Telekom hilft Community

Telekom Business Community

Privatkunden

Telekom Shops

Kontakt

 

Gelöst

IPv6 Router Advertisements - Firewall

vor 3 Jahren

Hallo zusammen, 

 

aktuell versuche ich mich wieder einmal mit der Thematik IPv6 zu beschäftigen. Allerdings habe ich aktuell noch einige große Fragezeichen um mich herumschwirren Zwinkernd 

 

Mittlerweile kann ich mir etwas unter den v6 Adressen vorstellen und auch an die Schreibweisen konnte ich mich etwas gewöhnen. Allerdings habe ich noch ein sehr großes Verständnisproblem in Bezug auf das Routing. 

 

Im IPv4 Bereich habe ich ja die Thematik NAT und meine Firewall kann / muss jeden Traffic kontrollieren bzw. routen damit die Clients Kontakt mit der Außenwelt aufnehmen können. Somit kann ich mir vorstellen, wie ich diese Abschotten (Ports) kann. 

 

Sofern ich das richtig verstanden habe, gibt es aufgrund der hohen Anzahl an V6 Adressen keine NAT mehr. Sprich jeder Client bekommt  sofort eine vollwertige Adresse aus den "WWW". 

 

=> Somit stellt sich mir die Frage, wie ich die Clients hinter einer Firewall entsprechend schützen kann. 

=> Eine feste Adressierung (ALIAS) der V6 Adressen kann ich ja schließlich ebenfalls nicht vornehmen, da ich ja davon ausgehen muss, dass sich das Bereitgestellte /56 Netz der Telekom sich ändern könnte

 

Hat hier vielleicht schon jemand Erfahrung im IPv6 Bereich sammeln dürfen und kann mir hier etwas auf die Sprünge helfen? 

 

Aktuell Nutze ich eine PFsense und habe die Interfaces wie folgt konfiguriert: 

WAN: 

=> IPV6 Configuration Type:  DHCP

db4ma_0-1666438351510.png

 

LAN: 

=> IPV6 Configuration Type:  Track Interface

db4ma_1-1666438401997.png

Und unter "DHCP v6 Server & RA" wurde als Router Mode:  Assisted ausgewählt. 

=> Nun bekomme ich eine IPv6 Adresse zugewiesen und die Testseiten im Internet sagen mir, dass ich sowohl via V4 und V6 online bin. 

 

Nur mein Verständnis Problem ist nun - Beziehe ich die IP von meiner Firewall oder von einem Server der Telekom? 

Sprich läuft der Traffic nach wie vor noch über die Firewall oder Umgehe ich diese so ? 

 

Bitte entschuldigt die vielleicht blöd klingenden Fragen, aber irgendwie stehe ich hier am Schlauch. 

 

Danke schon einmal für die Unterstützung. 

Gruß Mario

 

971

9

    • vor 3 Jahren

      @db4ma  schrieb:

      Nur mein Verständnis Problem ist nun - Beziehe ich die IP von meiner Firewall oder von einem Server der Telekom? 

      Sprich läuft der Traffic nach wie vor noch über die Firewall oder Umgehe ich diese so ? 

       

      Die IPv6 kann von einem DHCPv6 Server verteilt werden, das ist aber nicht der Normalfall. Der Router "advertised" ein IPv6-Präfix (/64, RA) in das LAN (beziehungsweise die Client fordern per RS an) und die Clients generieren sich die IPv6 dann selbst (eine oder beliebig viele, SLAAC) und prüfen dabei auch deren Eindeutigkeit (DAD/NS/NA).

       

      Die Firewall arbeitet auf Interface-Ebene (WAN und LAN) und lässt nach den dortigen Regeln Pakete rein oder blockt diese. Meistens gibt es da Default Regeln die Traffic "von innen nach außen"  allgemein zulassen (allow any), aber Traffic "von außen nach innen" blockieren (deny any).

       

      0

    • vor 3 Jahren

      @db4ma  schrieb:

       

      Nur mein Verständnis Problem ist nun - Beziehe ich die IP von meiner Firewall oder von einem Server der Telekom? 

      Sprich läuft der Traffic nach wie vor noch über die Firewall oder Umgehe ich diese so ? 

      Dein Router holt sich von der Telekom einen /56er Prefix macht daraus /64er Prefixe die er an die Hosts im LAN weitergibt. Den Interface Identifier (Suffix) sucht sich der Client selbst aus.

       

      In der Firewall kannst Du dann Regeln für die Suffixe festlegen. Verwendet ein Host die IPv6 Privacy Extensions, dann hat er in der Regel mehrere Adressen:

       

      - eine die er aktuell für ausgehende Verbindungen verwendet und die er regelmäßig ändert (zwengs der Privacy)

      - eine (oder mehrere) veraltete, die nicht mehr für neue ausgehende Verbindungen verwendet werden aber noch behalten werden weil noch Verbindungen darüber laufen und

      - eventuell eine feste die für ankommende Verbindungen genutzt wird

       

      In Heimroutern erlaubt die Firewall in der Regel keine ankommenden Verbindungen für die Privacy-Adressen. Für die festen Adresse kannst Du portweise Freigaben einrichten, das geht dann so ähnlich wie mit den Portweiterleitungen bei IPv4.

       

      6

      Antwort

      von

      vor 3 Jahren

      @lejupp  schrieb:
      In der Firewall kannst Du dann Regeln für die Suffixe festlegen

      Hey, ich glaube das ist das was mir bis jetzt fehlte. 

      >> Sprich die Suffixe, welche ich in der FW festlege sind dann "vergleichbar" mit Privaten IPv4 Subnetzen.  Nur dass diese dann direkt ohne Nat ins Netz kommen. 

       

       

      @fdi  schrieb:
      und prüfen dabei auch deren Eindeutigkeit (DAD/NS/NA)

      Die Begriffe werde ich dann nochmal nachschlagen. Danke 

       

       

      Somit wird mir langsam auch klar, dass ich für die Abschottung der Clients durch die Subnetze sichergestellt ist. Danke für den Hinweis. 

       

      Aber nochmal gerade zum Verständnis. 

      => Die Telekom stellt mir das /56 Prefix zur Verfügung, woraus ich mir dann mit den 8 Bit die /64 er Netze bauen kann. 

      => Die PrefixID stelle ich ja in der FW ein und binde diese dann an das Netz. 

      ==> Das ist dann im Übertragenen Sinne "vergleichbar" mit dem V4 Subnetz, welchen dem Interface zugeteilt ist. 

       

      Jetzt stellt sich mir nur die Frage,  welche Router Mode sinnvoll ist. 

       

      Wenn ich das richtig verstehe, dann wäre ja "Unmanaged" für mich die richtig Einstellung. Weil alle anderen Einstellungen den - bei mir - Deaktivierten DHCP Server voraussetzen. 

      Oder bin ich da falsch ?

       

      Disabled
RADVD will not be enabled on this interface.
Router Only
Will advertise this router.
Unmanaged
Will advertise this router with stateless autoconfig.
Managed
Will advertise this router with all configuration through a DHCPv6 server.
Assisted
Will advertise this router with configuration through a DHCPv6 server and/or stateless autoconfig.
Stateless DHCP
Will advertise this router with stateless autoconfig and other configuration information available via DHCPv6.

       

      Antwort

      von

      vor 3 Jahren

      lejupp

      Dein Router holt sich von der Telekom einen /56er Prefix macht daraus /64er Prefixe die er an die Hosts im LAN weitergibt. Den Interface Identifier (Suffix) sucht sich der Client selbst aus.

      Dein Router holt sich von der Telekom einen /56er Prefix macht daraus /64er Prefixe die er an die Hosts im LAN weitergibt. Den Interface Identifier (Suffix) sucht sich der Client selbst aus.
      lejupp
      Dein Router holt sich von der Telekom einen /56er Prefix macht daraus /64er Prefixe die er an die Hosts im LAN weitergibt. Den Interface Identifier (Suffix) sucht sich der Client selbst aus.

      Hallo, wollte jetzt ungern noch ein weiteres Thema aufmachen. Aber bitte erlaubt mir an dieser Stelle noch eine Frage. 

       

      Wenn ich nun folgende Adressen zugewiesen bekommen: 

      WAN

      2XXX : XXCX : 9FFF : 1EB3 : XXXX : 8AFF : FEB6 : XX2E /56

      Intenal network:

      2XXX : XXCX : 9D1E : 9320 : XXXX : EAFF : FE96 : 6X0F /64

      2XXX : XXCX : 9D1E : 9350 : XXXX : 1DFF : FE21 : 6FXC /64

       

      Wenn ich ein /56 Netzwerk bekomme, dann sollten die Adressen doch anders aussehen - oder bin ich hier falsch.

      2XXX : XXCX : 9FFF : 1E ....

      anstelle von

      2XXX : XXCX : 9D1E : 93 ...

       

      Oder kann es sein, dass ich ein andere Prefixlänge zugewiesen bekomme? 

       

       

      Antwort

      von

      vor 3 Jahren

      db4ma

      WAN 2XXX : XXCX : 9FFF : 1EB3 : XXXX : 8AFF : FEB6 : XX2E /56

      WAN

      2XXX : XXCX : 9FFF : 1EB3 : XXXX : 8AFF : FEB6 : XX2E /56

      db4ma

      WAN

      2XXX : XXCX : 9FFF : 1EB3 : XXXX : 8AFF : FEB6 : XX2E /56


      Das ist die Adresse des Routers und da dürfte dann eher /128 stehen.

      Uneingeloggter Nutzer

      Antwort

      von

    • Akzeptierte Lösung

      akzeptiert von

      vor 3 Jahren

      @db4ma  schrieb:
      Das würde aber bedeuten, dass meine LAN Interfaces sich nicht aus den Teilen des WAN interfaces zusammensetzen ? 

      Die WAN Adresse des Routers ist völlig losgelöst vom Präfix des Netzes. Dein 56er Präfix im obigen Beispiel ist x:xx:x: 93, daraus macht der Router dann 64 Bit Präfixe. Warum da nun zwei stehen, weiß ich nicht.

      0

    Uneingeloggter Nutzer

    Frage

    von

    Das könnte Ihnen auch weiterhelfen

    Gelöst
    Router Advertisements auf DigiBox Basic abschalten

    vor 3 Jahren

    in  

    Festnetz & Internet

    720

    0

    2

    Gelöst
    speedport smart4 firewall auch bei ipv6

    vor 4 Jahren

    in  

    Festnetz & Internet

    307

    0

    2

    ZTE mc801a 5G fixe /64 IPv6 Adresse und Bridge Mode - welches Gateway für Firewall?

    vor 3 Jahren

    in  

    Festnetz & Internet

    1225

    0

    0

    HUAWEI 5G CPE Pro 2 CLAT Modus, Firewallöffnung IPv6

    vor 4 Jahren

    in  

    Festnetz & Internet

    1715

    2

    4

    [Für Vortgeschrittene] Protfreigabe IPv6 Speedport Pro

    vor 4 Jahren

    in  

    Festnetz & Internet

    991

    2

    1

    Das könnte Sie auch interessieren

    • Kaufberatung anfragen

      Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.

      Kaufberatung anfragen

    • Angebote anzeigen

      Informieren Sie sich über unsere aktuellen Internet-Angebote.

      Angebote anzeigen
     

    Social Media

    Telekom FacebookTelekom InstagramTelekom X