Como eu configuraria um túnel de rede HE para rotear através do PFsense para que eu possa ter endereços v6 em meus servidores? Eu já tenho a configuração do túnel do lado deles, mas não há instruções para o PFsense.
Nota: Estas instruções parecem estar incompletas. Leia o post completo antes de tentar seguir isso.
Por mais de um ano, uso o m0n0wall para sua conectividade IPv6. Não é perfeito, pois o m0n0wall ainda possui muitas funcionalidades de IPv6 ausentes ( por exemplo, modelagem de tráfego ). Mas possui uma configuração extraordinariamente simples do IPv6 Tunnel Broker .
Agora o pfSense 2.1 foi lançado, com (espero) mais suporte a IPv6 do que o m0n0wall. Por outro lado, a configuração de um túnel IPv6 é extraordinariamente complicada. Agora que passei três horas tentando fazê-lo funcionar, finalmente posso documentar meus resultados. Ele é preenchido com muitas configurações duplicadas, confusas, não óbvias e fora de ordem. Além disso, ainda existem erros que podem fazer com que sua configuração se torne inválida; exigindo que você exclua tudo e comece novamente.
Dito tudo isso, veja como você configura o IPv6 Hurricane Electric Tunnel Broker no pfSense.
Mas antes de podermos configurar qualquer coisa, precisamos dedicar um momento para perceber algo totalmente confuso, não óbvio, não intuitivo:
Você não envia tráfego IPv6 pela sua conexão WAN
Eu tenho duas placas de rede no meu roteador:
- WAN : (xl0, 3Com), conectado ao modem
- LAN : (rl0, RealTek), conectado ao hub interno da LAN
Mas o tráfego IP (Internet Protocol) não sai da minha interface WAN 3Com
. Minha conexão com a Internet é por DSL, o que significa que meu roteador usa PPPoE para conectar-se ao meu ISP.
Isso significa que o pfSense cria outra interface:
- WAN : (PPPoE), conecta-se através do túnel PPPoE à Internet
- OPT1 : (xl0, 3Com) conectado ao modem
- LAN : (rl0, RealTek) conectado ao hub interno da LAN
Então, minha conexão com a Internet sai dessa interface virtual . Isso se torna importante, porque apenas IPv4
sai essa interface "PPPoE" .
Para ter suporte ao IPv6 , criaremos uma quarta interface ; um que é dedicado apenas ao tráfego IPv6:
- WAN : (PPPoE), conecta-se através do túnel PPPoE à Internet
- WANv6 : (HE_GW), conecta-se através do túnel HE.net
- OPT1 : (xl0, 3Com) conectado ao modem
- LAN : (rl0, RealTek) conectado ao hub interno da LAN
Primeiro, precisamos das informações do seu túnel na página do TunnelBroker:
Pontos finais do túnel IPv6
- Endereço IPv4 do servidor: 209.51.181.2
- Endereço IPv6 do servidor: 2001: 470: 3c10: 1178 :: 1/64
- Endereço IPv6 do cliente: 2001: 470: 3c10: 1178 :: 2/64
Prefixos IPv6 roteados
- Roteado / 64: 2001: 470: 3c11: 1178 :: / 64
Esta primeira seção são endereços relacionados à sua conexão de túnel com o Hurricane Electric (endereços que serão associados à sua interface WAN e gateways). A segunda seção são os seus endereços "LAN" .
Criar uma nova interface de túnel
Em Interfaces -> (atribuir) , selecione a guia GIF e clique em +
para adicionar um novo túnel:
Em seguida, configure as novas opções de GIF :
WAN
209.51.181.2
( Endereço IPv4 do servidor na página de detalhes do túnel HE)2001:470:3c10:1178::2
( Endereço IPv6 do cliente na página de detalhes do túnel HE)2001:470:3c10:1178::1
64
( Endereço IPv6 do servidor na página de detalhes do túnel HE)HE.net IPv6 tunnel
e clique em Salvar .
Agora seu novo túnel GIF ( Interface genérica ) está configurado:
Crie uma nova interface IPv6
Agora que criamos um túnel, vamos criar uma interface separada somente para IPv6 que enviará tráfego para esse túnel.
Em Interfaces -> (atribuir) , selecione a guia Atribuições da interface e clique em +
para adicionar uma nova interface:
Nota: por acaso tenho um adaptador WiFi Atheros, listado como OPT1
. Não deixe que isso te confunda.
No menu suspenso da interface recém-adicionada, selecione o `GIF 209.51.181.2 criado anteriormente (túnel HE.net IPv6) :
e clique em Salvar .
Após a OPT2
criação da interface , clique nela (na lista acima ou no menu esquerdo em Interfaces -> OPT2 .
Marque Ativar interface para revelar as opções de configuração:
WANv6
(para diferenciá-lo da sua WAN IPv4)Static IPv6
2001:470:3c10:1178::2
64
( Endereço IPv6 do cliente na página de detalhes do túnel HE)e clique em Salvar .
Clique em Aplicar alterações para ativar a nova interface.
Permitir mensagens ICMP
Para usar o IPv6 (e também o IPv4), você precisa garantir que seu roteador não tente bloquear nenhum pacote ICMP. Se algum especialista em segurança tentar dizer a você que responder aos pacotes ICMP é um risco à segurança e eles devem ser bloqueados, dê um tapinha na cabeça e diga * "é claro que é". Para permitir pacotes ICMP recebidos:
Clique em Firewall -> Regras
Na guia WAN , clique em +
Crie a regra para pacotes IPv4 ICMP na interface WAN :
Clique +
para adicionar outra regra, desta vez para permitir todo o tráfego IPv6 ICMP na interface WANv6 :
Clique em Aplicar alterações para aplicar suas alterações
Habilite o IPv6 na LAN pfSense
Agora você deve fornecer à caixa do pfSense um endereço IPv6 na interface da LAN. Assim como ele tem um 192.168.1.1
endereço IPv4 na LAN, agora você precisa de um endereço IPv6. Exceto que este endereço vem do Hurricane Electric; é o endereço roteado / 64 que eles fornecem.
Clique em Interfaces -> LAN
Alterar o tipo de configuração do IPv6 para IPv6 estático
Sob a seção de configuração IPv6 estática , digite o endereço / 64 roteado fornecido pelo tunnelbroker:
Clique em Save
Clique em Aplicar alterações
Ativar servidor DHCPv6
Para que os clientes obtenham endereços IPv6, você precisa habilitar o servidor DHCPv6 e fornecer um intervalo de endereços do qual pode atribuir endereços.
Clique em Serviços -> Servidor DHCPv6 / RA
Marque a caixa de seleção Ativar servidor DHCPv6 na interface da LAN para revelar as opções de configuração
Nas caixas Intervalo de e até, insira alguns intervalos de endereços que estão dentro do seu Intervalo disponível , por exemplo,
Intervalo:
2001:470:1f:b34::100:0
a2001:470:1f:b34::100:fff