PFSense en ExtraIP.com IPv6 configuratie

Als aanvulling op de IPv4 configuratie, is het ook mogelijk om bij ExtraIP.com gebruik te maken van een IPv6 /48 subnet, deze wordt aangeboden middels een GIF tunnel. Om reverse DNS te kunnen gebruiken dien je je eigen DNS servers beschikbaar te hebben, dit is wel belangrijk, want zonder rDNS kan je bijvoorbeeld niet e-mailservers gebruiken op IPv6, maar ook bij website geweigerd worden vanwege het ontbreken ervan.

Ga naar Interfaces > Assignments

Klik op “GIF’s”

Klik op Add

Maak nu de tunnel aan met onderstaande gegevens (welke aangeleverd worden door ExtraIP.com

Ga nu naar Interfaces > Interface Assignments en voeg de toegevoegd IPv6 GIF tunnel toe zodat deze in het overzicht komt en neem onderstaande gegevens over: (MTU + MSS)

Ga nu naar routing:

En selecteer de ExtraIPV6_TUNNELV6 als default gateway:

Nu heb je IPv6 werkend, alleen kan je er nog geen gebruik van maken, aangezien je de IPv6 subnets nog niet verdeeld hebt over je interne netwerk. Om te zorgen dat je gebruik kan maken van SLAAC knip je de netwerken in stukken van /64.

Dit ziet er dan zo uit:
Stel dat je IPv6 adres block dit is: 2a00:00c0:0001::/48
Deze kan je dan makkelijk verdelen op de volgende manier:
LAN: 2a00:00c0:0001:1234::1/64
DMZ: 2a00:00c0:0001:5678::1/64
Guest: 2a00:00c0:0001:4321::1/64
etc… etc… je hebt ook nogal wat IPv6 adressen beschikbaar, om precies te zijn:
1,208,925,819,614,629,174,706,176 IPv6 adressen!!!
Een /64 heeft 18,446,744,073,709,551,616 IPv6 adressen! Er gaan 65.535 /64 Subnets in een /48 netwerk!

Bij mij ziet het er zo uit:

Daarna dienen nog de DHCPv6 Server & RA instellingen gedaan worden per VLAN, zodat clients daadwerkelijk IPv6 adressen kunnen gaan gebruiken en ermee kunnen communiceren.

In tegenstelling tot IPv4, gebruik je bij IPv6 de firewall voor het toelaten van verkeer. Denk eraan dat IPv6 veel gebruik maakt van ICMP, deze dien je ook toe te laten: (http://www.ietf.org/rfc/rfc4890.txt)
Kort samengevat:

Destination Unreachable (Type 1) – All codes
Packet Too Big (Type 2)
Time Exceeded (Type 3) – Code 0 only
Parameter Problem (Type 4) – Codes 1 and 2 only
Echo Request (Type 128)
Echo Response (Type 129)
Time Exceeded (Type 3) – Code 1
Parameter Problem (Type 4) – Code 0

Ongoing….

PFSense en ExtraIP.com dNAT /sNAT

Na het instellen van de GRE tunnel van ExtraIP wil je natuurlijk gebruik maken van je extraIP adressen en zelfs netwerken via een ander IP adres naar buiten laten gaan.

Hieronder een beknopte handleiding op basis van een gevirtualisuerde PFSense installatie ;  ik heb op dit moment het nog niet anders voor elkaar gekregen;

Als je de servers direct het IP adres van ExtraIP wilt geven dien je gebruik te maken van 1-op-1 NAT, dit houdt in dat je servers een intern adres hebben, maar PFSense 1 op 1 het externe IP toewijst. Met firewall regels laat je dan verkeer toe (of elk verkeer). Dit is handig met bijvoorbeeld een router achter PFsense.

Voeg eerst een NIC toe op de VM, deze wijs je toe aan een niet bestaand VLAN / disconnect de NIC, zodat deze wel in PFSense zichtbaar wordt, maar er verder geen verkeer over mogelijk is.

Voeg deze NIC toe via:

Ik heb deze ExtraIPVLAN genoemd binnen PFSense:

Klik op ExtraIPVLAN en neem onderstaande gegevens over (let op dat het IP adres niet je eigen netwerk overlapt, gebruik wel een intern IP adres)

Ga nu naar Firewall > Virtual IP’s

Vul hier nu op onderstaande manier je extraIP adressen in:

 

Ga nu naar Firewall > NAT >

Klik op Outbound:

Zet deze op Hybrid Outbound NAT:

Als voorbeeld een aantal zelf aangemaakte Mappings:

In dit voorbeeld zijn 2 DNS servers middels sNAT vertaald naar 1 ExtraIP alias en mijn originele WAN ip adres, maar alleen voor DNS verkeer.

Verder worden er 3 IP subnets elk naar een eigen IP adres gestuurd, waaronder 1 naar het WAN adres (ISP adres) en de overige 2 naar een extra adres van ExtraIP.

Je gebruikt verder de ExtraIPVLAN interface niet, deze zorgt er alleen voor dat PFSense de sNAT kan uitvoeren, zonder deze interface kreeg ik het niet werkend.

Verder gebruik je voor dNAT (Port-Forward) de ExtraIP en WAN interface, zie voorbeeld.

 

PFSense en Extraip.com configuratie

Er worden best veel vragen gesteld hoe je precies PFSense kan laten samenwerken met de GRE tunnel van Extraip.com. Ik probeer in deze beknopte “handleiding” dit duidelijk te maken:

Allereerst dien je natuurlijk een extraip.com tunnel te hebben, deze kan je aanvragen als je een bedrijf hebt via: www.extraip.com, dit kost circa 120 euro inclusief BTW per jaar voor een /29 IPv4 subnet en /48 IPv6 subnet.

Aangezien deze post gaat over PFSense, verwacht ik dat deze al werkend draait en dat de basiskennis van PFSense aanwezig is. Mocht je nog niet bekend zijn met PFSense raadt ik je aan om hier gewoon mee te beginnen als virtuele machine en spelenderwijs PFSense te ontdekken. Natuurlijk kan ik je een bezoekje aan de website van PFSense niet onthouden, deze is te vinden op: https://www.pfsense.org/

Configureren GRE Tunnel:

Log in op jou PFSense firewall en ga naar Interfaces > Assignments

Ga nu naar GRE’s:

Klik op “Add”

Vul nu de gegevens aan zoals hieronder is aangegeven en klik op Save.

Klik nu op Interface Assignments:

Er is onderin 1 Available network port bijgekomen, klik hier op: Add

Klik nu op, in dit voorbeeld genomen, OPT8 en neem onderstaande gegevens over.

De ExtraIP GRE tunnel is nu gereed, nu dienen er nog een paar zaken ingesteld worden;
Ga naar System > Routing:

Klik eerst op “Static Routes” en voeg een static route toe voor, in dit voorbeeld 1.2.3.4, naar de WAN interface, zodat verkeer netjes blijft routeren. Zie hieronder

Ga nu weer naar “Gateways”:

Hier is nu 1 gateway bij gekomen, klik hier op het potloodje om deze te wijzigen:

Neem nu de gegevens hieronder over, LET OP, het eerste adres is al reeds ingevuld en met deze actie gaat al het internet verkeer over het ExtraIP adres in plaats van je eigen provider adres.

Voor de IPv6 versie kunt u HIER klikken.