PfSense vs IPv6 e CGNAT
-
Temos filiais utilizando BelFibra, e a solução momentânea está sendo utilizar um proxy tcp em um servidor cloud e a filial se conecta via vpn a ele. Mas a idéia é, após aprender mais sobre Ipv6, eliminar a vpn e manter o proxy, pois o servidor cloud tem ipv4 e ipv6 disponível. Com isso, a princípio, conseguiremos chegar de um Ipv4 até o Ipv6 via esse proxy.
-
Pois é Carlos…. Legal a saída de que adotaram, porém se não tiver muita pratica o pessoal vai ter um pouco de dificuldade. A gente conseguiu utilizando o serviço da SixXS ou IPv6 para IPv6, , porém tivemos caso te habilitar o IPv6 na rede local e alguns ERPs começarem a apresentar problemas. o bom seria se as pontas de ambos os firewall fizessem essa conversão. Tem muito SysAdmin que ainda vai se deparar com essa situação. Valeu por ter compartilhado nessa troca de conhecimento.
-
Fala Rapaziada… Vejam a resposta que recebi da Copel:
A Copel Telecom, assim como as demais operadoras e provedores, seguindo as orientações do Grupo de Trabalho para Implementação do IPv6 (GT-IPv6), uma Força Tarefa da Anatel junto as principais operadoras de Internet do Brasil, iniciou a implementação do protocolo IPv6 e da técnica de CGNAT para contornar a falta de endereços IPv4 na Internet.
O CGNAT utiliza o protocolo NAT para contornar a falta de endereço IPv4. Essa técnica entrega um endereço privado previsto na RFC 6598 às ONTs, realizando a tradução deste endereço para um IPv4 público compartilhado.
A utilização do CGNAT limita a criação de redirecionamento de portas ou DMZ na rede local do cliente.
Isso era previsto pelo GT-IPv6. Desta forma, foi sugerido que um endereço IPv6 público seja entregue a cada dispositivo na rede local do cliente, possibilitando a conectividade fim-a-fim prevista desde o início da Internet e eliminando por completo a necessidade de NAT, redirecionamento de portas ou DMZ. A entrega dos dois protocolos é chamada de dual stack ou pilha dupla.
-
Bem isso João Jaime…. Essa pratica adotada bloqueia todas as portas inclusive o ICMP para utilizar o Hurricane e SixXS.... Acabando com a possibilidade de usar NAT e deixando alguns serviços na mão, tais como: VPN, OpenVPN, DVRs, Sistema em Java/Web, Terminal Server, SSH entre outros.
Obs: Apenas IPv4.... IPv6 continua normal
-
E você conseguiu fazer o setup do Pfsense em IPv6?
Tenho feito testes com a WAN em DHCPv6, com a LAN como Track interface mas mesmo após muitos testes não consegui conectividade da LAN do firewall pra fora. O endereçamento surge corretamente de acordo com o prefixo mas nada de navegação.
Minha intenção era conseguir conectividade para depois pensar em bloqueio. liberações e recursos adicionais…
Desculpa fazer a postagem tanto tempo depois do Tópico aberto mas de fato estão escassos os tópicos pt-br sobre o IPv6 e ele já está batendo na porta.....abraço! -
Aproveitando o tópico! Tenho várias dúvidas sobre IPV6 ainda… Tenho equipamentos na minha rede que não suportam IPV6. É possível mandar a WAN com IPV6 e a LAN com IPV4? Caso afirmativo, qual a técnica, NAT64, GRE, etc;???
-
Tambem estou com problema, coloquei fibra da copel e eles entregam ipv4 via cgnat, preciso fechar a vpn onde meu cenário são 5 filiais utilizando ipv4 e matriz utilizando ipv6, como tenho 2 links de internet ainda não virei o sistema por conta desse impecilio, vi o pessoal comentando que estão utilizando tunnelBroker, porem se eu utilizar tunnelBroker vou ter que configurar nas 5 filiais.
-
Olha, uma solução pra você seria instalar um link de ip direto (ip dedicado) na matriz e colocar as filiais como clientes na VPN. Dessa forma você pode configurar um open VPN tranquilamente… quanto ao IPv6 da forma como a Copel entrega não funciona... se eles entregassem um /56 fixo talvez mas com um /64 dinâmico fica impossível. Nos laboratórios que fiz consigo chegar na wan para administração através de um registro quadA em um DNS como esse: https://dynv6.com/hosts (sem criar o "A"). Também consegui navegação em IPv6 utilizando ULA e passando pelo proxy (o que é totalmente errado) mas foi somente um lab...nas configurações "corretas" deve colocar a lan em track interface, os hosts ficam com ipv6 mas não navegam. Me parece que existe um recurso de relay específico nos open wrt que são capazes de fazer essa forma de entrega de ip funcionar, mas não vi nada na prática ainda.
Agora resta saber como as outras operadoras entregarão o IPV6 ou esperar alguma nova feature nas próximas versões que seja capaz de resolver isso pois com o CGNAT e sem IPv6 essa "bomba" vai explodir mais rápido que pensamos... -
https://www.youtube.com/watch?v=uxu0ivaDAnc
-
o problema que o ip direto da copel é muito caro, eu pago 249,00 por 150Mbps creio que o ip direto vou pagar uns 700,00 no minimo.
-
A antiga GVT (Vivo) tem uma range maior de ips, talvez ainda seja possível contratar um ip fixo por uns $100 a mais mensal. Nesse cenário teu upload não teria nem comparação com o Copel mas funcionaria.. de qualquer forma (sem nenhuma ofensa) se você tem 5 filiais pra conectar um único link de IP direto não é um exagero.
Ao menos resolveria…. -
Acabei de cancelar a VIVO, tinha ip fixo pagava 50,00 pelo ip fixo, porem a vpn não ficava legal usando a vivo, utilizava somente quando dava pau no link principal, nesse link principal tenho 10Mbps de upload dá conta legal, só coloquei uma regras de controle de trafego pq o pessoal as vezes copiava alguns arquivos meio pesado do servidor de arquivos ai a rede ficava lenta, do mais o link de 10Mbps dá conta tranquilo.
-
Pessoal, andei lendo este tópico e talvez aqui possam me ajudar em uma dificuldade em conectar via openvpn usando cgnat.
cliente em casa usando CGNAT não consegue conectar via openvpn ao pfsense na empresa! Fiz testes sem cgnat e volta a funcionar normalmente.
Alguém tem uma dica quanto a isso?
Desde já obrigado.
-
veja o modem dele…alguns tem opção pass through para VPN desmarcada por padrão...veja se a rede dele interna não é a mesma da empresa...
-
Pessoal, andei lendo este tópico e talvez aqui possam me ajudar em uma dificuldade em conectar via openvpn usando cgnat.
cliente em casa usando CGNAT não consegue conectar via openvpn ao pfsense na empresa! Fiz testes sem cgnat e volta a funcionar normalmente.
Alguém tem uma dica quanto a isso?
Desde já obrigado.
Manda ele criar uma conta em um desses serviços de DNS dinâmico.
-
Olá, vou me meter um pouco na conversa!
Sou novo nesse negócio aqui, mas se alguém se interessar:
eu criei uma OpenVPN com IPv6 da Copel, entre diversas pontas e está funcionando super bem.
Tive que contornar um problema de troca do ip dinâmico, mas está funcionando bem!
Troco gigas de dados todos os dias entre as pontas.
Usei o dns dinamico da HE.net, e também criei um programa para windows para conseguir um acesso simplificado às pontas com IPv6 quente.
Se for estas as situações de vocês, ou problemas similares, estou aí. -
Pessoal, andei lendo este tópico e talvez aqui possam me ajudar em uma dificuldade em conectar via openvpn usando cgnat.
cliente em casa usando CGNAT não consegue conectar via openvpn ao pfsense na empresa! Fiz testes sem cgnat e volta a funcionar normalmente.
Alguém tem uma dica quanto a isso?
Desde já obrigado.
Manda ele criar uma conta em um desses serviços de DNS dinâmico.
Então mas o cliente já tem dyndns. A questão é o meu acesso em casa que mudou. Colocaram o (CG)NAT e agora o acesso ficou impossibilitado. Alguém conseguiu resolver essa questão? Ou só resolve mesmo com ip publico?
-
Pessoal, procurando por problemas entre pfsense e copel, cai nesse forum.
Estou enfrentando um problema grande com isso, e não sei mais a onde recorrer, vou explicar meu caso:
Tenho 3 links de internet=> um é da vivo, adsl 35mbps, outro é copel fibra 150mbps, e o outro é um link com 5 ip's validos da copel com 3mbps dedicados.
O que eu fiz foi fazer o seguinte: Todas minhas conexões de entrada vem pelos ip's fixos dedicados da Copel, tudo normal (embora seja meio lento).
Todo meu trafego de saída sai pela vivo ou pela Copel. O problema tá ai, por enquanto não coloquei nenhuma redundância automática, é na base da troca manual de cabos. Porem quando jogo na Copel 150mbps, os sites demoram muito pra carregar, muitas vezes tem que ficar atualizando 4 ou 5 vezes. Já na vivo é normal, funciona tudo numa boa.
Não sei se seria algum problema entre meu servidor DNS (active directory) que não está resolvendo ip's através do modem da copel.
Atualmente minha rede está assim=> modem vivo ou copel na placa WAN em DHCP do pfsense, modem da copel ip dedicado ligado na porta OPT1 em static ip, e minha LAN static normal.
Meu DNS fica na LAN, meus computadores consultam o DNS e saem pelo modem da vivo na boa, troca pra copel e fica muito ruim, impossível de acessar sites. O comando nslookup sempre retorna o ipv4 e ipv6 dos sites, e as vezes falha.
Se eu ligar um pc qualquer direto no modem da copel, funciona tudo normalmente, meu problema claramente está entre o pfsense e o modem da copel em diante.
Alguém tem alguma dica? -
Já entrou em contato com a copel pra verificar esses problemas?
-
Sim, a principio a parte deles está certa e funcionando. O problema é apenas quando ligo no pfsense.
Como falei, se deixar ligado apenas em um computador, funciona que é maravilha.Acabei de fazer um teste com uma routerboard mikrotik, o problema é o mesmo…. internet funciona nos primeiros minutos e depois fica inutilizável. Vou ter que tentar recorrer ao suporte deles novamente, ou então cancelar.
