¿Cómo configuraría un túnel de red HE para enrutar a través de PFsense para poder tener direcciones v6 en mis servidores? Ya tengo la configuración del túnel en su extremo, pero no hay instrucciones para PFsense.
Nota: Estas instrucciones parecen estar incompletas. Lea la publicación completa antes de intentar seguir esto.
Durante más de un año he estado usando m0n0wall para su conectividad IPv6. No es perfecto, ya que a m0n0wall todavía le falta mucha funcionalidad IPv6 ( por ejemplo, configuración de tráfico ). Pero tiene una configuración extraordinariamente simple de IPv6 Tunnel Broker .
Ahora se ha lanzado pfSense 2.1, con (con suerte) más soporte para IPv6 que m0n0wall. Por otro lado, la configuración de un túnel IPv6 es extraordinariamente complicada. Ahora que he pasado tres horas tratando de que funcione, finalmente puedo documentar mis resultados. Está lleno de configuraciones confusas, no obvias, fuera de orden y duplicadas. Además, todavía hay errores que pueden hacer que su configuración se vuelva inválida; requiere que elimines todo y comiences de nuevo.
Una vez dicho todo esto, así es como se configura el Broker IPv6 Hurricane Electric Tunnel Broker en pfSense.
Pero antes de que podamos configurar algo, tenemos que tomarnos un momento para darnos cuenta de algo completamente confuso, no obvio, no intuitivo:
No envía tráfico IPv6 a su conexión WAN
Tengo dos tarjetas de red en mi enrutador:
- WAN : (xl0, 3Com), conectado al módem
- LAN : (rl0, RealTek), conectado al hub LAN interno
Pero el tráfico IP (Protocolo de Internet) no sale de mi interfaz WAN 3Com
. Mi conexión a Internet es a través de DSL, lo que significa que mi enrutador usa PPPoE para conectarse a mi ISP.
Esto significa que pfSense crea otra interfaz:
- WAN : (PPPoE), se conecta a través del túnel PPPoE a Internet
- OPT1 : (xl0, 3Com) conectado al módem
- LAN : (rl0, RealTek) conectado al hub LAN interno
Así que mi conexión a Internet en realidad se apaga con esta interfaz virtual . Esto se vuelve importante, porque solo IPv4
sale esta interfaz "PPPoE" .
Para tener compatibilidad con IPv6 , en realidad crearemos una cuarta interfaz ; uno dedicado solo al tráfico IPv6:
- WAN : (PPPoE), se conecta a través del túnel PPPoE a Internet
- WANv6 : (HE_GW), se conecta a través del túnel HE.net
- OPT1 : (xl0, 3Com) conectado al módem
- LAN : (rl0, RealTek) conectado al hub LAN interno
Primero necesitamos su información de túnel de su página TunnelBroker:
Puntos finales de túnel IPv6
- Dirección IPv4 del servidor: 209.51.181.2
- Dirección IPv6 del servidor: 2001: 470: 3c10: 1178 :: 1/64
- Dirección IPv6 del cliente: 2001: 470: 3c10: 1178 :: 2/64
Prefijos de IPv6 enrutados
- Enrutado / 64: 2001: 470: 3c11: 1178 :: / 64
Esta primera sección son direcciones relacionadas con su conexión de túnel a Hurricane Electric (direcciones que se asociarán con su interfaz WAN y puertas de enlace). La segunda sección son sus direcciones "LAN" .
Crear una nueva interfaz de túnel
En Interfaces -> (asignar) , seleccione la pestaña GIF y haga clic en +
para agregar un nuevo túnel:
Luego configure las nuevas opciones de GIF :
WAN
209.51.181.2
( Dirección IPv4 del servidor desde la página de detalles del túnel HE)2001:470:3c10:1178::2
( Dirección IPv6 del cliente de la página de detalles del túnel HE)2001:470:3c10:1178::1
64
( Dirección IPv6 del servidor desde la página de detalles del túnel HE)HE.net IPv6 tunnel
y haga clic en Guardar .
Ahora su nuevo túnel GIF ( interfaz genérica ) está configurado:
Crear una nueva interfaz IPv6
Ahora que hemos creado un túnel, crearemos una interfaz separada solo para IPv6 que enviará tráfico a ese túnel.
En Interfaces -> (asignar) , seleccione la pestaña Asignaciones de interfaz y haga clic en +
para agregar una nueva interfaz:
Nota: Tengo un adaptador WiFi Atheros, que figura en la lista OPT1
. No dejes que eso te confunda.
En el menú desplegable de la interfaz recién agregada, seleccione el `GIF 209.51.181.2 (túnel HE.net IPv6) creado anteriormente :
y haga clic en Guardar .
Después de OPT2
crear la interfaz , haga clic en ella (ya sea en la lista anterior o en el menú de la izquierda en Interfaces -> OPT2 .
Marque Activar interfaz para revelar las opciones de configuración:
WANv6
(esto es para diferenciarlo de su WAN IPv4)Static IPv6
2001:470:3c10:1178::2
64
( Dirección IPv6 del cliente desde la página de detalles del túnel HE)y haga clic en Guardar .
Haga clic en Aplicar cambios para activar la nueva interfaz.
Permitir mensajes ICMP
Para usar IPv6 (y también IPv4) debe asegurarse de que su enrutador no intente bloquear ningún paquete ICMP. Si algún experto en seguridad trata de decirle que responder a los paquetes de ICMP es un riesgo de seguridad y que deben bloquearse, dele palmaditas en la cabeza y dígales * "por supuesto que sí". Para permitir paquetes ICMP entrantes:
Haga clic en Firewall -> Reglas
En la pestaña WAN , haga clic en +
Cree la regla para los paquetes IPv4 ICMP en la interfaz WAN :
Haga clic +
para agregar otra regla, esta vez para permitir todo el tráfico IPv6 ICMP en la interfaz WANv6 :
Haga clic en Aplicar cambios para aplicar sus cambios
Habilite IPv6 en la LAN de pfSense
Ahora debe darle al cuadro pfSense una dirección IPv6 en su interfaz LAN. Al igual que tiene una 192.168.1.1
dirección IPv4 en la LAN, ahora necesita una dirección IPv6. Excepto que esta dirección proviene de Hurricane Electric; es la dirección enrutada / 64 que te dan.
Haga clic en Interfaces -> LAN
Cambiar el tipo de configuración de IPv6 a IPv6 estático
En la sección de configuración de IPv6 estático , ingrese la dirección enrutada / 64 proporcionada por tunnelbroker:
Haga clic en Guardar
Haga clic en Aplicar cambios
Habilitar servidor DHCPv6
Para que los clientes obtengan direcciones IPv6, debe habilitar el servidor DHCPv6 y asignarle un rango de direcciones desde el que pueda asignar direcciones.
Haga clic en Servicios -> Servidor DHCPv6 / RA
Marque la casilla de verificación Habilitar servidor DHCPv6 en la interfaz LAN para revelar las opciones de configuración
En los cuadros Rango desde y hasta, ingrese algún rango de direcciones que estén dentro de su Rango disponible , por ejemplo
Rango:
2001:470:1f:b34::100:0
a2001:470:1f:b34::100:fff