Terowongan Listrik Badai dengan Pfsense?

8

Bagaimana saya mengatur HE net Tunnel untuk merutekan melalui PFsense sehingga saya dapat memiliki alamat v6 di server saya? Saya sudah memiliki pengaturan terowongan di ujungnya, tetapi tidak ada instruksi untuk PFsense.

Yakub
sumber

Jawaban:

10

Catatan: Instruksi ini tampaknya tidak lengkap. Baca pos lengkap sebelum mencoba mengikuti ini.


Selama lebih dari setahun saya telah menggunakan m0n0wall untuk konektivitas IPv6-nya. Itu tidak sempurna, karena m0n0wall masih memiliki banyak fungsi IPv6 yang hilang ( mis. Traffic shaping ). Tetapi memang memiliki setup IPv6 Tunnel Broker yang luar biasa sederhana .

Sekarang pfSense 2.1 telah dirilis, dengan (semoga) lebih banyak dukungan IPv6 daripada m0n0wall. Di sisi lain, pengaturan terowongan IPv6 sangat rumit. Sekarang saya telah menghabiskan tiga jam mencoba membuatnya bekerja, saya akhirnya dapat mendokumentasikan hasil saya. Itu diisi dengan banyak pengaturan yang membingungkan, tidak jelas, rusak, duplikat. Selain itu, masih ada bug yang dapat menyebabkan konfigurasi Anda menjadi tidak valid; mengharuskan Anda untuk menghapus semuanya dan memulai kembali.

Setelah mengatakan semua itu, inilah cara Anda mengkonfigurasi IPv6 Hurricane Electric Tunnel Broker di pfSense.

Tapi pertama-tama latar belakang yang membingungkan

Tetapi sebelum kita dapat mengatur apa pun, kita harus meluangkan waktu sejenak untuk menyadari sesuatu yang benar-benar membingungkan, tidak jelas, tidak intuitif:

Anda tidak mengirim lalu lintas IPv6 keluar koneksi WAN Anda

saya memiliki dua kartu jaringan di router saya:

  • WAN : (xl0, 3Com), terhubung ke modem
  • LAN : (rl0, RealTek), terhubung ke hub LAN internal

Tapi lalu lintas IP (Internet Protocol) tidak keluar dari antarmuka WAN saya 3Com. Koneksi saya ke Internet adalah melalui DSL, yang berarti router saya menggunakan PPPoE untuk terhubung ke ISP saya.

Ini berarti pfSense membuat antarmuka lain:

  • WAN : (PPPoE), terhubung melalui terowongan PPPoE ke Internet
  • OPT1 : (xl0, 3Com) terhubung ke modem
  • LAN : (rl0, RealTek) terhubung ke hub LAN internal

Jadi koneksi saya ke internet benar-benar keluar dari antarmuka virtual ini . Ini menjadi penting, karena hanya IPv4keluar antarmuka "PPPoE" ini .

Untuk mendapatkan dukungan IPv6 , kita sebenarnya akan membuat antarmuka ke - 4 ; yang didedikasikan hanya untuk lalu lintas IPv6:

  • WAN : (PPPoE), terhubung melalui terowongan PPPoE ke Internet
  • WANv6 : (HE_GW), terhubung melalui terowongan HE.net
  • OPT1 : (xl0, 3Com) terhubung ke modem
  • LAN : (rl0, RealTek) terhubung ke hub LAN internal

Info Tunnel Anda

Pertama, kami membutuhkan informasi terowongan Anda dari halaman TunnelBroker Anda:

Titik Akhir Terowongan IPv6

  • Alamat Server IPv4: 209.51.181.2
  • Alamat IPv6 Server: 2001: 470: 3c10: 1178 :: 1/64
  • Alamat IPv6 Klien: 2001: 470: 3c10: 1178 :: 2/64

Awalan IPv6 yang dirutekan

  • Routed / 64: 2001: 470: 3c11: 1178 :: / 64

Bagian pertama ini adalah alamat yang terkait dengan koneksi terowongan Anda ke Hurricane Electric (alamat yang akan diasosiasikan dengan antarmuka WAN dan gateway Anda). Bagian kedua adalah alamat "LAN" Anda .

Mengkonfigurasi pfSense 2.1 dengan Hurricane Electric Tunnel Broker tunnel

Buat Antarmuka Tunnel Baru

  1. Di bawah Antarmuka -> (menetapkan) , pilih tab GIF , dan klik +untuk menambahkan terowongan baru:

    masukkan deskripsi gambar di sini

  2. Selanjutnya konfigurasikan opsi GIF baru :

    • Antarmuka induk :WAN
    • gif remote address : 209.51.181.2 ( Alamat Server IPv4 dari halaman detail terowongan HE)
    • alamat lokal terowongan gif : 2001:470:3c10:1178::2 ( Alamat IPv6 Klien dari halaman detail terowongan HE)
    • alamat terowongan jarak jauh gif : 2001:470:3c10:1178::1 64 ( Alamat Server IPv6 dari halaman detail terowongan HE)
    • Deskripsi :HE.net IPv6 tunnel

    masukkan deskripsi gambar di sini

    dan klik Simpan .

    Sekarang terowongan GIF ( Generik Antarmuka ) Anda yang baru telah dikonfigurasi:

    masukkan deskripsi gambar di sini

Buat antarmuka IPv6 baru

Sekarang kita telah membuat sebuah terowongan, kita akan membuat antarmuka khusus IPv6 yang akan mengirim lalu lintas keluar dari terowongan itu.

  1. Di bawah Antarmuka -> (menetapkan) , pilih tab Penugasan antarmuka , dan klik +untuk menambahkan antarmuka baru:

    masukkan deskripsi gambar di sini

    Catatan: Saya kebetulan memiliki adaptor WiFi Atheros, terdaftar sebagai OPT1. Jangan biarkan itu membingungkan Anda.

  2. Dalam drop-down untuk antarmuka yang baru ditambahkan, pilih `GIF 209.51.181.2 (HE.net IPv6 tunnel) yang sebelumnya dibuat :

    masukkan deskripsi gambar di sini

    dan klik Simpan .

  3. Setelah antarmuka OPT2dibuat, klik (baik dalam daftar di atas, atau di menu kiri di bawah Antarmuka -> OPT2 .

  4. Centang Aktifkan antarmuka untuk mengungkapkan opsi konfigurasi:

    • Deskripsi : WANv6 (ini untuk membedakannya dari IPv4 WAN Anda)
    • Jenis Konfigurasi IPv6 :Static IPv6
    • Alamat IPv6 : 2001:470:3c10:1178::2 64 ( Alamat IPv6 Klien dari halaman detail terowongan HE)

    masukkan deskripsi gambar di sini

    dan klik Simpan .

  5. Klik Terapkan Perubahan untuk mengaktifkan antarmuka baru.

Izinkan pesan ICMP

Untuk menggunakan IPv6 (dan juga IPv4), Anda perlu memastikan bahwa router Anda tidak mencoba untuk memblokir paket ICMP. Jika beberapa pakar keamanan mencoba memberi tahu Anda bahwa menanggapi paket ICMP adalah risiko keamanan dan mereka harus diblokir, tepuk-tepuknya dengan lembut di kepala dan beri tahu mereka * "tentu saja itu". Untuk mengizinkan paket ICMP yang masuk:

  1. Klik Firewall -> Aturan

  2. Pada tab WAN , klik +

    masukkan deskripsi gambar di sini

  3. Buat aturan untuk paket IPv4 ICMP pada antarmuka WAN :

    • Tindakan : Lulus
    • Antarmuka : WAN
    • Versi TCP / IP : IPv4
    • Protokol : ICMP
    • Deskripsi : Izinkan semua paket ICv IPv4
    • Klik Simpan

    masukkan deskripsi gambar di sini

  4. Klik +untuk menambahkan aturan lain, kali ini untuk mengizinkan semua lalu lintas IPMP6 IPMP pada antarmuka WANv6 :

    • Tindakan : Lulus
    • Antarmuka : WANv6
    • Versi TCP / IP : IPv6
    • Protokol : ICMP
    • Deskripsi : Izinkan semua paket ICv IPv6
    • Klik Simpan

    masukkan deskripsi gambar di sini

  5. Klik Terapkan Perubahan untuk menerapkan perubahan Anda

Aktifkan IPv6 di LAN pfSense

Sekarang Anda harus memberi kotak pfSense alamat IPv6 pada antarmuka LAN Anda. Sama seperti memiliki 192.168.1.1alamat IPv4 di LAN, sekarang Anda memerlukan alamat IPv6. Kecuali alamat ini berasal dari Hurricane Electric; itu adalah alamat Routed / 64 yang mereka berikan kepada Anda.

  1. Klik Antarmuka -> LAN

  2. Ubah Jenis Konfigurasi IPv6 ke IPv6 Statis

  3. Di bawah bagian konfigurasi IPv6 Statis , masukkan alamat routed / 64 yang disediakan oleh tunnelbroker:

    masukkan deskripsi gambar di sini

  4. Klik Simpan

  5. Klik Terapkan Perubahan

Aktifkan Server DHCPv6

Agar klien mendapatkan alamat IPv6, Anda harus mengaktifkan server DHCPv6, dan memberinya rentang alamat yang dapat digunakan untuk menentukan alamat.

  1. Klik Layanan -> DHCPv6 Server / RA

  2. Centang kotak Aktifkan server DHCPv6 pada antarmuka LAN untuk mengungkapkan opsi konfigurasi

  3. Dalam Rentang dari dan ke, masukkan beberapa rentang alamat yang ada di dalam Rentang yang Tersedia , misalnya

    Rentang: 2001:470:1f:b34::100:0hingga2001:470:1f:b34::100:fff

Ian Boyd
sumber
saya tidak pernah menyelesaikan langkah-langkah dan tangkapan layar. saya menemukan bug yang menyebabkan pfSense untuk reboot tanpa henti tanpa ada cara untuk memulihkan kecuali menghapus hard drive. pfSense 2.1 tidak mendukung IPv6 sepenuhnya (traffic shaping); jadi saya beralih ke monowall beta. Juga tidak mendukung IPv6 (traffic shaping).
Ian Boyd
Mungkin baik untuk mencatat ini di bagian atas posting Anda sehingga orang tidak kecewa ketika instruksi Anda mereda.
anak ayam