OPNsense/TunnelBroker

Beschreibung

Dieser Artikel zeigt, wie man TunnelBroker, den IPv6-in-IPv4-Tunnel von Hurricane Electric, mit OPNsense einrichtet.

Achtung: Wenn Sie in den USA leben und Netflix benutzen, sollten Sie diese Anweisungen nicht befolgen. Netflix blockiert jetzt TunnelBroker.

Wenn Sie IRC verwenden oder SMTP über die TunnelBroker-Verbindung nutzen möchten, müssen Sie den kostenlosen IPv6-Zertifizierungsprozess von Hurricane Electric durchlaufen.

Die Stufe "Sage" ist die höchste Stufe und ermöglicht Ihnen die Aktivierung von IRC und SMTP.
Beachten Sie, dass Ihre OPNsense-Firewall direkt mit dem Internet verbunden sein muss.
Hinter einer NAT zu sein, funktioniert nicht.

Der Rest dieses Artikels geht davon aus, dass Sie bereits ein TunnelBroker-Konto haben.

Falls nicht, melden Sie sich an und führen Sie den kostenlosen IPv6-Zertifizierungsprozess durch.
In diesem Artikel werden Screenshots bereitgestellt.

Die Benutzeroberfläche von TunnelBroker teilt Ihnen eine IP-Adresse mit, die Sie beim Einrichten des Tunnels auf deren Seite verwenden können.

Stellen Sie sicher, dass Sie ein geroutetes /48 hinzufügen, da wir dieses benötigen, um einzelne /64-Slices an jedes Netzwerk zu verteilen.
Nach der Konfiguration sollten Ihre Tunneleinstellungen wie folgt aussehen:

Um OPNsense zu konfigurieren, fügen Sie zunächst eine neue GIF-Schnittstelle hinzu.

Gehen Sie zu Schnittstellen ‣ Andere Typen ‣ GIF und klicken Sie auf Hinzufügen in der oberen rechten Ecke des Formulars.

Verwenden Sie die folgenden Einstellungen und kopieren Sie die IPv4&6-Adressen aus der Benutzeroberfläche Ihres TunnelBrokers.

Übergeordnete Schnittstelle	WAN
GIF-Fernadresse	Server IPv4-Adresse
Lokale Adresse des GIF-Tunnels	Client-IPv6-Adresse
GIF-Tunnel-Fernadresse	Server IPv6-Adresse/64
Routen-Caching	deaktiviert
ECN-freundliches Verhalten	deaktiviert
Beschreibung	Tunnel-Broker

Der neu erstellte GIF-Tunnel muss nun als neue Schnittstelle zugewiesen werden.

Gehen Sie zu Schnittstellen ‣ Zuweisungen, wählen Sie den GIF-Tunnel für Neue Schnittstelleund klicken Sie auf das + Zeichen daneben.

Aktivieren Sie dann unter Schnittstellen ‣ [OPTX] (oder Schnittstellen ‣ [TunnelBroker], je nachdem, was Sie ausgewählt haben) die Option Schnittstelle aktivieren und ändern Sie die Beschreibung etwa in TUNNELBROKER, bevor Sie auf Speichern klicken.

Die neu erstellte Schnittstelle muss nun unter System ‣ Gateways ‣ Single als Standard-IPv6-Gateway eingestellt werden, indem der neue Gateway-Eintrag TUNNELBROKER_TUNNELV6 bearbeitet und vor dem Speichern mit Upstream Gateway markiert wird.

Da ich ein LAN-Netzwerk und ein WLAN-Netzwerk habe, erlaube ich dem WLAN, Verbindungen zum LAN zu initiieren, aber nicht umgekehrt.
Ich habe nur Server im LAN, während die meisten meiner Clients im WLAN (Wireless LAN) sind.
Ich blockiere alle eingehenden Verbindungen zum LAN und zum WLAN.
Ausgehende Verbindungen sind natürlich in Ordnung.

Die statische IPv6-Adresse, die wir ihr zuweisen, ist eine/64-Adresse aus der Ihnen zugewiesenen /48.
Die WLAN-Einstellungen zeige ich hier nicht, weil sie identisch sind.
Sie wiederholen den gleichen Vorgang für weitere Netzwerke, wobei Sie der nächsten Schnittstelle eine eigene /64-Adresse zuweisen.

Als nächstes werden wir OPNsense für Stateless Address Auto Configuration (SLAAC) konfigurieren.

Setzen Sie die Einstellung Router Advertisements auf Assisted und die EinstellungRouter Priority auf Normal.

Speichern Sie Ihre Einstellungen.

Um Ihre Konfiguration zu testen, bringen Sie einen IPv6-Rechner online und verwenden Sie Ihr bevorzugtes Tool, um festzustellen, ob Sie eine IPv6-Adresse haben.
Wenn Sie SLAAC verwenden, kann es bis zu 30 Sekunden oder länger dauern, bis Sie eine IPv6-Adresse erhalten.
Wenn Sie sehen, dass Ihre Schnittstelle eine IPv6-Adresse hat, können Sie versuchen, eine reine IPv6-Testseite aufzurufen, beispielsweise http://6.ifconfig.pro/