OPNsense 防火墙系列四:固定 IPv6 后缀 + IPv6 端口转发
说明
在前文 OPNsense 防火墙系列一:安装、基础配置(PPPoE、IPv6、更换软件源) 中,配置了 IPv6 的追踪接口,使得所有设备都拥有公网 IPv6 地址。这使得我们在原理上可以通过公网访问内网任何一台终端的接口,但是由于安全性令人担忧,OPNsense 默认不放行任何 IPv4 和 IPv6 的 WAN 口入站访问 LAN 的请求。
接下来,就可以通过 IPv6 端口转发(或 WAN 反向代理,本文不记录),使得公网可以访问允许的服务。
固定 IPv6 后缀
但是由于网络运营商的限制,每隔一段时间会重新分配 WAN 口 IPv6 ,导致内网全部设备 IPv6 都要更换,对于 OPNsense 网络配置稳定性形成挑战。
为了更好的配置 OPNSense IPv6 端口转发,本文先记录如何配置内网 IPv6 64 后缀固定,再通过后缀配置防火墙规则。
WAN
在 接口 -> [WAN]
中,配置:
项目 | 子项目 | 值 |
---|---|---|
DHCPv6客户端配置 | ||
配置模式 | 基本 |
|
仅请求IPv6前缀 | 勾选 | |
前缀委派大小 | 60 |
|
发送IPv6前缀提示 | 不勾选 | |
使用IPv4连接 | 勾选 |
保存,并应用更改。
LAN
在 接口 -> [LAN]
中,配置:
项目 | 子项目 | 值 |
---|---|---|
跟踪IPv6接口 | ||
IPv6接口 | WAN |
|
IPv6前缀ID | 0 |
|
允许手动调整DHCPv6和路由器通告 | 勾选 |
保存,并应用更改。
DHCPv6
在 服务 -> DHCPv6 -> [LAN]
中(该服务只在 LAN 中勾选 允许手动调整DHCPv6和路由器通告
后才启动),配置:
项目 | 值 | 说明 |
---|---|---|
在LAN接口上启用DHCPv6服务 | 不勾选 |
保存,并应用更改。
在 服务 -> DHCPv6 -> 中继
中,配置:
项目 | 值 | 说明 |
---|---|---|
启用DHCPv6中继 | 不勾选 |
保存,并应用更改。
路由器通告
在 服务 -> 路由器通告 -> [LAN]
中(该服务只在 LAN 中勾选 允许手动调整DHCPv6和路由器通告
后才启动),配置:
项目 | 值 | 说明 |
---|---|---|
路由器通告 | Assisted |
|
路由器优先级 | 正常 |
其他默认即可。保存,并应用更改,重启主机。
表格
路由器通告
项目:
- 选择要在此接口发送路由器通告要设置的标记。 使用“Router Only”禁用无状态地址自动配置(SLAAC)和DHCPv6,对于SLAAC为“Unmanaged”(A flag),对于有状态DHCPv6为“Managed”(M+O flags),对于状态DHCPv6和SLAAC(M+O+A flags)为“Assisted”,对于无状态DHCPv6和SLAAC(O+A flags)为“Stateless”。
参考: 跟大家分享下内网分发ipv6的设置方法,纯干货,折腾了3个月终于摸索出来了。 (opnsense.org) 。
开始使用
此时——
IPv6 端口转发
配置别名
在 防火墙 -> 别名
中的 别名
页面,添加:
项目 | 值 | 说明 |
---|---|---|
启用 | 勾选 | |
名称 | 自定义 | 示例为 test |
类型 | 动态IPv^主机 |
|
内容 | 缺省的内网主机 IPv6 后 64 位后缀 | 实例为 ::1234:1234:1234:1234 |
接口 | LAN |
应用。
端口转发
在 防火墙 -> NAT -> 端口转发
中,添加:
项目 | 子项目 | 值 | 说明 |
---|---|---|---|
编辑重定向条目 | |||
禁用该规则 | 不勾选 | ||
接口 | WAN |
||
TCP/IP版本 | IPv6 |
||
协议 | TCP |
||
源 | any |
在 源 高级 中 |
|
源端口范围 | 从 any 到 any |
在 源 高级 中 |
|
目标 | WAN 地址 |
||
目标端口范围 | 从 -> 自定义 | 示例:从 (其他) 10001 |
|
到 -> 自定义 | 示例:到 (其他) 10001 |
||
定向目标IP | 选择配置的别名 | 选择示例别名 test |
|
重定向目标端口 | 自定义 | 示例 HTTPS |
|
NAT回流 | 启用 |
保存,并应用更改。
防火墙高级设置
在 防火墙 -> 设置 -> 高级
中,配置:
项目 | 子项目 | 值 | 说明 |
---|---|---|---|
IPv6选项 | |||
允许IPv6 | 勾选 | ||
NAT | |||
端口转发回流设置 | 勾选 | ||
1:1NAT回流 | 不勾选 | ||
自动出站NAT回流 | 勾选 |
保存,并应用更改,重启主机。
浏览器清除缓存
用以清楚指定域名网站 HSTS 配置缓存:
-
Chrome :
chrome://net-internals/#hsts
。 -
Edge :
edge://net-internals/#hsts
。
开始使用
接下来就可以通过 OPNsense 设置的 WAN 目标端口访问内网服务器了。
这里还有其他配置可以参考,只不过没有验证: OPNsense配置使用IPv6地址 | 鐵血男兒的BLOG (pfschina.org) 。