OPNsense 防火墙系列四:固定 IPv6 后缀 + IPv6 端口转发

说明

在前文 OPNsense 防火墙系列一:安装、基础配置(PPPoE、IPv6、更换软件源) 中,配置了 IPv6 的追踪接口,使得所有设备都拥有公网 IPv6 地址。这使得我们在原理上可以通过公网访问内网任何一台终端的接口,但是由于安全性令人担忧,OPNsense 默认不放行任何 IPv4 和 IPv6 的 WAN 口入站访问 LAN 的请求。

接下来,就可以通过 IPv6 端口转发(或 WAN 反向代理,本文不记录),使得公网可以访问允许的服务。

固定 IPv6 后缀

但是由于网络运营商的限制,每隔一段时间会重新分配 WAN 口 IPv6 ,导致内网全部设备 IPv6 都要更换,对于 OPNsense 网络配置稳定性形成挑战。

为了更好的配置 OPNSense IPv6 端口转发,本文先记录如何配置内网 IPv6 64 后缀固定,再通过后缀配置防火墙规则。

WAN

接口 -> [WAN] 中,配置:

项目 子项目
DHCPv6客户端配置
配置模式 基本
仅请求IPv6前缀 勾选
前缀委派大小 60
发送IPv6前缀提示 不勾选
使用IPv4连接 勾选

保存,并应用更改。

LAN

接口 -> [LAN] 中,配置:

项目 子项目
跟踪IPv6接口
IPv6接口 WAN
IPv6前缀ID 0
允许手动调整DHCPv6和路由器通告 勾选

保存,并应用更改。

DHCPv6

服务 -> DHCPv6 -> [LAN] 中(该服务只在 LAN 中勾选 允许手动调整DHCPv6和路由器通告 后才启动),配置:

项目 说明
在LAN接口上启用DHCPv6服务 不勾选

保存,并应用更改。

服务 -> DHCPv6 -> 中继 中,配置:

项目 说明
启用DHCPv6中继 不勾选

保存,并应用更改。

路由器通告

服务 -> 路由器通告 -> [LAN] 中(该服务只在 LAN 中勾选 允许手动调整DHCPv6和路由器通告 后才启动),配置:

项目 说明
路由器通告 Assisted
路由器优先级 正常

其他默认即可。保存,并应用更改,重启主机。

表格 路由器通告 项目:

  • 选择要在此接口发送路由器通告要设置的标记。 使用“Router Only”禁用无状态地址自动配置(SLAAC)和DHCPv6,对于SLAAC为“Unmanaged”(A flag),对于有状态DHCPv6为“Managed”(M+O flags),对于状态DHCPv6和SLAAC(M+O+A flags)为“Assisted”,对于无状态DHCPv6和SLAAC(O+A flags)为“Stateless”。

参考: 跟大家分享下内网分发ipv6的设置方法,纯干货,折腾了3个月终于摸索出来了。 (opnsense.org)

开始使用

此时——

IPv6 端口转发

配置别名

防火墙 -> 别名 中的 别名 页面,添加:

项目 说明
启用 勾选
名称 自定义 示例为 test
类型 动态IPv^主机
内容 缺省的内网主机 IPv6 后 64 位后缀 实例为 ::1234:1234:1234:1234
接口 LAN

应用。

端口转发

防火墙 -> NAT -> 端口转发 中,添加:

项目 子项目 说明
编辑重定向条目
禁用该规则 不勾选
接口 WAN
TCP/IP版本 IPv6
协议 TCP
any 源 高级
源端口范围 anyany 源 高级
目标 WAN 地址
目标端口范围 从 -> 自定义 示例:从 (其他) 10001
到 -> 自定义 示例:到 (其他) 10001
定向目标IP 选择配置的别名 选择示例别名 test
重定向目标端口 自定义 示例 HTTPS
NAT回流 启用

保存,并应用更改。

防火墙高级设置

防火墙 -> 设置 -> 高级 中,配置:

项目 子项目 说明
IPv6选项
允许IPv6 勾选
NAT
端口转发回流设置 勾选
1:1NAT回流 不勾选
自动出站NAT回流 勾选

保存,并应用更改,重启主机。

浏览器清除缓存

用以清楚指定域名网站 HSTS 配置缓存:

  • Chrome :chrome://net-internals/#hsts

  • Edge : edge://net-internals/#hsts

参考: 关闭HSTS后清除Chrome/Edge带来的影响 - 憧憬点滴记忆 (licoy.cn)

开始使用

接下来就可以通过 OPNsense 设置的 WAN 目标端口访问内网服务器了。

这里还有其他配置可以参考,只不过没有验证: OPNsense配置使用IPv6地址 | 鐵血男兒的BLOG (pfschina.org)

posted @ 2022-09-02 00:21  Yogile  阅读(7373)  评论(1编辑  收藏  举报