web-dev-qa-db-ja.com

Pfsenseを使用したハリケーン電気トンネル?

サーバーにv6アドレスを設定できるように、PFsenseを介してルーティングするようにHEネットトンネルを設定するにはどうすればよいですか?私はすでに彼らの側でトンネルをセットアップしていますが、PFsenseの指示はありません。

8
Jacob

注:これらの手順は不完全なようです。これをフォローする前に、投稿全体を読んでください。


1年以上の間、私はIPv6接続にm0n0wallを使用しています。 m0n0wallにはまだ多くのIPv6機能が欠落しているため(例:トラフィックシェーピング)、完全ではありません。しかし、それは 非常に単純なIPv6トンネルブローカーのセットアップ を持っています。

現在、pfSense 2.1がリリースされており、(願わくば)m0n0wallよりも多くのIPv6サポートがあります。一方、IPv6トンネルの設定は非常に複雑です。それを機能させるために3時間費やしたので、ようやく結果を文書化することができます。それは、混乱し、自明ではなく、順序が狂っており、重複したセットアップがたくさんあります。さらに、構成が無効になる可能性のあるバグがまだあります。すべてを削除して最初からやり直す必要があります。

以上のことをすべて述べた上で、pfSenseでIPv6ハリケーン電気トンネルブローカーを構成する方法は次のとおりです。

しかし、最初に紛らわしい背景

しかし、何かを設定する前に、まったく混乱し、自明ではなく、直感的でない何かを実現するために少し時間をとる必要があります。

WAN接続)からIPv6トラフィックを送信しません

ルーターに2枚のネットワークカードがあります。

  • [〜#〜] wan [〜#〜]:( xl0、3Com)、モデムに接続
  • [〜#〜] lan [〜#〜]:( rl0、RealTek)、内部LANハブに接続

しかし、IP(インターネットプロトコル)トラフィックは私の[〜#〜] wan [〜#〜]3Comインターフェースから出ません。インターネットへの接続はDSL経由です。つまり、ルーターはPPPoEを使用してISPに接続します。

これは、pfSenseが別のインターフェースを作成することを意味します。

  • [〜#〜] wan [〜#〜]:( PPPoE)、PPPoEトンネルを介してインターネットに接続
  • OPT1:( xl0、3Com)モデムに接続
  • [〜#〜] lan [〜#〜]:( rl0、RealTek)内部LANハブに接続

したがって、インターネットへの接続は、実際にはこの仮想インターフェイスから行われます。 IPv4だけがこの "PPPoE"インターフェースを出力するため、これは重要になります。

IPv6をサポートするために、実際には4番目のインターフェイスを作成します。 onlyIPv6トラフィック専用のもの:

  • [〜#〜] wan [〜#〜]:( PPPoE)、PPPoEトンネルを介してインターネットに接続
  • WANv6:(HE_GW)、HE.netトンネルを介して接続
  • OPT1:( xl0、3Com)モデムに接続
  • [〜#〜] lan [〜#〜]:( rl0、RealTek)内部LANハブに接続

あなたのトンネル情報

まず、TunnelBrokerページからのトンネル情報が必要です。

IPv6トンネルエンドポイント

  • サーバーIPv4アドレス:209.51.181.2
  • サーバーIPv6アドレス:2001:470:3c10:1178 :: 1/64
  • クライアントIPv6アドレス:2001:470:3c10:1178 :: 2/64

ルーテッドIPv6プレフィックス

  • ルーティング/ 64:2001:470:3c11:1178 ::/64

この最初のセクションは、ハリケーンエレクトリックへのトンネル接続に関連するアドレスです(WANインターフェイスとゲートウェイ)に関連付けられるアドレス)。2番目のセクションは、 "LANです。 "アドレス。

ハリケーン電気トンネルブローカートンネルを使用したpfSense2.1の構成

新しいトンネルインターフェースを作成する

  1. Interfaces->(assign)の下で、[〜# 〜] gif [〜#〜]タブをクリックし、+をクリックして新しいトンネルを追加します。

    enter image description here

  2. 次に、新しい[〜#〜] gif [〜#〜]オプションを構成します。

    • 親インターフェースWAN
    • gifリモートアドレス209.51.181.2Server IPv4 Addressfrom HEトンネル詳細ページ)
    • gifトンネルローカルアドレス2001:470:3c10:1178::2クライアントIPv6アドレスfrom HEトンネル詳細ページ)
    • gifリモートトンネルアドレス2001:470:3c10:1178::164サーバーIPv6アドレスHEトンネル詳細ページから)
    • 説明HE.net IPv6 tunnel

    enter image description here

    Saveをクリックします。

    これで、新しい[〜#〜] gif [〜#〜]Generic Interface)トンネルが構成されました。

    enter image description here

新しいIPv6インターフェースを作成します

トンネルを作成したので、そのトンネルからトラフィックを送信する別個のIPv6のみのインターフェースを作成します。

  1. Interfaces->(assign)の下で、Interface Assignments /を選択しますタブをクリックし、+をクリックして、新しいインターフェースを追加します。

    enter image description here

    注:OPT1としてリストされているAtherosWiFiアダプターを持っています。それがあなたを混乱させないでください。

  2. 新しく追加されたインターフェイスのドロップダウンで、以前に作成された`GIF 209.51.181.2(HE.net IPv6トンネル)を選択します。

    enter image description here

    Saveをクリックします。

  3. インターフェイスOPT2が作成されたら、それをクリックします(上記のリスト、または左側のメニューのインターフェース->OPT2

  4. Enable interfaceをチェックして、構成オプションを表示します。

    • DescriptionWANv6(これはIPv4 WANと区別するためです)
    • IPv6構成タイプStatic IPv6
    • IPv6アドレス2001:470:3c10:1178::264クライアントIPv6アドレス HEトンネル詳細ページより)

    enter image description here

    Saveをクリックします。

  5. Apply Changesをクリックして、新しいインターフェイスをアクティブにします。

ICMPメッセージを許可する

IPv6(およびIPv4)を使用するには、ルーターがICMPパケットをブロックしようとしないようにする必要があります。一部のセキュリティ専門家が、ICMPパケットへの応答はセキュリティリスクであり、ブロックする必要があると伝えようとした場合は、頭を軽くたたいて*「もちろんそうです」と伝えます。着信ICMPパケットを許可するには:

  1. Firewall->Rulesをクリックします

  2. [〜#〜] wan [〜#〜]タブで、+をクリックします。

    enter image description here

  3. [〜#〜] wan [〜#〜]インターフェイスでIPv4ICMPパケットのルールを作成します。

    • アクション:合格
    • インターフェース:WAN
    • TCP/IPバージョン:IPv4
    • プロトコル:ICMP
    • Description:すべてのIPv4ICMPパケットを許可する
    • Saveをクリックします

    enter image description here

  4. +をクリックして別のルールを追加します。今回は、WANv6上のすべてのIPv6ICMPトラフィックを許可します。インターフェース:

    • アクション:合格
    • インターフェース:WANv6
    • TCP/IPバージョン:IPv6
    • プロトコル:ICMP
    • Description:すべてのIPv6ICMPパケットを許可する
    • Saveをクリックします

    enter image description here

  5. 変更の適用をクリックして変更を適用します

pfSenseLANでIPv6を有効にする

次に、PFSenseボックスにLANインターフェイスのIPv6アドレスを指定する必要があります。 LAN上に192.168.1.1 IPv4アドレスがあるのと同じように、今度はIPv6アドレスが必要です。このアドレスがハリケーンエレクトリックから来ていることを除いて;それはRouted/64アドレスです。

  1. Interfaces->[〜#〜] lan [〜#〜]をクリックします

  2. IPv6構成タイプ静的IPv6に変更します

  3. Static IPv6 configurationセクションの下に、tunnelbrokerによって提供されたルーティングされた/ 64アドレスを入力します。

    enter image description here

  4. Saveをクリックします

  5. 変更の適用をクリックします

DHCPv6サーバーを有効にする

クライアントがIPv6アドレスを取得するには、DHCPv6サーバーを有効にし、アドレスを割り当てることができるアドレス範囲を指定する必要があります。

  1. Services->DHCPv6 Server/RAをクリックします

  2. LANインターフェイスでDHCPv6サーバーを有効にするチェックボックスをオンにして、構成オプションを表示します

  3. Rangefromおよびtoボックスに、Available Range内にあるアドレスの範囲を入力します。例:.

    範囲:2001:470:1f:b34::100:0から2001:470:1f:b34::100:fff

10
Ian Boyd