Tunnelbroker.net (IPv6)

本指南介绍了为IPv6隧道设置https://www.tunnelbroker.net/的过程。

先决条件

  • 一个公共的、可路由的IPv4地址。这并不一定需要是静态的,但是当/如果您的IP地址更改时,您将需要更新隧道端点,这可以通过一个脚本和一个计划任务来完成。

  • 在https://www.tunnelbroker.net/帐户

  • 请求”正常通道”。为了获得最佳响应时间,您需要选择离物理位置最近的位置。

设置初始隧道

建立初始IPv6隧道。将隧道信息页面中的字段替换为下面的字段。

conf
set interfaces tunnel tun0 address Client_IPv6_from_Tunnelbroker    # This will be your VyOS install's public IPv6 address
set interfaces tunnel tun0 description 'HE.NET IPv6 Tunnel'
set interfaces tunnel tun0 encapsulation 'sit'
set interfaces tunnel tun0 local-ip Client_IPv4_from_Tunnelbroker   # This is your public IP
set interfaces tunnel tun0 mtu '1472'
set interfaces tunnel tun0 multicast 'disable'
set interfaces tunnel tun0 remote-ip Server_IPv4_from_Tunnelbroker  # This is the IP of the Tunnelbroker server
set protocols static route6 ::/0 interface tun0  # Tell all traffic to go over this tunnel
commit

如果您的广域网连接是通过PPPoE,您可能需要将上述隧道的MTU设置为低于1472。

在这一点上你应该能够ping一个IPv6地址,尝试ping谷歌:

ping6 -c2 2001:4860:4860::8888

64 bytes from 2001:4860:4860::8888: icmp_seq=1 ttl=57 time=21.7 ms
64 bytes from 2001:4860:4860::8888: icmp_seq=2 ttl=57 time=21.1 ms

--- 2001:4860:4860::8888 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 21.193/21.459/21.726/0.304 ms

假设ping通成功,则需要添加DNS服务器。一些选项:

set system name-server 2001:4860:4860::8888  # Google
set system name-server 2001:4860:4860::8844  # Google
set system name-server 2606:4700:4700::1111  # Cloudflare
set system name-server 2606:4700:4700::1001  # Cloudflare
commit

你现在应该能够通过IPv6 DNS名称ping一些东西:

# ping6 -c2 one.one.one.one
PING one.one.one.one(one.one.one.one) 56 data bytes
64 bytes from one.one.one.one: icmp_seq=1 ttl=58 time=16.8 ms
64 bytes from one.one.one.one: icmp_seq=2 ttl=58 time=17.4 ms

--- one.one.one.one ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 1001ms
rtt min/avg/max/mdev = 16.880/17.153/17.426/0.273 ms

假设一切正常,您可以继续进行客户机配置

局域网配置

在这一点上,您的VyOS安装应该具有完全的IPv6,但现在您的局域网设备需要访问。

有了Tunnelbroker.net,你有两个选择:

  • 路由/64。这是默认的赋值。在IPv6-land中,它适用于单个”LAN”,在某种程度上相当于a /24。例子:2001:470:xxxx: xxxx::/64

  • 路由/48。这是你可以通过点击Tunnelbroker.net隧道配置中的”Assign /48”链接来请求的。它允许您拥有多达65000个局域网。例如:2001:470:xxxx:: / 48

与IPv4不同的是,IPv6并不是被设计成小于/64的碎片。因此,如果您希望拥有多个lan、vlan、DMZ等,您将希望忽略分配的/64,并请求/48并使用它。

单独的局域网设置

单一的局域网设置,eth1是您的局域网接口。使用/64(所有的xxxx都应该替换为来自`routing /64`隧道的信息):

set interfaces ethernet eth1 address '2001:470:xxxx:xxxx::1/64'
set service router-advert interface eth1 name-server '2001:4860:4860::8888'
set service router-advert interface eth1 name-server '2001:4860:4860::8844'
set service router-advert interface eth1 prefix 2001:470:xxxx:xxxx::/64

请注意,“autonomous-flag”和“on-link-flag”是默认启用的,“valid-lifetime”和“preferred-lifetime”的默认值分别为30天和4小时。

这实现了一些事情:

  • 设置局域网接口的IP地址

  • 使路由器广告。这是DHCP的IPv6替代方案(尽管DHCPv6仍然可以使用)。使用RAs,您的设备将自动找到路由和DNS所需的信息。

多个局域网/ DMZ设置

在这里,您使用`Routed /48`信息。这允许你为每个接口、局域网甚至设备分配不同的/64。或者你可以把你的网络分成更小的块,如/56或/60。

这些地址的格式:

  • 2001:470:xxxx::/48: 整个子网。xxxx应该来自Tunnelbroker。

  • 2001:470:xxxx:1::/64: 适用于局域网的子网

  • 2001:470:xxxx:2::/64: 另一个子网

  • 2001:470:xxxx:ffff:/64: 最后一个可用的/64子网。

在上面的例子中,1,2和ffff都是由你选择的。您可以使用1-ffff(1-65535)。

所以,当你的LAN是eth1,你的DMZ是eth2,你的摄像头在eth3上,等等:

set interfaces ethernet eth1 address '2001:470:xxxx:1::1/64'
set service router-advert interface eth1 name-server '2001:4860:4860::8888'
set service router-advert interface eth1 name-server '2001:4860:4860::8844'
set service router-advert interface eth1 prefix 2001:470:xxxx:1::/64

set interfaces ethernet eth2 address '2001:470:xxxx:2::1/64'
set service router-advert interface eth2 name-server '2001:4860:4860::8888'
set service router-advert interface eth2 name-server '2001:4860:4860::8844'
set service router-advert interface eth2 prefix 2001:470:xxxx:2::/64

set interfaces ethernet eth3 address '2001:470:xxxx:3::1/64'
set service router-advert interface eth3 name-server '2001:4860:4860::8888'
set service router-advert interface eth3 name-server '2001:4860:4860::8844'
set service router-advert interface eth3 prefix 2001:470:xxxx:3::/64

请注意,“autonomous-flag”和“on-link-flag”是默认启用的,“valid-lifetime”和“preferred-lifetime”的默认值分别为30天和4小时。

防火墙

最后,不要忘记:ref:firewall。用法是相同的,除了用`set firewall ipv6-name name`代替`set firewall ipv6-name name`。

类似地,要附加防火墙,您可以使用`set interfaces ethernet eth0 firewall in ipv6-name`或`set zone-policy zone LOCAL from WAN firewall ipv6-name`