗尽，中国电信、联通、移动三大运营商的家庭宽带普遍采用NAT（网络地址转换）技术，让几十上百个家庭共享一个公网IP出口。技术上，运营商给宽带分配的IP是100.64.0.0/10运营商级NAT保留地址段。这些地址在运营商内部路由，但没有公网路由，外部设备无法主动连接。

二、方案一：IPv4端口转发

如果你运气够好，能申请到公网IPv4地址，这是最稳妥、兼容性最好的方案。

第一步：确认并申请公网IPv4

先看看自己有没有公网IP。操作方法：登录光猫管理后台（通常是浏览器输入192.168.1.1），查看WAN口获取的IP地址；同时打开百度搜索“IP地址”。如果两个地址一致，那你已经拥有了公网IPv4。

如果发现不一致，公网IPv4是可以主动申请的。 拨打运营商客服电话（电信10000、联通10010、移动10086），话术可以是“家里需要安装远程监控，需要开通公网IP”。大多数客服会配合操作，部分情况下可能需要签一份承诺书，但整体来说，目前三大运营商都允许家庭用户按需申请动态公网IPv4。

第二步：光猫改桥接

光猫原本充当了“路由器”的角色，如果公网IP落在光猫上，后面再接自己的路由器就形成了“双重路由”，配置端口转发会变得异常复杂。建议致电运营商，申请将光猫改为桥接模式，由你自己的路由器直接拨号上网。这样公网IP就直接落在你的路由器上，后续配置就顺畅多了。光猫改桥接的通用操作是登录光猫超级管理员后台，在“网络设置—宽带设置”中找到类型为“INTERNET”的连接项，将其“连接模式”由路由改为桥接。

第三步：设置端口转发

完成前两步后，路由器已经拿到了公网IP。但外网的数据包到达路由器时，路由器并不知道“22号端口的请求应该发给家里哪台电脑”，这就是端口转发要解决的问题。

具体操作：登录你的路由器管理后台，找到“端口转发”或“虚拟服务器”功能。添加规则：例如将外网的2222端口转发到内网服务器192.168.31.207的22端口。保存规则后，你在任何有网的地方访问“你的公网IP:2222”，数据流就会精准到达你的服务器。

如果路由器不支持“端口转发”功能，又或者你不想在光猫和路由器之间来回折腾网络设置，那么下面这个方案会方便得多。

三、方案二：公网IPv6（无需申请，即开即用）

如果你申请不到公网IPv4，或觉得改桥接的操作太麻烦，IPv6方案是最省事的替代方案。

现在三大运营商基本实现了IPv6公网地址的全覆盖，你家里的每一个设备都会自动获得一个以“240”开头的公网IPv6地址。内网穿透的核心困境——没有公网地址——就这么被IPv6直接绕过了。从2025年下半年开始，国内IPv6活跃连接数已超过IPv4，手机4G/5G网络也普遍支持IPv6，IPv6的“基础条件”已经具备，不再是一个小众方案。

配置步骤

1. 开启IPv6功能
登录光猫和路由器的后台，在IP协议设置中，将版本改为“IPv4/IPv6”双栈模式，在路由器中开启IPv6功能。需要注意的是，部分旧款光猫或低端路由器可能固件不完整，即便打开了开关也无法正常分配IPv6地址。遇到这种情况，最简单的方式是绕过光猫，用路由器直接拨号——前面提过的“光猫改桥接”在这里同样适用。

2. 确认设备获取公网IPv6地址

• 在服务器端：Linux系统输入ifconfig或ip addr，找一找网卡中是否有以“240”开头的IPv6地址。

• 在客户端：Windows设备检查是否支持IPv6，可在“网络和共享中心”的网卡属性里确保“Internet协议版本6（TCP/IPv6）”已被勾选。

3. 远程连接
获取到目标设备的IPv6地址后，直接使用SSH命令或远程桌面工具连接即可实现穿透，无需任何额外配置。例如从一台也有IPv6地址的电脑上，在终端中输入ssh -6 [240e:xxx:xxx::xxx]，就连接成功了。

⚠️ IPv6安全特别提醒：IPv6方案有一个不可忽视的安全代价——设备端口直接暴露在公网。在IPv4的NAT环境下，外部扫描无法直接触及内网设备，这是一种“默认安全”。而IPv6设备拥有全球唯一的公网地址，任何人都可以尝试探测你的端口。建议采取以下措施：务必为所有账户设置强密码（长度12位以上、大小写加特殊符号）；在路由器中启用IPv6防火墙，手动配置仅允许特定来源IP访问特定端口的白名单规则；定期检查系统日志，留意是否有异常的登录尝试记录。

四、进阶方案：DDNS动态域名解析

前面两种方案顺利运作的一个前提是：你家宽带的公网IP地址是不变的。但残酷的现实是——无论是动态的公网IPv4地址，还是运营商分配的IPv6地址前缀，都会在路由器重启、断电或定期租期到期后发生变化。

记住一长串数字形式的IP地址本来就很困难，更何况这个IP还会定期变化。

解决方案就是DDNS（动态域名解析）。简单来说，当家里的公网IP发生变化时，DDNS工具会自动把变化后的新IP同步更新到域名解析记录上。你需要做三件事：准备一个域名（免费子域名或自己购买一个）；在路由器或服务器上部署一个DDNS客户端（比如开源的ddns-go）；在客户端中填入域名信息以及域名服务商的API Token。

配置好后，你只需要记住一个类似myhome.example.com这样的固定网址，就能随时随地访问家里那台机器，再也不用操心IP变动的烦恼了。

总结

三种方案选哪个，关键看你的实际需求和网络条件：

总的来说，IPv6+DDNS的组合是当前最适合家庭用户的路径。当所有条件都满足，你在咖啡馆打开笔记本输入一个域名，屏幕直接弹出家里服务器的登录界面时，那种感觉会让你觉得前面的折腾全都值了。赶紧动手试试吧！