Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon OPNsense IPv6 tunnel con Hurricane Electric TunnelBroker

sábado, 4 de enero de 2025 | Publicado por el-brujo | Editar entrada

OPNsense soporta IPv6 nativo así como IPv6 en túnel. Este artículo muestra cómo configurar TunnelBroker, el túnel IPv6-en-IPv4 de Hurricane Electric, con OPNsense. Si se encuentra en los EE.UU. y utiliza Netflix, es posible que no desee seguir estas instrucciones. Netflix ahora bloquea TunnelBroker.





Introducción

Si usas IRC o necesitas acceso a SMTP a través de la conexión TunnelBroker, Hurricane Electric requiere que pases por su proceso gratuito de certificación IPv6. Su nivel «sage» es el más alto y le permitirá habilitar IRC y SMTP. Tenga en cuenta que su cortafuegos OPNsense debe estar conectado directamente a Internet. Estar detrás de un NAT no funcionará.

El resto de este artículo asume que ya tienes una cuenta TunnelBroker. Si no es así, regístrese y pase por el proceso de certificación IPv6 gratuito. Se proporcionan capturas de pantalla a lo largo de este artículo.

Tunnel Broker de Hurricante

Ves a registrarte en https://tunnelbroker.net/ y haz el nivel mínimo de certificación requerido para ser HE.NET IPv6 Certified. Para ser honesto, no recuerdo lo que tomó, pero no creo que tomó mucho tiempo.

Cuando hayas terminado, desde el tablero de instrumentos, haz Crear túnel regular.

Introduzca la WAN IPv4 para la puerta de enlace OPNsense y elija el punto final más cercano, Seattle en mi caso. A continuación, cree el túnel.



Muy importante: Bajo Routed IPv6 Prefixes, mire en Routed /48. Debería tener un enlace que diga Routed /48. Debería haber un enlace que diga que hay que emitir uno. Hazlo.


Una vez creado tu túnel, no olvides solicitar un prefijo /48 IPv6 en el panel de control de tu nuevo túnel IPv6. Lo sé, lo sé, piensas que la red /64 por defecto ya es gigantesca, ¿por qué necesitarías un espacio de red aún mayor para tu pequeña casa, verdad? Dejame explicarte como funciona el direccionamiento IPv6, y entenderas que la red /64 en realidad no es tan grande.


Las Direcciones Global Unicast (GUA) tienen reservados los 3 primeros y los 64 últimos bits. Los 61 bits restantes en el centro se dividen entre el prefijo de enrutamiento global y el ID de subred.


El mecanismo SLAAC (Stateless Address Autoconfiguration) - que utilizaremos para configurar las direcciones IP - permite la autoasignación de direcciones IPv6 únicas a los dispositivos de la red - y requiere una red /64 completa para funcionar. Así que, si alguna vez quieres más de una red con SLAAC en casa, necesitas solicitar más de una red /64. Yo tengo tres interfaces en mi OPNSense, así que necesito (al menos) tres redes /64. O una red subdividible más grande. TunnelBroker ofrece /64 o /48 - no hay otras alternativas.

    ¿Por qué?

        Si usas el Routed /64 que te dan, todos los servicios de Google sospecharán de ti. Resulta que Google simplemente pone en la lista negra todo el rango del que forman parte. En mi caso, esto significaba que Google me hacía pasar captchas para casi todo y que la página de inicio de Google me redirigía a la variante com.hk sin importar lo que hiciera.

        Si eres como yo, tienes múltiples subredes que enrutar de todas formas... y un /64 en lenguaje IPv6 sólo vale una subred... aunque es absolutamente masivo, es la unidad más pequeña de división de red.

    ¡CUIDADO!

        Sólo puedes emitir uno de éstos cada 24 horas. Si por alguna razón lo borraste o te metiste con él... tienes que esperar 24 horas antes de poder hacer uno nuevo. Te dará algún tipo de error de límite. Adivina cómo me di cuenta.

Añadir GIF Tunnel

Añade el túnel GIF a su OPNSense.Este no es un tipo de interfaz común; está un poco escondido, pero lo encontrará si indaga en Interfaces - Otros tipos - GIF


Añade un nuevo puerto de túnel GIF con los siguientes detalles:

Parent interface          WAN
GIF remote address        [assigned Server IPv4]
GIF tunnel local address  [assigned Client IPv6]
GIF tunnel remote address [assigned Server IPv6] /64
Route Caching             disabled
ECN friendly behavior     disabled
Parent interface


WAN




GIF remote address


Server IPv4 Address




GIF tunnel local address


Client IPv6 Address




GIF tunnel remote address


Server IPv6 Address/64




Route caching


disabled




ECN friendly behavior


disabled




Description


Tunnel Broker


Configura el túnel GIF como una nueva interface


Asigna el puerto de túnel GIF a una nueva interfaz. Encontrará las asignaciones en Interfaces-Asignaciones. Seleccione el túnel GIF para una Nueva Interfaz y pulse el signo + junto a él. Aparecerá una nueva interfaz de red bajo tus Interfaces, probablemente llamada algo así como OPT4. Selecciónala, habilítala y renómbrala como quieras (yo la llamé TUN por, ya sabes, Túnel). Con esto configurado, tu OPNSense debería tener una conexión IPv6 activa con el mundo que termina en OPNSense.


El túnel GIF recién creado debe ser ahora asignado como una nueva interfaz. Ve a Interfaces ‣ Asignaciones, selecciona el túnel GIF para Nueva interfaz y pulsa el signo + junto a él.

A continuación, en Interfaces ‣ [OPTX] (o Interfaces ‣ [TunnelBroker] dependiendo de lo que haya seleccionado) marque Habilitar interfaz y cambie la descripción a, por ejemplo, TUNNELBROKER antes de pulsar Guardar.

La interfaz recién creada debe ahora ser configurada como la puerta de enlace IPv6 por defecto en Sistema ‣ Puertas de enlace ‣ Configuración editando la nueva entrada de puerta de enlace TUNNELBROKER_TUNNELV6 y marcando Puerta de enlace ascendente antes de guardar.



Establecer reglas de cortafuegos IPv6

1) Esto era completamente innecesario para mi ya que las conexiones salientes están permitidas por defecto y las entrantes están denegadas por defecto. No tenía intención de pasar nada en el lado IPv6 ahora mismo así que me lo salté.

2) Ahora añado reglas básicas de cortafuegos. Como tengo una red LAN y una red WLAN, permito que la WLAN inicie conexiones con la LAN, pero no al revés. Sólo tengo servidores en LAN, mientras que la mayoría de mis clientes están en WLAN (LAN inalámbrica). Bloqueo todas las conexiones entrantes a LAN y WLAN. Por supuesto, las conexiones salientes están bien.




3) O bien crear:
  • - Permitir todo el tráfico entrante IPv6 ICMP de cualquier origen
  • - Denegar todo el tráfico saliente a 2620:108:700f::/48
  • - Denegar todo el tráfico saliente a 2a01:578:3::/48

La primera regla es bastante obvia - la gestión de IPv6 depende en gran medida de los controles ICMP y deberías dejar que ICMP fluya, incluso si eres paranoico. (nota: no seas paranoico, IPv6 funcionará mejor si no lo eres)

La segunda y la tercera regla no son tan obvias; niegan el flujo IPv6 a los servidores de Netflix. Sí, Netflix. Netflix odia las VPNs o servidores proxy porque... Razones. Tunnel Broker usa puntos finales de salida que están registrados como salidas VPN y como Netflix odia las VPNs, no podrás Netflix a través de TunnelBroker. Tenemos que bloquear el tráfico IPv6 a Netflix, por lo que los clientes de streaming se degradarán a IPv4 y seguirán haciendo streaming.

Asigna IPv6 a tus interfaces LAN

Ahora configura tu interfaz LAN. La dirección IPv6 estática que le daremos es una dirección /64 de su /48 asignada. No mostraré la configuración de la WLAN simplemente porque es la misma. Repetirás el mismo proceso para otras redes, pero asignando a la siguiente interfaz una dirección /64 distinta.

 ¿Qué gracia tiene tener IPv6 en el puerto WAN de tu router si el resto de tus redes domésticas no pueden verlo? Dirígete a cada una de tus interfaces LAN, establece el tipo de Configuración IPv6 a IPv6 Estático, y asígnales una dirección IPv6 estática que esté en el rango de tu espacio /48 enrutado (como te lo dio TunnelBroker). Usé la calculadora de subredes IPv6 para dividir mi /48 en 4 redes - porque tengo tres interfaces LAN:


Configurar DHCPv6 SLAAC

  • Configurar DHCPv6 SLAAC
A continuación configuraremos OPNsense para Stateless Address Auto Configuration (SLAAC). Vaya a Servicios ‣ Anuncios del Enrutador y elija una interfaz.

Configura los Anuncios del Enrutador como Asistidos y la Prioridad del Enrutador como Normal.




 - Esto no siempre funciona. No importaba lo que intentara para el rango del /64 que creé a partir del /48, no arrancaba. Fui a Sistema > Archivos de registro > General y decía 

El rango especificado se encuentra fuera de la subred actual

 Buscando en internet para que se obtiene este post del foro entre otros para pfsense / opnsense que dicen que esto es frustrante, pero no tienen resultados. Así que no configures DHCPv6. En su lugar, vaya a Servicios > Anuncios de Enrutador y configúrelo como No Administrado. Todos los clientes se inventarán algo en el rango y no pasa nada. Ignora completamente Servicios > DHCPv6 > LAN y déjalo desactivado.

Cada interfaz LAN de OPNSense obtiene su propia dirección IPv6 enrutable públicamente - yo normalmente asigno la primera dirección (::1) de cada subred al puerto LAN. Repita el siguiente proceso para cada una de sus interfaces LAN, guarde y aplique los cambios a medida que avanza:


Habilitar RA y SLAAC


¿Cómo llegan las direcciones IPv6 a los clientes en las redes LAN? Aunque DHCPv6 existe, se usa muy poco ya que el estándar IPv6 incluye una forma mucho más fresca de asignar direcciones. Como se explicó al principio, los routers anuncian regularmente sus rutas IPv6 a través de RAs (Route Advertisements) en cada interfaz LAN, por lo que todos los dispositivos con capacidad IPv6 pueden escuchar los mensajes RA. Los dispositivos utilizan entonces SLAAC (StateLess Address AutoConfiguration) para generar su propia dirección IPv6 - basada en la ruta anunciada y su propia dirección MAC HW. Si puedes, evita DHCPv6 y utiliza RA y SLAAC en su lugar.

La configuración de RA está bajo Servicios - Anuncios de Router. Puede que me esté pasando anunciando «todas» las rutas (::) y OPNSense como servidor DNS por defecto, pero esta configuración me funciona y no la voy a tocar. Repite la misma asignación de RA para cada una de tus LANs:



Test configuración IPv6


Ahora debería estar configurado para IPv6. Para probar tu configuración, pon en línea una máquina IPv6, usa tu herramienta favorita para determinar que tienes una dirección IPv6. Si estás usando SLAAC, puede tardar hasta 30 segundos o más en obtener una dirección IPv6. Si ves que tu interfaz tiene una dirección IPv6, puedes intentar ir a un sitio de prueba sólo IPv6, como http://6.ifconfig.pro/.

Probar si funciona ping:

ping6 2620:fe::fe

PING 2620:fe::fe(2620:fe::fe) 56 data bytes
64 bytes from 2620:fe::fe: icmp_seq=1 ttl=60 time=7.05 ms
64 bytes from 2620:fe::fe: icmp_seq=2 ttl=60 time=7.01 ms
64 bytes from 2620:fe::fe: icmp_seq=3 ttl=60 time=7.19 ms
64 bytes from 2620:fe::fe: icmp_seq=4 ttl=60 time=7.27 ms

DDNS IPv6

Definir DDNS para Tunnel Broker. Este paso es necesario para todos los hogares que obtienen direcciones IP asignadas dinámicamente (DHCP) de los ISP. En el momento en que su ISP cambie su dirección IP pública, el TunnelBroker dejará de funcionar. Por lo tanto, necesitamos crear el auto-fix.

Primero, volvamos al portal de TunnelBroker y tomemos tres piezas de información:

  • Nombre del túnel (lo encontrarás en el panel de inicio, se parece a esto: tunnel123456.tunnel.tserv14.sea1.ipv6.he.net
  • Nombre de usuario (el que creaste cuando creaste la cuenta TunnelBroker)
  • Clave de actualización (que se encuentra en la página Avanzado de la configuración del túnel) - se utilizará como contraseña

Ahora puedes crear el Servicio de DNS Dinámico en OPNSense y permitir la actualización automática:
Si tu dirección IPv4 es dinámica, es importante mantener actualizado el extremo del túnel para mantener la conectividad IPv6 a través del túnel. Configuraremos las actualizaciones automáticas utilizando ddclient.

En primer lugar, instala el complemento os-ddclient en Sistema ‣ Firmware ‣ Complementos. Una vez instalado, actualiza la interfaz de usuario y ve a Servicios ‣ DNS Dinámico ‣ Configuración. Añade una nueva cuenta y rellena la siguiente información, extrayéndola de la configuración del túnel de Tunnelbroker cuando sea necesario.


Service

he-net-tunnel

Username

Tunnelbroker account username

Password

Update Tunnel Key

Hostname(s)

Tunnel ID

Para el método Comprobar ip, seleccione cualquier método que devuelva una dirección IPv4 (por ejemplo, ipify-ipv4, Interfaz [IPv4] o ipv4only.me). Si utiliza «Interfaz [IPv4]», seleccione también la interfaz WAN adecuada que desea supervisar.

Añade una Descripción para su propio uso y deje el resto de opciones sin modificar. Habilita y guarda la configuración de esta cuenta y, a continuación, habilite e inicie el servicio DNS dinámico.






Fuentes:

Etiquetas: , , , , , , ,

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.