Настройка статического IPv6



  • Здравствуйте. Время уже ночное, мой мозг отказывается понимать, почему не получается настроить доступ в интернет по ipv6 для lan.
    История такая. Провайдер выдает сеть, например, 2001:db8:1234:10::/60. Чтобы интернет работал, нужно использовать шлюз 2001:db8:1234:10::1.
    На WAN я назначил адрес 2001:db8:1234:10::2/64 с указанным шлюзом. На самом psSense все отлично работает, пинг с WAN интерфейса отрабатывает хорошо.
    На LAN я назначил адрес 2001:db8:1234:11::1/64 и попытался настроить NPt. Там указал external prefix 2001:db8:1234:10::/64 и internal prefix 2001:db8:1234:11::/64.
    Настройка не удалась. С LAN адреса пакеты не уходят в интернет.
    Я прямо чувствую, что сильно туплю. Помогите, пожалуйста, разобраться.





  • Похоже, у Вас всего одна /60 сеть, маршрутизируемая роутером провайдера 2001:db8:1234:10::1. Честно распространить её за pfSense нельзя. (Насколько я понимаю, это можно сделать для конкретных IP-адресов, ценой значительного неоправданного усложнения конфигурации.)

    У Вас должен быть как минимум один IP-адрес, маршрутизируемый роутером провайдера, который будет WAN адресом pfSense и как минимум одна сеть, которая на уровне провайдера (конфигурация роутера), будет маршрутизироваться через Ваш WAN адрес, т.е. pfSense. Внутренней сетью и будет являться эта сеть. Её имеет смысл разделить на несколько внутренних /64 подсетей.

    Запрос на такую конфигурацию нужно направить провайдеру.

    Например, Вы можете сказать провайдеру, что выделенную Вам сеть 2001:db8:1234:10::/60 Вы хотите разделить на две сети: 2001:db8:1234:10::/61 и 2001:db8:1234:18::/61. Вторая сеть, которая и будет Вашей внутренней сетью, должна маршрутизироваться через WAN адрес pfSense, 2001:db8:1234:10::2/61.



  • Спасибо большое за ответ! Темы по указанным ссылкам я вчера штудировал. Не очень, в итоге, помогло. Видимо, действительно придется обратиться за помощью к моему ISP.



  • @vaganych:

    … Видимо, действительно придется обратиться за помощью к моему ISP.

    Если речь идёт о конфигурации маршрутизации, то это не совсем помощь. Это услуга, которую ISP, в моём понимании, обязаны предоставлять клиентам, имеющим соответствующие контракты.



  • @yarick123:

    Если речь идёт о конфигурации маршрутизации, то это не совсем помощь. Это услуга, которую ISP, в моём понимании, обязаны предоставлять клиентам, имеющим соответствующие контракты.

    Да, именно об этом. Свяжусь с ними в ближайший рабочий день. Спасибо ещё раз :)



  • Если провайдер пытается обслуживать сеть /60 сам, не принимает adverse маршруты (как я понимаю у IPv6 есть спецификация по обмену маршрутами), можно воспользоваться Firewall/Virtual IP/Proxy ARP на внешнем интерфейсе



  • @PbIXTOP:

    … adverse маршруты (как я понимаю у IPv6 есть спецификация по обмену маршрутами),..

    Не могли бы Вы кинуть ссылкой на какой-нибудь ресурс. Мне такое не попадалось, если речь не идёт о протоколах для роутеров e.g. RIPv6. Хотел бы устроить себе ликбез.

    @PbIXTOP:

    … можно воспользоваться Firewall/Virtual IP/Proxy ARP на внешнем интерфейсе

    Как раз это я и имел в виду под "ценой значительного неоправданного усложнения конфигурации."



  • @yarick123:

    Например, Вы можете сказать провайдеру, что выделенную Вам сеть 2001:db8:1234:10::/60 Вы хотите разделить на две сети: 2001:db8:1234:10::/61 и 2001:db8:1234:18::/61. Вторая сеть, которая и будет Вашей внутренней сетью, должна маршрутизироваться через WAN адрес pfSense, 2001:db8:1234:10::2/61.

    Заработало идеально!  :)



  • Поздравляю!  :)



  • Думал - не доживу до внедрения IPV6 ;).

    Заработало идеально!

    Скажите, с правилами PF по умолчанию как обстоит дело с доступностью извне по IPV6 хостов внутренней сети ?
    Проверять удобно этим:
    https://www.subnetonline.com/pages/ipv6-network-tools.php



  • @pigbrother:

    Думал - не доживу до внедрения IPV6 ;).

    Заработало идеально!

    Скажите, с правилами PF по умолчанию как обстоит дело с доступностью извне по IPV6 хостов внутренней сети ?
    Проверять удобно этим:
    https://www.subnetonline.com/pages/ipv6-network-tools.php

    Прошу прощения за долгий ответ. Я тут в поисках идеального дистрибутива ушел сначала на opnsense, а потом вернулся на vyos.
    По умолчанию к хостам внутри сети не пускает. Я настраивал правила, разрешающие пинговать все машины и для отдельного сервера разрешил доступ по 80 и 443 порту. В остальном, граница на замке  :)