pfSesne 使用IPv6与隧道代理

  1. 云栖社区>
  2. 博客>
  3. 正文

pfSesne 使用IPv6与隧道代理

余二五 2017-11-16 22:20:00 浏览997

引言

本教程详细介绍在pfSense 2.3.3或更高版本中使用隧道代理获取IPv6支持的过程。 本教程也适用于旧版本,但在选项位置或名称上可能会有细微差异。


常见问题

如果pfSense的安装从2.0.x升级到2.1或更高版本,则必须在System > Advanced>Networking选项卡上选中“Allow IPv6”,才能启用IPv6支持。 默认情况下,新的2.1或更高版本的安装将启用此选项。

IPv6需要ICMP才能工作。 如果客户端上有防火墙,请确保允许通过IPv6的ICMP。

如果使用隧道代理帐户,请务必尽可能选择靠近pfSense防火墙的提供商。 过高的延迟会影响Ipv6的使用。


建立隧道

注册:本文假设已经在 Hurricane Electric或其他代理进行了登记注册。注册一个帐户并获得第一个/ 64或/ 48个IPv6分组分配后,就可以在pfSense上配置gif隧道。

启用ICMP:不要忘记在WAN接口上启用ICMP,如果ICMP被阻止,隧道代理将不允许配置隧道。 此规则的源IP地址可以限制在gif隧道的远程端点IP,或任何一个。ICMP子网类型为“any 或“echoreq”。

wKioL1lIayuiNDHjAAApbarTXRA926.png


创建GIF接口

导航到pfSense上的gif接口界面,输入Hurricane Electric或其他地址信息。 Interfaces > (Assignments), GIF 选项卡。

· 在 “gif remote address”栏输入HE或其他服务器的IPv4地址

· 在“gif tunnel local address”栏输入HE或其他客户端IPv6地址

· 在“gif tunnel remote address”栏输入HE或其他服务器的IPv6地址

前缀长度应设置为64。在pfSense 2.1.1之后, IPv6隧道前缀长度将被忽略,设置为128的前缀长度在接口分配时,接口将显示前缀长度128。

输入 Description(描述)然后单击保存。 

注意:如果隧道连接到动态WAN IP,请查看本教程后面的Keep the Tunnel Endpoint Up-To-Date 章节。

wKioL1lIa0rx1EwMAACpJ3z07n0279.png


分配GIF 接口

在 Interfaces > (Assignments) 页面单击wKioL1lIa3KRdw_cAAACVq9sf80138.png

并选择要用于GIF接口的OPT接口。 在这个例子中,OPT接口已被重命名为HENETv6。 单击保存并应用设置。

wKioL1lIa4vx0TvgAAAMZHnSkDU320.png


配置OPT接口

在分配了OPT接口的情况下,可以从Interfaces 菜单启用OPT接口。保持IPv6 Configuration Type 为“None”。

wKiom1lIa5_QnkDUAACDhVL17GY300.png


MTU 值

如果此IPv6连接的基本接口是DSL线路或具有较低MTU的其他线路,则MTU可能需要在此处进行调整,另一端可能需要调整较低的值。 在tunnelbroker.net上,登录帐户并编辑隧道。 在”Advanced”选项中,移动MTU滑块(1),直到MTU读取值为1452(2)。

wKioL1lIa7CS1_rnAABfmoyr6FU542.png


设置网关

将为隧道自动创建动态网关条目。 导航到system>Routing>Gateways,现在编辑并设置Default Gateway选项, 将“Gateway”字段设置为dynamic。

wKiom1lIa8LzG5L2AADgjeKtNAU279.png


如果所有设置都输入正确,并且隧道代理正在运行,网关将会显示在线状态。

wKioL1lIa9OxM3wSAABD9HsY8W0436.png


设置IPv6的LAN

lan接口可以配置为静态IPv6网络。用于LAN接口上的IPv6寻址的网络是由隧道代理分配的路由/ 64或/ 48子网中的地址。 HE.net自动提供。 要注意,路由/ 64或/ 48范围不同于隧道/ 64!

下面的例子使用":: 1",因为这是最简单的。 路由子网中的任何内容都可以正常工作。

路由/ 64或/ 48是 IPv6 Address(IPV6地址) 字段的基础。

wKiom1lIa-fSEf48AAEVmTmRihM611.png


设置DHCPv6和RA

局域网上的计算机一般都会配置为自动获取IPv6地址,而不是手动设置。 启用自动获取IP设置, 请导航到 Services > DHCPv6 Server &RA。

在Router Advertisements(路由器广播) 选项卡, 可以选择不同类型的路由器广播行为模式。 Either unmanaged (仅广播), managed (仅dhcp6) 或 assisted (使用dhcp的无状态地址作为dns)。

wKiom1lIawCSNDQ3AABZxe9JyFE742.png


防火墙添加规则

导航到Firewall > Rules, LAN 选项卡, 并添加一条规则,将IPv6流量从局域网传递到any地址或网络,就像IPv4规则一样。

现在,一个局域网客户端应该能够从pfSense防火墙自动获取一个IPv6地址。可以通过http://test-ipv6.com检查是否使用IPV6进行连接。

wKiom1lIau7CqmueAAFQz_qIu7I520.png


Keep the Tunnel Endpoint Up-To-Date(保持隧道端点更新)

如果连接隧道的WAN具有动态IP地址,那么当WAN IP地址发生变化时,可以使用HE.net Tunnelbroker DynDNS类型进行更新。

导航到Services > Dynamic DNS

· 单击 wKioL1lIauKhDz4lAAACVq9sf80388.png

· 设置Type (类型)为 HE.net Tunnelbroker

· 选择 Interface(接口)

· Hostname(主机名)输入从he.net获得的numeric Tunnel ID(数字隧道ID)

· 输入Username(用户名)

· 在tunnelbroker.net隧道设置的“Advanced(高级)”选项卡中输入密码或更新密钥。 较旧的帐户可能没有更新密钥,只能使用密码。

· 输入Description(描述)

· 单击Save










本文转自 鐵血男兒 51CTO博客,原文链接:http://blog.51cto.com/fxn2025/1940060,如需转载请自行联系原作者