请教一个 openwrt + ipv6 + cloudflare 路由器回家的问题

这两天放假在家开始折腾路由器，遇到了一些问题没太搞明白想请教一下各位

需求是我希望在外面可以通过域名访问家中的服务器 下面是我做的事情

1. ipv6 已经准备好了，测试没问题，我可以正确的通过 ip 地址直接访问家中对应的服务（坐标上海移动，话说居然没封掉我的 80 端口，真是不可思议）

2. 我的域名在 Cloudflare, 通过 openWrt 的 ddns-go 将 ipv6 动态绑定在我的域名上，赛博菩萨 Cludflare 还默认给了我 https 证书，在这一步我可以直接通过 https + 域名访问家中的路由器没有问题

3. 我不太希望家里的服务裸奔，并且我不确定 80 端口是否一直都不会被封，所以我希望禁用掉 wan 口的入站数据，使用防火墙端口转发的方式仅开放部分我希望开放的端口，在这一步通过 ip 地址 + 端口号我可以正确的访问家中服务

4. 问题出在这一步，我没办法通过域名 + 端口号的方式访问到我家中的服务（报错 SSL handshake failed ）

问题：

1. 为什么我没办法通过域名 + 端口号的方式访问家中服务

2. 我的 openwrt 的管理界面理论上应该是在 80 端口上，Cloudflare 给我提供了 https 证书，那么讲道理应该会访问到我服务的 443 端口，在我什么都没做的情况下为什么还是能正确访问到 80 端口上的服务

3. 手机端运行 surge 或者电脑端的 surge 开启 enhanced mode 似乎都会会影响我直接访问 ipv6 地址，这个有什么解决办法吗

我做的尝试： 我了解 Cloudflare 仅仅会代理部分端口 由于是 https 我特意将防火墙的对外端口设置为 2053 ，但是无论是开启代理还是关闭代理（黄云/灰云）都没办法通过域名 + 端口号访问服务 我在 itdog 使用 tcping 域名 + 端口是全绿的

不是专业的，搞了好几天搞不定，来请教一下大家

下面是各种配置的截图

端口转发是 V4 服务，而 CF 解析的是 V6 V6 我记得是不需要端口转发的

ipv6 已经准备好了，测试没问题，我可以正确的通过 ip 地址直接访问家中对应的服务（坐标上海移动，话说居然没封掉我的 80 端口，真是不可思议） 是怎么测试的呢？ 连 wifi 测试？ 还是用蜂窝网络？ 蜂窝网络是同一家运营商吗？ 最好用海外 ipv6 测试试试

@ik 服务在 80 上，我自己的手机用 5g 网络还有异地的朋友都是直接输 IP 不加端口号就能连上

@crazyBlack 那看起来确实放通了，可能是#1 提到的问题

我也在老家能直接输 ipv6 连上 openwrt 软路由，spaceship 注册的域名，前两天把域名 dns 改 CF ，刚开始可用，第二天早上起来就不行了，现在又改回 spaceship 的 dns 直接 CNAME 这个 ipv6 地址（反正这个地址装宽带到现在都没变过）

@Yanel 抱歉，不是专业的这里没太看明白，这里说的端口转发是 v4 服务是指什么啊，如果我拒绝 wan 口入站数据的前提下，不开端口转发是没办法 ipv6 地址 + 端口号访问服务的，开了才能，下面这个是配置 

1. 你开启了代理，[Cloudflare 只支持部分端口]( https://developers.cloudflare.com/fundamentals/reference/network-ports/) ，流量都走 Cloudflare 代理了一次，域名+端口应该是无法访问 2. 同样是走了代理，Cloudflare 给套了反代 3. 不了解 “没办法通过域名 + 端口号访问服务”指的是 OpenWrt 的页面吗？如果不是的话，你只开了 2053 端口，肯定无法访问其他服务吧。 我本地是：PVE 开了台虚拟机专门跑 Nginx ，专门来转发内部服务，都走 Cloudflare 代理，使用二级域名 + HTTPS 访问。流量从 Cloudflare -> OpenWrt -> Nginx 虚拟机（你可以试试 OpenWrt 反代内部服务？） -> 内部其他服务。

@zfjdif 通过域名走 Cloudflare 代理的好处是：双栈访问，一些服务不需要有 IPv6 才能访问，一些 RDP 等的流量走 IPv6 或者 Zerotier 都可以