Как настроить сетевой туннель HE для маршрутизации через PFsense, чтобы на моих серверах были адреса v6? У меня уже есть настройка туннеля на их конце, но нет никаких инструкций для PFsense.
Примечание. Эти инструкции являются неполными. Читайте полный пост, прежде чем пытаться следовать этому.
Уже более года я использую m0n0wall для подключения к IPv6. Это не идеально, так как в m0n0wall по-прежнему отсутствует множество функций IPv6 ( например, формирование трафика ). Но он имеет чрезвычайно простую настройку IPv6 Tunnel Broker .
Теперь выпущен pfSense 2.1 с (надеюсь) большей поддержкой IPv6, чем m0n0wall. С другой стороны, настройка туннеля IPv6 чрезвычайно сложна. Теперь, когда я потратил три часа на то, чтобы заставить его работать, я наконец могу задокументировать свои результаты. Он заполнен множеством запутанных, неочевидных, неупорядоченных, дублированных настроек. Кроме того, все еще есть ошибки, которые могут привести к тому, что ваша конфигурация станет недействительной; требуя от вас удалить все и начать все сначала.
Сказав все это, вот как вы настраиваете IPv6 Hurricane Electric Tunnel Broker в pfSense.
Но прежде чем мы сможем что-то настроить, нам нужно некоторое время, чтобы осознать что-то совершенно запутанное, неочевидное, неинтуитивное:
Вы не отправляете трафик IPv6 через WAN-соединение
у меня есть две сетевые карты в моем маршрутизаторе:
- WAN : (xl0, 3Com), подключен к модему
- LAN : (rl0, RealTek), подключенный к внутреннему концентратору локальной сети
Но трафик IP (Internet Protocol) не выходит из моего интерфейса WAN 3Com
. Мое подключение к Интернету осуществляется через DSL, что означает, что мой маршрутизатор использует PPPoE для подключения к моему провайдеру.
Это означает, что pfSense создает другой интерфейс:
- WAN : (PPPoE), подключается через туннель PPPoE к Интернету
- OPT1 : (xl0, 3Com) подключен к модему
- LAN : (rl0, RealTek) подключен к внутреннему концентратору локальной сети
Таким образом, мое подключение к Интернету фактически выходит из этого виртуального интерфейса. Это становится важным, потому что IPv4
выходит только этот интерфейс "PPPoE" .
Для поддержки IPv6 мы фактически создадим 4-й интерфейс ; тот, который предназначен только для трафика IPv6:
- WAN : (PPPoE), подключается через туннель PPPoE к Интернету
- WANv6 : (HE_GW), подключается через туннель HE.net
- OPT1 : (xl0, 3Com) подключен к модему
- LAN : (rl0, RealTek) подключен к внутреннему концентратору локальной сети
Сначала нам нужна информация о вашем туннеле со страницы TunnelBroker:
Конечные точки туннеля IPv6
- IPv4-адрес сервера: 209.51.181.2
- IPv6-адрес сервера: 2001: 470: 3c10: 1178 :: 1/64
- IPv6-адрес клиента: 2001: 470: 3c10: 1178 :: 2/64
Маршрутизированные префиксы IPv6
- Routed / 64: 2001: 470: 3c11: 1178 :: / 64
В этом первом разделе приведены адреса, связанные с вашим туннельным подключением к Hurricane Electric (адреса, которые будут связаны с вашим интерфейсом WAN и шлюзами). Второй раздел - это ваши «локальные» адреса.
Создать новый туннельный интерфейс
Под Интерфейсы -> (назначить) , выберите вкладку GIF и нажмите, +
чтобы добавить новый туннель:
Далее настройте новые параметры GIF :
WAN
209.51.181.2
( IPv4-адрес сервера со страницы подробностей туннеля HE)2001:470:3c10:1178::2
( IPv6-адрес клиента со страницы сведений о туннеле HE)2001:470:3c10:1178::1
64
HE.net IPv6 tunnel
и нажмите Сохранить .
Теперь ваш новый GIF ( Generic Interface ) туннель настроен:
Создать новый интерфейс IPv6
Теперь, когда мы создали туннель, мы собираемся создать отдельный интерфейс только для IPv6, который будет отправлять трафик из этого туннеля.
В разделе Интерфейсы -> (назначить) выберите вкладку Назначения интерфейсов и нажмите, +
чтобы добавить новый интерфейс:
Примечание: у меня есть адаптер Wi-Fi Atheros, указанный как OPT1
. Не позволяйте этому сбить вас с толку.
В раскрывающемся списке недавно добавленного интерфейса выберите ранее созданный GIF 209.51.181.2 (туннель HEv IPv6) :
и нажмите Сохранить .
После того, как интерфейс OPT2
был создан, щелкните по нему (либо в приведенном выше списке, либо в левом меню в разделе Интерфейсы -> OPT2 .
Установите флажок Включить интерфейс, чтобы отобразить параметры конфигурации:
WANv6
(это отличает его от вашей IPv4 WAN)Static IPv6
2001:470:3c10:1178::2
64
( IPv6-адрес клиента со страницы подробностей туннеля HE)и нажмите Сохранить .
Нажмите « Применить изменения», чтобы активировать новый интерфейс.
Разрешить сообщения ICMP
Чтобы использовать IPv6 (а также IPv4), необходимо убедиться, что маршрутизатор не пытается блокировать какие-либо пакеты ICMP. Если какой-то эксперт по безопасности попытается сказать вам, что реагирование на ICMP-пакеты представляет собой угрозу безопасности, и они должны быть заблокированы, осторожно похлопайте их по голове и скажите им * «конечно, это так». Чтобы разрешить входящие ICMP-пакеты:
Нажмите Брандмауэр -> Правила
На вкладке WAN нажмите +
Создайте правило для пакетов IPv4 ICMP на интерфейсе WAN :
Нажмите, +
чтобы добавить другое правило, на этот раз, чтобы разрешить весь трафик IPv6 ICMP на интерфейсе WANv6 :
Нажмите Apply Changes, чтобы применить ваши изменения
Включить IPv6 в локальной сети pfSense
Теперь вы должны дать устройству pfSense IPv6-адрес в интерфейсе локальной сети. Так же, как у него есть 192.168.1.1
адрес IPv4 в локальной сети, теперь вам нужен адрес IPv6. За исключением того, что этот адрес исходит от Hurricane Electric; это адрес Routed / 64, который они вам дают.
Нажмите Интерфейсы -> ЛВС
Изменить тип конфигурации IPv6 на статический IPv6
В разделе конфигурации статического IPv6 введите маршрутизируемый адрес / 64, предоставленный tunnelbroker:
Нажмите Сохранить
Нажмите Применить изменения
Включить сервер DHCPv6
Чтобы клиенты могли получать адреса IPv6, необходимо включить сервер DHCPv6 и указать диапазон адресов, из которого он может назначать адреса.
Нажмите Сервисы -> Сервер DHCPv6 / RA
Установите флажок Включить DHCPv6-сервер в интерфейсе локальной сети, чтобы отобразить параметры конфигурации
В полях Range from и to введите некоторый диапазон адресов, которые находятся внутри вашего Доступного диапазона , например
Диапазон:
2001:470:1f:b34::100:0
до2001:470:1f:b34::100:fff