web-dev-qa-db-ja.com

WANおよびIPv6のLANセットアップ

弊社のIPv6/48範囲(ゲートウェイとIPアドレス)を取得したばかりですが、設定方法がわかりません。 FreeBSD 8.4(pfSense 2.1)をルーター/ファイアウォールとして使用します。

現在、インターネットに向けてWAN)でIPv4をセットアップし、その背後にオフィスPC用のNAT接続LANを用意しています。

セキュリティのためにLANネットワークを維持し、すべてのオフィスPC(NATなし)の/ 48からのIPv6アドレスが必要です。

WANはIPv6ゲートウェイ1111:2222:3333 :: 1/48とインターフェイスアドレス1111:2222:3333 :: 2/48で構成されています。しかし、このように構成されている場合、私は推測しますLANを/ 48内の/ 64に収めることは不可能ですか?

WANサブネットを1111:2222:3333:1 ::/64に、LANを1111:2222:3333:2 ::/64のようなサブネットに構成する必要があると思います。これは自分で構成できるものですか、それともISPにそのルーティングを構成するように依頼する必要がありますか?

現在のテスト設定:

  • WANゲートウェイ1111:2222:3333 :: 1/48
  • WANインターフェース(em3)1111:2222:3333 :: 2/64
  • LANインターフェース(em1)1111:2222:3333:1 :: 1/64
  • LAN 1111:2222:3333:1 :: abcd/64でクライアントをテストします

netstat -rは次のことを示しています:

Destination         Gateway            Flags      Netif Expire
default             1111:2222:3333::1  UGS         em3
localhost           localhost          UH          lo0
1111:2222:3333::    link#4             U           em3
1111:2222:3333::2   link#4             UHS         lo0
1111:2222:3333:1::  link#2             U           em1
1111:2222:3333:1::1 link#2             UHS         lo0

ルーターからWANゲートウェイにpingを実行できます。テストクライアントからLANにpingを実行できます&WANインターフェイスですが、not WANゲートウェイ。

明示的なルートを追加しようとすると、エラーが発生します。

$ route add -inet6 -net 1111:2222:3333:1::/64 1111:2222:3333::2
route: writing to routing socket: File exists
add net 1111:2222:3333:1::/64: gateway 1111:2222:3333::2: route already in table
1
neu242

あなたはここで正しい考えを持っています、そしてあなたは彼らがあなたにルーティングしているものを正確にあなたのISPに尋ねる必要があります。

通常、アドレスのサブネットを取得している場合、エッジルーターのWANアドレスは割り当てられた小さなリンクネット/ 64にあるため、LAN側のインターフェイスに大きな/ 48があり、ネットを失うことはありません。 ISPと通信する目的で、必要に応じて小さいネットをサブネット化すると、ISPは常にトラフィックをエッジルーターのWANインターフェイスに送信します。

3
James Yale

/ 48の中に/ 64がたくさんあります。最初の/ 64(ゲートウェイがあるもの)をポイントツーポイントサブネットとして使用します(IPv4環境では、これはセントラルオフィスへのppp接続に使用する/ 30になります)。

次の/ 64(1 ::/64)から、LANへのサブネットの割り当てを開始できます。

彼らがあなたにその/ 48を割り当てた場合、彼らはすでにそのためのすべてのトラフィックをあなたのパイプに向けて投げる静的ルートを持っています。

実例:

私のWAN IPv6ゲートウェイ(wan0を介して通信する)は2001:470:1f0a:314::1/64

私のWAN IPv6は2001:470:1f0a:314::2/64(wan0に割り当てられた次のIP)です)

ルーターのwan0にデフォルトルートが設定されていることを確認してください。

この後、ルーターに接続できる場合は、WANが正常に機能していることを意味します。そうでない場合は、ISPで修正する必要があり、LAN上のルートなどとは何の関係もありません。

私のLANサブネットは2001:470:1f0b:314::/64です

ルーターのeth0IPとして2001:470:1f0b:314::1を構成するだけです。

Eth0と同じLAN上のPCに2001:470:1f0b:314::2を割り当て、そのPCにデフォルトゲートウェイとして2001:470:1f0b:314::1(ルーターアドレス)を設定します。

この種のトラフィックをブロックするiptablesルールが設定されていない場合、ボーダールーター(Linuxボックスであると想定)は、2001:470:1f0b:314::/64の着信パケットをwan0からeth0にルーティングするだけです。は直接接続されたネットワークであるため、ルーティングテーブルはすでにそれを「認識」しています。

Eth0では、ルーターが最終宛先(インターネットから理論的にpingを実行しているofficepc)のMACアドレスを知っている場合、ルーターはそれを直接そこに送信します。それ以外の場合は、「このアドレスを持っているのは誰ですか?」というarp要求を行います。ターゲットPCがオンラインで、このアドレスが適切に構成されていて、デフォルトゲートウェイが設定されている場合、通信の確立に応答します。

IPv4に関する最も一般的な知識はIPv6にも当てはまることに注意してください。物事が常に異なって機能すると仮定しないでください:P

編集#2:

私の答えは多くの仮定を与えます。明示的に直接接続されたネットワークを宣言する必要はないことに注意してください。 LANサブネットのIPをルーターに割り当てましたか?テスト対象のLANコンピューターのデフォルトゲートウェイとしてそのIPを使用していますか?

私も「複雑すぎるipv6」トラップに陥ったと思います:P

編集#3:

直接接続について話している場合、この部分はばかげて間違っていました。それを無視してください。

この最後のサブネットのルートを次のようにeth0に追加するだけです

route -A inet6 add 2001:470:1f0b:314::/64 eth0.
2
ItsGC