用了一段时间双栈IPv6，给内网所有设备分配了IPv6地址，但是问题是安全性降低，虽然推荐IPv6推荐端到端配置公网IPv6，但是家用的话IPv6 ULA + NAT66可能是最优解。

本文讲讲如何使用NAT66来进行IPv6上网，大致和IPv4差不多（本文以RouterOS V7.20.4为例）。

1、RouterOS配置

1.1 开启IPv6转发，使用Winbox，打开IPv6 --> Settings，勾选 IPv6 Forward，Accept Router Advertisements选择yes，可能需要重启RouterOS

/ipv6 settings set forward=yes accept-router-advertisements=yes

1.2 LAN接口配具体ULA地址（如果做了bridge就用bridge来做，我这边用单网口lan演示），IPv6 --> Address --> +，Address填写fd::1/64，Interface选择内网接口lan，EUI64建议不要勾选，其他的默认即可。

/ipv6 address add address=fd00::1 interface=lan

1.3 配置ND通告，IPv6 --> ND，Interfaces选项卡，有条默认*all（如没有新建一条）修改，把Interface改为内网lan（不改也问题不大）

/ipv6 nd set [ find default=yes ] interface=lan

1.4 获取双栈IPv6，IPv6 --> DHCP Client --> +，Interface选择pppoe-out1，Request勾选address，勾选Use Peer DNS，勾选Add Default Route，Advanced选项卡勾选Validate Server DUID，添加完可以直接看到获取了IPv6地址

/ipv6 dhcp-client add add-default-route=yes interface=pppoe-out1 request=address

1.5 IPv6 NAT（Masquerade 上网），IPv6 --> Firewall --> NAT --> +，Chain选择srcnat，Action选择masquerade

/ipv6 firewall nat add action=masquerade chain=srcnat

2、上网测试