OPNsense 防火墙系列四:固定 IPv6 后缀 + IPv6 端口转发
说明
在前文 OPNsense 防火墙系列一:安装、基础配置(PPPoE、IPv6、更换软件源) 中,配置了 IPv6 的追踪接口,使得所有设备都拥有公网 IPv6 地址。这使得我们在原理上可以通过公网访问内网任何一台终端的接口,但是由于安全性令人担忧,OPNsense 默认不放行任何 IPv4 和 IPv6 的 WAN 口入站访问 LAN 的请求。
接下来,就可以通过 IPv6 端口转发(或 WAN 反向代理,本文不记录),使得公网可以访问允许的服务。
固定 IPv6 后缀
但是由于网络运营商的限制,每隔一段时间会重新分配 WAN 口 IPv6 ,导致内网全部设备 IPv6 都要更换,对于 OPNsense 网络配置稳定性形成挑战。
为了更好的配置 OPNSense IPv6 端口转发,本文先记录如何配置内网 IPv6 64 后缀固定,再通过后缀配置防火墙规则。
WAN
在 接口 -> [WAN] 中,配置:
| 项目 | 子项目 | 值 |
|---|---|---|
| DHCPv6客户端配置 | ||
| 配置模式 | 基本 |
|
| 仅请求IPv6前缀 | 勾选 | |
| 前缀委派大小 | 60 |
|
| 发送IPv6前缀提示 | 不勾选 | |
| 使用IPv4连接 | 勾选 |
保存,并应用更改。
LAN
在 接口 -> [LAN] 中,配置:
| 项目 | 子项目 | 值 |
|---|---|---|
| 跟踪IPv6接口 | ||
| IPv6接口 | WAN |
|
| IPv6前缀ID | 0 |
|
| 允许手动调整DHCPv6和路由器通告 | 勾选 |
保存,并应用更改。
DHCPv6
在 服务 -> DHCPv6 -> [LAN] 中(该服务只在 LAN 中勾选 允许手动调整DHCPv6和路由器通告 后才启动),配置:
| 项目 | 值 | 说明 |
|---|---|---|
| 在LAN接口上启用DHCPv6服务 | 不勾选 |
保存,并应用更改。
在 服务 -> DHCPv6 -> 中继 中,配置:
| 项目 | 值 | 说明 |
|---|---|---|
| 启用DHCPv6中继 | 不勾选 |
保存,并应用更改。
路由器通告
在 服务 -> 路由器通告 -> [LAN] 中(该服务只在 LAN 中勾选 允许手动调整DHCPv6和路由器通告 后才启动),配置:
| 项目 | 值 | 说明 |
|---|---|---|
| 路由器通告 | Assisted |
|
| 路由器优先级 | 正常 |
其他默认即可。保存,并应用更改,重启主机。
表格
路由器通告项目:
- 选择要在此接口发送路由器通告要设置的标记。 使用“Router Only”禁用无状态地址自动配置(SLAAC)和DHCPv6,对于SLAAC为“Unmanaged”(A flag),对于有状态DHCPv6为“Managed”(M+O flags),对于状态DHCPv6和SLAAC(M+O+A flags)为“Assisted”,对于无状态DHCPv6和SLAAC(O+A flags)为“Stateless”。
参考: 跟大家分享下内网分发ipv6的设置方法,纯干货,折腾了3个月终于摸索出来了。 (opnsense.org) 。
开始使用
此时——
IPv6 端口转发
配置别名
在 防火墙 -> 别名 中的 别名 页面,添加:
| 项目 | 值 | 说明 |
|---|---|---|
| 启用 | 勾选 | |
| 名称 | 自定义 | 示例为 test |
| 类型 | 动态IPv^主机 |
|
| 内容 | 缺省的内网主机 IPv6 后 64 位后缀 | 实例为 ::1234:1234:1234:1234 |
| 接口 | LAN |
应用。
端口转发
在 防火墙 -> NAT -> 端口转发 中,添加:
| 项目 | 子项目 | 值 | 说明 |
|---|---|---|---|
| 编辑重定向条目 | |||
| 禁用该规则 | 不勾选 | ||
| 接口 | WAN |
||
| TCP/IP版本 | IPv6 |
||
| 协议 | TCP |
||
| 源 | any |
在 源 高级 中 |
|
| 源端口范围 | 从 any 到 any |
在 源 高级 中 |
|
| 目标 | WAN 地址 |
||
| 目标端口范围 | 从 -> 自定义 | 示例:从 (其他) 10001 |
|
| 到 -> 自定义 | 示例:到 (其他) 10001 |
||
| 定向目标IP | 选择配置的别名 | 选择示例别名 test |
|
| 重定向目标端口 | 自定义 | 示例 HTTPS |
|
| NAT回流 | 启用 |
保存,并应用更改。
防火墙高级设置
在 防火墙 -> 设置 -> 高级 中,配置:
| 项目 | 子项目 | 值 | 说明 |
|---|---|---|---|
| IPv6选项 | |||
| 允许IPv6 | 勾选 | ||
| NAT | |||
| 端口转发回流设置 | 勾选 | ||
| 1:1NAT回流 | 不勾选 | ||
| 自动出站NAT回流 | 勾选 |
保存,并应用更改,重启主机。
浏览器清除缓存
用以清楚指定域名网站 HSTS 配置缓存:
-
Chrome :
chrome://net-internals/#hsts。 -
Edge :
edge://net-internals/#hsts。
开始使用
接下来就可以通过 OPNsense 设置的 WAN 目标端口访问内网服务器了。
这里还有其他配置可以参考,只不过没有验证: OPNsense配置使用IPv6地址 | 鐵血男兒的BLOG (pfschina.org) 。
