Túnel elétrico do furacão com Pfsense?

8

Como eu configuraria um túnel de rede HE para rotear através do PFsense para que eu possa ter endereços v6 em meus servidores? Eu já tenho a configuração do túnel do lado deles, mas não há instruções para o PFsense.

Jacob
fonte

Respostas:

10

Nota: Estas instruções parecem estar incompletas. Leia o post completo antes de tentar seguir isso.


Por mais de um ano, uso o m0n0wall para sua conectividade IPv6. Não é perfeito, pois o m0n0wall ainda possui muitas funcionalidades de IPv6 ausentes ( por exemplo, modelagem de tráfego ). Mas possui uma configuração extraordinariamente simples do IPv6 Tunnel Broker .

Agora o pfSense 2.1 foi lançado, com (espero) mais suporte a IPv6 do que o m0n0wall. Por outro lado, a configuração de um túnel IPv6 é extraordinariamente complicada. Agora que passei três horas tentando fazê-lo funcionar, finalmente posso documentar meus resultados. Ele é preenchido com muitas configurações duplicadas, confusas, não óbvias e fora de ordem. Além disso, ainda existem erros que podem fazer com que sua configuração se torne inválida; exigindo que você exclua tudo e comece novamente.

Dito tudo isso, veja como você configura o IPv6 Hurricane Electric Tunnel Broker no pfSense.

Mas primeiro o fundo confuso

Mas antes de podermos configurar qualquer coisa, precisamos dedicar um momento para perceber algo totalmente confuso, não óbvio, não intuitivo:

Você não envia tráfego IPv6 pela sua conexão WAN

Eu tenho duas placas de rede no meu roteador:

  • WAN : (xl0, 3Com), conectado ao modem
  • LAN : (rl0, RealTek), conectado ao hub interno da LAN

Mas o tráfego IP (Internet Protocol) não sai da minha interface WAN 3Com . Minha conexão com a Internet é por DSL, o que significa que meu roteador usa PPPoE para conectar-se ao meu ISP.

Isso significa que o pfSense cria outra interface:

  • WAN : (PPPoE), conecta-se através do túnel PPPoE à Internet
  • OPT1 : (xl0, 3Com) conectado ao modem
  • LAN : (rl0, RealTek) conectado ao hub interno da LAN

Então, minha conexão com a Internet sai dessa interface virtual . Isso se torna importante, porque apenas IPv4sai essa interface "PPPoE" .

Para ter suporte ao IPv6 , criaremos uma quarta interface ; um que é dedicado apenas ao tráfego IPv6:

  • WAN : (PPPoE), conecta-se através do túnel PPPoE à Internet
  • WANv6 : (HE_GW), conecta-se através do túnel HE.net
  • OPT1 : (xl0, 3Com) conectado ao modem
  • LAN : (rl0, RealTek) conectado ao hub interno da LAN

Informações do seu túnel

Primeiro, precisamos das informações do seu túnel na página do TunnelBroker:

Pontos finais do túnel IPv6

  • Endereço IPv4 do servidor: 209.51.181.2
  • Endereço IPv6 do servidor: 2001: 470: 3c10: 1178 :: 1/64
  • Endereço IPv6 do cliente: 2001: 470: 3c10: 1178 :: 2/64

Prefixos IPv6 roteados

  • Roteado / 64: 2001: 470: 3c11: 1178 :: / 64

Esta primeira seção são endereços relacionados à sua conexão de túnel com o Hurricane Electric (endereços que serão associados à sua interface WAN e gateways). A segunda seção são os seus endereços "LAN" .

Configurando o pfSense 2.1 com um túnel Hurricane Electric Tunnel Broker

Criar uma nova interface de túnel

  1. Em Interfaces -> (atribuir) , selecione a guia GIF e clique em +para adicionar um novo túnel:

    insira a descrição da imagem aqui

  2. Em seguida, configure as novas opções de GIF :

    • Interface pai :WAN
    • endereço remoto gif : 209.51.181.2 ( Endereço IPv4 do servidor na página de detalhes do túnel HE)
    • endereço local do túnel gif : 2001:470:3c10:1178::2 ( Endereço IPv6 do cliente na página de detalhes do túnel HE)
    • endereço de túnel remoto gif : 2001:470:3c10:1178::1 64 ( Endereço IPv6 do servidor na página de detalhes do túnel HE)
    • Descrição :HE.net IPv6 tunnel

    insira a descrição da imagem aqui

    e clique em Salvar .

    Agora seu novo túnel GIF ( Interface genérica ) está configurado:

    insira a descrição da imagem aqui

Crie uma nova interface IPv6

Agora que criamos um túnel, vamos criar uma interface separada somente para IPv6 que enviará tráfego para esse túnel.

  1. Em Interfaces -> (atribuir) , selecione a guia Atribuições da interface e clique em +para adicionar uma nova interface:

    insira a descrição da imagem aqui

    Nota: por acaso tenho um adaptador WiFi Atheros, listado como OPT1. Não deixe que isso te confunda.

  2. No menu suspenso da interface recém-adicionada, selecione o `GIF 209.51.181.2 criado anteriormente (túnel HE.net IPv6) :

    insira a descrição da imagem aqui

    e clique em Salvar .

  3. Após a OPT2criação da interface , clique nela (na lista acima ou no menu esquerdo em Interfaces -> OPT2 .

  4. Marque Ativar interface para revelar as opções de configuração:

    • Descrição : WANv6 (para diferenciá-lo da sua WAN IPv4)
    • Tipo de configuração IPv6 :Static IPv6
    • Endereço IPv6 : 2001:470:3c10:1178::2 64 ( Endereço IPv6 do cliente na página de detalhes do túnel HE)

    insira a descrição da imagem aqui

    e clique em Salvar .

  5. Clique em Aplicar alterações para ativar a nova interface.

Permitir mensagens ICMP

Para usar o IPv6 (e também o IPv4), você precisa garantir que seu roteador não tente bloquear nenhum pacote ICMP. Se algum especialista em segurança tentar dizer a você que responder aos pacotes ICMP é um risco à segurança e eles devem ser bloqueados, dê um tapinha na cabeça e diga * "é claro que é". Para permitir pacotes ICMP recebidos:

  1. Clique em Firewall -> Regras

  2. Na guia WAN , clique em +

    insira a descrição da imagem aqui

  3. Crie a regra para pacotes IPv4 ICMP na interface WAN :

    • Ação : Aprovado
    • Interface : WAN
    • Versão TCP / IP : IPv4
    • Protocolo : ICMP
    • Descrição : permita todos os pacotes IPv4 ICMP
    • Clique em Save

    insira a descrição da imagem aqui

  4. Clique +para adicionar outra regra, desta vez para permitir todo o tráfego IPv6 ICMP na interface WANv6 :

    • Ação : Aprovado
    • Interface : WANv6
    • Versão TCP / IP : IPv6
    • Protocolo : ICMP
    • Descrição : permitir todos os pacotes IPv6 ICMP
    • Clique em Save

    insira a descrição da imagem aqui

  5. Clique em Aplicar alterações para aplicar suas alterações

Habilite o IPv6 na LAN pfSense

Agora você deve fornecer à caixa do pfSense um endereço IPv6 na interface da LAN. Assim como ele tem um 192.168.1.1endereço IPv4 na LAN, agora você precisa de um endereço IPv6. Exceto que este endereço vem do Hurricane Electric; é o endereço roteado / 64 que eles fornecem.

  1. Clique em Interfaces -> LAN

  2. Alterar o tipo de configuração do IPv6 para IPv6 estático

  3. Sob a seção de configuração IPv6 estática , digite o endereço / 64 roteado fornecido pelo tunnelbroker:

    insira a descrição da imagem aqui

  4. Clique em Save

  5. Clique em Aplicar alterações

Ativar servidor DHCPv6

Para que os clientes obtenham endereços IPv6, você precisa habilitar o servidor DHCPv6 e fornecer um intervalo de endereços do qual pode atribuir endereços.

  1. Clique em Serviços -> Servidor DHCPv6 / RA

  2. Marque a caixa de seleção Ativar servidor DHCPv6 na interface da LAN para revelar as opções de configuração

  3. Nas caixas Intervalo de e até, insira alguns intervalos de endereços que estão dentro do seu Intervalo disponível , por exemplo,

    Intervalo: 2001:470:1f:b34::100:0a2001:470:1f:b34::100:fff

Ian Boyd
fonte
eu nunca consegui terminar as etapas e as capturas de tela. Me deparei com um bug que faz com que o pfSense reinicie sem parar, sem nenhuma maneira de se recuperar, exceto limpar o disco rígido. O pfSense 2.1 não suporta totalmente o IPv6 (modelagem de tráfego); então eu mudei para monowall beta. Também não suporta IPv6 (modelagem de tráfego).
Ian Boyd
Pode ser bom observar isso na parte superior da sua postagem para que as pessoas não fiquem desapontadas quando suas instruções terminarem.
chicks