Capítulo 49 – IPv6
Introdução
O IPv6 já é realidade em boa parte do Brasil — a adoção nacional ultrapassa 50% segundo o Google. Ainda assim, muita gente trabalha confortavelmente só com IPv4 e “a vida segue”: você pesquisa no Google, publica no LinkedIn/Instagram, fala no WhatsApp e acessa o ERP.
Então… por que mexer nisso agora?
Porque ativar IPv6 melhora alcance, moderniza a rede, evita gambiarras futuras e, principalmente, te prepara para ambientes onde o provedor, parceiros ou aplicações exigem o protocolo.
Este capítulo não é um tratado teórico; é um passo a passo prático para você ligar IPv6 no OPNsense com segurança, validando em laboratório e depois em produção.
Escolha sua jornada
🔵 Pílula azul: deixe tudo como está. Seu computador pega IPv4 e você segue trabalhando.
🔴 Pílula vermelha: habilite IPv6 e veja até onde vai o seu tracert (ou melhor, traceroute -6).
A gente vai junto — com calma, testes e rollback à mão.
O que você precisa saber antes de começar
Antes de abrir o OPNsense, responda rapidamente:
- Seu IPv4 na WAN é fixo ou dinâmico (DHCP/PPPoE)?
- Seu provedor entrega IPv6? Se sim, ele delega prefixo (ex.: /56, /60, /64) via DHCPv6-PD?
- Existe documentação (ou contato) do provedor explicando como ativar IPv6?
Essas respostas direcionam o método de configuração:
- DHCPv6 + Prefix Delegation (PD): mais comum em links corporativos e residenciais modernos.
- Estático (endereços fixos + gateway): comum quando o provedor entrega bloco próprio /56, /48 etc.
- NAT66 (exceção): usado somente quando não há delegação/roteamento adequado; funciona, mas perde a “graça” do IPv6 (máquinas internas ainda dependem do NAT).
Planeje primeiro, mude depois
- Faça lab (EVE-NG/PNETLab ou um firewall de teste).
- Converse com o provedor: qual o prefixo, método (DHCPv6-PD/estático), MTU recomendado e dns.
- Documente decisões: onde será /64, quais VLANs recebem prefixo, como ficam as regras.
Conceitos rápidos (o mínimo para não tropeçar)
- Prefixo: o “equivalente IPv6” de falar “minha rede é 192.168.1.0/24”. No IPv6, redes internas costumam ser /64.
- Delegação de Prefixo (PD): a WAN recebe do provedor um bloco (ex.: /56) e o distribui em /64 para as LANs (Track Interface).
- RA (Router Advertisement): anúncio de rede (advertise) que ensina clientes a configurar IPv6 (auto, stateless, DHCPv6 etc.).
- DNS em IPv6: você pode entregar DNS para os clientes via RA (modo “Assisted”) ou usar DHCPv6.
- NAT66: tradução de endereços IPv6. Funciona, mas use só se precisar.
Cenário 1 — DHCPv6 na WAN + Track Interface na LAN
Quando usar: seu provedor entrega IPv6 via DHCPv6, com Prefix Delegation (/56 ou /64).
Vantagem: configuração rápida; o OPNsense “rastreia” o prefixo e distribui /64 para as LANs.
Passo a passo
-
Na WAN
- Acesse Interfaces → WAN
- Configure IPv6 Configuration Type como
DHCPv6
-
Na LAN (e/ou VLANs)
- Acesse Interfaces → LAN
- Configure IPv6 Configuration Type como
Track Interface - Selecione a Parent interface como a
WAN - (Se tiver múltiplas LANs/VLANs, cada uma ganha um Track ID diferente, derivando subprefixos do /56 delegado.)
-
Verificação
- Acesse Interfaces → Overview e confira se há endereços IPv6 na WAN e LAN.
- Clientes da LAN já devem obter IPv6 automaticamente.
-
DNS e RA (opcional, recomendado)
- Por padrão, o firewall anuncia a si mesmo como DNS. Para anunciar servidores DNS específicos:
- Acesse Interfaces → LAN.
- Marque Manual configuration na seção Track IPv6 Interface.
- Salve e Aplique.
- Acesse Services → Router Advertisements → LAN.
- Marque Router Advertisements:
Assisted. - Preencha o campo DNS Servers com os endereços de servidores IPv6 desejados. ex.:
2001:4860:4860::8888 - Clique em Save.
- Por padrão, o firewall anuncia a si mesmo como DNS. Para anunciar servidores DNS específicos:
-
Firewall
- Crie regras para permitir a navegação usando IPv6, assim como há regras para permitir o IPv4.
Cenário 2 — Endereços IPv6 estáticos (WAN e LAN)
Quando usar: o provedor te entregou endereços fixos (ponto-a-ponto na WAN) e um bloco roteado para a LAN.
Passo a passo
-
WAN (estático)
- Interfaces → WAN → IPv6 Configuration Type:
Static IPv6 - Address: por exemplo,
fdd0::2/64(use o entregue pelo provedor) - Gateway IPv6:
fdd0::1(crie e associe como gateway da WAN)
- Interfaces → WAN → IPv6 Configuration Type:
-
LAN (estático do bloco público)
- Interfaces → LAN → IPv6 Configuration Type:
Static IPv6 - Address: por exemplo,
2001:db8:1234:1::1/64(um /64 do seu bloco)
- Interfaces → LAN → IPv6 Configuration Type:
-
Anúncios e DHCPv6
- Services → Router Advertisements → LAN → Router Advertisements:
Assisted - (se quiser) Services → ISC DHCPv6 → LAN → configure o range de distribuição.
- Services → Router Advertisements → LAN → Router Advertisements:
-
Regras
- Autorize o tráfego de saída IPv6 pela interface LAN (ou VLANs).
Cenário 3 — NAT66 com ULA (último caso)
Quando usar: o provedor não delega prefixo e você precisa “dar IPv6” interno assim mesmo.
Limitações: não dá para “publicar” diretamente um host interno com IPv6 real; trate como se fosse IPv4+NAT (use port forward ou proxy reverso).
Passo a passo
-
WAN
- Interfaces → WAN → IPv6 Configuration Type:
DHCPv6(ou o método disponível)
- Interfaces → WAN → IPv6 Configuration Type:
-
LAN com ULA (Unique Local Address)
- Interfaces → LAN → Static IPv6: por exemplo,
fdde:5453:540e:ff12::1/64
- Interfaces → LAN → Static IPv6: por exemplo,
-
DHCPv6 (LAN)
- Services → ISC DHCPv6 → LAN
- From:
fdde:5453:540e:ff12::2 - To:
fdde:5453:540e:ff12:ffff:ffff:ffff:ffff
-
RA (LAN)
- Services → Router Advertisements → LAN → Router Advertisements:
Assisted
- Services → Router Advertisements → LAN → Router Advertisements:
-
NAT66
- Firewall → NAT → Outbound
- Mode:
Hybrid→ Save - + Add
- Interface: WAN
- Version:
IPv6 - Protocol:
any - Source:
LAN net(ouany) - Translation / Target:
WAN Address - Save → Apply
-
Teste
- Cliente da LAN deve pegar endereço fdde:…, pingar o google
ping -6 google.come navegar.
- Cliente da LAN deve pegar endereço fdde:…, pingar o google
Use NAT66 com critério
Ele resolve rapidamente, mas vai contra a filosofia IPv6. Se o provedor puder rotear seu prefixo, prefira os cenários 1 ou 2.
Ajustes finos (DNS, RA e preferências do sistema)
- DNS por RA: use Assisted e aponte DNS Servers em Services → Router Advertisements → LAN.
- DHCPv6: quando precisar entregar opções extras, configure em Services → ISC DHCPv6.
- Preferências globais: em Interfaces → Settings, não deixe “Prefer IPv4 over IPv6” ativo durante a validação.
Resolução de problemas (troubleshooting)
1) “Tenho IPv6, pinga, mas não navega / sites quebram”
Quase sempre é MTU (PMTU). Em PPPoE isso é comum.
- Interfaces → WAN → MTU =
1480→ Save → teste. - Se persistir, tente 1460.
- Persistindo, 1420 costuma salvar o dia.
2) “Cliente não pega IPv6”
- Confira se RA na LAN está em
Assisted. - Se usar DHCPv6, valide o range.
- Reinicie serviços (ou o firewall) após trocas grandes.
3) “Track Interface não funciona”
- O provedor não está delegando prefixo (PD), ou o prefixo é insuficiente.
- Confirme com o provedor: /56 é comum para múltiplas VLANs.
Boas práticas
- Valide em lab, depois vá para produção.
- Segmente: um /64 por VLAN é a regra de ouro.
- Logs e visibilidade: monitore System → Log Files e tráfego IPv6 (IDS, Proxy, etc.).
- Documente prefixos, VLANs e Track IDs.
- Fale com o provedor sobre PD, MTU e gateways.
- Evite NAT66 sempre que houver alternativa.
Conclusão
Habilitar IPv6 no OPNsense não precisa ser doloroso. Com planejamento, entendimento do modelo do provedor e testes controlados, você sai do “tá funcionando com IPv4” para um ambiente dual-stack limpo, previsível e pronto para o futuro.
Comece pelo Cenário 1 (DHCPv6 + Track Interface) — quando disponível, ele é simples e sólido.
Se tiver bloco próprio, o Cenário 2 (estático) te dá controle total.
Só recorra ao NAT66 quando for inevitável.