In questo articolo presentiamo una soluzione per ottenere l’accesso a Internet con IPv6 per le connessioni Internet che offrono solo connettività IPv4. Questa soluzione si basa sulla creazione di un tunnel IPv6.
La soluzione qui presentata si basa sul servizio Tunnelbroker di Hurricane Electric. Questo servizio è gratuito e fornisce una gamma /48 di indirizzi IPv6.
La metodologia seguita è ovviamente applicabile ad altri fornitori di tunnel IPv6.
Prerequisiti
L’unico prerequisito è che si disponga di un indirizzo IPv4 pubblico in grado di rispondere ai PING. Questo indirizzo IPv4 non deve essere fisso.
Creare un account su Tunnelbroker.net
Il primo passo consiste nel creare un account sul sito web tunnelbroker.net.
La registrazione viene confermata seguendo il link inviato per e-mail. A questo punto è possibile collegarsi al sito di Tunnelbroker.
Nella colonna di sinistra “User functions”, cliccate sul link “Create Regular Tunnel”:
È necessario inserire il proprio indirizzo IPv4 pubblico (che deve rispondere ai ping) e scegliere il server con cui verrà impostato il tunnel IPv6. Poiché la nostra sede è in Italia, scegliamo il server Hurricane di Roma(////IMAGE INDIQUE PARIS////). Infine, facciamo clic su “Create Tunnel”.
Una volta creato il tunnel, abbiamo tutte le informazioni necessarie per creare la nostra interfaccia IPv6 sul nostro pfSense:
Dalla scheda “Advanced” è possibile personalizzare una serie di parametri:
- MTU: per impostazione predefinita è pari a 1.480. Se si utilizza una connessione Internet impostata tramite il protocollo PPPoE, è necessario ridurre questo MTU. 1.452 dovrebbe essere un buon valore.
- Indirizzo IP pubblico dinamico: se la connessione a Internet IPv4 ha solo un indirizzo IP pubblico dinamico, è necessario aggiornare automaticamente il tunnel utilizzando la Update Key (la procedura è descritta più avanti in questo articolo).
Preparazione di pfSense per il tunnel IPv6
Come indicato nei prerequisiti, il nostro indirizzo IPv4 pubblico deve essere in grado di rispondere al PING. Per configurare il nostro pfSense in modo che risponda ai ping sul suo indirizzo IPv4 pubblico, andate al menu Firewall > Rules:
Dalla scheda WAN, facciamo clic sul pulsante “+ Add” per aggiungere una nuova regola con i seguenti parametri:
- Action: Pass
- Interface: WAN o, in generale, l’interfaccia a cui è collegata la connessione a Internet
- Address Family: IPv4
- Protocol: ICMP
- ICMP Types: any
- Source: “Single host or Alias” e inseriamo l’indirizzo IP del server scelto nel passaggio precedente. Nel nostro caso: 216.66.84.42
- Destination: This firewall
Faremo clic su “Save” e poi su “Apply Changes” per salvare e applicare la configurazione.
Una volta creata, la regola dovrebbe avere un aspetto simile a questo:
Infine, il nostro pfSense deve accettare il traffico IPv6. Questa è la configurazione predefinita di pfSense. Tuttavia, se il supporto IPv6 è stato disabilitato, è possibile riabilitarlo andando nel menu System > Advanced, scheda ‘Networking’:
Verificare che la riga “Allow IPv6” sia selezionata, quindi fare clic su “Save”.
Creazione dell’interfaccia IPv6 su pfSense
Ora possiamo creare una nuova interfaccia per la nostra connessione IPv6. A tale scopo, accedere al menu Interfaces > Assignment > GIFs:
Fare clic sul pulsante verde “+ Add”. I campi da compilare sono i seguenti:
- Parent Interface: WAN nel nostro caso
- GIF Remote Address: l’indirizzo IPv4 del server remoto, in questo caso 216.66.84.42
- GIF tunnel local address: l’indirizzo IPv6 del client. Questa informazione corrisponde alla riga “Client IPv6 Address” nella tabella “Tunnel Details” vista sopra. Nel nostro caso: 2001:470:abcd:781::2
- GIF tunnel remote address: l’indirizzo IPv6 del server. Questa informazione corrisponde alla riga “Server IPv6 Address” nella tabella “Tunnel Details” vista sopra. Nel nostro caso: 2001:470:abcd:781::1
- GIF tunnel subnet: la dimensione della sottorete IPv6 (in formato CIDR). In questo caso: 64.
Le altre opzioni devono essere lasciate vuote o deselezionate, a meno che non si sappia cosa si sta facendo.
Esempio del risultato ottenuto:
Il nostro tunnel GIF è stato creato.
Ora dobbiamo associarvi un’interfaccia logica. Per farlo, andare alla scheda Assignment, selezionare l’interfaccia GIF appena creata e fare clic sul pulsante ‘+ Add‘:
Facciamo clic sulla nostra interfaccia OPT1 (o OPTx in generale) per configurarla come segue:
- Enable: spuntare la casella per abilitare l’interfaccia
- Description: il nome dell’interfaccia. Assegnare un nome più significativo di OPT1. Esempio: WANv6
Le altre opzioni devono essere lasciate vuote o deselezionate, a meno che non si sappia cosa si sta facendo.
Esempio del risultato ottenuto:
Configurazione del gateway IPv6 su pfSense
Quando viene creata l’interfaccia IPv6 (WANv6), viene aggiunto automaticamente un gateway.
Se si dispone già di un gateway IPv6, il nuovo gateway non sarà contrassegnato come gateway predefinito. Se lo si desidera, è necessario modificare il gateway predefinito dal menu System > Routing e compilare i campi della tabella “Default gateway”:
Aggiungere i risolutori DNS IPv6
TunnelBroker fornisce un resolver DNS IPv6 che viene aggiunto automaticamente a pfSense quando viene montata l’interfaccia GIF. Tuttavia, è sempre possibile scegliere altri DNS resolver. La configurazione avviene tramite il menu System > General Setup.
Ecco alcuni esempi di risolutori DNS IPv6.
Google DNS:
- 2001:4860:4860::8888
- 2001:4860:4860::8844
DNS Quad9:
- 2620:fe::fe
- 2620:fe::9
DNS FDN:
- 2001:910:800::12
- 2001:910:800::40
Configurazione della LAN per IPv6
In questa fase, pfSense stesso dispone di connettività IPv6. Un’opzione per estendere la connettività ai computer della LAN è quella di configurare un dual-stack IPv4/IPv6.
Accedere al menu Interfaces > LAN e apportare le seguenti modifiche:
- IPv6 Configuration Type: scegliere “Static IPv6”
- IPv6 address: inserire un indirizzo incluso nel routed /64 fornito da tunnelbroker. Questa informazione si trova nella riga “Routed /64” nella tabella “Tunnel Details” di cui sopra. Nel nostro caso, si tratta di 2001:470:abce:781::/64; si può, ad esempio, scegliere l’indirizzo 2001:470:abce:781::1 come indirizzo IPv6 per la tratta LAN di pfSense.
Esempio del risultato ottenuto:
Quindi fare clic su “Save” e “Apply Changes” per convalidare le modifiche.
Passiamo quindi al menu Services > DHCPv6 Server & RA. I campi da compilare sono i seguenti:
- DHCPv6 Server: spuntare la casella per abilitare il DHCPv6 sulla LAN
- Range: scegliere l’intervallo di indirizzi IP che si desidera utilizzare per il servizio DHCP
Esempio del risultato ottenuto:
Facciamo clic su “Save” per salvare le modifiche, quindi passiamo alla scheda “Router Advertisements”.
Infine, è sufficiente configurare una regola del firewall per consentire il traffico IPv6 per la LAN. Normalmente, tale regola esiste già per impostazione predefinita, ma se l’abbiamo cancellata, dobbiamo ricrearla. A tale scopo, accedere al menu Firewall > Rules, scheda LAN e fare clic su “+Add” per aggiungere una regola con i seguenti parametri:
- Action: pass
- Interface: LAN
- Address Family: IPv6
- Protocol: any
- Source: LAN net
- Destination: any
Esempio del risultato ottenuto:
A questo punto, tutto dovrebbe funzionare. È il momento di testare!
Esistono diversi siti in cui è possibile testare la connettività. LaFibre.info: ip.lafibre.info/ //// CE SITE FONCTIONNE T IL EN ITALIE ?
Test-IPv6.com : test-ipv6.com
Aggiornamento del tunnel per le connessioni IPv4 con un indirizzo IP pubblico dinamico
Un ultimo punto che riguarda solo chi non ha un indirizzo IPv4 fisso: è necessario tenere aggiornato il tunnel. Per farlo, andate nel menu Services > Dynamic DNS, fate clic sul pulsante “+Add” e configurate i campi come segue:
- Service Type: HE.net Tunnelbroker
- Interface to monitor: WAN
- Hostname: l’ID del tunnel trovato sulla prima riga della tabella “Tunnel Details”
- Username: inserire il nome utente per l’accesso al sito tunnelbroker.net
- Password: inserire la Update Key che può essere configurata dalla scheda “Advanced” nella tabella “Tunnel Details”.
Fare clic su “Save” per salvare le impostazioni.
Ecco fatto, abbiamo aggiunto l’accesso IPv6 a una connessione Internet che offre solo connettività IPv4.
TunnelBroker non è l’unica soluzione disponibile. Un elenco comparativo è disponibile su Wikipedia (EN)
Per saperne di più