Condividi:

IPv6 6RD su pfsense

Il forum dedicato al mondo dell'IPv6
IPv6 6RD su pfsense #1
mar nov 20, 2018 8:41 pm
Ciao a tutti,
sto cercando di completare il mio box pfsense aggiungendo anche il supporto per l'ipv6.
La configurazione è la seguente: Fastgate-->box pfsense-->router wifi.
Vorrei capire come configurare il tutto; sul modem attivo ipv6 su lan e poi nell'interfaccia WAN di pfsense seleziono:
6rd tunnel
6RD Prefix--> 2001:b07:XX1:XX2::/64 (XX1 e XX2 sono la prima e la seconda parte dell'ipv4 trasformato in esadecimale)
6RD Border relay--> 81.208.50.214
6RD IPv4 Prefix length--> 0

Sulla LAN:
Track Interface
IPv6 Interface--> WAN
IPv6 Prefix ID--> 0

Sul router wifi R7800:
IPv6--> Rilevamento automatico (per distribuire l'ipv6)

Prima di tutto vorrei capire se le impostazioni vanno bene, anche se non penso visto che le ho provate è ho problemi e infine capire il perchè dopo aver inserito queste impostazioni la connessione wan e lan impazzisce iniziando a fare una serie di Up e Down con relativa perdita di pacchetti.
Se qualcuno può aiutarmi nella configurazione gliene sarei grato.

mikekoke
Esordiente
Esordiente
 
Messaggi: 6
Iscritto il: mer mar 21, 2018 7:14 pm

Re: IPv6 6RD su pfsense #2
gio dic 06, 2018 1:41 pm
Ciao, ho letto ora il tuo post e cercherò di darti alcune indicazioni.

Purtroppo ti devo dire che nella tua attuale configurazione, ossia con pfSense che deve lavorare in cascata al Fastgate (cioè con indirizzo WAN IPv4 privato dietro il NAT del Fastgate, dato che non è più possibile lavorare in bridge PPPoE esponendo direttamente pfSense su internet), non potrai avvantaggiarti della configurazione rapida con "6RD", in quanto questa tenterebbe di crearti un indirizzo IPv6 mettendo nel prefisso sia il tuo indirizzo IPv4 pubblico che quello IPv4 privato, creandoti alla fine problemi di connettività.

Hai quindi bisogno di utilizzare un metodo più flessibile, che ti consenta di definire nel dettaglio il tunnel IPv6, ossia devi utilizzare un tunnel in tecnologia "6in4" (attenzione: NON si tratta di "6to4"). Questo implicherà che tu non possa usare un meccanismo "facile" di assegnazione automatica degli indirizzi IPv6 alla tua sottorete come impostare la LAN "in TRACK su WAN".

Al di là del sapere della presenza degli apparati che hai menzionato, non conosco la configurazione che potrai usare su LAN, quindi ti posso solo guidare con precisione sull'impostazione lato WAN. Ecco le istruzioni:

1) imposta il tipo configurazione IPv6 della WAN su 'none' e salva (così cancellerai la tua precedente impostazione del tunnel "6RD")

2) imposta il tipo di configurazione IPv6 della LAN su "static IPv6" ed inserisci il tuo primo indirizzo di sottorete IPv6, ossia 2001:b07:XX1:XX2::1 (così passerai dal precedente "TRACK" automatico ad una configurazione manuale ma corretta di IPv6) e salva

3) definisci il tunnel "6in4" configurando il network port in interfaces-assignment-GIFs come segue:

GIF parent interface WAN
GIF remote address 81.208.50.214
GIF tunnel local address 2001:b07:XX1:XX2::
GIF tunnel remote address 2001:b07:51d0:32d6::
GIF tunnel subnet 64

4) associa quindi una nuova interfaccia al port GIF appena creato (se vuoi la puoi chiamare "FASTWEB") , quindi esegui l'impostazione della nuova interfaccia lasciando su "none" sia la configurazione IPv4 sia IPv6 ma mettendo MTU a 1480

5) verifica che ti sia stato creato il gateway corrispondente (da system-routing), che potrai mettere in default per l'address family IPv6

6) crea una regola del firewall (Firewall-Rules) per abilitare il traffico IPv6 sull'interfaccia che hai appena creato (sulla WAN non serve creare una regola per IPv6 in quanto il traffico del tunnel passerà dalla nuova) e ovviamente crea già una regola per abilitare IPv6 sulla LAN)

A questo punto dal menù di diagnosi (diagnostic-ping o diagnostic-traceroute) dovresti poter raggiungere un indirizzo IPv6 (ad. es. ipv6.google.com) dal tuo box pfSense.

Come già detto, non conosco le caratteristiche della tua rete interna per indicarti la tua corretta configurazione lato LAN, tuttavia ti anticipo che per poter distribuire altri indirizzi IPv6 alla tua sottorete dovrai probabilmente configurare i servizi DHCPv6 e/o Router Advertisement. Mi preme tuttavia ricordarti che se stai usando il captive portal, questo bloccherà sempre tutto il traffico IPv6 alla tua LAN (per bypassarlo occorrerebbe impostare una VPN IPv6).

Se stai usando pfSense vuol dire che sei un professionista e conosci già tutto quello che serve per usare IPv6; quello che ti ho scritto ti serve solo per attivarlo velocemente con FASTWEB.

gus-maximus
Esordiente
Esordiente
 
Messaggi: 5
Iscritto il: lun nov 26, 2018 1:48 pm

Re: IPv6 6RD su pfsense #3
dom dic 09, 2018 8:29 pm
Ciao grazie per la risposta ho provato a fare qualche configurazione ma ho avuto problemi così ho chiesto aiuto sul forum ufficiale di pfsense, dove mi hanno avvertito che questa configurazione vale per un tunnel 6rd e che non si può convertire per un tunnel 6in4. Ho scritto a fastweb nella speranza di recuperare i dati corretti per un tunnel 6in4.

mikekoke
Esordiente
Esordiente
 
Messaggi: 6
Iscritto il: mer mar 21, 2018 7:14 pm

Re: IPv6 6RD su pfsense #4
mer dic 12, 2018 11:40 am
Ciao, la configurazione che ti ho fornito è proprio quella da usare con Fastweb per configurare un tunnel 6in4 con pfSense.

Per esperienza con il customer care di Fastweb, la loro politica è "di non supportare i prodotti di terze parti" e purtroppo (ancora oggi) anche la configurazione GENERICA del tunnel IPv6, al di fuori dall'impostazione automatica già prevista con i loro router/firewall, viene ancora vista come tale. Forse a breve pubblicheranno qualche informazione ufficiale (generica, non per pfSense) su IPv6 per dare seguito all'adeguamento richiesto da AGCOM per la direttiva europea sul "modem libero".

Ma a te non è necessario attendere: ti invito a riprovare con la configurazione che ti ho indicato, anche perché i dati specifici che ti occorrono per connetterti alla rete del provider sono SOLO quelli del mio punto 3 (e che trovi ripetuti in maniera non ufficiale su questo forum), il rimanente è sapere come configurare pfSense e, come già detto, Fastweb non ti assisterà mai su questo, men che meno sulla configurazione IPv6 di tutti i tuoi apparati su LAN, che vengono DOPO la terminazione del provider e sono oltretutto di proprietà dell'utente.

gus-maximus
Esordiente
Esordiente
 
Messaggi: 5
Iscritto il: lun nov 26, 2018 1:48 pm

Re: IPv6 6RD su pfsense #5
mer dic 12, 2018 2:39 pm
Ciao, per mia curiosità ho dato un'occhiata al post che avevi effettuato sul forum di pfSense per capire che problemi tu stessi ancora riscontrando.

Tu avevi indicato che la tua connettività IPv6 (configurata come ti avevo raccomandato) fosse funzionante fino al box pfSense e chiedevi (comprensibilmente) qualche indicazione per impostare AUTOMATICAMENTE la distribuzione degli indirizzi IPv6 su LAN, iniziando dal tuo router Netgear R7800, che tu avevi già connesso tramite la propria porta WAN.

Francamente non ho capito per quale motivo, avendo tu ben spiegato e dimostrato che il tunnel già ti funzionava, chi ti ha risposto si è nuovamente focalizzato sul tunnel; posso solo pensare che non conosca come è stata implementata la rete IPv6 di Fastweb, infatti - non comprendendo appieno la tua attuale configurazione IPv6 - alla fine ti ha invitato a contattare ufficialmente il tuo provider per avere maggiori informazioni sul tunnel (e nel mio post precedente abbiamo già parlato di quanto questo sia improbabile), di fatto non affrontando neppure il problema che avevi posto.

Cercherò quindi di darti ancora qualche indicazione per riuscire ad assegnare l'indirizzo IPv6 al tuo Netgear, tuttavia è corretto che ti ricordi che OGNI DISPOSITIVO sulla LAN potrebbe supportare metodi differenti per l'assegnazione automatica degli indirizzi IPv6, supportarla parzialmente o non supportarla affatto (ad es. lo stato di implementazione di DHCPv6 non è ancora omogeneo nei prodotti in vendita sul mercato), quindi dovrai OBBLIGATORIAMENTE fare uno sforzo tu per capire come configurare i tuoi singoli dispositivi. D'altronde voler usare IPv6 significa esattamente questo: gestire la connettività e la sicurezza per OGNI macchina della propria rete e quindi conoscerla in maniera precisa e specifica (questo è il maggior ostacolo alla diffusione di IPv6, ad oggi poco bilanciato dal solo vantaggio di avere indirizzi univoci globali per ogni macchina).

Per quanto riguarda il tuo Netgear R7800 mi pare di capire che ormai lo usi prevalentemente come Access Point WIFI della tua rete, quindi personalmente ti consiglierei di connetterlo al box pfSense tramite la porta LAN e non la WAN. D'altronde hai già capito che devi tenere la funzione di tunnel 6in4 e di routing IPv4/IPv6 su pfSense e pertanto ti conviene usare sempre questo dispositivo anche per le funzioni di assegnazione automatica degli indirizzi (DHCPv4 e vari metodi disponibili per IPv6).

Per quanto riguarda gli indirizzi, se non riesci a distribuirli con DHCPv6 come avevi indicato nel post sul forum pfSense, prova ad impostare su pfSense (DHCPv6 Server & RA - Router Advertisement) il Router Mode in modalità UNMANAGED e verifica che un indirizzo IPv6 venga quindi assegnato al Netgear sulla relativa porta.

Come ultima risorsa per far funzionare la connettività IPv6 di un qualunque dispositivo abilitato IPv6 in attesa di capire come farlo funzionare in assegnazione automatica, utilizza temporaneamente l'ASSEGNAZIONE MANUALE, quindi per il Netgear potresti assegnare l'IP 2001:b07:XX1:XX2::2/64 e come gateway assegnare 2001:b07:XX1:XX2::1. Se il dispositivo supporta anche il DNSv6 indicagli quello di Google (2001:4860:4860::8888) perché Fastweb non fornisce un suo server (tieni presente che comunque, per far funzionare IPv6, non ti serve per forza un DNSv6, anche i server DNSv4 risolvono gli indirizzi IPv6).

gus-maximus
Esordiente
Esordiente
 
Messaggi: 5
Iscritto il: lun nov 26, 2018 1:48 pm

Re: IPv6 6RD su pfsense #6
lun dic 17, 2018 12:46 am
Ciao dopo avere fatto un paio di prove ora posso confermare che all'incirca funziona, subito non riuscivo a superare i test per l'ipv6 ma dopo avere capito che era un problema di squid proxy ho inserito manualmente nei dispositivi della rete le impostazioni del proxy così ho superato i test e sono riuscito a caricare i siti accessibili solo tramite ipv6 ma ho notato due cose: nei siti di test il mio IP finale risulta sempre essere 2001:b07:XX1:XX2:: e non l'ip univoco della macchina e inoltre se dalle machine interne alla rete provo a pingare un ipv6 questo finisce in timeout come ad esempio i dns google 2001:4860:4860::8888 2001:4860:4860::8844

mikekoke
Esordiente
Esordiente
 
Messaggi: 6
Iscritto il: mer mar 21, 2018 7:14 pm

Re: IPv6 6RD su pfsense #7
lun dic 17, 2018 12:23 pm
Ciao, sono contento di sapere che la connettività IPv6 ora ti funzioni.

Come ti avevo già anticipato e come puoi riscontrare anche tu ora, una cosa è impostare la connettività lato WAN (ossia dal tuo primo dispositivo router/firewall fino al tuo provider) ed un'altra (ben più ampia) è far funzionare tutti i dispositivi (fortemente eterogenei) della tua LAN, per cui potresti aprire altri differenti post per ricevere assistenza (e ti sconsiglierei il forum Fastweb perché non riguarderebbe il lato verso il tuo ISP) sui problemi man mano incontrati.

Tuttavia, senza entrare nei dettagli (perché richiederebbe troppo tempo), una cosa te la posso dire subito: se vuoi usare un proxy non potrai mai dire che stai usando una connettività IPv6 end-to-end, ossia il server proxy farà sempre apparire tutte le richieste all'esterno come originanti esso stesso anziché la reale macchina interna; questo può essere più o meno desiderabile a seconda dei motivi per cui il proxy è stato installato; se invece stai tentando di superare il limite di non avere IPv6 su tutte le macchine della tua LAN, allora devi ancora lavorare un po' su ciascuna di esse oppure devi accettare che - allo stato attuale dei dispositivi di cui disponi ora - questo è il massimo che puoi ottenere.

Considero comunque chiuso questo tuo post.

gus-maximus
Esordiente
Esordiente
 
Messaggi: 5
Iscritto il: lun nov 26, 2018 1:48 pm

Re: IPv6 6RD su pfsense #8
mar dic 18, 2018 7:35 pm
Ciao grazie per la spiegazione però non riesco ancora a capire perché dai dispositivi interni alla rete sulla LAN non riesco a pingare siti tramite ipv6 però con gli stessi dispositivi passo i test e carico i siti only ipv6.

mikekoke
Esordiente
Esordiente
 
Messaggi: 6
Iscritto il: mer mar 21, 2018 7:14 pm

Re: IPv6 6RD su pfsense #9
mer dic 19, 2018 11:02 pm
Il proxy lavora a livello di applicazione (infatti squid è un 'web' proxy), cioè ridirige il traffico a livello 7 (ad es. il protocollo http, su porta 80), non a livello 3 di trasporto (il protocollo icmp ossia il traffico di 'ping').
Non è solo ping a non funzionare, se non imposti anche un mail proxy (per smtp, pop3 o imap4) anche quella non va, idem per i file transfer (ftp).
I proxy vengono oggi usati per implementare funzioni di filtro o di accelerazione, non per sopperire alla connettivitá.
Per fare tutto il traffico IP che vuoi (cioè dal livello 2 in poi), devi avere una piena connettivitá IPv6 end-to-end, come ti ho giá spiegato sopra.

gus-maximus
Esordiente
Esordiente
 
Messaggi: 5
Iscritto il: lun nov 26, 2018 1:48 pm


Chi c’è in linea

In totale c’è 1 utente connesso : 0 iscritti, 1 ospite (basato sugli utenti attivi negli ultimi 5 minuti)


Visitano il forum: Nessuno e 1 ospite

ChiudiChiudi Questo sito usa cookies di profilazione, propri e di terzi, per adeguare la pubblicità alle tue preferenze.
Clicca qui per maggiori informazioni o per conoscere come negare il consenso. Se chiudi questo banner o accedi ad altri elementi della pagina acconsenti all'uso dei cookies.