Hurricane Electric Tunnel mit Pfsense?

8

Wie würde ich einen HE-Netz-Tunnel einrichten, um durch PFsense zu routen, damit ich v6-Adressen auf meinen Servern haben kann? Ich habe bereits das Tunnel-Setup am Ende, aber es gibt keine Anweisungen für PFsense.

Jacob
quelle

Antworten:

10

Hinweis: Diese Anweisungen scheinen unvollständig zu sein. Lesen Sie den vollständigen Beitrag, bevor Sie versuchen, diesem zu folgen.


Seit über einem Jahr verwende ich m0n0wall für seine IPv6-Konnektivität. Es ist nicht perfekt, da in m0n0wall immer noch viele IPv6-Funktionen fehlen ( z . B. Traffic Shaping ). Es verfügt jedoch über ein außerordentlich einfaches IPv6-Tunnelbroker-Setup .

Jetzt wurde pfSense 2.1 veröffentlicht, mit (hoffentlich) mehr IPv6-Unterstützung als m0n0wall. Andererseits ist der Aufbau eines IPv6-Tunnels außerordentlich kompliziert. Nachdem ich drei Stunden damit verbracht habe, es zum Laufen zu bringen, kann ich endlich meine Ergebnisse dokumentieren. Es ist voller verwirrender, nicht offensichtlicher, nicht ordnungsgemäßer, doppelter Einstellungen. Darüber hinaus gibt es immer noch Fehler, die dazu führen können, dass Ihre Konfiguration ungültig wird. Sie müssen alles löschen und von vorne beginnen.

Nach alledem konfigurieren Sie den IPv6 Hurricane Electric Tunnel Broker in pfSense wie folgt.

Aber zuerst der verwirrende Hintergrund

Aber bevor wir etwas einrichten können, müssen wir uns einen Moment Zeit nehmen, um etwas völlig Verwirrendes, Nicht Offensichtliches, Nicht Intuitives zu realisieren:

Sie senden keinen IPv6-Verkehr über Ihre WAN-Verbindung

Ich habe zwei Netzwerkkarten in meinem Router:

  • WAN : (x10, 3Com), verbunden mit dem Modem
  • LAN : (rl0, RealTek), verbunden mit dem internen LAN-Hub

IP-Verkehr (Internet Protocol) geht jedoch nicht über meine WAN- 3Com Schnittstelle. Meine Verbindung zum Internet erfolgt über DSL. Dies bedeutet, dass mein Router PPPoE verwendet, um eine Verbindung zu meinem ISP herzustellen.

Dies bedeutet, dass pfSense eine weitere Schnittstelle erstellt:

  • WAN : (PPPoE), stellt über den PPPoE-Tunnel eine Verbindung zum Internet her
  • OPT1 : (x10, 3Com) an Modem angeschlossen
  • LAN : (rl0, RealTek) mit internem LAN-Hub verbunden

Meine Verbindung zum Internet geht also tatsächlich über diese virtuelle Schnittstelle aus. Dies wird wichtig, da nur IPv4diese "PPPoE" -Schnittstelle ausgeht .

Um IPv6- Unterstützung zu erhalten, werden wir tatsächlich eine vierte Schnittstelle erstellen . eine, die nur für IPv6-Verkehr vorgesehen ist:

  • WAN : (PPPoE), stellt über den PPPoE-Tunnel eine Verbindung zum Internet her
  • WANv6 : (HE_GW) stellt eine Verbindung über den HE.net-Tunnel her
  • OPT1 : (x10, 3Com) an Modem angeschlossen
  • LAN : (rl0, RealTek) mit internem LAN-Hub verbunden

Ihre Tunnelinformationen

Zuerst benötigen wir Ihre Tunnelinformationen von Ihrer TunnelBroker-Seite:

IPv6-Tunnelendpunkte

  • Server-IPv4-Adresse: 209.51.181.2
  • Server-IPv6-Adresse: 2001: 470: 3c10: 1178 :: 1/64
  • Client-IPv6-Adresse: 2001: 470: 3c10: 1178 :: 2/64

Weitergeleitete IPv6-Präfixe

  • Routed / 64: 2001: 470: 3c11: 1178 :: / 64

Dieser erste Abschnitt enthält Adressen zu Ihrer Tunnelverbindung zu Hurricane Electric (Adressen, die Ihrer WAN-Schnittstelle und Ihren Gateways zugewiesen werden). Der zweite Abschnitt enthält Ihre "LAN" -Adressen.

Konfiguration von pfSense 2.1 mit einem Hurricane Electric Tunnel Broker-Tunnel

Erstellen Sie eine neue Tunnelschnittstelle

  1. Wählen Sie unter Schnittstellen -> (Zuweisen) die Registerkarte GIF aus und klicken Sie +auf, um einen neuen Tunnel hinzuzufügen:

    Geben Sie hier die Bildbeschreibung ein

  2. Konfigurieren Sie als Nächstes die neuen GIF- Optionen:

    • Übergeordnete Schnittstelle :WAN
    • gif-Remote-Adresse : 209.51.181.2 ( Server-IPv4-Adresse von der HE-Tunnel-Detailseite)
    • Lokale Adresse des GIF-Tunnels : 2001:470:3c10:1178::2 ( Client-IPv6-Adresse von der Seite mit den HE-Tunneldetails)
    • gif Remote-Tunneladresse : 2001:470:3c10:1178::1 64 ( Server-IPv6-Adresse von der HE-Tunnel-Detailseite)
    • Beschreibung :HE.net IPv6 tunnel

    Geben Sie hier die Bildbeschreibung ein

    und klicken Sie auf Speichern .

    Jetzt ist Ihr neuer GIF- Tunnel ( Generic Interface ) konfiguriert:

    Geben Sie hier die Bildbeschreibung ein

Erstellen Sie eine neue IPv6-Schnittstelle

Nachdem wir einen Tunnel erstellt haben, werden wir eine separate IPv6-Schnittstelle erstellen, die Datenverkehr aus diesem Tunnel sendet.

  1. Wählen Sie unter Schnittstellen -> (Zuweisen) die Registerkarte Schnittstellenzuweisungen aus und klicken Sie +auf, um eine neue Schnittstelle hinzuzufügen:

    Geben Sie hier die Bildbeschreibung ein

    Hinweis: Ich habe zufällig einen Atheros WiFi-Adapter, aufgeführt als OPT1. Lass dich davon nicht verwirren.

  2. Wählen Sie in der Dropdown- Liste für die neu hinzugefügte Schnittstelle das zuvor erstellte GIF 209.51.181.2 (HE.net IPv6-Tunnel) aus :

    Geben Sie hier die Bildbeschreibung ein

    und klicken Sie auf Speichern .

  3. Nachdem die Schnittstelle OPT2erstellt wurde, klicken Sie darauf (entweder in der obigen Liste oder im linken Menü unter Schnittstellen -> OPT2 .

  4. Prüfen Sie Schnittstelle aktivieren , die Konfigurationsoptionen anzeigen lassen:

    • Beschreibung : WANv6 (Dies dient zur Unterscheidung von Ihrem IPv4-WAN.)
    • IPv6-Konfigurationstyp :Static IPv6
    • IPv6-Adresse : 2001:470:3c10:1178::2 64 ( Client-IPv6-Adresse von der HE-Tunnel-Detailseite)

    Geben Sie hier die Bildbeschreibung ein

    und klicken Sie auf Speichern .

  5. Klicken Sie auf Änderungen übernehmen , um die neue Schnittstelle zu aktivieren.

ICMP-Nachrichten zulassen

Um IPv6 (und auch IPv4) verwenden zu können, müssen Sie sicherstellen, dass Ihr Router nicht versucht, ICMP-Pakete zu blockieren. Wenn ein Sicherheitsexperte versucht, Ihnen mitzuteilen, dass das Antworten auf ICMP-Pakete ein Sicherheitsrisiko darstellt und sie blockiert werden sollten, klopfen Sie sie vorsichtig auf den Kopf und sagen Sie ihnen * "natürlich ist es". So erlauben Sie eingehende ICMP-Pakete:

  1. Klicken Sie auf Firewall -> Regeln

  2. Klicken Sie auf der Registerkarte WAN auf +

    Geben Sie hier die Bildbeschreibung ein

  3. Erstellen Sie die Regel für IPv4-ICMP-Pakete auf der WAN- Schnittstelle:

    • Aktion : Bestehen
    • Schnittstelle : WAN
    • TCP / IP-Version : IPv4
    • Protokoll : ICMP
    • Beschreibung : Alle IPv4-ICMP-Pakete zulassen
    • Klicken Sie auf Speichern

    Geben Sie hier die Bildbeschreibung ein

  4. Klicken Sie hier +, um eine weitere Regel hinzuzufügen, um den gesamten IPv6-ICMP-Verkehr auf der WANv6- Schnittstelle zuzulassen :

    • Aktion : Bestehen
    • Schnittstelle : WANv6
    • TCP / IP-Version : IPv6
    • Protokoll : ICMP
    • Beschreibung : Alle IPv6-ICMP-Pakete zulassen
    • Klicken Sie auf Speichern

    Geben Sie hier die Bildbeschreibung ein

  5. Klicken Sie auf Änderungen übernehmen , um Ihre Änderungen zu übernehmen

Aktivieren Sie IPv6 im pfSense LAN

Jetzt müssen Sie der pfSense-Box eine IPv6-Adresse auf Ihrer LAN-Schnittstelle geben. Genau wie es eine 192.168.1.1IPv4-Adresse im LAN hat, benötigen Sie jetzt eine IPv6-Adresse. Außer diese Adresse stammt von Hurricane Electric; Es ist die Routed / 64- Adresse, die sie Ihnen geben.

  1. Klicken Sie auf Schnittstellen -> LAN

  2. Ändern Sie den IPv6-Konfigurationstyp in statisches IPv6

  3. Unter der Static IPv6 Konfigurationsabschnitt, geben Sie die geroutet / 64 - Adresse durch Tunnelbroker bereitgestellt:

    Geben Sie hier die Bildbeschreibung ein

  4. Klicken Sie auf Speichern

  5. Klicken Sie auf Änderungen übernehmen

Aktivieren Sie den DHCPv6-Server

Damit Clients IPv6-Adressen erhalten können, müssen Sie den DHCPv6-Server aktivieren und ihm einen Adressbereich zuweisen, aus dem er Adressen zuweisen kann.

  1. Klicken Sie auf Dienste -> DHCPv6 Server / RA

  2. Aktivieren Sie das Kontrollkästchen DHCPv6-Server auf LAN-Schnittstelle aktivieren, um Konfigurationsoptionen anzuzeigen

  3. Im Bereich von und nach Boxen, geben Sie einen Bereich von Adressen , die in Ihrem sind verfügbar Bereich , zB

    Bereich: 2001:470:1f:b34::100:0bis2001:470:1f:b34::100:fff

Ian Boyd
quelle
Ich musste die Schritte und Screenshots nie beenden. Ich bin auf einen Fehler gestoßen, der dazu führt, dass pfSense endlos neu gestartet wird, ohne dass eine Wiederherstellung möglich ist, außer das Löschen der Festplatte. pfSense 2.1 unterstützt IPv6 ohnehin nicht vollständig (Traffic Shaping); Also wechselte ich zu Monowall Beta. IPv6 wird ebenfalls nicht unterstützt (Traffic Shaping).
Ian Boyd
Es könnte schön sein, dies oben in Ihrem Beitrag zu vermerken, damit die Leute nicht enttäuscht werden, wenn Ihre Anweisungen nachlassen.
Küken