Réponses:
Remarque: ces instructions semblent incomplètes. Lisez le post complet avant d'essayer de suivre cela.
Depuis plus d'un an, j'utilise m0n0wall pour sa connectivité IPv6. Ce n'est pas parfait, car m0n0wall a encore beaucoup de fonctionnalités IPv6 manquantes ( par exemple, la mise en forme du trafic ). Mais il a une configuration extraordinairement simple de tunnel IPv6 .
Maintenant, pfSense 2.1 est sorti, avec (espérons-le) plus de support IPv6 que m0n0wall. D'autre part, la configuration d'un tunnel IPv6 est extraordinairement compliquée. Maintenant que j'ai passé trois heures à essayer de le faire fonctionner, je peux enfin documenter mes résultats. Il est rempli de nombreuses configurations confuses, non évidentes, non ordonnées et dupliquées. De plus, il y a encore des bogues qui peuvent rendre votre configuration invalide; vous obligeant à tout supprimer et à recommencer.
Cela dit, voici comment configurer IPv6 Hurricane Electric Tunnel Broker dans pfSense.
Mais avant de pouvoir configurer quoi que ce soit, nous devons prendre un moment pour réaliser quelque chose de complètement déroutant, non évident, non intuitif:
Vous n'envoyez pas de trafic IPv6 via votre connexion WAN
j'ai deux cartes réseau dans mon routeur:
- WAN : (xl0, 3Com), connecté au modem
- LAN : (rl0, RealTek), connecté au concentrateur LAN interne
Mais le trafic IP (Internet Protocol) ne sort pas de mon interface WAN 3Com
. Ma connexion à Internet se fait via DSL, ce qui signifie que mon routeur utilise PPPoE pour se connecter à mon FAI.
Cela signifie que pfSense crée une autre interface:
- WAN : (PPPoE), se connecte via Internet via le tunnel PPPoE
- OPT1 : (xl0, 3Com) connecté au modem
- LAN : (rl0, RealTek) connecté au concentrateur LAN interne
Donc ma connexion à Internet sort de cette interface virtuelle . Cela devient important, car ne IPv4
sort que cette interface "PPPoE" .
Afin d'avoir le support IPv6 , nous allons en fait créer une 4ème interface ; celui qui est dédié uniquement au trafic IPv6:
- WAN : (PPPoE), se connecte via Internet via le tunnel PPPoE
- WANv6 : (HE_GW), se connecte via le tunnel HE.net
- OPT1 : (xl0, 3Com) connecté au modem
- LAN : (rl0, RealTek) connecté au concentrateur LAN interne
Nous avons d'abord besoin de vos informations de tunnel depuis votre page TunnelBroker:
Points de terminaison du tunnel IPv6
- Adresse IPv4 du serveur: 209.51.181.2
- Adresse IPv6 du serveur: 2001: 470: 3c10: 1178 :: 1/64
- Adresse IPv6 du client: 2001: 470: 3c10: 1178 :: 2/64
Préfixes IPv6 routés
- Routé / 64: 2001: 470: 3c11: 1178 :: / 64
Cette première section contient les adresses liées à votre connexion tunnel à Hurricane Electric (adresses qui seront associées à votre interface WAN et à vos passerelles). La deuxième section concerne vos adresses "LAN" .
Créer une nouvelle interface de tunnel
Sous Interfaces -> (attribuer) , sélectionnez l' onglet GIF et cliquez sur +
pour ajouter un nouveau tunnel:
Configurez ensuite les nouvelles options GIF :
WAN
209.51.181.2
( Adresse IPv4 du serveur de la page de détails du tunnel HE)2001:470:3c10:1178::2
( Adresse IPv6 du client à partir de la page des détails du tunnel HE)2001:470:3c10:1178::1
64
( Adresse IPv6 du serveur depuis la page de détails du tunnel HE)HE.net IPv6 tunnel
et cliquez sur Enregistrer .
Votre nouveau tunnel GIF ( Interface générique ) est maintenant configuré:
Créer une nouvelle interface IPv6
Maintenant que nous avons créé un tunnel, nous allons créer une interface distincte IPv6 uniquement qui enverra le trafic hors de ce tunnel.
Sous Interfaces -> (assigner) , sélectionnez l' onglet Affectations d'interface et cliquez sur +
pour ajouter une nouvelle interface:
Remarque: il se trouve que j'ai un adaptateur WiFi Atheros, répertorié comme OPT1
. Ne laissez pas cela vous dérouter.
Dans la liste déroulante de l'interface nouvellement ajoutée, sélectionnez le `GIF 209.51.181.2 (tunnel HE.net IPv6) créé précédemment :
et cliquez sur Enregistrer .
Une fois l'interface OPT2
créée, cliquez dessus (soit dans la liste ci-dessus, soit dans le menu de gauche sous Interfaces -> OPT2 .
Cochez Activer l'interface pour révéler les options de configuration:
WANv6
(c'est pour le différencier de votre WAN IPv4)Static IPv6
2001:470:3c10:1178::2
64
( Adresse IPv6 client de la page de détails du tunnel HE)et cliquez sur Enregistrer .
Cliquez sur Appliquer les modifications pour activer la nouvelle interface.
Autoriser les messages ICMP
Pour utiliser IPv6 (et également IPv4), vous devez vous assurer que votre routeur n'essaie pas de bloquer les paquets ICMP. Si un expert en sécurité essaie de vous dire que répondre aux paquets ICMP est un risque pour la sécurité et qu'ils doivent être bloqués, tapotez-les doucement sur la tête et dites-leur * "bien sûr que c'est". Pour autoriser les paquets ICMP entrants:
Cliquez sur Pare - feu -> Règles
Dans l' onglet WAN , cliquez sur +
Créez la règle pour les paquets ICv IPv4 sur l' interface WAN :
Cliquez +
pour ajouter une autre règle, cette fois pour autoriser tout le trafic IPv6 ICMP sur l' interface WANv6 :
Cliquez sur Appliquer les modifications pour appliquer vos modifications
Activer IPv6 sur le réseau local pfSense
Vous devez maintenant donner à la boîte pfSense une adresse IPv6 sur votre interface LAN. Tout comme il a une 192.168.1.1
adresse IPv4 sur le LAN, vous avez maintenant besoin d'une adresse IPv6. Sauf que cette adresse provient de Hurricane Electric; c'est l' adresse Routed / 64 qu'ils vous donnent.
Cliquez sur Interfaces -> LAN
Changer le type de configuration IPv6 en IPv6 statique
Dans la section de configuration IPv6 statique , entrez l'adresse routée / 64 fournie par tunnelbroker:
Cliquez sur Enregistrer
Cliquez sur Appliquer les modifications
Activer le serveur DHCPv6
Pour que les clients obtiennent des adresses IPv6, vous devez activer le serveur DHCPv6 et lui donner une plage d'adresses à partir de laquelle ils peuvent attribuer des adresses.
Cliquez sur Services -> Serveur DHCPv6 / RA
Cochez la case Activer le serveur DHCPv6 sur l'interface LAN pour révéler les options de configuration
Dans les zones Plage de et à, entrez une plage d'adresses qui se trouvent dans votre plage disponible , par exemple
Gamme:
2001:470:1f:b34::100:0
à2001:470:1f:b34::100:fff