Настройка статического IPv6
-
Здравствуйте. Время уже ночное, мой мозг отказывается понимать, почему не получается настроить доступ в интернет по ipv6 для lan.
История такая. Провайдер выдает сеть, например, 2001:db8:1234:10::/60. Чтобы интернет работал, нужно использовать шлюз 2001:db8:1234:10::1.
На WAN я назначил адрес 2001:db8:1234:10::2/64 с указанным шлюзом. На самом psSense все отлично работает, пинг с WAN интерфейса отрабатывает хорошо.
На LAN я назначил адрес 2001:db8:1234:11::1/64 и попытался настроить NPt. Там указал external prefix 2001:db8:1234:10::/64 и internal prefix 2001:db8:1234:11::/64.
Настройка не удалась. С LAN адреса пакеты не уходят в интернет.
Я прямо чувствую, что сильно туплю. Помогите, пожалуйста, разобраться. -
Добрый.
https://www.reddit.com/r/PFSENSE/comments/59ji0y/configuring_pfsense_for_ipv6_wan_zen_uk/
https://blog.joelj.org/setting-up-pfsense-with-ipv6/ -
Похоже, у Вас всего одна /60 сеть, маршрутизируемая роутером провайдера 2001:db8:1234:10::1. Честно распространить её за pfSense нельзя. (Насколько я понимаю, это можно сделать для конкретных IP-адресов, ценой значительного неоправданного усложнения конфигурации.)
У Вас должен быть как минимум один IP-адрес, маршрутизируемый роутером провайдера, который будет WAN адресом pfSense и как минимум одна сеть, которая на уровне провайдера (конфигурация роутера), будет маршрутизироваться через Ваш WAN адрес, т.е. pfSense. Внутренней сетью и будет являться эта сеть. Её имеет смысл разделить на несколько внутренних /64 подсетей.
Запрос на такую конфигурацию нужно направить провайдеру.
Например, Вы можете сказать провайдеру, что выделенную Вам сеть 2001:db8:1234:10::/60 Вы хотите разделить на две сети: 2001:db8:1234:10::/61 и 2001:db8:1234:18::/61. Вторая сеть, которая и будет Вашей внутренней сетью, должна маршрутизироваться через WAN адрес pfSense, 2001:db8:1234:10::2/61.
-
Спасибо большое за ответ! Темы по указанным ссылкам я вчера штудировал. Не очень, в итоге, помогло. Видимо, действительно придется обратиться за помощью к моему ISP.
-
… Видимо, действительно придется обратиться за помощью к моему ISP.
Если речь идёт о конфигурации маршрутизации, то это не совсем помощь. Это услуга, которую ISP, в моём понимании, обязаны предоставлять клиентам, имеющим соответствующие контракты.
-
Если речь идёт о конфигурации маршрутизации, то это не совсем помощь. Это услуга, которую ISP, в моём понимании, обязаны предоставлять клиентам, имеющим соответствующие контракты.
Да, именно об этом. Свяжусь с ними в ближайший рабочий день. Спасибо ещё раз :)
-
Если провайдер пытается обслуживать сеть /60 сам, не принимает adverse маршруты (как я понимаю у IPv6 есть спецификация по обмену маршрутами), можно воспользоваться Firewall/Virtual IP/Proxy ARP на внешнем интерфейсе
-
… adverse маршруты (как я понимаю у IPv6 есть спецификация по обмену маршрутами),..
Не могли бы Вы кинуть ссылкой на какой-нибудь ресурс. Мне такое не попадалось, если речь не идёт о протоколах для роутеров e.g. RIPv6. Хотел бы устроить себе ликбез.
… можно воспользоваться Firewall/Virtual IP/Proxy ARP на внешнем интерфейсе
Как раз это я и имел в виду под "ценой значительного неоправданного усложнения конфигурации."
-
Например, Вы можете сказать провайдеру, что выделенную Вам сеть 2001:db8:1234:10::/60 Вы хотите разделить на две сети: 2001:db8:1234:10::/61 и 2001:db8:1234:18::/61. Вторая сеть, которая и будет Вашей внутренней сетью, должна маршрутизироваться через WAN адрес pfSense, 2001:db8:1234:10::2/61.
Заработало идеально! :)
-
Поздравляю! :)
-
Думал - не доживу до внедрения IPV6 ;).
Заработало идеально!
Скажите, с правилами PF по умолчанию как обстоит дело с доступностью извне по IPV6 хостов внутренней сети ?
Проверять удобно этим:
https://www.subnetonline.com/pages/ipv6-network-tools.php -
Думал - не доживу до внедрения IPV6 ;).
Заработало идеально!
Скажите, с правилами PF по умолчанию как обстоит дело с доступностью извне по IPV6 хостов внутренней сети ?
Проверять удобно этим:
https://www.subnetonline.com/pages/ipv6-network-tools.phpПрошу прощения за долгий ответ. Я тут в поисках идеального дистрибутива ушел сначала на opnsense, а потом вернулся на vyos.
По умолчанию к хостам внутри сети не пускает. Я настраивал правила, разрешающие пинговать все машины и для отдельного сервера разрешил доступ по 80 и 443 порту. В остальном, граница на замке :)