OPNsense/TunnelBroker: Unterschied zwischen den Versionen

Aus Foxwiki
 
(81 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
'''IPv6-in-IPv4''' - Tunnel mit [[Hurricane Electric]] einrichtet
== Beschreibung ==
== Beschreibung ==
OPNsense unterstützt sowohl natives IPv6 als auch getunneltes IPv6. Dieser Artikel zeigt, wie man TunnelBroker, den IPv6-in-IPv4-Tunnel von Hurricane Electric, mit OPNsense einrichtet. Wenn Sie in den USA leben und Netflix benutzen, sollten Sie diese Anweisungen nicht befolgen. Netflix blockiert jetzt TunnelBroker.
; Hinweise
* OPNsense muss direkt mit dem Internet verbunden sein
*: Hinter einer NAT zu sein, funktioniert nicht
* IRC und SMTP
*: Wenn Sie IRC verwenden oder SMTP über die TunnelBroker-Verbindung nutzen möchten, müssen Sie den kostenlosen IPv6-Zertifizierungsprozess von Hurricane Electric durchlaufen
*: Die Stufe "Sage" ist die höchste Stufe und ermöglicht Ihnen die Aktivierung von IRC und SMTP
* Netflix blockiert TunnelBroker
*: Wenn Sie in den USA leben und Netflix benutzen, sollten Sie diese Anweisungen nicht befolgen


Wenn Sie IRC verwenden oder SMTP über die TunnelBroker-Verbindung nutzen möchten, müssen Sie den kostenlosen IPv6-Zertifizierungsprozess von Hurricane Electric durchlaufen. Die Stufe "Sage" ist die höchste Stufe und ermöglicht Ihnen die Aktivierung von IRC und SMTP. Beachten Sie, dass Ihre OPNsense-Firewall direkt mit dem Internet verbunden sein muss. Hinter einer NAT zu sein, funktioniert nicht.
== Konfiguration ==
=== Tunnel einrichten ===
; ICMP auf WAN-Seite aktivieren
* Die Benutzeroberfläche von TunnelBroker teilt Ihnen eine IP-Adresse mit, die Sie beim Einrichten des Tunnels auf deren Seite verwenden können.


Der Rest dieses Artikels geht davon aus, dass Sie bereits ein TunnelBroker-Konto haben. Falls nicht, melden Sie sich an und führen Sie den kostenlosen IPv6-Zertifizierungsprozess durch. In diesem Artikel werden Screenshots bereitgestellt.
; Tunnel hinzufügen
* Stellen Sie sicher, dass Sie ein geroutetes /48 hinzufügen, da wir dieses benötigen, um einzelne /64-Slices an jedes Netzwerk zu verteilen.  
* Nach der Konfiguration sollten Ihre Tunneleinstellungen wie folgt aussehen:


Aktivieren Sie ICMP auf der WAN-Seite Ihrer OPNsense-Firewall. Die Benutzeroberfläche von TunnelBroker teilt Ihnen eine IP-Adresse mit, die Sie beim Einrichten des Tunnels auf deren Seite verwenden können.
=== Schnittstelle hinzufügen ===
; GIF-Schnittstelle hinzufügen
: ‣ Schnittstellen ‣ Andere Typen ‣ GIF
:* Klicken Sie auf Hinzufügen  in der oberen rechten Ecke des Formular


Fügen Sie nun einen Tunnel hinzu. Stellen Sie sicher, dass Sie ein geroutetes /48 hinzufügen, da wir dieses benötigen, um einzelne /64-Slices an jedes Netzwerk zu verteilen. Nach der Konfiguration sollten Ihre Tunneleinstellungen wie folgt aussehen:
Verwenden Sie die folgenden Einstellungen und kopieren Sie die Adressen aus der Benutzeroberfläche Ihres TunnelBrokers
 
{| class="wikitable big options"
== Schritt 1 -  hinzufügen ==
|-
Um OPNsense zu konfigurieren, fügen Sie zunächst eine neue GIF-Schnittstelle hinzu. Gehen Sie zu Schnittstellen ‣ Andere Typen ‣ GIF und klicken Sie auf '''Hinzufügen''' in der oberen rechten Ecke des Formulars.
! Option !! Beschreibung
 
|-
Verwenden Sie die folgenden Einstellungen und kopieren Sie die IPv4&6-Adressen aus der Benutzeroberfläche Ihres TunnelBrokers.
| Übergeordnete Schnittstelle ||''WAN''
{| class="wikitable"
|'''Übergeordnete Schnittstelle'''
|''WAN''
|-
|-
|'''GIF-Fernadresse'''
| GIF-Fernadresse ||''Server IPv4-Adresse''
|''Server IPv4-Adresse''
|-
|-
|'''Lokale Adresse des GIF-Tunnels'''
| Lokale Adresse des GIF-Tunnels ||''Client-IPv6-Adresse''
|''Client-IPv6-Adresse''
|-
|-
|'''GIF-Tunnel-Fernadresse'''
| GIF-Tunnel-Fernadresse ||''Server IPv6-Adresse/64''
|''Server IPv6-Adresse/64''
|-
|-
|'''Routen-Caching'''
| Routen-Caching ||''deaktiviert''
|''deaktiviert''
|-
|-
|'''ECN-freundliches Verhalten'''
| ECN-freundliches Verhalten ||''deaktiviert''
|''deaktiviert''
|-
|-
|'''Beschreibung'''
| Beschreibung || ''Tunnel-Broker''
|''Tunnel-Broker''
|}
|}


== Schritt 2 - Konfigurieren Sie den GIF-Tunnel als neue ==
=== GIF-Tunnel konfigurieren ===
Der neu erstellte GIF-Tunnel muss nun als neue Schnittstelle zugewiesen werden. Gehen Sie zu Schnittstellen ‣ Zuweisungen, wählen Sie den GIF-Tunnel für '''Neue Schnittstelle'''und klicken Sie auf das '''+''' Zeichen daneben.
; GIF-Tunnel als Schnittstelle zuwiesen
: ‣ Schnittstellen ‣ Zuweisungen
:* Wählen Sie den GIF-Tunnel für '''Neue Schnittstelle''' und klicken Sie auf das '''+''' Zeichen daneben.


Aktivieren Sie dann unter Schnittstellen ‣ [OPTX] (oder Schnittstellen ‣ [TunnelBroker], je nachdem, was Sie ausgewählt haben) die Option '''Schnittstelle aktivieren''' und ändern Sie die Beschreibung z. B. in TUNNELBROKER, bevor Sie auf '''Speichern''' klicken.
; Aktivieren der Schnittstellen
: ‣ [OPTX] (oder Schnittstellen ‣ [TunnelBroker] (je nachdem, was Sie ausgewählt haben)  
:* Option '''Schnittstelle aktivieren''' und ändern Sie die Beschreibung etwa in TUNNELBROKER, bevor Sie auf '''Speichern''' klicken.


Die neu erstellte Schnittstelle muss nun unter System ‣ Gateways ‣ Single als Standard-IPv6-Gateway eingestellt werden, indem der neue Gateway-Eintrag TUNNELBROKER_TUNNELV6 bearbeitet und vor dem Speichern mit '''Upstream Gateway''' markiert wird.
; IPv6-Gateway
Schnittstelle als Standard-IPv6-Gateway konfigurieren
: ‣ System ‣ Gateways ‣ Single
:* TUNNELBROKER_TUNNELV6 bearbeiten und vor dem Speichern mit '''Upstream Gateway''' markieren


== Schritt 3 - Grundlegende ==
=== Firewall-Regeln ===
Fügen Sie nun grundlegende Firewall-Regeln hinzu. Da ich ein LAN-Netzwerk und ein WLAN-Netzwerk habe, erlaube ich dem WLAN, Verbindungen zum LAN zu initiieren, aber nicht umgekehrt. Ich habe nur Server im LAN, während die meisten meiner Clients im WLAN (Wireless LAN) sind. Ich blockiere alle eingehenden Verbindungen zum LAN und zum WLAN. Ausgehende Verbindungen sind natürlich in Ordnung.
; Grundlegende Firewall-Regeln hinzufügen
* Da ich ein LAN-Netzwerk und ein WLAN-Netzwerk habe, erlaube ich dem WLAN, Verbindungen zum LAN zu initiieren, aber nicht umgekehrt.  
* Ich habe nur Server im LAN, während die meisten meiner Clients im WLAN (Wireless LAN) sind.  
* Ich blockiere alle eingehenden Verbindungen zum LAN und zum WLAN.  
* Ausgehende Verbindungen sind natürlich in Ordnung.


== Schritt 4 - Konfigurieren der ==
=== LAN-Schnittstelle ===
Konfigurieren Sie nun Ihre LAN-Schnittstelle. Die statische IPv6-Adresse, die wir ihr zuweisen, ist eine'''/64-Adresse''' aus der Ihnen zugewiesenen '''/48'''. Die WLAN-Einstellungen zeige ich hier nicht, weil sie identisch sind. Sie wiederholen den gleichen Vorgang für weitere Netzwerke, wobei Sie der nächsten Schnittstelle eine eigene '''/64-Adresse''' zuweisen.
; Konfiguration der LAN-Schnittstelle
* Statische IPv6-Adresse, die wir ihr zuweisen, ist eine '''/64-Adresse''' aus der Ihnen zugewiesenen '''/48'''.  
* WLAN-Einstellungen sind identisch
* Gleiches für weitere Netzwerke
*: wobei Sie der nächsten Schnittstelle eine eigene '''/64-Adresse''' zuweisen


== Schritt 5 - DHCPv6 konfigurieren ==
=== DHCPv6 ===
Als nächstes werden wir OPNsense für Stateless Address Auto Configuration (SLAAC) konfigurieren. Gehen Sie zu Dienste ‣ Router Advertisements und wählen Sie eine Schnittstelle.
; Stateless Address Auto Configuration (SLAAC) am OPNsense konfigurieren
: ‣ Dienste ‣ Router Advertisements
:* Schnittstelle auswählen
:* ''Router Advertisements'' auf ''Assisted''
:* '' Router Priority'' auf ''Normal''
:* Einstellungen speichern


Setzen Sie die Einstellung '''Router Advertisements''' auf ''Assisted'' und die Einstellung'''Router Priority''' auf ''Normal''.
== Test ==
; Konfiguration testen
* Bringen Sie einen IPv6-Rechner online und verwenden Sie Ihr bevorzugtes Tool, um festzustellen, ob Sie eine IPv6-Adresse haben.
* Wird SLAAC verwendet, kann es bis zu 30 Sekunden oder länger dauern, bis die Schnittstelle eine IPv6-Adresse erhalten hat.


Speichern Sie Ihre Einstellungen.
Wenn Sie sehen, dass Ihre Schnittstelle eine IPv6-Adresse hat, können Sie versuchen, eine reine IPv6-Testseite aufzurufen.
<noinclude>
== Anhang ==
=== Siehe auch ===
{{Special:PrefixIndex/{{BASEPAGENAME}}}}
==== Links ====
===== Weblinks =====


== Schritt 6 - Testen Sie Ihre ==
[[Kategorie:TunnelBroker]]
Sie sollten nun für IPv6 eingerichtet sein. Um Ihre Konfiguration zu testen, bringen Sie einen IPv6-Rechner online und verwenden Sie Ihr bevorzugtes Tool, um festzustellen, ob Sie eine IPv6-Adresse haben. Wenn Sie SLAAC verwenden, kann es bis zu 30 Sekunden oder länger dauern, bis Sie eine IPv6-Adresse erhalten. Wenn Sie sehen, dass Ihre Schnittstelle eine IPv6-Adresse hat, können Sie versuchen, eine reine IPv6-Testseite aufzurufen, z. B. <nowiki>http://6.ifconfig.pro/</nowiki>
[[Kategorie:OPNsense/IPv6]]
</noinclude>

Aktuelle Version vom 19. Januar 2024, 05:34 Uhr

IPv6-in-IPv4 - Tunnel mit Hurricane Electric einrichtet

Beschreibung

Hinweise
  • OPNsense muss direkt mit dem Internet verbunden sein
    Hinter einer NAT zu sein, funktioniert nicht
  • IRC und SMTP
    Wenn Sie IRC verwenden oder SMTP über die TunnelBroker-Verbindung nutzen möchten, müssen Sie den kostenlosen IPv6-Zertifizierungsprozess von Hurricane Electric durchlaufen
    Die Stufe "Sage" ist die höchste Stufe und ermöglicht Ihnen die Aktivierung von IRC und SMTP
  • Netflix blockiert TunnelBroker
    Wenn Sie in den USA leben und Netflix benutzen, sollten Sie diese Anweisungen nicht befolgen

Konfiguration

Tunnel einrichten

ICMP auf WAN-Seite aktivieren
  • Die Benutzeroberfläche von TunnelBroker teilt Ihnen eine IP-Adresse mit, die Sie beim Einrichten des Tunnels auf deren Seite verwenden können.
Tunnel hinzufügen
  • Stellen Sie sicher, dass Sie ein geroutetes /48 hinzufügen, da wir dieses benötigen, um einzelne /64-Slices an jedes Netzwerk zu verteilen.
  • Nach der Konfiguration sollten Ihre Tunneleinstellungen wie folgt aussehen:

Schnittstelle hinzufügen

GIF-Schnittstelle hinzufügen
‣ Schnittstellen ‣ Andere Typen ‣ GIF
  • Klicken Sie auf Hinzufügen in der oberen rechten Ecke des Formular

Verwenden Sie die folgenden Einstellungen und kopieren Sie die Adressen aus der Benutzeroberfläche Ihres TunnelBrokers

Option Beschreibung
Übergeordnete Schnittstelle WAN
GIF-Fernadresse Server IPv4-Adresse
Lokale Adresse des GIF-Tunnels Client-IPv6-Adresse
GIF-Tunnel-Fernadresse Server IPv6-Adresse/64
Routen-Caching deaktiviert
ECN-freundliches Verhalten deaktiviert
Beschreibung Tunnel-Broker

GIF-Tunnel konfigurieren

GIF-Tunnel als Schnittstelle zuwiesen
‣ Schnittstellen ‣ Zuweisungen
  • Wählen Sie den GIF-Tunnel für Neue Schnittstelle und klicken Sie auf das + Zeichen daneben.
Aktivieren der Schnittstellen
‣ [OPTX] (oder Schnittstellen ‣ [TunnelBroker] (je nachdem, was Sie ausgewählt haben)
  • Option Schnittstelle aktivieren und ändern Sie die Beschreibung etwa in TUNNELBROKER, bevor Sie auf Speichern klicken.
IPv6-Gateway

Schnittstelle als Standard-IPv6-Gateway konfigurieren

‣ System ‣ Gateways ‣ Single
  • TUNNELBROKER_TUNNELV6 bearbeiten und vor dem Speichern mit Upstream Gateway markieren

Firewall-Regeln

Grundlegende Firewall-Regeln hinzufügen
  • Da ich ein LAN-Netzwerk und ein WLAN-Netzwerk habe, erlaube ich dem WLAN, Verbindungen zum LAN zu initiieren, aber nicht umgekehrt.
  • Ich habe nur Server im LAN, während die meisten meiner Clients im WLAN (Wireless LAN) sind.
  • Ich blockiere alle eingehenden Verbindungen zum LAN und zum WLAN.
  • Ausgehende Verbindungen sind natürlich in Ordnung.

LAN-Schnittstelle

Konfiguration der LAN-Schnittstelle
  • Statische IPv6-Adresse, die wir ihr zuweisen, ist eine /64-Adresse aus der Ihnen zugewiesenen /48.
  • WLAN-Einstellungen sind identisch
  • Gleiches für weitere Netzwerke
    wobei Sie der nächsten Schnittstelle eine eigene /64-Adresse zuweisen

DHCPv6

Stateless Address Auto Configuration (SLAAC) am OPNsense konfigurieren
‣ Dienste ‣ Router Advertisements
  • Schnittstelle auswählen
  • Router Advertisements auf Assisted
  • Router Priority auf Normal
  • Einstellungen speichern

Test

Konfiguration testen
  • Bringen Sie einen IPv6-Rechner online und verwenden Sie Ihr bevorzugtes Tool, um festzustellen, ob Sie eine IPv6-Adresse haben.
  • Wird SLAAC verwendet, kann es bis zu 30 Sekunden oder länger dauern, bis die Schnittstelle eine IPv6-Adresse erhalten hat.

Wenn Sie sehen, dass Ihre Schnittstelle eine IPv6-Adresse hat, können Sie versuchen, eine reine IPv6-Testseite aufzurufen.

Anhang

Siehe auch

Links

Weblinks