OPNsense/TunnelBroker: Unterschied zwischen den Versionen
(78 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''IPv6-in-IPv4''' - Tunnel mit [[Hurricane Electric]] einrichtet | |||
== Beschreibung == | == Beschreibung == | ||
OPNsense | ; Hinweise | ||
* OPNsense muss direkt mit dem Internet verbunden sein | |||
*: Hinter einer NAT zu sein, funktioniert nicht | |||
* IRC und SMTP | |||
*: Wenn Sie IRC verwenden oder SMTP über die TunnelBroker-Verbindung nutzen möchten, müssen Sie den kostenlosen IPv6-Zertifizierungsprozess von Hurricane Electric durchlaufen | |||
*: Die Stufe "Sage" ist die höchste Stufe und ermöglicht Ihnen die Aktivierung von IRC und SMTP | |||
* Netflix blockiert TunnelBroker | |||
*: Wenn Sie in den USA leben und Netflix benutzen, sollten Sie diese Anweisungen nicht befolgen | |||
== Konfiguration == | |||
=== Tunnel einrichten === | |||
; ICMP auf WAN-Seite aktivieren | |||
* Die Benutzeroberfläche von TunnelBroker teilt Ihnen eine IP-Adresse mit, die Sie beim Einrichten des Tunnels auf deren Seite verwenden können. | |||
; Tunnel hinzufügen | |||
* Stellen Sie sicher, dass Sie ein geroutetes /48 hinzufügen, da wir dieses benötigen, um einzelne /64-Slices an jedes Netzwerk zu verteilen. | |||
* Nach der Konfiguration sollten Ihre Tunneleinstellungen wie folgt aussehen: | |||
=== Schnittstelle hinzufügen === | === Schnittstelle hinzufügen === | ||
; GIF-Schnittstelle hinzufügen | |||
: ‣ Schnittstellen ‣ Andere Typen ‣ GIF | |||
:* Klicken Sie auf Hinzufügen in der oberen rechten Ecke des Formular | |||
Verwenden Sie die folgenden Einstellungen und kopieren Sie die | Verwenden Sie die folgenden Einstellungen und kopieren Sie die Adressen aus der Benutzeroberfläche Ihres TunnelBrokers | ||
{| class="wikitable" | {| class="wikitable big options" | ||
|- | |- | ||
! Option !! Beschreibung | |||
|- | |- | ||
| | | Übergeordnete Schnittstelle ||''WAN'' | ||
|'' | |||
|- | |- | ||
| | | GIF-Fernadresse ||''Server IPv4-Adresse'' | ||
|''Server | |||
|- | |- | ||
| | | Lokale Adresse des GIF-Tunnels ||''Client-IPv6-Adresse'' | ||
|'' | |||
|- | |- | ||
| | | GIF-Tunnel-Fernadresse ||''Server IPv6-Adresse/64'' | ||
|'' | |||
|- | |- | ||
|''' | | Routen-Caching ||''deaktiviert'' | ||
|''Tunnel-Broker'' | |- | ||
| ECN-freundliches Verhalten ||''deaktiviert'' | |||
|- | |||
| Beschreibung || ''Tunnel-Broker'' | |||
|} | |} | ||
=== GIF-Tunnel konfigurieren | === GIF-Tunnel konfigurieren === | ||
; GIF-Tunnel als Schnittstelle zuwiesen | |||
: ‣ Schnittstellen ‣ Zuweisungen | |||
:* Wählen Sie den GIF-Tunnel für '''Neue Schnittstelle''' und klicken Sie auf das '''+''' Zeichen daneben. | |||
Aktivieren | ; Aktivieren der Schnittstellen | ||
: ‣ [OPTX] (oder Schnittstellen ‣ [TunnelBroker] (je nachdem, was Sie ausgewählt haben) | |||
:* Option '''Schnittstelle aktivieren''' und ändern Sie die Beschreibung etwa in TUNNELBROKER, bevor Sie auf '''Speichern''' klicken. | |||
; IPv6-Gateway | |||
Schnittstelle als Standard-IPv6-Gateway konfigurieren | |||
: ‣ System ‣ Gateways ‣ Single | |||
:* TUNNELBROKER_TUNNELV6 bearbeiten und vor dem Speichern mit '''Upstream Gateway''' markieren | |||
=== Firewall-Regeln === | === Firewall-Regeln === | ||
; Grundlegende Firewall-Regeln hinzufügen | |||
* Da ich ein LAN-Netzwerk und ein WLAN-Netzwerk habe, erlaube ich dem WLAN, Verbindungen zum LAN zu initiieren, aber nicht umgekehrt. | |||
* Ich habe nur Server im LAN, während die meisten meiner Clients im WLAN (Wireless LAN) sind. | |||
* Ich blockiere alle eingehenden Verbindungen zum LAN und zum WLAN. | |||
* Ausgehende Verbindungen sind natürlich in Ordnung. | |||
=== LAN-Schnittstelle === | === LAN-Schnittstelle === | ||
; Konfiguration der LAN-Schnittstelle | |||
* Statische IPv6-Adresse, die wir ihr zuweisen, ist eine '''/64-Adresse''' aus der Ihnen zugewiesenen '''/48'''. | |||
* WLAN-Einstellungen sind identisch | |||
* Gleiches für weitere Netzwerke | |||
*: wobei Sie der nächsten Schnittstelle eine eigene '''/64-Adresse''' zuweisen | |||
=== DHCPv6 === | === DHCPv6 === | ||
; Stateless Address Auto Configuration (SLAAC) am OPNsense konfigurieren | |||
: ‣ Dienste ‣ Router Advertisements | |||
:* Schnittstelle auswählen | |||
:* ''Router Advertisements'' auf ''Assisted'' | |||
:* '' Router Priority'' auf ''Normal'' | |||
:* Einstellungen speichern | |||
== Test == | |||
; Konfiguration testen | |||
* Bringen Sie einen IPv6-Rechner online und verwenden Sie Ihr bevorzugtes Tool, um festzustellen, ob Sie eine IPv6-Adresse haben. | |||
* Wird SLAAC verwendet, kann es bis zu 30 Sekunden oder länger dauern, bis die Schnittstelle eine IPv6-Adresse erhalten hat. | |||
Wenn Sie sehen, dass Ihre Schnittstelle eine IPv6-Adresse hat, können Sie versuchen, eine reine IPv6-Testseite aufzurufen. | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
==== Links ==== | |||
===== Weblinks ===== | |||
[[Kategorie:TunnelBroker]] | |||
[[Kategorie:OPNsense/IPv6]] | |||
</noinclude> |
Aktuelle Version vom 19. Januar 2024, 05:34 Uhr
IPv6-in-IPv4 - Tunnel mit Hurricane Electric einrichtet
Beschreibung
- Hinweise
- OPNsense muss direkt mit dem Internet verbunden sein
- Hinter einer NAT zu sein, funktioniert nicht
- IRC und SMTP
- Wenn Sie IRC verwenden oder SMTP über die TunnelBroker-Verbindung nutzen möchten, müssen Sie den kostenlosen IPv6-Zertifizierungsprozess von Hurricane Electric durchlaufen
- Die Stufe "Sage" ist die höchste Stufe und ermöglicht Ihnen die Aktivierung von IRC und SMTP
- Netflix blockiert TunnelBroker
- Wenn Sie in den USA leben und Netflix benutzen, sollten Sie diese Anweisungen nicht befolgen
Konfiguration
Tunnel einrichten
- ICMP auf WAN-Seite aktivieren
- Die Benutzeroberfläche von TunnelBroker teilt Ihnen eine IP-Adresse mit, die Sie beim Einrichten des Tunnels auf deren Seite verwenden können.
- Tunnel hinzufügen
- Stellen Sie sicher, dass Sie ein geroutetes /48 hinzufügen, da wir dieses benötigen, um einzelne /64-Slices an jedes Netzwerk zu verteilen.
- Nach der Konfiguration sollten Ihre Tunneleinstellungen wie folgt aussehen:
Schnittstelle hinzufügen
- GIF-Schnittstelle hinzufügen
- ‣ Schnittstellen ‣ Andere Typen ‣ GIF
- Klicken Sie auf Hinzufügen in der oberen rechten Ecke des Formular
Verwenden Sie die folgenden Einstellungen und kopieren Sie die Adressen aus der Benutzeroberfläche Ihres TunnelBrokers
Option | Beschreibung |
---|---|
Übergeordnete Schnittstelle | WAN |
GIF-Fernadresse | Server IPv4-Adresse |
Lokale Adresse des GIF-Tunnels | Client-IPv6-Adresse |
GIF-Tunnel-Fernadresse | Server IPv6-Adresse/64 |
Routen-Caching | deaktiviert |
ECN-freundliches Verhalten | deaktiviert |
Beschreibung | Tunnel-Broker |
GIF-Tunnel konfigurieren
- GIF-Tunnel als Schnittstelle zuwiesen
- ‣ Schnittstellen ‣ Zuweisungen
- Wählen Sie den GIF-Tunnel für Neue Schnittstelle und klicken Sie auf das + Zeichen daneben.
- Aktivieren der Schnittstellen
- ‣ [OPTX] (oder Schnittstellen ‣ [TunnelBroker] (je nachdem, was Sie ausgewählt haben)
- Option Schnittstelle aktivieren und ändern Sie die Beschreibung etwa in TUNNELBROKER, bevor Sie auf Speichern klicken.
- IPv6-Gateway
Schnittstelle als Standard-IPv6-Gateway konfigurieren
- ‣ System ‣ Gateways ‣ Single
- TUNNELBROKER_TUNNELV6 bearbeiten und vor dem Speichern mit Upstream Gateway markieren
Firewall-Regeln
- Grundlegende Firewall-Regeln hinzufügen
- Da ich ein LAN-Netzwerk und ein WLAN-Netzwerk habe, erlaube ich dem WLAN, Verbindungen zum LAN zu initiieren, aber nicht umgekehrt.
- Ich habe nur Server im LAN, während die meisten meiner Clients im WLAN (Wireless LAN) sind.
- Ich blockiere alle eingehenden Verbindungen zum LAN und zum WLAN.
- Ausgehende Verbindungen sind natürlich in Ordnung.
LAN-Schnittstelle
- Konfiguration der LAN-Schnittstelle
- Statische IPv6-Adresse, die wir ihr zuweisen, ist eine /64-Adresse aus der Ihnen zugewiesenen /48.
- WLAN-Einstellungen sind identisch
- Gleiches für weitere Netzwerke
- wobei Sie der nächsten Schnittstelle eine eigene /64-Adresse zuweisen
DHCPv6
- Stateless Address Auto Configuration (SLAAC) am OPNsense konfigurieren
- ‣ Dienste ‣ Router Advertisements
- Schnittstelle auswählen
- Router Advertisements auf Assisted
- Router Priority auf Normal
- Einstellungen speichern
Test
- Konfiguration testen
- Bringen Sie einen IPv6-Rechner online und verwenden Sie Ihr bevorzugtes Tool, um festzustellen, ob Sie eine IPv6-Adresse haben.
- Wird SLAAC verwendet, kann es bis zu 30 Sekunden oder länger dauern, bis die Schnittstelle eine IPv6-Adresse erhalten hat.
Wenn Sie sehen, dass Ihre Schnittstelle eine IPv6-Adresse hat, können Sie versuchen, eine reine IPv6-Testseite aufzurufen.