引言
本教程詳細介紹在pfSense 2.3.3或更高版本中使用隧道代理擷取IPv6支援的過程。 本教程也适用于舊版本,但在選項位置或名稱上可能會有細微差異。
常見問題
如果pfSense的安裝從2.0.x更新到2.1或更高版本,則必須在System > Advanced>Networking頁籤上選中“Allow IPv6”,才能啟用IPv6支援。 預設情況下,新的2.1或更高版本的安裝将啟用此選項。
IPv6需要ICMP才能工作。 如果用戶端上有防火牆,請確定允許通過IPv6的ICMP。
如果使用隧道代理帳戶,請務必盡可能選擇靠近pfSense防火牆的提供商。 過高的延遲會影響Ipv6的使用。
建立隧道
啟用ICMP:不要忘記在WAN接口上啟用ICMP,如果ICMP被阻止,隧道代理将不允許配置隧道。 此規則的源IP位址可以限制在gif隧道的遠端端點IP,或任何一個。ICMP子網類型為“any ”或“echoreq”。
<a href="https://s5.51cto.com/wyfs02/M01/99/6C/wKioL1lIayuiNDHjAAApbarTXRA926.png" target="_blank"></a>
建立GIF接口
· 在 “gif remote address”欄輸入HE或其他伺服器的IPv4位址
· 在“gif tunnel local address”欄輸入HE或其他用戶端IPv6位址
· 在“gif tunnel remote address”欄輸入HE或其他伺服器的IPv6位址
字首長度應設定為64。在pfSense 2.1.1之後, IPv6隧道字首長度将被忽略,設定為128的字首長度在接口配置設定時,接口将顯示字首長度128。
輸入 Description(描述)然後單擊儲存。
注意:如果隧道連接配接到動态WAN IP,請檢視本教程後面的Keep the Tunnel Endpoint Up-To-Date 章節。
<a href="https://doc.pfsense.org/index.php/File:Ipv6_howto_gif_config.png" target="_blank"></a>
<a href="https://s3.51cto.com/wyfs02/M02/99/6C/wKioL1lIa0rx1EwMAACpJ3z07n0279.png" target="_blank"></a>
配置設定GIF 接口
并選擇要用于GIF接口的OPT接口。 在這個例子中,OPT接口已被重命名為HENETv6。 單擊儲存并應用設定。
<a href="https://doc.pfsense.org/index.php/File:Ipv6_howto_gif_assign.png" target="_blank"></a>
<a href="https://s1.51cto.com/wyfs02/M00/99/6C/wKioL1lIa4vx0TvgAAAMZHnSkDU320.png" target="_blank"></a>
配置OPT接口
在配置設定了OPT接口的情況下,可以從Interfaces 菜單啟用OPT接口。保持IPv6 Configuration Type 為“None”。
<a href="https://doc.pfsense.org/index.php/File:Ipv6_howto_gif_interface.png" target="_blank"></a>
<a href="https://s3.51cto.com/wyfs02/M01/99/6C/wKiom1lIa5_QnkDUAACDhVL17GY300.png" target="_blank"></a>
MTU 值
如果此IPv6連接配接的基本接口是DSL線路或具有較低MTU的其他線路,則MTU可能需要在此處進行調整,另一端可能需要調整較低的值。 在tunnelbroker.net上,登入帳戶并編輯隧道。 在”Advanced”選項中,移動MTU滑塊(1),直到MTU讀取值為1452(2)。
<a href="https://s4.51cto.com/wyfs02/M01/99/6C/wKioL1lIa7CS1_rnAABfmoyr6FU542.png" target="_blank"></a>
設定網關
将為隧道自動建立動态網關條目。 導航到system>Routing>Gateways,現在編輯并設定Default Gateway選項, 将“Gateway”字段設定為dynamic。
<a href="https://doc.pfsense.org/index.php/File:Ipv6_howto_gateway_settings.png" target="_blank"></a>
<a href="https://s5.51cto.com/wyfs02/M02/99/6C/wKiom1lIa8LzG5L2AADgjeKtNAU279.png" target="_blank"></a>
如果所有設定都輸入正确,并且隧道代理正在運作,網關将會顯示線上狀态。
<a href="https://s1.51cto.com/wyfs02/M02/99/6C/wKioL1lIa9OxM3wSAABD9HsY8W0436.png" target="_blank"></a>
設定IPv6的LAN
lan接口可以配置為靜态IPv6網絡。用于LAN接口上的IPv6尋址的網絡是由隧道代理配置設定的路由/ 64或/ 48子網中的位址。 HE.net自動提供。 要注意,路由/ 64或/ 48範圍不同于隧道/ 64!
下面的例子使用":: 1",因為這是最簡單的。 路由子網中的任何内容都可以正常工作。
路由/ 64或/ 48是 IPv6 Address(IPV6位址) 字段的基礎。
<a href="https://doc.pfsense.org/index.php/File:Ipv6_howto_lan.png" target="_blank"></a>
<a href="https://s1.51cto.com/wyfs02/M00/99/6C/wKiom1lIa-fSEf48AAEVmTmRihM611.png" target="_blank"></a>
設定DHCPv6和RA
區域網路上的計算機一般都會配置為自動擷取IPv6位址,而不是手動設定。 啟用自動擷取IP設定, 請導航到 Services > DHCPv6 Server &RA。
在Router Advertisements(路由器廣播) 頁籤, 可以選擇不同類型的路由器廣播行為模式。 Either unmanaged (僅廣播), managed (僅dhcp6) 或 assisted (使用dhcp的無狀态位址作為dns)。
<a href="https://doc.pfsense.org/index.php/File:Ipv6_howto_lan_dhcpv6.png" target="_blank"></a>
<a href="https://s4.51cto.com/wyfs02/M00/99/6C/wKiom1lIawCSNDQ3AABZxe9JyFE742.png" target="_blank"></a>
防火牆添加規則
導航到Firewall > Rules, LAN 頁籤, 并添加一條規則,将IPv6流量從區域網路傳遞到any位址或網絡,就像IPv4規則一樣。
<a href="https://doc.pfsense.org/index.php/File:Ipv6_howto_test.png" target="_blank"></a>
<a href="https://s1.51cto.com/wyfs02/M02/99/6C/wKiom1lIau7CqmueAAFQz_qIu7I520.png" target="_blank"></a>
Keep the Tunnel Endpoint Up-To-Date(保持隧道端點更新)
如果連接配接隧道的WAN具有動态IP位址,那麼當WAN IP位址發生變化時,可以使用HE.net Tunnelbroker DynDNS類型進行更新。
導航到Services > Dynamic DNS
· 設定Type (類型)為 HE.net Tunnelbroker
· 選擇 Interface(接口)
· Hostname(主機名)輸入從he.net獲得的numeric Tunnel ID(數字隧道ID)
· 輸入Username(使用者名)
· 在tunnelbroker.net隧道設定的“Advanced(進階)”頁籤中輸入密碼或更新密鑰。 較舊的帳戶可能沒有更新密鑰,隻能使用密碼。
· 輸入Description(描述)
· 單擊Save
本文轉自 鐵血男兒 51CTO部落格,原文連結:http://blog.51cto.com/fxn2025/1940060,如需轉載請自行聯系原作者
![高防伺服器、高防IP與高防CDN的差別[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)