Comment pourrais-je configurer un tunnel HE net pour le routage via PFsense afin de pouvoir avoir des adresses v6 sur mes serveurs? J'ai déjà la configuration du tunnel de leur côté, mais il n'y a pas d'instructions pour PFsense.

Remarque: ces instructions semblent incomplètes. Lisez le post complet avant d'essayer de suivre cela.

Depuis plus d'un an, j'utilise m0n0wall pour sa connectivité IPv6. Ce n'est pas parfait, car m0n0wall a encore beaucoup de fonctionnalités IPv6 manquantes ( par exemple, la mise en forme du trafic ). Mais il a une configuration extraordinairement simple de tunnel IPv6 .

Maintenant, pfSense 2.1 est sorti, avec (espérons-le) plus de support IPv6 que m0n0wall. D'autre part, la configuration d'un tunnel IPv6 est extraordinairement compliquée. Maintenant que j'ai passé trois heures à essayer de le faire fonctionner, je peux enfin documenter mes résultats. Il est rempli de nombreuses configurations confuses, non évidentes, non ordonnées et dupliquées. De plus, il y a encore des bogues qui peuvent rendre votre configuration invalide; vous obligeant à tout supprimer et à recommencer.

Cela dit, voici comment configurer IPv6 Hurricane Electric Tunnel Broker dans pfSense.

Mais d'abord le fond déroutant

Mais avant de pouvoir configurer quoi que ce soit, nous devons prendre un moment pour réaliser quelque chose de complètement déroutant, non évident, non intuitif:

Vous n'envoyez pas de trafic IPv6 via votre connexion WAN

j'ai deux cartes réseau dans mon routeur:

• WAN : (xl0, 3Com), connecté au modem
• LAN : (rl0, RealTek), connecté au concentrateur LAN interne

Mais le trafic IP (Internet Protocol) ne sort pas de mon interface WAN 3Com . Ma connexion à Internet se fait via DSL, ce qui signifie que mon routeur utilise PPPoE pour se connecter à mon FAI.

Cela signifie que pfSense crée une autre interface:

• WAN : (PPPoE), se connecte via Internet via le tunnel PPPoE
• OPT1 : (xl0, 3Com) connecté au modem
• LAN : (rl0, RealTek) connecté au concentrateur LAN interne

Donc ma connexion à Internet sort de cette interface virtuelle . Cela devient important, car ne IPv4sort que cette interface "PPPoE" .

Afin d'avoir le support IPv6 , nous allons en fait créer une 4ème interface ; celui qui est dédié uniquement au trafic IPv6:

• WAN : (PPPoE), se connecte via Internet via le tunnel PPPoE
• WANv6 : (HE_GW), se connecte via le tunnel HE.net
• OPT1 : (xl0, 3Com) connecté au modem
• LAN : (rl0, RealTek) connecté au concentrateur LAN interne

Vos informations sur le tunnel

Nous avons d'abord besoin de vos informations de tunnel depuis votre page TunnelBroker:

Points de terminaison du tunnel IPv6

• Adresse IPv4 du serveur: 209.51.181.2
• Adresse IPv6 du serveur: 2001: 470: 3c10: 1178 :: 1/64
• Adresse IPv6 du client: 2001: 470: 3c10: 1178 :: 2/64

Préfixes IPv6 routés

• Routé / 64: 2001: 470: 3c11: 1178 :: / 64

Cette première section contient les adresses liées à votre connexion tunnel à Hurricane Electric (adresses qui seront associées à votre interface WAN et à vos passerelles). La deuxième section concerne vos adresses "LAN" .

Configuration de pfSense 2.1 avec un tunnel Broker de tunnel électrique Hurricane

Créer une nouvelle interface de tunnel

1. Sous Interfaces -> (attribuer) , sélectionnez l' onglet GIF et cliquez sur +pour ajouter un nouveau tunnel:

   

2. Configurez ensuite les nouvelles options GIF :

   • Interface parent :WAN
   • adresse distante gif : 209.51.181.2 ( Adresse IPv4 du serveur de la page de détails du tunnel HE)
   • Adresse locale du tunnel gif : 2001:470:3c10:1178::2 ( Adresse IPv6 du client à partir de la page des détails du tunnel HE)
   • gif remote tunnel address : 2001:470:3c10:1178::1 64 ( Adresse IPv6 du serveur depuis la page de détails du tunnel HE)
   • Description :HE.net IPv6 tunnel

   

   et cliquez sur Enregistrer .

   Votre nouveau tunnel GIF ( Interface générique ) est maintenant configuré:

   

Créer une nouvelle interface IPv6

Maintenant que nous avons créé un tunnel, nous allons créer une interface distincte IPv6 uniquement qui enverra le trafic hors de ce tunnel.

1. Sous Interfaces -> (assigner) , sélectionnez l' onglet Affectations d'interface et cliquez sur +pour ajouter une nouvelle interface:

   

   Remarque: il se trouve que j'ai un adaptateur WiFi Atheros, répertorié comme OPT1. Ne laissez pas cela vous dérouter.

2. Dans la liste déroulante de l'interface nouvellement ajoutée, sélectionnez le `GIF 209.51.181.2 (tunnel HE.net IPv6) créé précédemment :

   

   et cliquez sur Enregistrer .

3. Une fois l'interface OPT2créée, cliquez dessus (soit dans la liste ci-dessus, soit dans le menu de gauche sous Interfaces -> OPT2 .

4. Cochez Activer l'interface pour révéler les options de configuration:

   • Description : WANv6 (c'est pour le différencier de votre WAN IPv4)
   • Type de configuration IPv6 :Static IPv6
   • Adresse IPv6 : 2001:470:3c10:1178::2 64 ( Adresse IPv6 client de la page de détails du tunnel HE)

   

   et cliquez sur Enregistrer .

5. Cliquez sur Appliquer les modifications pour activer la nouvelle interface.

Autoriser les messages ICMP

Pour utiliser IPv6 (et également IPv4), vous devez vous assurer que votre routeur n'essaie pas de bloquer les paquets ICMP. Si un expert en sécurité essaie de vous dire que répondre aux paquets ICMP est un risque pour la sécurité et qu'ils doivent être bloqués, tapotez-les doucement sur la tête et dites-leur * "bien sûr que c'est". Pour autoriser les paquets ICMP entrants:

1. Cliquez sur Pare - feu -> Règles

2. Dans l' onglet WAN , cliquez sur +

   

3. Créez la règle pour les paquets ICv IPv4 sur l' interface WAN :

   • Action : réussir
   • Interface : WAN
   • Version TCP / IP : IPv4
   • Protocole : ICMP
   • Description : autoriser tous les paquets ICMP IPv4
   • Cliquez sur Enregistrer

   

4. Cliquez +pour ajouter une autre règle, cette fois pour autoriser tout le trafic IPv6 ICMP sur l' interface WANv6 :

   • Action : réussir
   • Interface : WANv6
   • Version TCP / IP : IPv6
   • Protocole : ICMP
   • Description : autoriser tous les paquets ICMP IPv6
   • Cliquez sur Enregistrer

   

5. Cliquez sur Appliquer les modifications pour appliquer vos modifications

Activer IPv6 sur le réseau local pfSense

Vous devez maintenant donner à la boîte pfSense une adresse IPv6 sur votre interface LAN. Tout comme il a une 192.168.1.1adresse IPv4 sur le LAN, vous avez maintenant besoin d'une adresse IPv6. Sauf que cette adresse provient de Hurricane Electric; c'est l' adresse Routed / 64 qu'ils vous donnent.

1. Cliquez sur Interfaces -> LAN

2. Changer le type de configuration IPv6 en IPv6 statique

3. Dans la section de configuration IPv6 statique , entrez l'adresse routée / 64 fournie par tunnelbroker:

   

4. Cliquez sur Enregistrer

5. Cliquez sur Appliquer les modifications

Activer le serveur DHCPv6

Pour que les clients obtiennent des adresses IPv6, vous devez activer le serveur DHCPv6 et lui donner une plage d'adresses à partir de laquelle ils peuvent attribuer des adresses.

1. Cliquez sur Services -> Serveur DHCPv6 / RA

2. Cochez la case Activer le serveur DHCPv6 sur l'interface LAN pour révéler les options de configuration

3. Dans les zones Plage de et à, entrez une plage d'adresses qui se trouvent dans votre plage disponible , par exemple

   Gamme: 2001:470:1f:b34::100:0à2001:470:1f:b34::100:fff