Serverdienste mit IPv6 und Prefix Delegation
5 years ago
Hallo zusammen.
TL;DR: Hat jemand bereits Serverdienste mit IPv6-PD und Firewall-Regeln bei sich erfolgreich implementiert?
Ich habe meine Firewall dazubekommen, sich bei der Telekom eine IPv6-Adresse zu holen und per Prefix Delegation an Clients im LAN zu verteilen. Der Zugriff auf IPv6-Dienste im Internet funktioniert gut.
Meine Frage ist nun eher andersrum: wie erstelle ich Firewall-Regeln und wie greife ich auf Dienste zu, die sich regelmäßig neue IPv6-Adressen holen werden? Sind das Fälle, in denen ich auf einen festen Präfix wechseln müsste? Ich meine, selbst Otto-Normal-Nutzer müssen bspw. für Gaming und Smart Home zu Hause zugreifen. Möchte doch nicht bei jedem Prefix-Wechsel meine Dienste im LAN "suchen". Stand heute (IPv4) teilt der Router dem DynDNS-Dienst die IP mit, das portbased NAT sorgt für den Rest. Die IPs der LAN-Clients haben sich nie geändert, nun aber müsste ich ja selbst meinen TV mit einem dynamischen DNS-Einträg versehen. Das ist doch schräg.
3335
3
This could help you too
5 years ago
as ist doch schräg.
as ist doch schräg.
Wieso Schräg, wenn du auf dein Endgerät aus dem Internet zugreifen willst, dann muss eine DNS die IPv6 Adresse auflösen.
Das geht über DynDNS bei IPv6 genauso wie bei IPv4.
Je nach Dienst, musst du nur den Präfix mitteilen und die "hintere" Teil der IPv6 bleibt ja gleich - sofern da keine "Privacy Extention" mit im Boot ist.
NAT entfällt halt bei IPv6 und es wird nur eine Portfreigabe für das jeweilige IPv6 Gerät eingerichtet
2
Answer
from
5 years ago
Begriffe im Text: IP=IPv6, IPv4=IPv4
Was vollkommen klar ist, ist die Tatsache, dass meine Server-IP in irgendeinerweise im globalen DNS hinterlegt sein muss (kein Problem) und dass portbased NAT entfällt. Aber nehmen wir mal das Beispiel Smart Home. Ich bekomme den Präfix 2003:a::/64 zugeordnet, mein Server (Smart Home-Gateway) schnappt sich nun 2001:a::1000, mein Fernseher die 2003:a:1001, ein IoT-Gerät die 2003:a::abc1 . Der AAAA-Eintrag für 2003:a::1000 wird getätigt, jedoch sucht der Server lokale Geräte immer noch im alten Präfix (sagen wir 2003:b4::/64). Zudem steht der Firewall-Eintrag von: any, nach: 2003:b4::2053, Port: TCP-443 und müsste nun automatisch auf von: any, nach: 2003:a::1000, Port: TCP-443 geändert werden. Echte Firewall-Regeln sind bei IPv6 unabdingbar, da die Adressen nun per Routing erreichbar sind. Bislang ist mein kein Hersteller bekannt, der ein derartiges Feature anbietet.
Die Konsequenz wäre nun, dass alle ansprechbaren IP-Adressen einen selbstaktualisierbaren DNS-Eintrag benötigen oder Scripte zum Zusammenbasteln der IP aus aktuellem Prefix und dem Interface-Identifier. Das sind doch technologische Rückschritte. Das war im Fall von IPv4 insofern nicht notwendig, als das man sein Subnetz kannte und auch die IPv4 im DHCP festlegen oder statisch eintragen konnte.
Answer
from
5 years ago
Die Konsequenz wäre nun, dass alle ansprechbaren IP-Adressen einen selbstaktualisierbaren DNS-Eintrag benötigen oder Scripte zum Zusammenbasteln der IP aus aktuellem Prefix und dem Interface-Identifier. Das sind doch technologische Rückschritte.
Die Konsequenz wäre nun, dass alle ansprechbaren IP-Adressen einen selbstaktualisierbaren DNS-Eintrag benötigen oder Scripte zum Zusammenbasteln der IP aus aktuellem Prefix und dem Interface-Identifier. Das sind doch technologische Rückschritte.
Jetzt hast du es verstanden
genau so ist es - in wie weit dies ein Rückschritt ist - überlasse ich dem Betrachter. Bei mir macht das ein Script ungefähr 5 Sekunden nachdem sich der Präfix geändert hat - sowohl in meinem persönlichen DNS, im Firewall als auch im DynDNS
Oder du brachst eine Geschäftskundenanschluss und bekommst einen festen Präfix.
Zu Hause kannst du auch mit Link-lokalen Adressen arbeiten, die ändert sich ja nie
Es gibt Ansätze in Firewalls Regeln anzulegen, die nur auf den identifier prüfen und den Präfix selbst dazubasteln.
Ich mach das aktuell über Firewallregeln die auf den FQDN abheben
Unlogged in user
Answer
from
Unlogged in user
Ask
from