在 pfSense 上使用 Hurricane Electric 隧道代理配置 IPv6

本教程详细介绍在 pfSense 2.3.3 或更高版本中使用隧道代理获取 IPv6 支持的过程。本教程也适用于旧版本，但在选项位置或名称上可能会有细微差异。

常见问题

如果 pfSense 的安装从 2.0.x 升级到 2.1 或更高版本，则必须在 System > Advanced > Networking 选项卡上选中 “Allow IPv6”，才能启用 IPv6 支持。默认情况下，新的 2.1 或更高版本的安装会启用此选项。
IPv6 需要 ICMP 才能工作。如果客户端上有防火墙，请务必确保允许通过 IPv6 的 ICMP。
如果使用隧道代理帐户，请务必尽可能选择靠近 pfSense 防火墙的提供商。过高的延迟会影响 IPv6 的使用。

建立隧道

1、注册

本教程假设已经在 Hurricane Electric 或其他代理进行了登记注册。注册一个帐户并获得第一个 /64 或 /48 的 IPv6 分组分配后，就可以在 pfSense 上配置 GIF 隧道。

2、启用 ICMP

不要忘记在 WAN 接口上启用 ICMP，如果 ICMP 被阻止，隧道代理将不允许配置隧道。此规则的源 IP 地址可以限制在 gif 隧道的远程端点 IP，或直接设置为 any。ICMP 子网类型选择 any 或 echoreq。

WAN接口上允许IPv6 ICMP的防火墙规则

3、创建 GIF 接口

导航到 pfSense 上的 GIF 接口界面，输入 Hurricane Electric 或其他提供商的信息。路径为：Interfaces > (Assignments) > GIF 选项卡。

在 gif remote address 栏输入 HE 或其他服务器的 IPv4 地址。
在 gif tunnel local address 栏输入 HE 或其他客户端的 IPv6 地址。
在 gif tunnel remote address 栏输入 HE 或其他服务器的 IPv6 地址。前缀长度应设置为 64。在 pfSense 2.1.1 之后，IPv6 隧道前缀长度将被忽略，设置为 128 的前缀长度在接口分配时，接口将显示前缀长度为 128。
输入 Description（描述） 并单击保存。

注意：如果隧道连接到动态 WAN IP，请查看本教程后面的第 11 小节：保持隧道端点更新。

GIF接口的配置示例

4、分配 GIF 接口

在 Interfaces > (Assignments) 页面单击“添加”图标，并选择要用于 GIF 接口的 OPT 接口。本示例中，OPT 接口已被重命名为 HENETv6。单击保存并应用设置。

在接口分配页面将GIF接口添加到OPT接口

5、配置 OPT 接口

在分配了 OPT 接口的情况下，可以从 Interfaces 菜单启用该 OPT 接口。请将 IPv6 Configuration Type 保持为 “None”。

OPT接口配置页面，IPv6配置类型设为None

6、MTU 值

如果此 IPv6 连接的基本接口是 DSL 线路或具有较低 MTU 的其他线路，则 MTU 可能需要在此处进行调整，另一端同样可能需要调整为较低的值。在 tunnelbroker.net 上，登录帐户并编辑隧道。在“Advanced”选项中，移动 MTU 滑块（1），直到 MTU 读取值为 1452（2）。

HE.net隧道高级设置中调整MTU值的界面

7、设置网关

系统会为隧道自动创建一个动态网关条目。请导航到 System > Routing > Gateways，编辑该网关，在 Default Gateway 选项中，将 Gateway 字段设置为 dynamic。

网关设置页面，将网关字段设为dynamic

如果所有设置都输入正确，并且隧道代理正在运行，网关将会显示在线状态。

网关状态显示为在线

8、设置 IPv6 的 LAN

LAN 接口可以配置为静态 IPv6 网络。用于 LAN 接口上的 IPv6 寻址的网络是由隧道代理分配的 路由 /64 或 /48 子网 中的地址（HE.net 自动提供）。要注意，路由 /64 或 /48 范围与隧道 /64 是不同的！

下面的例子使用 ::1，因为这是最简单的做法。路由子网中的任何地址都可以正常工作。路由 /64 或 /48 是 IPv6 Address 字段的基础。

LAN接口的静态IPv6配置页面

9、设置 DHCPv6 和 RA

局域网上的计算机一般都会配置为自动获取 IPv6 地址，而不是手动设置。要启用自动获取 IP 设置，请导航到 Services > DHCPv6 Server & RA。

在 Router Advertisements（路由器广播） 选项卡下，可以选择不同类型的路由器广播行为模式：Unmanaged (仅广播)、Managed (仅 DHCPv6) 或 Assisted (使用 DHCPv6 的无状态地址作为 DNS)。

DHCPv6和路由器广播设置页面

10、添加防火墙规则

导航到 Firewall > Rules，选择 LAN 选项卡，并添加一条规则，将 IPv6 流量从局域网传递到 any 地址或网络，就像 IPv4 规则一样。

现在，局域网客户端应该能够从 pfSense 防火墙自动获取一个 IPv6 地址。可以通过 http://test-ipv6.com 检查是否已使用 IPv6 进行连接。

test-ipv6.com的测试结果示例

11、保持隧道端点更新

如果连接隧道的 WAN 具有动态 IP 地址，那么当 WAN IP 地址发生变化时，可以使用 HE.net Tunnelbroker DynDNS 类型进行更新。

导航到 Services > Dynamic DNS：

单击“添加”图标。
设置 Type (类型) 为 HE.net Tunnelbroker。
选择 Interface (接口)。
Hostname (主机名) 输入从 he.net 获得的 numeric Tunnel ID (数字隧道 ID)。
输入 Username (用户名)。
在 tunnelbroker.net 隧道设置的“Advanced (高级)”选项卡中输入密码或更新密钥。较旧的帐户可能没有更新密钥，只能使用密码。
输入 Description (描述)。
单击 Save。

原文地址