Serverdienste mit IPv6 und Prefix Delegation

vor 5 Jahren

Hallo zusammen.

 

TL;DR: Hat jemand bereits Serverdienste mit IPv6-PD und Firewall-Regeln bei sich erfolgreich implementiert?

 

Ich habe meine Firewall dazubekommen, sich bei der Telekom eine IPv6-Adresse zu holen und per Prefix Delegation an Clients im LAN zu verteilen. Der Zugriff auf IPv6-Dienste im Internet funktioniert gut.

 

Meine Frage ist nun eher andersrum: wie erstelle ich Firewall-Regeln und wie greife ich auf Dienste zu, die sich regelmäßig neue IPv6-Adressen holen werden? Sind das Fälle, in denen ich auf einen festen Präfix wechseln müsste? Ich meine, selbst Otto-Normal-Nutzer müssen bspw. für Gaming und Smart Home zu Hause zugreifen. Möchte doch nicht bei jedem Prefix-Wechsel meine Dienste im LAN "suchen". Stand heute (IPv4) teilt der Router dem DynDNS-Dienst die IP mit, das portbased NAT sorgt für den Rest. Die IPs der LAN-Clients haben sich nie geändert, nun aber müsste ich ja selbst meinen TV mit einem dynamischen DNS-Einträg versehen. Das ist doch schräg.

3328

3

  • vor 5 Jahren

    -Dennis-

    as ist doch schräg.

    as ist doch schräg.

    -Dennis-

    as ist doch schräg.


    Wieso Schräg, wenn du auf dein Endgerät aus dem Internet zugreifen willst, dann muss eine DNS die IPv6 Adresse auflösen. 

    Das geht über DynDNS bei IPv6 genauso wie bei IPv4.

    Je nach Dienst, musst du nur den Präfix mitteilen und die "hintere" Teil der IPv6 bleibt ja gleich - sofern da keine "Privacy Extention" mit im Boot ist.

     

    NAT entfällt halt bei IPv6 und es wird nur eine Portfreigabe für das jeweilige IPv6 Gerät eingerichtet

    2

    Antwort

    von

    vor 5 Jahren

    Begriffe im Text: IP=IPv6,  IPv4=IPv4

     

    Was vollkommen klar ist, ist die Tatsache, dass meine Server-IP in irgendeinerweise im globalen DNS hinterlegt sein muss (kein Problem) und dass portbased NAT entfällt. Aber nehmen wir mal das Beispiel Smart Home. Ich bekomme den Präfix 2003:a::/64 zugeordnet, mein Server (Smart Home-Gateway) schnappt sich nun 2001:a::1000, mein Fernseher die 2003:a:1001, ein IoT-Gerät die 2003:a::abc1 . Der AAAA-Eintrag für 2003:a::1000 wird getätigt, jedoch sucht der Server lokale Geräte immer noch im alten Präfix (sagen wir 2003:b4::/64). Zudem steht der Firewall-Eintrag von: any, nach: 2003:b4::2053, Port: TCP-443 und müsste nun automatisch auf von: any, nach: 2003:a::1000, Port: TCP-443 geändert werden. Echte Firewall-Regeln sind bei IPv6 unabdingbar, da die Adressen nun per Routing erreichbar sind. Bislang ist mein kein Hersteller bekannt, der ein derartiges Feature anbietet.

     

    Die Konsequenz wäre nun, dass alle ansprechbaren IP-Adressen einen selbstaktualisierbaren DNS-Eintrag benötigen oder Scripte zum Zusammenbasteln der IP aus aktuellem Prefix und dem Interface-Identifier. Das sind doch technologische Rückschritte. Das war im Fall von IPv4 insofern nicht notwendig, als das man sein Subnetz kannte und auch die IPv4 im DHCP festlegen oder statisch eintragen konnte.

    Antwort

    von

    vor 5 Jahren

    -Dennis-

    Die Konsequenz wäre nun, dass alle ansprechbaren IP-Adressen einen selbstaktualisierbaren DNS-Eintrag benötigen oder Scripte zum Zusammenbasteln der IP aus aktuellem Prefix und dem Interface-Identifier. Das sind doch technologische Rückschritte.

    Die Konsequenz wäre nun, dass alle ansprechbaren IP-Adressen einen selbstaktualisierbaren DNS-Eintrag benötigen oder Scripte zum Zusammenbasteln der IP aus aktuellem Prefix und dem Interface-Identifier. Das sind doch technologische Rückschritte.

    -Dennis-

    Die Konsequenz wäre nun, dass alle ansprechbaren IP-Adressen einen selbstaktualisierbaren DNS-Eintrag benötigen oder Scripte zum Zusammenbasteln der IP aus aktuellem Prefix und dem Interface-Identifier. Das sind doch technologische Rückschritte.


    Jetzt hast du es verstanden Fröhlich genau so ist es - in wie weit dies ein Rückschritt ist - überlasse ich dem Betrachter. Bei mir macht das ein Script ungefähr 5 Sekunden nachdem sich der Präfix geändert hat - sowohl in meinem persönlichen DNS, im Firewall als auch im DynDNS

     

    Oder du brachst eine Geschäftskundenanschluss und bekommst einen festen Präfix.

     

    Zu Hause kannst du auch mit Link-lokalen Adressen arbeiten, die ändert sich ja nie

     

    Es gibt Ansätze in Firewalls Regeln anzulegen, die nur auf den identifier prüfen und den Präfix selbst dazubasteln.

    Ich mach das aktuell über Firewallregeln die auf den FQDN abheben

    Uneingeloggter Nutzer

    Antwort

    von

Uneingeloggter Nutzer

Frage

von

Das könnte Ihnen auch weiterhelfen