¿Túnel eléctrico de huracanes con Pfsense?

8

¿Cómo configuraría un túnel de red HE para enrutar a través de PFsense para poder tener direcciones v6 en mis servidores? Ya tengo la configuración del túnel en su extremo, pero no hay instrucciones para PFsense.

Jacob
fuente

Respuestas:

10

Nota: Estas instrucciones parecen estar incompletas. Lea la publicación completa antes de intentar seguir esto.


Durante más de un año he estado usando m0n0wall para su conectividad IPv6. No es perfecto, ya que a m0n0wall todavía le falta mucha funcionalidad IPv6 ( por ejemplo, configuración de tráfico ). Pero tiene una configuración extraordinariamente simple de IPv6 Tunnel Broker .

Ahora se ha lanzado pfSense 2.1, con (con suerte) más soporte para IPv6 que m0n0wall. Por otro lado, la configuración de un túnel IPv6 es extraordinariamente complicada. Ahora que he pasado tres horas tratando de que funcione, finalmente puedo documentar mis resultados. Está lleno de configuraciones confusas, no obvias, fuera de orden y duplicadas. Además, todavía hay errores que pueden hacer que su configuración se vuelva inválida; requiere que elimines todo y comiences de nuevo.

Una vez dicho todo esto, así es como se configura el Broker IPv6 Hurricane Electric Tunnel Broker en pfSense.

Pero primero el trasfondo confuso

Pero antes de que podamos configurar algo, tenemos que tomarnos un momento para darnos cuenta de algo completamente confuso, no obvio, no intuitivo:

No envía tráfico IPv6 a su conexión WAN

Tengo dos tarjetas de red en mi enrutador:

  • WAN : (xl0, 3Com), conectado al módem
  • LAN : (rl0, RealTek), conectado al hub LAN interno

Pero el tráfico IP (Protocolo de Internet) no sale de mi interfaz WAN 3Com . Mi conexión a Internet es a través de DSL, lo que significa que mi enrutador usa PPPoE para conectarse a mi ISP.

Esto significa que pfSense crea otra interfaz:

  • WAN : (PPPoE), se conecta a través del túnel PPPoE a Internet
  • OPT1 : (xl0, 3Com) conectado al módem
  • LAN : (rl0, RealTek) conectado al hub LAN interno

Así que mi conexión a Internet en realidad se apaga con esta interfaz virtual . Esto se vuelve importante, porque solo IPv4sale esta interfaz "PPPoE" .

Para tener compatibilidad con IPv6 , en realidad crearemos una cuarta interfaz ; uno dedicado solo al tráfico IPv6:

  • WAN : (PPPoE), se conecta a través del túnel PPPoE a Internet
  • WANv6 : (HE_GW), se conecta a través del túnel HE.net
  • OPT1 : (xl0, 3Com) conectado al módem
  • LAN : (rl0, RealTek) conectado al hub LAN interno

La información de tu túnel

Primero necesitamos su información de túnel de su página TunnelBroker:

Puntos finales de túnel IPv6

  • Dirección IPv4 del servidor: 209.51.181.2
  • Dirección IPv6 del servidor: 2001: 470: 3c10: 1178 :: 1/64
  • Dirección IPv6 del cliente: 2001: 470: 3c10: 1178 :: 2/64

Prefijos de IPv6 enrutados

  • Enrutado / 64: 2001: 470: 3c11: 1178 :: / 64

Esta primera sección son direcciones relacionadas con su conexión de túnel a Hurricane Electric (direcciones que se asociarán con su interfaz WAN y puertas de enlace). La segunda sección son sus direcciones "LAN" .

Configuración de pfSense 2.1 con un túnel Broker de túnel eléctrico Hurricane

Crear una nueva interfaz de túnel

  1. En Interfaces -> (asignar) , seleccione la pestaña GIF y haga clic en +para agregar un nuevo túnel:

    ingrese la descripción de la imagen aquí

  2. Luego configure las nuevas opciones de GIF :

    • Interfaz principal :WAN
    • Dirección remota GIF : 209.51.181.2 ( Dirección IPv4 del servidor desde la página de detalles del túnel HE)
    • Dirección local del túnel GIF : 2001:470:3c10:1178::2 ( Dirección IPv6 del cliente de la página de detalles del túnel HE)
    • Dirección del túnel remoto gif : 2001:470:3c10:1178::1 64 ( Dirección IPv6 del servidor desde la página de detalles del túnel HE)
    • Descripción :HE.net IPv6 tunnel

    ingrese la descripción de la imagen aquí

    y haga clic en Guardar .

    Ahora su nuevo túnel GIF ( interfaz genérica ) está configurado:

    ingrese la descripción de la imagen aquí

Crear una nueva interfaz IPv6

Ahora que hemos creado un túnel, crearemos una interfaz separada solo para IPv6 que enviará tráfico a ese túnel.

  1. En Interfaces -> (asignar) , seleccione la pestaña Asignaciones de interfaz y haga clic en +para agregar una nueva interfaz:

    ingrese la descripción de la imagen aquí

    Nota: Tengo un adaptador WiFi Atheros, que figura en la lista OPT1. No dejes que eso te confunda.

  2. En el menú desplegable de la interfaz recién agregada, seleccione el `GIF 209.51.181.2 (túnel HE.net IPv6) creado anteriormente :

    ingrese la descripción de la imagen aquí

    y haga clic en Guardar .

  3. Después de OPT2crear la interfaz , haga clic en ella (ya sea en la lista anterior o en el menú de la izquierda en Interfaces -> OPT2 .

  4. Marque Activar interfaz para revelar las opciones de configuración:

    • Descripción : WANv6 (esto es para diferenciarlo de su WAN IPv4)
    • Tipo de configuración de IPv6 :Static IPv6
    • Dirección IPv6 : 2001:470:3c10:1178::2 64 ( Dirección IPv6 del cliente desde la página de detalles del túnel HE)

    ingrese la descripción de la imagen aquí

    y haga clic en Guardar .

  5. Haga clic en Aplicar cambios para activar la nueva interfaz.

Permitir mensajes ICMP

Para usar IPv6 (y también IPv4) debe asegurarse de que su enrutador no intente bloquear ningún paquete ICMP. Si algún experto en seguridad trata de decirle que responder a los paquetes de ICMP es un riesgo de seguridad y que deben bloquearse, dele palmaditas en la cabeza y dígales * "por supuesto que sí". Para permitir paquetes ICMP entrantes:

  1. Haga clic en Firewall -> Reglas

  2. En la pestaña WAN , haga clic en +

    ingrese la descripción de la imagen aquí

  3. Cree la regla para los paquetes IPv4 ICMP en la interfaz WAN :

    • Acción : pase
    • Interfaz : WAN
    • Versión TCP / IP : IPv4
    • Protocolo : ICMP
    • Descripción : permitir todos los paquetes IPv4 ICMP
    • Haga clic en Guardar

    ingrese la descripción de la imagen aquí

  4. Haga clic +para agregar otra regla, esta vez para permitir todo el tráfico IPv6 ICMP en la interfaz WANv6 :

    • Acción : pase
    • Interfaz : WANv6
    • Versión TCP / IP : IPv6
    • Protocolo : ICMP
    • Descripción : permitir todos los paquetes IPv6 ICMP
    • Haga clic en Guardar

    ingrese la descripción de la imagen aquí

  5. Haga clic en Aplicar cambios para aplicar sus cambios

Habilite IPv6 en la LAN de pfSense

Ahora debe darle al cuadro pfSense una dirección IPv6 en su interfaz LAN. Al igual que tiene una 192.168.1.1dirección IPv4 en la LAN, ahora necesita una dirección IPv6. Excepto que esta dirección proviene de Hurricane Electric; es la dirección enrutada / 64 que te dan.

  1. Haga clic en Interfaces -> LAN

  2. Cambiar el tipo de configuración de IPv6 a IPv6 estático

  3. En la sección de configuración de IPv6 estático , ingrese la dirección enrutada / 64 proporcionada por tunnelbroker:

    ingrese la descripción de la imagen aquí

  4. Haga clic en Guardar

  5. Haga clic en Aplicar cambios

Habilitar servidor DHCPv6

Para que los clientes obtengan direcciones IPv6, debe habilitar el servidor DHCPv6 y asignarle un rango de direcciones desde el que pueda asignar direcciones.

  1. Haga clic en Servicios -> Servidor DHCPv6 / RA

  2. Marque la casilla de verificación Habilitar servidor DHCPv6 en la interfaz LAN para revelar las opciones de configuración

  3. En los cuadros Rango desde y hasta, ingrese algún rango de direcciones que estén dentro de su Rango disponible , por ejemplo

    Rango: 2001:470:1f:b34::100:0a2001:470:1f:b34::100:fff

Ian Boyd
fuente
Nunca pude terminar los pasos y las capturas de pantalla. Me encontré con un error que hace que pfSense se reinicie sin fin sin ninguna forma de recuperación, excepto borrar el disco duro. pfSense 2.1 no es totalmente compatible con IPv6 de todos modos (configuración de tráfico) así que cambié a monowall beta. Tampoco es compatible con IPv6 (modelado de tráfico).
Ian Boyd
Sería bueno tener esto en cuenta en la parte superior de tu publicación para que la gente no se decepcione cuando tus instrucciones se agoten.
chicas