Come potrei impostare un tunnel di rete HE per instradare PFsense in modo da poter avere indirizzi v6 sui miei server? Ho già installato il tunnel alla loro estremità, ma non ci sono istruzioni per PFsense.

Nota: queste istruzioni sembrano essere incomplete. Leggi l'intero post prima di provare a seguire questo.

Da oltre un anno utilizzo m0n0wall per la sua connettività IPv6. Non è perfetto, poiché a m0n0wall mancano ancora molte funzionalità IPv6 ( ad es. Modellamento del traffico ). Ma ha una configurazione del broker di tunnel IPv6 straordinariamente semplice .

Ora è stato rilasciato pfSense 2.1, con (si spera) più supporto IPv6 rispetto a m0n0wall. D'altra parte, l'installazione di un tunnel IPv6 è straordinariamente complicata. Ora che ho trascorso tre ore a cercare di farlo funzionare, posso finalmente documentare i miei risultati. È riempito con un'impostazione duplicata molto confusa, non ovvia, fuori ordine e duplicata. Inoltre, ci sono ancora dei bug che possono rendere non valida la tua configurazione; richiedendo di eliminare tutto e ricominciare.

Detto questo, ecco come configurare il broker di tunnel elettrici Hurricane IPv6 in pfSense.

Ma prima lo sfondo confuso

Ma prima di poter impostare qualsiasi cosa, dobbiamo prendere un momento per realizzare qualcosa di assolutamente confuso, non ovvio, non intuitivo:

Non si invia traffico IPv6 alla connessione WAN

ho due schede di rete nel mio router:

• WAN : (xl0, 3Com), collegato al modem
• LAN : (rl0, RealTek), collegato all'hub LAN interno

Ma il traffico IP (Internet Protocol) non esce dalla mia interfaccia WAN 3Com . La mia connessione a Internet avviene tramite DSL, il che significa che il mio router utilizza PPPoE per connettersi al mio ISP.

Ciò significa che pfSense crea un'altra interfaccia:

• WAN : (PPPoE), si collega tramite tunnel PPPoE a Internet
• OPT1 : (xl0, 3Com) collegato al modem
• LAN : (rl0, RealTek) connesso all'hub LAN interno

Quindi la mia connessione a Internet in realtà esce da questa interfaccia virtuale . Questo diventa importante, perché IPv4esce solo questa interfaccia "PPPoE" .

Per avere il supporto IPv6 , creeremo effettivamente una quarta interfaccia ; uno dedicato solo al traffico IPv6:

• WAN : (PPPoE), si collega tramite tunnel PPPoE a Internet
• WANv6 : (HE_GW), si collega tramite il tunnel HE.net
• OPT1 : (xl0, 3Com) collegato al modem
• LAN : (rl0, RealTek) connesso all'hub LAN interno

Le tue informazioni sul tunnel

Per prima cosa abbiamo bisogno delle tue informazioni sul tunnel dalla tua pagina TunnelBroker:

Endpoint del tunnel IPv6

• Indirizzo IPv4 del server: 209.51.181.2
• Indirizzo IPv6 del server: 2001: 470: 3c10: 1178 :: 1/64
• Indirizzo IPv6 client: 2001: 470: 3c10: 1178 :: 2/64

Prefissi IPv6 indirizzati

• Instradato / 64: 2001: 470: 3c11: 1178 :: / 64

Questa prima sezione contiene indirizzi relativi alla connessione del tunnel con Hurricane Electric (indirizzi che verranno associati all'interfaccia e ai gateway WAN). La seconda sezione è il tuo indirizzo "LAN" .

Configurazione di pfSense 2.1 con un tunnel Hurricane Electric Tunnel Broker

Crea una nuova interfaccia tunnel

1. In Interfacce -> (assegna) , seleziona la scheda GIF e fai clic su +per aggiungere un nuovo tunnel:

   

2. Quindi configurare le nuove opzioni GIF :

   • Interfaccia padre :WAN
   • indirizzo remoto gif : 209.51.181.2 ( Indirizzo IPv4 del server dalla pagina dei dettagli del tunnel HE)
   • indirizzo locale tunnel gif : 2001:470:3c10:1178::2 ( indirizzo IPv6 client dalla pagina dei dettagli del tunnel HE)
   • indirizzo del tunnel remoto gif : 2001:470:3c10:1178::1 64 ( Indirizzo IPv6 del server dalla pagina dei dettagli del tunnel HE)
   • Descrizione :HE.net IPv6 tunnel

   

   e fai clic su Salva .

   Ora il tuo nuovo tunnel GIF ( Generic Interface ) è configurato:

   

Crea una nuova interfaccia IPv6

Ora che abbiamo creato un tunnel, creeremo un'interfaccia separata solo IPv6 che invierà il traffico da quel tunnel.

1. In Interfacce -> (assegna) , seleziona la scheda Assegnazioni dell'interfaccia e fai clic su +per aggiungere una nuova interfaccia:

   

   Nota: mi capita di avere un adattatore Atheros WiFi, elencato come OPT1. Non lasciarti confondere.

2. Nel menu a discesa per l'interfaccia appena aggiunta, selezionare il `GIF 209.51.181.2 precedentemente creato (tunnel HE.net IPv6) :

   

   e fai clic su Salva .

3. Dopo che l'interfaccia OPT2è stata creata, fai clic su di essa (nell'elenco precedente o nel menu a sinistra in Interfacce -> OPT2 .

4. Seleziona Abilita interfaccia per visualizzare le opzioni di configurazione:

   • Descrizione : WANv6 (questo per differenziarlo dalla tua WAN IPv4)
   • Tipo di configurazione IPv6 :Static IPv6
   • Indirizzo IPv6 : 2001:470:3c10:1178::2 64 ( Indirizzo IPv6 client dalla pagina dei dettagli del tunnel HE)

   

   e fai clic su Salva .

5. Fai clic su Applica modifiche per rendere attiva la nuova interfaccia.

Consenti messaggi ICMP

Per utilizzare IPv6 (e anche IPv4) è necessario assicurarsi che il router non tenti di bloccare i pacchetti ICMP. Se qualche esperto di sicurezza cerca di dirti che rispondere ai pacchetti ICMP è un rischio per la sicurezza e che dovrebbero essere bloccati, tamponali delicatamente sulla testa e digli * "certo che lo è". Per consentire i pacchetti ICMP in arrivo:

1. Fai clic su Firewall -> Regole

2. Nella scheda WAN , fai clic su +

   

3. Creare la regola per i pacchetti ICMP IPv4 sull'interfaccia WAN :

   • Azione : passa
   • Interfaccia : WAN
   • Versione TCP / IP : IPv4
   • Protocollo : ICMP
   • Descrizione : consenti tutti i pacchetti ICMP IPv4
   • Fai clic su Salva

   

4. Fare clic +per aggiungere un'altra regola, questa volta per consentire tutto il traffico ICMP IPv6 sull'interfaccia WANv6 :

   • Azione : passa
   • Interfaccia : WANv6
   • Versione TCP / IP : IPv6
   • Protocollo : ICMP
   • Descrizione : consenti tutti i pacchetti ICMP IPv6
   • Fai clic su Salva

   

5. Fai clic su Applica modifiche per applicare le modifiche

Abilita IPv6 sulla LAN pfSense

Ora devi dare alla scatola pfSense un indirizzo IPv6 sulla tua interfaccia LAN. Proprio come ha un 192.168.1.1indirizzo IPv4 sulla LAN, ora hai bisogno di un indirizzo IPv6. Tranne che questo indirizzo proviene da Hurricane Electric; è l' indirizzo Routed / 64 che ti danno.

1. Fare clic su Interfacce -> LAN

2. Cambia il tipo di configurazione IPv6 in IPv6 statico

3. Nella sezione Configurazione IPv6 statica , immettere l'indirizzo indirizzato / 64 fornito da tunnelbroker:

   

4. Fai clic su Salva

5. Fai clic su Applica modifiche

Abilita server DHCPv6

Affinché i client possano ottenere gli indirizzi IPv6, è necessario abilitare il server DHCPv6 e assegnargli un intervallo di indirizzi da cui è possibile assegnare gli indirizzi.

1. Fare clic su Servizi -> Server DHCPv6 / RA

2. Selezionare la casella di controllo Abilita server DHCPv6 sull'interfaccia LAN per visualizzare le opzioni di configurazione

3. Nelle caselle Intervallo da e verso, immettere un intervallo di indirizzi all'interno dell'intervallo disponibile , ad es

   Intervallo: 2001:470:1f:b34::100:0a2001:470:1f:b34::100:fff