共计 2288 个字符,预计需要花费 6 分钟才能阅读完成。
随着 IPv4 地址资源的逐步耗尽,越来越多的网络已经转向纯 IPv6 部署。一些云服务商甚至完全取消了公网 IPv4 地址分配。然而,现实情况是,大量网站与服务仍依赖 IPv4。这就带来了一个实际问题:在只有 IPv6 的环境下,如何访问 IPv4 网络?
目前常见的解决方式主要有三种:Cloudflare WARP 隧道、DNS64 + NAT64 协议转换,以及 通过具备双栈网络的服务器建立 WireGuard 隧道。这三种方案各有优缺点,适用于不同的使用场景。
一 Cloudflare WARP:最简单的“开箱即用”方案
Cloudflare WARP 是基于 WireGuard 协议的一种加密隧道服务。它会将主机的所有网络流量通过 Cloudflare 的全球节点中转,从而在 IPv6-only 环境中获得 IPv4 出口。
换句话说,Cloudflare 充当了一个“智能代理”,帮你访问那些只支持 IPv4 的网站。
在 Linux 系统中,可以通过 wgcf 工具快速部署:
sudo apt install wireguard-tools curl -y
curl -fsSL https://github.com/ViRb3/wgcf/releases/latest/download/wgcf-linux-amd64 -o /usr/local/bin/wgcf
chmod +x /usr/local/bin/wgcf
wgcf register && wgcf generate
sudo cp wgcf-profile.conf /etc/wireguard/wgcf.conf
sudo systemctl start wg-quick@wgcf
配置完成后,访问 https://ipinfo.io 会显示一个 Cloudflare 分配的 IPv4 地址,说明隧道已生效。
WARP 的优点非常明显:部署简单、不需要任何公网 IPv4、全球可用、速度稳定。缺点也很明确——出口由 Cloudflare 控制,无法自定义,部分服务可能检测到代理或 CDN 网络。此外,免费版带宽有限制。
总体来说,WARP 是个人用户或 IPv6-only VPS 最省心的选择,几乎“即装即用”。
二 DNS64 + NAT64:标准化的协议转换机制
相比 WARP,NAT64 + DNS64 是更“底层”的解决方式。这是一套由 IETF 标准化的 IPv6 与 IPv4 互通方案,运营商和大型机构常用来在 IPv6 网络中支持 IPv4 服务。
它的工作原理是这样的:
DNS64 负责为只有 IPv4 地址的域名生成一个虚拟的 IPv6 地址(通常以 64:ff9b::/96 开头),而 NAT64 网关则在实际通信时完成 IPv6 ↔ IPv4 报文转换。对于客户端来说,这一过程是透明的。
在 Linux 上,常见的做法是用 tayga 或 Jool 搭建 NAT64,再配合 unbound 或 bind9 启用 DNS64。只要 IPv6-only 主机的 DNS 指向该服务器,就可以直接访问 IPv4 网站,而无需任何额外配置。
这一方案的优势在于完全自主可控,支持所有协议(不仅限 HTTP/HTTPS),可以为整个网络提供 IPv4 出口。
但它的部署过程相对繁琐,需要双栈服务器、正确的路由与 NAT 规则,还要维护长期运行的转换服务。性能方面则取决于服务器的转发能力。
因此,DNS64 + NAT64 更适合需要长期、稳定、可控访问的环境,例如企业内部网络或自建局域网。
三 利用双栈服务器建立 WireGuard 隧道:灵活且高效
如果你手里有一台同时拥有 IPv4 与 IPv6 网络的服务器,那么可以直接用 WireGuard 建立一条隧道,让 IPv6-only 主机通过这台服务器访问 IPv4 网络。
思路很简单:
客户端通过 IPv6 通道连接到服务器,服务器再通过自己的 IPv4 出口进行 NAT 转发。这样一来,客户端就能透明访问 IPv4 网站。
客户端的配置大致如下:
[Interface]
PrivateKey = ...
Address = fd00::2/64
[Peer]
PublicKey = ...
Endpoint = [服务器IPv6]:51820
AllowedIPs = 0.0.0.0/0, ::/0
服务器端只需启用 IP 转发并设置 IPv4 NAT:
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -s fd00::/64 -j MASQUERADE
这种方案灵活、安全,可自由选择出口位置,性能完全可控。
它的不足是需要一台额外的双栈主机,适合有自有服务器资源、希望完全掌控流量出口的技术用户。
四 方案对比与选择建议
| 项目 | Cloudflare WARP | DNS64 + NAT64 | WireGuard 双栈中继 |
|---|---|---|---|
| 部署难度 | 极低 | 较高 | 中等 |
| 出口可控性 | 否 | 是 | 是 |
| 支持协议 | TCP/UDP 全支持 | 全协议 | 全协议 |
| 性能 | 稳定、取决于节点 | 依赖自建服务器 | 取决于服务器 |
| 安全性 | 高(加密隧道) | 中(需配置) | 高(WireGuard 加密) |
| 适用场景 | IPv6-only VPS、个人 | 企业、局域网 | 技术用户自建 |
简单来说:
- 想快速获得 IPv4 能力:用 Cloudflare WARP;
- 想长期、可控、全协议兼容:部署 DNS64 + NAT64;
- 想自主掌控出口且熟悉网络配置:选择 WireGuard 隧道。
五 结语
IPv6 的全面普及仍在路上,而 IPv4 依然是当前互联网的主力协议。对于只有 IPv6 的环境,如何跨越 IPv4 的“最后一公里”至关重要。
无论是借助 Cloudflare 的全球节点、部署标准化的 NAT64 网关,还是通过自建 WireGuard 隧道,只要理解网络转换的原理,就能为纯 IPv6 主机提供稳定的 IPv4 访问能力。
在未来相当长的一段时间里,这三种方案仍将是 IPv6 时代的“必修课”。
