У нас только что есть диапазон IPv6 / 48 (шлюз и IP-адрес) для нашей компании, но я не уверен, как его настроить. Мы используем FreeBSD 8.4 (pfSense 2.1) в качестве маршрутизатора / межсетевого экрана.
В настоящее время у нас есть настройка IPv4 с подключением WAN к Интернету и локальной сети с NAT для офисных ПК.
Мы хотим сохранить сеть LAN в целях безопасности, и нам нужны IPv6-адреса из / 48 для всех офисных ПК (без NAT).
WAN настроен с использованием шлюза IPv6 1111: 2222: 3333 :: 1/48 и адреса интерфейса 1111: 2222: 3333 :: 2/48. Но когда он настроен таким образом, я думаю, что невозможно разместить локальную сеть на / 64 в / 48?
Я считаю, что мне следует настроить подсеть WAN на 1111: 2222: 3333: 1 :: / 64 и LAN на подсеть типа 1111: 2222: 3333: 2 :: / 64. Могу ли я настроить это самостоятельно, или мне нужно попросить интернет-провайдера настроить эту маршрутизацию для меня?
Текущая настройка теста:
netstat -r показывает:
Destination Gateway Flags Netif Expire
default 1111:2222:3333::1 UGS em3
localhost localhost UH lo0
1111:2222:3333:: link#4 U em3
1111:2222:3333::2 link#4 UHS lo0
1111:2222:3333:1:: link#2 U em1
1111:2222:3333:1::1 link#2 UHS lo0
Я могу пропинговать шлюз WAN от роутера. С тестового клиента я могу пропинговать интерфейсы LAN и WAN, но не шлюз WAN.
Если я попытаюсь добавить явный маршрут, я получаю сообщение об ошибке:
$ route add -inet6 -net 1111:2222:3333:1::/64 1111:2222:3333::2
route: writing to routing socket: File exists
add net 1111:2222:3333:1::/64: gateway 1111:2222:3333::2: route already in table
У вас есть правильная идея, и вам нужно спросить своего интернет-провайдера, что именно он вам маршрутизирует.
Обычно, если вы получаете адреса подсети, то WAN-адрес вашего граничного маршрутизатора будет в небольшой назначенной linknet / 64, так что у вас будет больший / 48 на вашем боковом интерфейсе LAN без потери каких-либо сетей для разговора с вашим интернет-провайдером, тогда вы можете подсеть из меньших сетей по мере необходимости, и провайдер всегда будет отправлять трафик на интерфейс WAN вашего граничного маршрутизатора.
У вас много / 64 внутри / 48. Используйте первый / 64 (тот, где находится шлюз) в качестве подсети точка-точка (в среде IPv4 это будет / 30, который вы используете для соединения ppp с центральным офисом).
Вы можете начать выделять подсети для своей локальной сети, начиная со следующего / 64 (1 :: / 64)
Если они выделили вам этот / 48, у них уже есть статический маршрут, который направляет весь трафик на ваш канал.
Практический пример:
Мой шлюз WAN IPv6 (с которым я разговариваю через wan0) 2001:470:1f0a:314::1/64
Мой WAN IPv6 2001:470:1f0a:314::2/64 (ближайший ip, присвоенный wan0)
Убедитесь, что у вас на маршрутизаторе установлен маршрут по умолчанию для wan0.
Если после этого у вас есть подключение к вашему маршрутизатору, это означает, что ваш WAN работает правильно. Если это не так, вы должны исправить это с помощью своего провайдера, и это не имеет никакого отношения к маршрутам в вашей локальной сети и так далее.
Моя подсеть LAN 2001:470:1f0b:314::/64
Просто настройте 2001:470:1f0b:314::1 как ваш IP-адрес eth0 на маршрутизаторе.
Назначить 2001:470:1f0b:314::2 к ПК в той же локальной сети, что и eth0, и установить на этом ПК 2001:470:1f0b:314::1 (адрес вашего маршрутизатора) в качестве шлюза по умолчанию.
Если у вас нет какого-либо правила iptables, которое блокирует этот тип трафика, ваш пограничный маршрутизатор (который, как мы предполагаем, является Linux-сервером) просто маршрутизирует любой входящий пакет для 2001:470:1f0b:314::/64 с wan0 на eth0, потому что это сеть с прямым подключением и таблица маршрутизации уже "знает" это.
На eth0, если маршрутизатор знает MAC-адрес конечного пункта назначения (ваш офисный компьютер, который вы теоретически запрашиваете из Интернета), он отправит его прямо туда. В противном случае он сделает запрос arp с вопросом: «У КОГО ХЕКА ЭТОТ АДРЕС?» и если целевой компьютер находится в сети, правильно настроен этот адрес и установлен шлюз по умолчанию, он ответит на установление связи.
Помните, что наиболее распространенные знания об IPv4 применимы и к IPv6. Не думайте, что все работает постоянно: P
РЕДАКТИРОВАТЬ № 2:
Мой ответ дает много предположений. Имейте в виду, что вам не нужно объявлять явно напрямую подключенные сети. Вы назначили маршрутизатору IP-адрес своей локальной сети? У вас есть этот IP-адрес в качестве шлюза по умолчанию на компьютерах локальной сети, с которых вы тестируете?
Думаю, я тоже попал в ловушку "чрезмерно усложненного ipv6": P
РЕДАКТИРОВАТЬ № 3:
Эта часть была глупо неправильной, если мы говорим о прямом подключении. Не обращайте на это внимания.
Просто добавьте маршрут для этой последней подсети к eth0, как это
route -A inet6 add 2001:470:1f0b:314::/64 eth0.