您的隧道信息

Question

注意：这些说明似乎不完整。在尝试遵循这些说明之前，请先阅读完整帖子。

一年多来，我一直在使用 m0n0wall 来实现 IPv6 连接。它并不完美，因为 m0n0wall 仍然缺少许多 IPv6 功能（例如流量整形）但它确实有极其简单的 IPv6 隧道代理设置。

现在 pfSense 2.1 已经发布，（希望）比 m0n0wall 具有更多的 IPv6 支持。另一方面，IPv6 隧道的设置非常复杂。现在我花了三个小时尝试让它工作，我终于可以记录我的结果了。它充满了许多令人困惑、不明显、无序、重复的设置。此外，仍然存在可能导致您的配置无效的错误；需要您删除所有内容并重新开始。

说了这么多，下面是如何在 pfSense 中配置 IPv6 Hurricane Electric Tunnel Broker。

但首先令人困惑的背景

但在设置任何东西之前，我们必须花一点时间来认识到一些非常令人困惑、不明显、非直观的事情：

您不会通过 WAN 连接发送 IPv6 流量

我的路由器有两张网卡：

广域网：（xl0，3Com），连接到调制解调器

局域网：（rl0，RealTek），连接到内部 LAN 集线器

但 IP（Internet 协议）流量没有传出我的广域网 3Com接口。我通过 DSL 连接到互联网，这意味着我的路由器使用 PPPoE 连接到我的 ISP。

这意味着 pfSense 创建了另一个接口：

广域网：（PPPoE），通过 PPPoE 隧道连接到互联网

选择1：（xl0，3Com）连接到调制解调器

局域网：（rl0，RealTek）连接到内部 LAN 集线器

所以我的网络连接实际上中断了虚拟的接口。这变得很重要，因为只有IPv4这个“PPPoE”界面。

为了有IPv6支持，我们实际上将创建一个第四个接口；一个致力于仅有的IPv6 流量：

广域网：（PPPoE），通过 PPPoE 隧道连接到互联网

WANv6：（HE_GW），通过 HE.net 隧道连接

选择1：（xl0，3Com）连接到调制解调器

局域网：（rl0，RealTek）连接到内部 LAN 集线器

您的隧道信息

首先，我们需要您 TunnelBroker 页面上的隧道信息：

IPv6 隧道端点

服务器 IPv4 地址：209.51.181.2

服务器 IPv6 地址：2001:470:3c10:1178::1 /64

客户端 IPv6 地址：2001:470:3c10:1178::2 /64

路由 IPv6 前缀

路由 /64：2001：470：3c11：1178:: /64

第一部分是与 Hurricane Electric 的隧道连接相关的地址（将与您的 WAN 接口和网关关联的地址）。第二部分是您的“局域网”地址。

使用 Hurricane Electric Tunnel Broker 隧道配置 pfSense 2.1

创建新的隧道接口

在下面接口->（分配），选择动态图片选项卡，然后单击+添加新隧道：
接下来配置新的动态图片选项：
- 父接口：WAN
- gif 远程地址：209.51.181.2 （服务器 IPv4 地址来自 HE 隧道详细信息页面）
- gif 隧道本地地址：2001:470:3c10:1178::2 （客户端 IPv6 地址来自 HE 隧道详细信息页面）
- gif 远程隧道地址：2001:470:3c10:1178::1 64 （服务器 IPv6 地址来自 HE 隧道详细信息页面）
- 描述：HE.net IPv6 tunnel
并点击节省。

现在你的新动态图片（通用接口)隧道配置如下：

创建新的 IPv6 接口

现在我们已经创建了隧道，我们将创建一个单独的仅 IPv6 接口，该接口将把流量从该隧道发送出去。

在下面接口->（分配），选择接口分配选项卡，然后单击+添加新接口：

笔记：我正好有一个 Atheros WiFi 适配器，列为OPT1。不要让这让您感到困惑。
在新添加的接口的下拉菜单中，选择之前创建的`GIF 209.51.181.2（HE.net IPv6 隧道）：

并点击节省。
界面之后OPT2已创建，请单击它（在上面的列表中，或在左侧菜单中接口->选择2。
查看启用接口显示配置选项：
- 描述：WANv6 （这是为了将其与您的 IPv4 WAN 区分开来）
- IPv6 配置类型：Static IPv6
- IPv6 地址：2001:470:3c10:1178::2 64 （客户端 IPv6 地址来自 HE 隧道详细信息页面）
并点击节省。
点击应用更改使新界面处于活动状态。

允许 ICMP 消息

为了使用 IPv6（以及 IPv4），您需要确保您的路由器不会尝试阻止任何 ICMP 数据包。如果某些安全专家试图告诉您响应 ICMP 数据包存在安全风险并且应该阻止它们，请轻轻拍拍他们的头并告诉他们“当然是这样”。要允许传入的 ICMP 数据包：

点击防火墙->规则
在广域网选项卡，点击+
在广域网界面：
- 行动：经过
- 界面：广域网
- TCP/IP 版本：IPv4
- 协议：ICMP
- 描述：允许所有 IPv4 ICMP 数据包
- 点击节省
点击+添加另一条规则，这次允许所有 IPv6 ICMP 流量WANv6界面：
- 行动：经过
- 界面：WANv6
- TCP/IP 版本：IPv6
- 协议：ICMP
- 描述：允许所有 IPv6 ICMP 数据包
- 点击节省
点击应用更改应用你的更改

在 pfSense LAN 上启用 IPv6

现在，您必须在 LAN 接口上为 pfSense 盒提供一个 IPv6 地址。就像它192.168.1.1在 LAN 上有 IPv4 地址一样，现在您需要一个 IPv6 地址。不过，这个地址来自 Hurricane Electric；它是路由 /64他们给你的地址。

点击接口->局域网
改变IPv6 配置类型到静态 IPv6
在下面静态 IPv6 配置部分中，输入tunnelbroker提供的路由/64地址：
点击节省
点击应用更改

启用 DHCPv6 服务器

为了让客户端获取 IPv6 地址，您必须启用 DHCPv6 服务器，并为其提供可分配地址的地址范围。

点击服务->DHCPv6 服务器/路由选择协议
检查在 LAN 接口上启用 DHCPv6 服务器复选框显示配置选项
在里面范围发件人和收件人框中，输入您可用范围例如

范围：2001:470:1f:b34::100:0至2001:470:1f:b34::100:fff

Answer 1

注意：这些说明似乎不完整。在尝试遵循这些说明之前，请先阅读完整帖子。

一年多来，我一直在使用 m0n0wall 来实现 IPv6 连接。它并不完美，因为 m0n0wall 仍然缺少许多 IPv6 功能（例如流量整形）但它确实有极其简单的 IPv6 隧道代理设置。

现在 pfSense 2.1 已经发布，（希望）比 m0n0wall 具有更多的 IPv6 支持。另一方面，IPv6 隧道的设置非常复杂。现在我花了三个小时尝试让它工作，我终于可以记录我的结果了。它充满了许多令人困惑、不明显、无序、重复的设置。此外，仍然存在可能导致您的配置无效的错误；需要您删除所有内容并重新开始。

说了这么多，下面是如何在 pfSense 中配置 IPv6 Hurricane Electric Tunnel Broker。

但首先令人困惑的背景

但在设置任何东西之前，我们必须花一点时间来认识到一些非常令人困惑、不明显、非直观的事情：

您不会通过 WAN 连接发送 IPv6 流量

我的路由器有两张网卡：

广域网：（xl0，3Com），连接到调制解调器

局域网：（rl0，RealTek），连接到内部 LAN 集线器

但 IP（Internet 协议）流量没有传出我的广域网 3Com接口。我通过 DSL 连接到互联网，这意味着我的路由器使用 PPPoE 连接到我的 ISP。

这意味着 pfSense 创建了另一个接口：

广域网：（PPPoE），通过 PPPoE 隧道连接到互联网

选择1：（xl0，3Com）连接到调制解调器

局域网：（rl0，RealTek）连接到内部 LAN 集线器

所以我的网络连接实际上中断了虚拟的接口。这变得很重要，因为只有IPv4这个“PPPoE”界面。

为了有IPv6支持，我们实际上将创建一个第四个接口；一个致力于仅有的IPv6 流量：

广域网：（PPPoE），通过 PPPoE 隧道连接到互联网

WANv6：（HE_GW），通过 HE.net 隧道连接

选择1：（xl0，3Com）连接到调制解调器

局域网：（rl0，RealTek）连接到内部 LAN 集线器

您的隧道信息

首先，我们需要您 TunnelBroker 页面上的隧道信息：

IPv6 隧道端点

服务器 IPv4 地址：209.51.181.2

服务器 IPv6 地址：2001:470:3c10:1178::1 /64

客户端 IPv6 地址：2001:470:3c10:1178::2 /64

路由 IPv6 前缀

路由 /64：2001：470：3c11：1178:: /64

第一部分是与 Hurricane Electric 的隧道连接相关的地址（将与您的 WAN 接口和网关关联的地址）。第二部分是您的“局域网”地址。

使用 Hurricane Electric Tunnel Broker 隧道配置 pfSense 2.1

创建新的隧道接口

在下面接口->（分配），选择动态图片选项卡，然后单击+添加新隧道：
接下来配置新的动态图片选项：
- 父接口：WAN
- gif 远程地址：209.51.181.2 （服务器 IPv4 地址来自 HE 隧道详细信息页面）
- gif 隧道本地地址：2001:470:3c10:1178::2 （客户端 IPv6 地址来自 HE 隧道详细信息页面）
- gif 远程隧道地址：2001:470:3c10:1178::1 64 （服务器 IPv6 地址来自 HE 隧道详细信息页面）
- 描述：HE.net IPv6 tunnel
并点击节省。

现在你的新动态图片（通用接口)隧道配置如下：

创建新的 IPv6 接口

现在我们已经创建了隧道，我们将创建一个单独的仅 IPv6 接口，该接口将把流量从该隧道发送出去。

在下面接口->（分配），选择接口分配选项卡，然后单击+添加新接口：

笔记：我正好有一个 Atheros WiFi 适配器，列为OPT1。不要让这让您感到困惑。
在新添加的接口的下拉菜单中，选择之前创建的`GIF 209.51.181.2（HE.net IPv6 隧道）：

并点击节省。
界面之后OPT2已创建，请单击它（在上面的列表中，或在左侧菜单中接口->选择2。
查看启用接口显示配置选项：
- 描述：WANv6 （这是为了将其与您的 IPv4 WAN 区分开来）
- IPv6 配置类型：Static IPv6
- IPv6 地址：2001:470:3c10:1178::2 64 （客户端 IPv6 地址来自 HE 隧道详细信息页面）
并点击节省。
点击应用更改使新界面处于活动状态。

允许 ICMP 消息

为了使用 IPv6（以及 IPv4），您需要确保您的路由器不会尝试阻止任何 ICMP 数据包。如果某些安全专家试图告诉您响应 ICMP 数据包存在安全风险并且应该阻止它们，请轻轻拍拍他们的头并告诉他们“当然是这样”。要允许传入的 ICMP 数据包：

点击防火墙->规则
在广域网选项卡，点击+
在广域网界面：
- 行动：经过
- 界面：广域网
- TCP/IP 版本：IPv4
- 协议：ICMP
- 描述：允许所有 IPv4 ICMP 数据包
- 点击节省
点击+添加另一条规则，这次允许所有 IPv6 ICMP 流量WANv6界面：
- 行动：经过
- 界面：WANv6
- TCP/IP 版本：IPv6
- 协议：ICMP
- 描述：允许所有 IPv6 ICMP 数据包
- 点击节省
点击应用更改应用你的更改

在 pfSense LAN 上启用 IPv6

现在，您必须在 LAN 接口上为 pfSense 盒提供一个 IPv6 地址。就像它192.168.1.1在 LAN 上有 IPv4 地址一样，现在您需要一个 IPv6 地址。不过，这个地址来自 Hurricane Electric；它是路由 /64他们给你的地址。

点击接口->局域网
改变IPv6 配置类型到静态 IPv6
在下面静态 IPv6 配置部分中，输入tunnelbroker提供的路由/64地址：
点击节省
点击应用更改

启用 DHCPv6 服务器

为了让客户端获取 IPv6 地址，您必须启用 DHCPv6 服务器，并为其提供可分配地址的地址范围。

点击服务->DHCPv6 服务器/路由选择协议
检查在 LAN 接口上启用 DHCPv6 服务器复选框显示配置选项
在里面范围发件人和收件人框中，输入您可用范围例如

范围：2001:470:1f:b34::100:0至2001:470:1f:b34::100:fff

您的隧道信息

答案1

但首先令人困惑的背景

您的隧道信息

使用 Hurricane Electric Tunnel Broker 隧道配置 pfSense 2.1

相关内容