如何设置HE网络隧道以通过PFsense路由，以便在服务器上拥有v6地址？我已经在其末端设置了隧道，但是没有有关PFsense的说明。

注意：这些说明似乎不完整。在尝试执行此操作之前，请阅读全文。

一年多来，我一直在使用m0n0wall进行IPv6连接。这不是完美的，因为m0n0wall仍然缺少许多IPv6功能（例如，流量整形）。但是它确实具有非常简单的IPv6 Tunnel Broker设置。

现在pfSense 2.1已发布，（希望）对IPv6的支持比对m0n0wall的支持更多。另一方面，IPv6隧道的设置极其复杂。现在，我已经花了三个小时尝试使其工作，现在终于可以记录我的结果了。它充满了很多令人困惑的，非显而易见的，无序的，重复的设置。此外，仍然有一些错误可能导致您的配置无效。要求您删除所有内容并重新开始。

说了这么多，这就是在pfSense中配置IPv6飓风电气隧道代理的方法。

但是首先是令人困惑的背景

但是，在我们进行任何设置之前，我们必须花一点时间来意识到一些完全令人困惑，不明显，不直观的东西：

您不会通过WAN连接发送IPv6流量

我的路由器中有两个网卡：

• WAN：（xl0、3Com），已连接至调制解调器
• LAN：（rl0，RealTek），连接到内部LAN集线器

但是IP（Internet协议）流量不会从我的WAN 3Com接口传出。我通过DSL连接到Internet，这意味着我的路由器使用PPPoE连接到我的ISP。

这意味着pfSense将创建另一个接口：

• WAN：（PPPoE），通过PPPoE隧道连接到Internet
• OPT1：（xl0，3Com）已连接至调制解调器
• LAN：（rl0，RealTek）连接到内部LAN集线器

因此，我与Internet的连接实际上出自该虚拟接口。这很重要，因为仅IPv4退出此“ PPPoE”接口。

为了支持IPv6，我们实际上将创建第4个接口；一个专用于仅 IPv6流量：

• WAN：（PPPoE），通过PPPoE隧道连接到Internet
• WANv6：（HE_GW），通过HE.net隧道连接
• OPT1：（xl0，3Com）已连接至调制解调器
• LAN：（rl0，RealTek）连接到内部LAN集线器

您的隧道信息

首先，我们需要您的TunnelBroker页面中的隧道信息：

IPv6隧道端点

• 服务器IPv4地址：209.51.181.2
• 服务器IPv6地址：2001：470：3c10：1178 :: 1/64
• 客户端IPv6地址：2001：470：3c10：1178 :: 2/64

路由的IPv6前缀

• 路由/ 64：2001：470：3c11：1178 :: / 64

第一部分是与您到Hurricane Electric的隧道连接相关的地址（将与WAN接口和网关关联的地址）。第二部分是您的“ LAN”地址。

使用飓风电隧道代理隧道配置pfSense 2.1

创建一个新的隧道接口

1. 在“ 接口” ->“ （分配）”下，选择“ GIF”选项卡，然后单击+以添加新隧道：

   

2. 接下来配置新的GIF选项：

   • 父界面：WAN
   • GIF远程地址：209.51.181.2 （服务器IPv4地址从HE隧道详情页）
   • GIF隧道的本地地址：2001:470:3c10:1178::2 （客户端IPv6地址的从HE隧道详情页）
   • gif远程隧道地址：2001:470:3c10:1178::1 64 （HE隧道详细信息页面中的服务器IPv6地址）
   • 说明：HE.net IPv6 tunnel

   

   然后点击保存。

   现在，您的新GIF（通用接口）隧道已配置：

   

创建一个新的IPv6接口

现在，我们已经创建了隧道，我们将创建一个单独的仅IPv6接口，该接口将流量发送出该隧道。

1. 在“ 接口” ->“ （分配）”下，选择“ 接口分配”选项卡，然后单击+以添加新接口：

   

   注意：我碰巧有一个Atheros WiFi适配器，列为OPT1。不要让那让您感到困惑。

2. 在新添加的接口的下拉菜单中，选择先前创建的`GIF 209.51.181.2（HE.net IPv6隧道）：

   

   然后点击保存。

3. OPT2创建接口后，单击它（在上面的列表中，或者在接口 -> OPT2下的左侧菜单中）。

4. 选中启用界面以显示配置选项：

   • 描述：（WANv6 这是为了将其与IPv4 WAN区别开）
   • IPv6配置类型：Static IPv6
   • IPv6地址：2001:470:3c10:1178::2 64 （客户端IPv6地址的从HE隧道详情页）

   

   然后点击保存。

5. 单击“ 应用更改”以使新界面处于活动状态。

允许ICMP消息

为了使用IPv6（以及IPv4），您需要确保路由器不会尝试阻止任何ICMP数据包。如果某些安全专家试图告诉您，对ICMP数据包的响应存在安全风险，应将其阻止，则将其轻轻拍打在头部，并告诉他们*“当然是”。要允许传入的ICMP数据包：

1. 单击防火墙 -> 规则

2. 在WAN选项卡上，单击+

   

3. 在WAN接口上为IPv4 ICMP数据包创建规则：

   • 动作：通过
   • 接口：广域网
   • TCP / IP版本：IPv4
   • 协议：ICMP
   • 说明：允许所有IPv4 ICMP数据包
   • 点击保存

   

4. 单击+以添加另一个规则，这次允许WANv6接口上的所有IPv6 ICMP通信：

   • 动作：通过
   • 介面：WANv6
   • TCP / IP版本：IPv6
   • 协议：ICMP
   • 描述：允许所有IPv6 ICMP数据包
   • 点击保存

   

5. 单击“ 应用更改”以应用更改

在pfSense LAN上启用IPv6

现在，您必须在局域网接口上为pfSense框提供一个IPv6地址。就像它192.168.1.1在LAN上具有IPv4地址一样，现在您需要一个IPv6地址。该地址来自飓风电气；这是他们给您的路由/ 64地址。

1. 单击接口 -> 局域网

2. 将IPv6配置类型更改为静态IPv6

3. 在“ 静态IPv6配置”部分下，输入tunnelbroker提供的路由/ 64地址：

   

4. 点击保存

5. 点击“ 应用更改”

启用DHCPv6服务器

为了使客户端获得IPv6地址，您必须启用DHCPv6服务器，并为其提供一个可以分配地址的地址范围。

1. 单击服务 -> DHCPv6服务器/ RA

2. 选中在LAN接口上启用DHCPv6服务器复选框以显示配置选项

3. 在范围从和到框中，输入可用范围内的一些地址范围，例如

   范围：2001:470:1f:b34::100:0至2001:470:1f:b34::100:fff