[решено] DHCPv6 не хочет раздавать, работает толь&#

pigbrother

То есть дело было в этом?

It looks like for some reason on my LAN interface I had checked "Block Bogon Networks" which blocked all Link-Local IPv6 Traffic such as DHCPv6. My clients pull addresses now from DHCPv6 yay!

Позволю себе дилетантский вопрос:

Имея IPV6 каждый компьютер LAN светится в IPV6 интернет?  Тестировал кратковременно  IPV6 на Микротик, получалось именно так.
Или файрволл pfSense блокирует снаружи доступ к IPV6 LAN по умолчанию?

httpxss

Да, дело было в одной галочке.

Теперь каждый получает внешний IPv6 адрес по DHCPv6.

pfSense блокирует если не будет правила PASS на IPv6 на LAN.

Все IP светятся наружу.

werter

Доброе.
А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?

httpxss

Нет, я раздал IPv6 во второй LAN, в котором в основном виртуалки и ПК с различными службами Linux-base/BSD, там пару машин есть с windows server но уже обновлены.

Да и плюс винда на гипере, а там все планово на Dell MD1000 резервируется в случае таких случаев. Не факт, что майкрософт не только эту дыру забыли закрыть в свое время.

pigbrother

@werter:

Доброе.
А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?

Вполне получится, если не установлены обновления.

Неплохой тест IPV6 доступности своих (и не только :) ) хостов:
http://www.subnetonline.com/pages/ipv6-network-tools.php
Online Ping IPv6
Online TracePath IPv6
Online TraceRoute IPv6
Online Port Scanner IPv6
Online Dig IPv6

_pfSense блокирует если не будет правила PASS на IPv6 на LAN. _
На LAN? На LAN, если верно помню, создается автоматом IPV6 LAN to ANY для доступа в интернет.
Может все же PASS на WAN?

httpxss

На LAN? На LAN, если верно помню, создается автоматом IPV6 LAN to ANY для доступа в интернет.
Может все же PASS на WAN?

Только что проверил, если отрубить на LAN правила IPv6 - PASS то при пинге одной из машин -

PING 2001x:10(2001x:10) 32 data bytes
From 2001:470:x:2 icmp_seq=0 Destination unreachable: Address unreachable
From 2001:470:x:2 icmp_seq=1 Destination unreachable: Address unreachable
From 2001:470:x:2 icmp_seq=2 Destination unreachable: Address unreachable
From 2001:470:x:2 icmp_seq=3 Destination unreachable: Address unreachable

т.е. судя по этому, ответ от шлюза 2001:470:x:2 (pfSense) не пропускает трафик. Правило PASS на LAN обязательно.

Доброе.
А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?

По сути роли не играет IPv4 или IPv6, порты так же будут доступны если не отфильтровать.

Думаю есть смысл сделать Alias список IPv6 адресов которым разрешено достукиваться со внешки и добавить в разрешающее правило.

pigbrother

Правило PASS на LAN обязательно.
Похоже - мы друг друга не совсем  понимаем.

Мне интересно, блокирует ли pfSense по умолчанию IPv6 доступ извне к IPv6 хостам при наличии IPV6  LAN PASS to any.

PbIXTOP

@pigbrother:

Правило PASS на LAN обязательно.
Похоже - мы друг друга не совсем  понимаем.

Мне интересно, блокирует ли pfSense по умолчанию IPv6 доступ извне к IPv6 хостам при наличии IPV6  LAN PASS to any.

@pigbrother:

Имея IPV6 каждый компьютер LAN светится в IPV6 интернет?  Тестировал кратковременно  IPV6 на Микротик, получалось именно так.
Или файрволл pfSense блокирует снаружи доступ к IPV6 LAN по умолчанию?

Насколько я помню в pfSense по умолчанию используется последнее правило BLOCK ALL.
Правила на LAN никак не относятся к входящим пакетам по WAN, поскольку жестко указывается интерфейс и направление IN при формировании правил из конфига.
Так-что если на WAN, во FloatRules или UPnP нету явного разрешения pf будет блокировать пакет.

Ну а в Mikrotik правило по умолчанию ACCEPT. И при создании сети IPv6 на Mikrotik, она оказывается никак не защищена.
Я просто списал несколько правил с IPv4 файрвола

/ipv6 firewall filter
add action=accept chain=forward connection-state=established,related disabled=no
add action=drop chain=forward connection-state=invalid disabled=no
add action=drop chain=forward in-interface=6to4-tunell1 connection-state=new disabled=no
add action=drop chain=input in-interface=6to4-tunell1 disabled=no

@httpxss:

Да, дело было в одной галочке.

Теперь каждый получает внешний IPv6 адрес по DHCPv6.

pfSense блокирует если не будет правила PASS на IPv6 на LAN.

Все IP светятся наружу.

pfSense с удовольствием пропустит внешней пакет, если на WAN будет разрешающее правило, а на LAN блокирущее.
Ведь в pfSense statefull firewall по умолчанию, который работает и для IPv4 и для IPv6

pigbrother

Попробую ваши правила для Микротика. Сам в спешке пытался это делать, но забыл про related.
У вас не нативный IPV6, 6to4?

httpxss

6to4 все по этой статье https://doc.pfsense.org/index.php/Using_IPv6_with_a_Tunnel_Broker, там только нет описания настройки DHCPv6, но с ним как оказалось все просто.

PbIXTOP

@pigbrother:

Попробую ваши правила для Микротика. Сам в спешке пытался это делать, но забыл про related.
У вас не нативный IPV6, 6to4?

У провайдера есть купленные IPv6 сети, но не хотят настраивать и учиться работать.
Благо выдают по IPoE постоянный белый IPv4. Правда трафика все равно не много, не могу заставить работать браузеры и систему с IPv6 по умолчанию.