[решено] DHCPv6 не хочет раздавать, работает толь&#
-
Да, дело было в одной галочке.
Теперь каждый получает внешний IPv6 адрес по DHCPv6.
pfSense блокирует если не будет правила PASS на IPv6 на LAN.
Все IP светятся наружу.
-
Доброе.
А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ? -
Нет, я раздал IPv6 во второй LAN, в котором в основном виртуалки и ПК с различными службами Linux-base/BSD, там пару машин есть с windows server но уже обновлены.
Да и плюс винда на гипере, а там все планово на Dell MD1000 резервируется в случае таких случаев. Не факт, что майкрософт не только эту дыру забыли закрыть в свое время.
-
Доброе.
А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?Вполне получится, если не установлены обновления.
Неплохой тест IPV6 доступности своих (и не только :) ) хостов:
http://www.subnetonline.com/pages/ipv6-network-tools.php
Online Ping IPv6
Online TracePath IPv6
Online TraceRoute IPv6
Online Port Scanner IPv6
Online Dig IPv6_pfSense блокирует если не будет правила PASS на IPv6 на LAN. _
На LAN? На LAN, если верно помню, создается автоматом IPV6 LAN to ANY для доступа в интернет.
Может все же PASS на WAN? -
На LAN? На LAN, если верно помню, создается автоматом IPV6 LAN to ANY для доступа в интернет.
Может все же PASS на WAN?Только что проверил, если отрубить на LAN правила IPv6 - PASS то при пинге одной из машин -
PING 2001x:10(2001x:10) 32 data bytes
From 2001:470:x:2 icmp_seq=0 Destination unreachable: Address unreachable
From 2001:470:x:2 icmp_seq=1 Destination unreachable: Address unreachable
From 2001:470:x:2 icmp_seq=2 Destination unreachable: Address unreachable
From 2001:470:x:2 icmp_seq=3 Destination unreachable: Address unreachableт.е. судя по этому, ответ от шлюза 2001:470:x:2 (pfSense) не пропускает трафик. Правило PASS на LAN обязательно.
Доброе.
А не получится ли при прямом доступе в Сеть машин вот такого https://geektimes.ru/post/289115/ ? Или оно только IPv4 касается ?По сути роли не играет IPv4 или IPv6, порты так же будут доступны если не отфильтровать.
Думаю есть смысл сделать Alias список IPv6 адресов которым разрешено достукиваться со внешки и добавить в разрешающее правило.
-
Правило PASS на LAN обязательно.
Похоже - мы друг друга не совсем понимаем.Мне интересно, блокирует ли pfSense по умолчанию IPv6 доступ извне к IPv6 хостам при наличии IPV6 LAN PASS to any.
-
Правило PASS на LAN обязательно.
Похоже - мы друг друга не совсем понимаем.Мне интересно, блокирует ли pfSense по умолчанию IPv6 доступ извне к IPv6 хостам при наличии IPV6 LAN PASS to any.
Имея IPV6 каждый компьютер LAN светится в IPV6 интернет? Тестировал кратковременно IPV6 на Микротик, получалось именно так.
Или файрволл pfSense блокирует снаружи доступ к IPV6 LAN по умолчанию?Насколько я помню в pfSense по умолчанию используется последнее правило BLOCK ALL.
Правила на LAN никак не относятся к входящим пакетам по WAN, поскольку жестко указывается интерфейс и направление IN при формировании правил из конфига.
Так-что если на WAN, во FloatRules или UPnP нету явного разрешения pf будет блокировать пакет.Ну а в Mikrotik правило по умолчанию ACCEPT. И при создании сети IPv6 на Mikrotik, она оказывается никак не защищена.
Я просто списал несколько правил с IPv4 файрвола/ipv6 firewall filter add action=accept chain=forward connection-state=established,related disabled=no add action=drop chain=forward connection-state=invalid disabled=no add action=drop chain=forward in-interface=6to4-tunell1 connection-state=new disabled=no add action=drop chain=input in-interface=6to4-tunell1 disabled=no
Да, дело было в одной галочке.
Теперь каждый получает внешний IPv6 адрес по DHCPv6.
pfSense блокирует если не будет правила PASS на IPv6 на LAN.
Все IP светятся наружу.
pfSense с удовольствием пропустит внешней пакет, если на WAN будет разрешающее правило, а на LAN блокирущее.
Ведь в pfSense statefull firewall по умолчанию, который работает и для IPv4 и для IPv6 -
Попробую ваши правила для Микротика. Сам в спешке пытался это делать, но забыл про related.
У вас не нативный IPV6, 6to4? -
6to4 все по этой статье https://doc.pfsense.org/index.php/Using_IPv6_with_a_Tunnel_Broker, там только нет описания настройки DHCPv6, но с ним как оказалось все просто.
-
Попробую ваши правила для Микротика. Сам в спешке пытался это делать, но забыл про related.
У вас не нативный IPV6, 6to4?У провайдера есть купленные IPv6 сети, но не хотят настраивать и учиться работать.
Благо выдают по IPoE постоянный белый IPv4. Правда трафика все равно не много, не могу заставить работать браузеры и систему с IPv6 по умолчанию.