带有 Pfsense 的飓风电力隧道？

Question

我将如何设置 HE 网络隧道以通过 PFsense 进行路由，以便在我的服务器上拥有 v6 地址？我已经在他们的一端设置了隧道，但没有关于 PFsense 的说明。

Answer 1

注意：这些说明似乎不完整。在尝试遵循此之前阅读完整的帖子。

一年多来，我一直在使用 m0n0wall 进行 IPv6 连接。它并不完美，因为 m0n0wall 仍然缺少许多 IPv6 功能（例如流量整形）。但它确实有非常简单的 IPv6 隧道代理设置。

现在 pfSense 2.1 已经发布，（希望）比 m0n0wall 有更多的 IPv6 支持。另一方面，IPv6隧道的建立异常复杂。现在我已经花了三个小时试图让它工作，我终于可以记录我的结果了。它充满了很多令人困惑的、不明显的、乱序的、重复的设置。此外，仍然存在可能导致您的配置无效的错误；要求您删除所有内容并重新开始。

说了这么多，下面是如何在 pfSense 中配置 IPv6 Hurricane Electric Tunnel Broker。

但首先是令人困惑的背景

但在我们可以设置任何东西之前，我们必须花点时间了解一些完全令人困惑、不明显、不直观的东西：

您不会通过 WAN 连接发送 IPv6 流量

我的路由器中有两个网卡：

• WAN : (xl0, 3Com), 连接到调制解调器
• LAN : (rl0, RealTek)，连接到内部 LAN 集线器

但是 IP（互联网协议）流量不会从我的WAN 3Com接口流出。我通过 DSL 连接到 Internet，这意味着我的路由器使用 PPPoE 连接到我的 ISP。

这意味着 pfSense 创建了另一个接口：

• WAN : (PPPoE)，通过PPPoE隧道连接到互联网
• OPT1 : (xl0, 3Com) 连接到调制解调器
• LAN : (rl0, RealTek) 连接到内部 LAN 集线器

所以我与互联网的连接实际上是通过这个虚拟接口。这变得很重要，因为只有IPv4走出这个“PPPoE”接口。

为了支持IPv6，我们实际上将创建第四个接口；一个专用于仅IPv6流量：

• WAN : (PPPoE)，通过PPPoE隧道连接到互联网
• WANv6 : (HE_GW), 通过 HE.net 隧道连接
• OPT1 : (xl0, 3Com) 连接到调制解调器
• LAN : (rl0, RealTek) 连接到内部 LAN 集线器

您的隧道信息

首先，我们需要您的 TunnelBroker 页面中的隧道信息：

IPv6 隧道端点

• 服务器 IPv4 地址：209.51.181.2
• 服务器 IPv6 地址：2001:470:3c10:1178::1 /64
• 客户端 IPv6 地址：2001:470:3c10:1178::2 /64

路由 IPv6 前缀

• 路由 /64: 2001:470:3c11:1178:: /64

第一部分是与您到 Hurricane Electric 的隧道连接相关的地址（将与您的 WAN 接口和网关关联的地址）。第二部分是您的“LAN”地址。

使用 Hurricane Electric Tunnel Broker 隧道配置 pfSense 2.1

创建一个新的隧道接口

1. 在Interfaces -> (assign) 下，选择GIF选项卡，然后单击+添加新隧道：

   

2. 接下来配置新的GIF选项：

   • 父界面：WAN
   • GIF远程地址：209.51.181.2 （服务器IPv4地址从HE隧道详情页）
   • GIF隧道的本地地址：2001:470:3c10:1178::2 （客户端IPv6地址的从HE隧道详情页）
   • GIF远程隧道地址：2001:470:3c10:1178::1 64 （服务器IPv6地址的从HE隧道详情页）
   • 说明：HE.net IPv6 tunnel

   

   并点击保存。

   现在您的新GIF（通用接口）隧道已配置：

   

创建新的 IPv6 接口

现在我们已经创建了一个隧道，我们将创建一个单独的 IPv6-only 接口，将流量发送出该隧道。

1. 在Interfaces -> (assign) 下，选择Interface assignments选项卡，然后单击+添加新接口：

   

   注意：我碰巧有一个 Atheros WiFi 适配器，列为OPT1. 不要让这让你感到困惑。

2. 在新添加接口的下拉列表中，选择之前创建的`GIF 209.51.181.2 (HE.net IPv6 tunnel)：

   

   并点击保存。

3. OPT2创建接口后，单击它（在上面的列表中，或在Interfaces -> OPT2下的左侧菜单中。

4. 选中启用接口以显示配置选项：

   • 描述：（WANv6 这是为了将它与您的 IPv4 WAN 区分开来）
   • IPv6 配置类型：Static IPv6
   • IPv6地址：2001:470:3c10:1178::2 64 （客户端IPv6地址的从HE隧道详情页）

   

   并点击保存。

5. 单击应用更改以使新界面处于活动状态。

允许 ICMP 消息

为了使用 IPv6（以及 IPv4），您需要确保您的路由器不会尝试阻止任何 ICMP 数据包。如果某些安全专家试图告诉您响应 ICMP 数据包存在安全风险，应该阻止它们，请轻轻拍拍它们的头并告诉他们*“当然是”。允许传入的 ICMP 数据包：

1. 单击防火墙->规则

2. 在WAN选项卡上，单击+

   

3. 为WAN接口上的 IPv4 ICMP 数据包创建规则：

   • 行动：通过
   • 接口: 广域网
   • TCP/IP 版本：IPv4
   • 协议：ICMP
   • 描述：允许所有 IPv4 ICMP 数据包
   • 点击保存

   

4. 单击+以添加另一个规则，这次允许WANv6接口上的所有 IPv6 ICMP 流量：

   • 行动：通过
   • 接口：WANv6
   • TCP/IP 版本：IPv6
   • 协议：ICMP
   • 描述：允许所有 IPv6 ICMP 数据包
   • 点击保存

   

5. 单击应用更改以应用您的更改

在 pfSense LAN 上启用 IPv6

现在您必须在您的 LAN 接口上为 pfSense 框提供一个 IPv6 地址。就像它192.168.1.1在 LAN 上有一个IPv4 地址一样，现在您需要一个 IPv6 地址。除了这个地址来自飓风电气；这是他们给你的路由 /64地址。

1. 单击接口-> LAN

2. 将IPv6 配置类型更改为静态 IPv6

3. 在静态 IPv6 配置部分下，输入隧道代理提供的路由 /64 地址：

   

4. 点击保存

5. 单击应用更改

启用 DHCPv6 服务器

为了让客户端获得 IPv6 地址，您必须启用 DHCPv6 服务器，并为其指定一个可以从中分配地址的地址范围。

1. 单击服务-> DHCPv6 服务器/RA

2. 选中在 LAN 接口上启用 DHCPv6 服务器复选框以显示配置选项

3. 在Range from 和 to 框中，输入可用范围内的一些地址范围，例如

   范围：2001:470:1f:b34::100:0到2001:470:1f:b34::100:fff