如果出口网络是IPv4公网,但又有IPv6的使用需求,可以通过建立IPv6隧道来实现一些IPv6的应用。下面介绍配置HE IPv6隧道的方法。
注意: 使用公共IPv6隧道可能会影响一些网站的访问,例如Netflix,因为隧道会被视为“代理”。HE也不允许Cloudflare的入站连接(除非支付费用)。
配置IPv6隧道,防火墙必须具备公网IPv4地址,如果是动态公网IP,还需要配置HE动态DNS。
添加防火墙规则
如果WAN地址无法ping通,则HE隧道无法建立。导航到防火墙>规则策略,WAN选项卡上,添加一条允许来自HE的ping规则,这里的源可以先设置为any。
待HE隧道建成后,再把源修改为HE服务器的公网地址,如下图所示:
转到LAN 选项卡,添加允许IPv6流量的防火墙规则。
创建HE隧道
访问Hurricane Electric,创建帐户并登录,在左侧的“用户功能”框中选择“创建常规隧道”。
会出现一个新页面,要求填写当前的 IP 地址,选择隧道节点位置。它还会显示防火墙当前出站的公网IP地址。
根据防火墙所处的地理位置,选择一个最近的隧道节点。选中以后,点击下方的“创建隧道”按钮,会出现隧道相关配置信息,这些信息在后面配置pfSense时会用到。
创建GIF隧道
登录pfSense,导航到接口>分配,GIF选项卡,单击添加,创建一个GIF隧道,根据上面HE隧道显示的内容,填入GIF隧道相关信息。
GIF接口创建完成以后,再导航至接口>分配,将GIF添加为新接口并启用。该接口无需添加防火墙规则。
同时系统会自动创建一个 IPv6的网关。
这时查询网关状态,可以检查隧道节点连通状况。
LAN接口IPv6配置
导航至接口>LAN,将IPv6 配置类型修改为静态IPv6。
IPv6地址输入前面HE隧道提供的Routed /64地址,保存并应用更改。
开启DHCPv6
为了保证客户端口能正常获取IPv6地址,需要开启DHCPv6服务。 转到服务>DHCPv6 服务,选中启用,输入范围信息,选中前缀委派大小,然后单击保存。
切换到路由器通告选项卡,将模式设置为Managed或Assisted,单击保存。刷新一下客户端的网络信息,应该能正常获取到IPv6地址。
添加IPv6 DNS
在防火墙的DNS解析器或转发器设置正确的前提下,为了解析IPv6地址域名,需要配置至少一个IPv6的DNS。
转到系统>常规设置菜单,添加一个 IPv6 DNS并保存。
HE动态DNS
如果采用PPPoe或DHCP方式上网,获取的是动态公网,需要配置动态DNS,来自动更新防火墙接口地址。
转到服务 >动态DNS,添加一个新条目。
- 服务类型:HE.net Tunnelbroker
- 监控接口:WAN
- 主机名:HE服务器隧道ID ,本文为881644。
- 用户名:HE网站登录用户名。
- 密码:HE网站登录密码或隧道的更新密钥。更新密钥在HE隧道详情>高级选项卡中查询。
- 描述:例如HE Tunnel
单击保存并强制更新,如果 WAN IP 地址发生变化,防火墙将自动更新隧道代理配置。
检查测试
完成以上设置后,IPv6隧道就搭建完成了。防火墙后面的客户端IP地址设置为DHCP获取,访问test-ipv6.com,测试IPv6连接是否正常。
