Por toda a vida, não consigo descobrir como configurar um firewall para usar corretamente o IPv6.
Primeiro, deixe-me explicar minha configuração. Eu criei um pequeno ambiente de teste para brincar com o IPv6 e ter uma ideia, antes de configurar meu ambiente de não teste para funcionar no modo de pilha dupla. Eu tenho um Asus DSL-AC68U como meu roteador e recebo uma sub-rede IPv6 nativa do meu provedor. O roteador é configurado para permitir a autoconfiguração dos clientes sem monitoramento de estado e enviar anúncios de roteador. Os clientes conectados diretamente a esse roteador obtêm um endereço e podem fazer ping no google.com usando o IPv6 e marcar 19/20 no link .
Eu tentei colocar um firewall entre meu roteador e os clientes. A placa de rede WAN nela recebe um endereço IPv6 atribuído a ela, bem como um endereço IPv4 e, usando a interface do firewall, posso pelo menos acessar o google.com usando o IPv4 e o IPv6. A placa de rede local não recebe um endereço e eu atribuo a ela uma sub-rede estática / 24 IPv4, configurei um servidor DHCPv4, um endereço IPv6 estático e configurei um anúncio de roteador para uma sub-rede / 64 (a mesma sub-rede em que está o endereço IPv6 estático) . Meus clientes por trás do firewall obtêm um endereço IPv4 e IPv6, nas sub-redes corretas, mas não conseguem entrar em contato com nada fora do firewall usando o IPv6 e qualquer coisa fora do firewall não consegue contatar os endereços por trás dele. A conectividade IPv4 funciona como seria de esperar. O firewall é totalmente aberto com uma única regra permitindo explicitamente tudo em qualquer direção. Traceroutes de fora da minha rede tentando entrar em contato com endereços IPv6 atrás do firewall param no gateway do meu provedor (ou seja, não na minha rede). Eu também tentei configurar manualmente o roteamento através das interfaces do firewall, bem como brincar com uma instância separada do pfsense (CE versão 2.4.3_1) em vez do meu dispositivo de firewall HW, mas eu não consegui obter mais do que isso .
O que estou perdendo? Ou, alternativamente, o que estou fazendo errado?
Eu ficaria grato por qualquer indicação. Se você precisar de registros, dumps de configuração, ... Eu ficaria feliz em fornecer uma versão editada.
EDIT: então, conforme solicitado, aqui está minha configuração de firewall (Watchguard M200 executando a versão do SO 12.2 Build 568630): no lado da WAN, o IPv4 é configurado via DHCP. O IPv6 está habilitado, o endereço é autoconfigurado e eu recebo uma sub-rede / 64 do meu roteador. O cliente DHCPv6 é ativado com confirmação rápida, a delegação de prefixo do cliente DHCPv6 é ativada com confirmação rápida. O IPv6 é 2001: X: X: 5000: X: X: X: X.
No lado da LAN, o IPv4 é estático (10.0.1.1) com um servidor DHCP em execução. O IPv6 também é estático (2001: X: X: 5001 :: 1) com um anúncio de prefixo para a sub-rede 2001: X: X: 5001 :: 1/64. Caixas autônomas e onlink são verificadas. O anúncio do roteador está sendo enviado com as flags M e O. O DHCP está desativado.
Os clientes por trás do firewall obtêm um endereço IPv6 como 2001: X: X: 5001: X: X: X: X por meio da configuração automática. Atualmente, existem apenas dois clientes, já que este é um ambiente de teste e, como tal, posso garantir que os endereços sejam exclusivos na rede.
O próprio firewall tem seu primeiro conjunto de políticas para permitir qualquer tipo de pacote em qualquer porta, de e para qualquer lugar. Não diferencia entre tráfego IPv4 e IPv6, ou pelo menos não encontro controle para alternar entre os dois.
O firewall não foi configurado. Ele foi redefinido várias vezes entre os testes e não há regras de NAT, listas brancas ou negras, ... Eu excluí todas as rotas explícitas configuradas por mim nos clientes e no firewall.
O arquivo de configuração completo do firewall pode ser encontrado no link