Đường hầm điện bão với Pfsense?

8

Làm cách nào tôi có thể thiết lập Đường hầm mạng HE để định tuyến qua PFsense để tôi có thể có địa chỉ v6 trên máy chủ của mình? Tôi đã có thiết lập đường hầm ở cuối của họ, nhưng không có hướng dẫn nào cho PFsense.

ipv6  pfsense  tunneling 
Gia-cốp
nguồn

Câu trả lời:

10

Lưu ý: Các hướng dẫn này dường như không đầy đủ. Đọc toàn bộ bài viết trước khi cố gắng làm theo điều này.

Trong hơn một năm tôi đã sử dụng m0n0wall cho kết nối IPv6. Nó không hoàn hảo, vì m0n0wall vẫn còn thiếu rất nhiều chức năng IPv6 ( ví dụ: định hình lưu lượng truy cập ). Nhưng nó có thiết lập IPv6 Tunnel Broker cực kỳ đơn giản .

Bây giờ pfSense 2.1 đã được phát hành, với (hy vọng) hỗ trợ IPv6 nhiều hơn m0n0wall. Mặt khác, việc thiết lập một đường hầm IPv6 cực kỳ phức tạp. Bây giờ tôi đã dành ba giờ cố gắng để làm cho nó hoạt động, cuối cùng tôi cũng có thể ghi lại kết quả của mình. Nó chứa đầy rất nhiều thiết lập trùng lặp, không rõ ràng, không theo thứ tự, trùng lặp. Hơn nữa, vẫn có những lỗi có thể khiến cấu hình của bạn trở nên không hợp lệ; yêu cầu bạn xóa mọi thứ và bắt đầu lại.

Đã nói tất cả, đây là cách bạn định cấu hình Nhà môi giới đường hầm điện bão tố IPv6 trong pfSense.

Nhưng trước tiên, bối cảnh khó hiểu

Nhưng trước khi chúng ta có thể thiết lập bất cứ điều gì, chúng ta phải dành một chút thời gian để nhận ra một cái gì đó hoàn toàn khó hiểu, không rõ ràng, không trực quan:

Bạn không gửi lưu lượng IPv6 ra khỏi kết nối mạng của bạn

tôi có hai card mạng trong bộ định tuyến của mình:

  • WAN : (xl0, 3Com), được kết nối với modem
  • LAN : (rl0, RealTek), được kết nối với trung tâm LAN nội bộ

Nhưng lưu lượng IP (Giao thức Internet) không đi ra ngoài giao diện WAN của tôi 3Com. Kết nối với Internet của tôi là thông qua DSL, có nghĩa là bộ định tuyến của tôi sử dụng PPPoE để kết nối với ISP của tôi.

Điều này có nghĩa là pfSense tạo giao diện khác:

  • WAN : (PPPoE), kết nối thông qua đường hầm PPPoE với Internet
  • OPT1 : (xl0, 3Com) được kết nối với modem
  • LAN : (rl0, RealTek) được kết nối với trung tâm LAN nội bộ

Vì vậy, kết nối của tôi với internet thực sự đi ra ngoài giao diện ảo này . Điều này trở nên quan trọng, bởi vì chỉ IPv4đi ra ngoài giao diện "PPPoE" này .

Để có hỗ trợ IPv6 , chúng tôi thực sự sẽ tạo giao diện thứ 4 ; một trong đó là dành riêng cho chỉ lưu lượng IPv6:

  • WAN : (PPPoE), kết nối thông qua đường hầm PPPoE với Internet
  • WANv6 : (HE_GW), kết nối qua đường hầm HE.net
  • OPT1 : (xl0, 3Com) được kết nối với modem
  • LAN : (rl0, RealTek) được kết nối với trung tâm LAN nội bộ

Thông tin đường hầm của bạn

Trước tiên, chúng tôi cần thông tin đường hầm của bạn từ trang TunnelBroker của bạn:

Điểm cuối đường hầm IPv6

  • Địa chỉ máy chủ IPv4: 209.51.181.2
  • Địa chỉ IPv6 của máy chủ: 2001: 470: 3c10: 1178 :: 1/64
  • Địa chỉ IPv6 của khách hàng: 2001: 470: 3c10: 1178 :: 2/64

Tiền tố IPv6 được định tuyến

  • Định tuyến / 64: 2001: 470: 3c11: 1178 :: / 64

Phần đầu tiên này là các địa chỉ liên quan đến kết nối đường hầm của bạn với Hurricane Electric (địa chỉ sẽ được kết hợp với giao diện và cổng mạng của bạn). Phần thứ hai là địa chỉ "LAN" của bạn .

Định cấu hình pfSense 2.1 với đường hầm môi giới đường hầm bão điện

Tạo giao diện đường hầm mới

  1. Trong Giao diện -> (gán) , chọn tab GIF và nhấp vào +để thêm đường hầm mới:

    nhập mô tả hình ảnh ở đây

  2. Tiếp theo cấu hình các tùy chọn GIF mới :

    • Giao diện phụ huynh :WAN
    • địa chỉ từ xa gif : 209.51.181.2 ( Địa chỉ IPv4 của máy chủ từ trang chi tiết đường hầm HE)
    • địa chỉ đường hầm gif : 2001:470:3c10:1178::2 ( Địa chỉ IPv6 của khách hàng từ trang chi tiết đường hầm HE)
    • Địa chỉ đường hầm từ xa gif : 2001:470:3c10:1178::1 64 ( Địa chỉ IPv6 máy chủ từ trang chi tiết đường hầm HE)
    • Mô tả :HE.net IPv6 tunnel

    nhập mô tả hình ảnh ở đây

    và bấm Lưu .

    Bây giờ đường hầm GIF ( Giao diện chung ) mới của bạn được định cấu hình:

    nhập mô tả hình ảnh ở đây

Tạo giao diện IPv6 mới

Bây giờ chúng ta đã tạo một đường hầm, chúng ta sẽ tạo một giao diện riêng cho IPv6 sẽ gửi lưu lượng ra khỏi đường hầm đó.

  1. Trong Giao diện -> (gán) , chọn tab Giao diện giao diện và nhấp vào +để thêm giao diện mới:

    nhập mô tả hình ảnh ở đây

    Lưu ý: tôi tình cờ có bộ điều hợp WiFi Atheros, được liệt kê là OPT1. Đừng để điều đó làm bạn bối rối.

  2. Trong trình đơn thả xuống cho giao diện mới được thêm vào, chọn `GIF 209.51.181.2 (đường hầm IPv6 HE.net) đã tạo trước đó :

    nhập mô tả hình ảnh ở đây

    và bấm Lưu .

  3. Sau khi giao diện OPT2đã được tạo, hãy nhấp vào nó (trong danh sách trên hoặc trong menu bên trái trong Giao diện -> OPT2 .

  4. Kiểm tra giao diện Bật để hiển thị các tùy chọn cấu hình:

    • Mô tả : WANv6 (đây là để phân biệt với mạng IPv4 của bạn)
    • Loại cấu hình IPv6 :Static IPv6
    • Địa chỉ IPv6 : 2001:470:3c10:1178::2 64 ( Địa chỉ IPv6 của khách hàng từ trang chi tiết đường hầm HE)

    nhập mô tả hình ảnh ở đây

    và bấm Lưu .

  5. Nhấp vào Áp dụng thay đổi để kích hoạt giao diện mới.

Cho phép tin nhắn ICMP

Để sử dụng IPv6 (và cả IPv4), bạn cần đảm bảo rằng bộ định tuyến của bạn không cố gắng chặn bất kỳ gói ICMP nào. Nếu một số chuyên gia bảo mật cố gắng nói với bạn rằng việc trả lời các gói ICMP là một rủi ro bảo mật và chúng nên bị chặn, hãy nhẹ nhàng vỗ nhẹ vào đầu chúng và nói với chúng * "tất nhiên đó là". Để cho phép các gói ICMP đến:

  1. Nhấp vào Tường lửa -> Quy tắc

  2. Trên tab WAN , bấm +

    nhập mô tả hình ảnh ở đây

  3. Tạo quy tắc cho các gói ICMP IPv4 trên giao diện WAN :

    • Hành động : Đạt
    • Giao diện : WAN
    • Phiên bản TCP / IP : IPv4
    • Giao thức : ICMP
    • Mô tả : Cho phép tất cả các gói ICMP IPv4
    • Nhấp vào Lưu

    nhập mô tả hình ảnh ở đây

  4. Nhấp +để thêm quy tắc khác, lần này để cho phép tất cả lưu lượng IPv6 ICMP trên giao diện WANv6 :

    • Hành động : Đạt
    • Giao diện : WANv6
    • Phiên bản TCP / IP : IPv6
    • Giao thức : ICMP
    • Mô tả : Cho phép tất cả các gói ICMP IPv6
    • Nhấp vào Lưu

    nhập mô tả hình ảnh ở đây

  5. Nhấp vào Áp dụng thay đổi để áp dụng các thay đổi của bạn

Kích hoạt IPv6 trên mạng LAN pfSense

Bây giờ bạn phải cung cấp cho hộp pfSense một địa chỉ IPv6 trên giao diện LAN của bạn. Giống như nó có 192.168.1.1địa chỉ IPv4 trên mạng LAN, bây giờ bạn cần một địa chỉ IPv6. Ngoại trừ địa chỉ này đến từ Hurricane Electric; đó là địa chỉ Routed / 64 họ cung cấp cho bạn.

  1. Nhấp vào Giao diện -> LAN

  2. Thay đổi IPv6 Cấu hình Loại để tĩnh IPv6

  3. Trong phần cấu hình IPv6 tĩnh , nhập địa chỉ / định tuyến 64 được cung cấp bởi đường hầm:

    nhập mô tả hình ảnh ở đây

  4. Nhấp vào Lưu

  5. Nhấp vào Áp dụng thay đổi

Kích hoạt máy chủ DHCPv6

Để khách hàng có được địa chỉ IPv6, bạn phải kích hoạt máy chủ DHCPv6 và cung cấp cho nó một dải địa chỉ mà nó có thể gán địa chỉ.

  1. Nhấp vào Dịch vụ -> Máy chủ DHCPv6 / RA

  2. Kiểm tra hộp kiểm Bật máy chủ DHCPv6 trên giao diện LAN để hiển thị các tùy chọn cấu hình

  3. Trong Phạm vi từ và đến hộp, nhập một số phạm vi địa chỉ trong Phạm vi khả dụng của bạn , ví dụ:

    Phạm vi: 2001:470:1f:b34::100:0đến2001:470:1f:b34::100:fff

Ian Boyd
nguồn
tôi không bao giờ phải hoàn thành các bước và ảnh chụp màn hình. tôi đã gặp một lỗi khiến pfSense khởi động lại vô tận mà không có cách nào phục hồi ngoại trừ xóa sạch ổ cứng. pfSense 2.1 không hỗ trợ IPv6 hoàn toàn dù sao (định hình lưu lượng truy cập); vì vậy tôi đã chuyển sang beta monowall. Nó cũng không hỗ trợ IPv6 (định hình lưu lượng).
Ian Boyd
Có thể là tốt để lưu ý điều này ở đầu bài viết của bạn để mọi người không thất vọng khi hướng dẫn của bạn bỏ qua.
gà con
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.