Назад | Перейти на главную страницу

Электрический туннель урагана с Pfsense?

Как мне настроить сетевой туннель HE для маршрутизации через PFsense, чтобы я мог иметь адреса v6 на моих серверах? У меня уже есть настройка туннеля на их конце, но инструкций для PFsense нет.

Примечание. Эти инструкции кажутся неполными. Прочтите сообщение полностью, прежде чем пытаться следовать этому.

Более года я использую m0n0wall для подключения к IPv6. Это не идеально, поскольку у m0n0wall все еще отсутствует много функций IPv6 (например формирование трафика). Но у него есть необычайно простая настройка IPv6 Tunnel Broker.

Теперь был выпущен pfSense 2.1 с (надеюсь) большей поддержкой IPv6, чем m0n0wall. С другой стороны, настройка туннеля IPv6 чрезвычайно сложна. Теперь, когда я потратил три часа, пытаясь заставить его работать, я наконец могу задокументировать свои результаты. Он наполнен множеством запутанных, неочевидных, неупорядоченных, дублированных настроек. Более того, все еще есть ошибки, которые могут привести к тому, что ваша конфигурация станет недействительной; требуя удалить все и начать заново.

Сказав все это, вот как вы настраиваете IPv6 Hurricane Electric Tunnel Broker в pfSense.

Но сначала запутанный фон

Но прежде чем мы сможем что-либо настроить, нам нужно выделить момент, чтобы осознать что-то совершенно запутанное, неочевидное, не интуитивно понятное:

Вы не отправляете трафик IPv6 из вашего WAN-соединения

у меня в роутере две сетевые карты:

  • WAN: (xl0, 3Com), подключен к модему
  • LAN: (rl0, RealTek), подключен к внутреннему концентратору LAN

Но трафик IP (интернет-протокола) не выходит из моего WAN 3Com интерфейс. Мое подключение к Интернету осуществляется через DSL, что означает, что мой маршрутизатор использует PPPoE для подключения к моему интернет-провайдеру.

Это означает, что pfSense создает другой интерфейс:

  • WAN: (PPPoE), подключается через туннель PPPoE к Интернету
  • OPT1: (xl0, 3Com) подключен к модему
  • LAN: (rl0, RealTek) подключен к внутреннему концентратору LAN

Итак, мое подключение к Интернету на самом деле пропадает виртуальный интерфейс. Это становится важным, потому что только IPv4 выходит из этого «PPPoE» интерфейс.

Чтобы иметь IPv6 поддержки, мы фактически создадим 4-й интерфейс; тот, который посвящен только Трафик IPv6:

  • WAN: (PPPoE), подключается через туннель PPPoE к Интернету
  • WANv6: (HE_GW), подключается через туннель HE.net
  • OPT1: (xl0, 3Com) подключен к модему
  • LAN: (rl0, RealTek) подключен к внутреннему концентратору LAN

Информация о вашем туннеле

Сначала нам нужна информация о вашем туннеле со страницы TunnelBroker:

Конечные точки туннеля IPv6

  • IPv4-адрес сервера: 209.51.181.2
  • IPv6-адрес сервера: 2001: 470: 3c10: 1178 :: 1/64
  • Клиентский IPv6-адрес: 2001: 470: 3c10: 1178 :: 2/64

Маршрутизируемые префиксы IPv6

  • Разведено / 64: 2001: 470: 3c11: 1178 :: / 64

Этот первый раздел - это адреса, связанные с вашим туннельным подключением к Hurricane Electric (адреса, которые будут связаны с вашим интерфейсом WAN и шлюзами). Второй раздел - ваш "LAN" адреса.

Настройка pfSense 2.1 с туннелем Hurricane Electric Tunnel Broker

Создать новый туннельный интерфейс

  1. Под Интерфейсы -> (назначить), выберите Гифка вкладку и щелкните + чтобы добавить новый туннель:

  2. Затем настройте новый Гифка параметры:

    • Родительский интерфейс: WAN
    • удаленный адрес gif: 209.51.181.2 (IPv4-адрес сервера со страницы сведений о туннеле HE)
    • gif-туннель локальный адрес: 2001:470:3c10:1178::2 (Клиентский IPv6-адрес со страницы сведений о туннеле HE)
    • gif удаленный адрес туннеля: 2001:470:3c10:1178::1 64 (IPv6-адрес сервера со страницы сведений о туннеле HE)
    • Описание: HE.net IPv6 tunnel

    и нажмите Сохранить.

    Теперь твой новый Гифка (Общий интерфейс) туннель настроен:

Создайте новый интерфейс IPv6

Теперь, когда мы создали туннель, мы собираемся создать отдельный интерфейс только для IPv6, который будет отправлять трафик через этот туннель.

  1. Под Интерфейсы -> (назначить), выберите Назначения интерфейсов вкладку и щелкните + чтобы добавить новый интерфейс:

    Примечание: у меня есть адаптер Wi-Fi Atheros, указанный как OPT1. Пусть это вас не смущает.

  2. В раскрывающемся списке для вновь добавленного интерфейса выберите ранее созданный `GIF 209.51.181.2 (туннель HE.net IPv6):

    и нажмите Сохранить.

  3. После интерфейса OPT2 был создан, щелкните его (либо в списке выше, либо в левом меню под Интерфейсы -> OPT2.

  4. Проверьте Включить интерфейс чтобы раскрыть параметры конфигурации:

    • Описание: WANv6 (это для того, чтобы отличать его от вашего IPv4 WAN)
    • Тип конфигурации IPv6: Static IPv6
    • IPv6-адрес: 2001:470:3c10:1178::2 64 (Клиентский IPv6-адрес со страницы сведений о туннеле HE)

    и нажмите Сохранить.

  5. Нажмите Применять изменения чтобы сделать новый интерфейс активным.

Разрешить сообщения ICMP

Чтобы использовать IPv6 (а также IPv4), вам необходимо убедиться, что ваш маршрутизатор не пытается блокировать какие-либо пакеты ICMP. Если какой-то эксперт по безопасности пытается сказать вам, что ответ на пакеты ICMP представляет собой угрозу безопасности, и они должны быть заблокированы, осторожно похлопайте их по голове и скажите им * «конечно, это так». Чтобы разрешить входящие пакеты ICMP:

  1. Нажмите Брандмауэр -> Правила

  2. На WAN вкладку, щелкните +

  3. Создайте правило для пакетов ICMP IPv4 на WAN интерфейс:

    • Действие: Проходить
    • Интерфейс: WAN
    • Версия TCP / IP: IPv4
    • Протокол: ICMP
    • Описание: Разрешить все пакеты ICMP IPv4
    • Нажмите Сохранить

  4. Нажмите + чтобы добавить еще одно правило, на этот раз разрешить весь трафик ICMP IPv6 на WANv6 интерфейс:

    • Действие: Проходить
    • Интерфейс: WANv6
    • Версия TCP / IP: IPv6
    • Протокол: ICMP
    • Описание: Разрешить все пакеты ICMP IPv6
    • Нажмите Сохранить

  5. Нажмите Применять изменения применить ваши изменения

Включите IPv6 в локальной сети pfSense

Теперь вам нужно дать блоку pfSense IPv6-адрес на вашем интерфейсе LAN. Как будто у него есть 192.168.1.1 IPv4-адрес в локальной сети, теперь вам нужен IPv6-адрес. За исключением того, что этот адрес исходит от Hurricane Electric; это Маршрут / 64 адрес они дают вам.

  1. Нажмите Интерфейсы -> LAN

  2. + Изменить Тип конфигурации IPv6 к Статический IPv6

  3. Под Конфигурация статического IPv6 введите маршрутизируемый адрес / 64, предоставленный туннельным брокером:

  4. Нажмите Сохранить

  5. Нажмите Применять изменения

Включить сервер DHCPv6

Чтобы клиенты могли получать адреса IPv6, вам необходимо включить сервер DHCPv6 и указать ему диапазон адресов, из которого он может назначать адреса.

  1. Нажмите Сервисы -> Сервер DHCPv6 / RA

  2. Проверить Включить сервер DHCPv6 на интерфейсе LAN флажок, чтобы открыть параметры конфигурации

  3. в Ассортимент из и в поля введите некоторый диапазон адресов, которые находятся внутри вашего Доступный диапазон, например

    Ассортимент: 2001:470:1f:b34::100:0 к 2001:470:1f:b34::100:fff