[solved] IPv6 Port Forwarding tatsächlich möglich
-
@jegr Mir geht es darum, andere Ports nach außen zu verwenden als die oft gescannten Standard-Ports. Mit NAT easy und intern kann alles auf den Standard-Ports bleiben, mit IPv6 war das dann zeitgleich aber problematisch. Wenn das jetzt einfach so geht wie gezeigt, das fände ich klasse. Ich benutze eh SRV Records im DNS um die Ports zu "publizieren".
Werde es gleich mal testen, allerdings unter 2.4.5... -
Mein Eindruck ist, auf x86 Plattformen scheint es auch relativ wenig Probleme zu geben.
Die Umstellung auf der ARM Seite scheint noch ein wenig zu hackeln.
Egal was ich versucht hatte, den S2S Tunnel habe ich nach Neuanlage zwar stabil up bekommen, aber Daten gingen nicht durch.
Bin dann am WE wieder runter auf 2.4.5p1 und warte jetzt den ersten Patch ab.Gerade gelesen das auf dem SG-1100 wohl der Crypto Treiber fehlerhaft ist.
Scheint aber auf beide zu zu treffen. Denn auch als nur die SG-3100 auf 21.02 war, wollte da nix laufen.
Der Tunnel zur Fritz lief mach Neuanlage.Na wird schon mit ein wenig Geduld.
-
@bob-dig said in Neue pfSense Version erschienen:
@jegr Mir geht es darum, andere Ports nach außen zu verwenden als die oft gescannten Standard-Ports. Mit NAT easy und intern kann alles auf den Standard-Ports bleiben, mit IPv6 war das dann zeitgleich aber problematisch. Wenn das jetzt einfach so geht wie gezeigt, das fände ich klasse.
Funktioniert tatsächlich auch für IPv6, danke @JeGr !
Und das trotz NAT in der Überschrift.
-
@bob-dig said in Neue pfSense Version erschienen:
Funktioniert tatsächlich auch für IPv6, danke @JeGr !
Aber "leider" geht auch der "alte" Port noch genauso, bringt mir also tatsächlich so doch nix.
-
@jegr said in Neue pfSense Version erschienen:
Bei Redirection gehts um IP UND Port in Kombination.
Und das geht ebenfalls mit IPv6? Ist das dann nicht doch NAT?
Edit: Heilige Makkaroni, man scheint ja tatsächlich IPv6 wie IPv4 NATen zu können.
Mein Problem dabei, das NAT-Ziel ist ebenfalls immer auch unter dem ursprünglichen Port von außen erreichbar...Edit2: Man kann damit aber das DDNS-Problemchen umgehen, indem man halt von der pfSense NATet.
-
@bob-dig said in Neue pfSense Version erschienen:
@jegr Mir geht es darum, andere Ports nach außen zu verwenden als die oft gescannten Standard-Ports. Mit NAT easy und intern kann alles auf den Standard-Ports bleiben, mit IPv6 war das dann zeitgleich aber problematisch. Wenn das jetzt einfach so geht wie gezeigt, das fände ich klasse. Ich benutze eh SRV Records im DNS um die Ports zu "publizieren".
Macht keinen Sinn, mit ZMAP scannst du so schnell mit tcp syns dass dieses ganze "andere Port" Blubb völlig nutzlos ist. Das ist in den meisten Fällen nur leidiges Security through Obscurity was gar nichts bringt. Einzig bei einigen wenigen Punkten (wie bei SSH) sag ich "OK" zu sowas, weil es bspw. bei SSH tatsächlich das Grundrauschen an Bots etc. einfach wegdrückt und SSH flexibel ist.
Wenn die offen sein sollen - dann macht man sie auf. Wenn eh nur du drauf willst, dann mach sie nur per VPN auf. Sehe das einfach pragmatisch.
@bob-dig said in Neue pfSense Version erschienen:
Edit: Heilige Makkaroni, man scheint ja tatsächlich IPv6 wie IPv4 NATen zu können.
Es ist kein NAT...
Mein Problem dabei, das NAT-Ziel ist ebenfalls immer von außen erreichbar...
Weil es NICHT dafür gedacht ist irgendwelche Ports in der Gegend herumzuschieben. Und durch die Natur des Regelwerks von "pf" ist das IMMER so. RDR Regeln kommen natürlich vor den Filterregeln. Also wird das Paket auf den "neuen" Port umgeschrieben und kommt so in die Filterregeln. Somit wird dann in der Regel gegen den bisherigen Port gematcht.
Deshalb schreib ich ja, dass das so keinen Sinn macht bei ner Public IP.
-
@jegr Hab noch eine Sache ergänzt drüber (DDNS).
Was die Security betrifft, durch SRV kann man halt andere Ports definieren, die dann tatsächlich deutlich weniger "angegrabbelt" werden, das gilt zumindest für IPv4.
Und was ist, wenn ich auf private IPv6 RDRe? Das müsste doch dann tatsächlich sicher sein.
Ich hatte bis gerade keine Ahnung, dass das überhaupt mit IPv6 geht.
-
@bob-dig said in Neue pfSense Version erschienen:
Und was ist, wenn ich auf private IPv6 RDRe? Das müsste doch dann tatsächlich sicher sein.
Nur weil private Adressen im Spiel sind, ist nichts "plötzlich sicher". NAT war NIE eine Security Schicht. NAT und RFC1918 Adressen sind keine Verbesserung der Sicherheit. Das muss man sich immer im Kopf behalten. Nichts wird dadurch sicherer, dass man private Adressen nutzt. Es wird nur alles um eine "magnitude of order" komplexer und abgefuckter. Sorry - kann man nicht anders ausdrücken ;)
-
Aber es würde gehen ja? Mich stört halt noch, dass der Server immer noch direkt erreichbar ist. Mal sehen was passiert, wenn ich den in den privaten Adressraum verschiebe.
Hab auch mal das Topic geändert. Wenn jemand das alte Topic aufgreifen will, einfach ein eigenes aufmachen.
-
@bob-dig said in IPv6 Port Forwarding:
Aber es würde gehen ja? Mich stört halt noch, dass der Server immer noch direkt erreichbar ist. Mal sehen was passiert, wenn ich den in den privaten Adressraum verschiebe.
Du hast die Frage selbst beantwortet. Wenn du irgendwas in einen privaten - per Definition NICHT gerouteten - Bereich schiebst, dann kann der auch über die Adresse nicht erreicht werden. Wie auch ;)
Hat aber nichts mit Sicherheit sondern bloßer Verschleierung zu tun. Und es wird noch lustiger wenn dann die Kiste FDxy und public IP6 zusammen hat. Und dann darf die IP6 von der aus auf die ULA gemappt wird nicht die gleiche Range sein, wie intern als GUA genutzt wird. Und und und.
Deshalb mein Satz: das wird noch wesentlich "bescheidener" wenn man anfängt solche potentiellen Mausefallen (oder fuckups) zu bauen. Darum: Nope. Würde ich im Leben so nie einsetzen egal "obs geht". Das ist genau der Murks, der uns NAT4 überhaupt erst eingebrockt hat. Und irgendwelche Ports zu verschaukeln nutzt eh kaum jemand. Dann setz doch direkt den Service auf einem anderem Port auf? :)
-
@jegr said in IPv6 Port Forwarding:
Dann setz doch direkt den Service auf einem anderem Port auf? :)
Zu viel Arbeit.
Ich komm dermaßen langsam voran, gerade festgestellt, dass der DHCPv6 erst mal richtig zurückgesetzt werden will, bekam einfach keine ULA zugewiesen, da vorher dynamisch. Du machst mich aber zuversichtlich, auch wenn es absolut nicht gewollt ist.
Damit wäre das DDNS-Problem gelöst (DDNS auf jeder Kiste), als auch das Portproblem.
Ich bin halt mir NAT groß geworden, auch wenn das hier jetzt kein NAT sein sollte.
-
@bob-dig Ich verstehs halt nicht. Denylisten reingeknallt, ggf. noch nen geoIP Block drüber und dann einfach stinknormal den Port filtern wie sonst auch. Wenn da was läuft was kritisch ist, muss mans eben überlegen extra abzusichern. Auf dem Host oder mit anderen Mitteln. HIDS oder derlei.
Aber klar, probebasteln kannst dus, kann halt genauso groß explodieren ;)
-
Hat funktioniert, damit ist auch der dynamische Prefix kein Problem mehr, es ist quasi genauso wie mit IPv4, wenn man denn eine ULA benutzt. Meine mich zu erinnern, dass Du @JeGr die Dinger auch überall ausrollst (ULAs).
Ich hätte nie gedacht, dass das geht!!!
Gut, zumindest pfSense 2.4.5 macht es einem auch schwer, weil es sich weigert, IPv6-Adressen direkt zu forwarden, es geht nur mit Aliases.
-
Ich vermute mal, eine ähnliche Funktionalität für IPv6 kann man auch mit ha_proxy erreichen, unabhängig vom Protokoll etc? Wenn dem so ist, wäre es vermutlich professioneller, das darüber umzusetzen.
Andere Frage, mehr das ursprüngliche Topic betreffend, bevor ich es geändert habe.
@JeGr Du hast ja die aktuelle pfSense auch hinter einem anderen Router laufen und hast keine größeren Probleme gehabt? Ich würde gerne zum Testen eine eigene virtuelle 2.5 aufsetzen, aber hinter der bestehenden 2.4.5. Mein Problem damit wäre es aber quasi noch mal dahinter zu kommen, in das LAN der 2.5. Wie könnte ich das erreichen, außer ebenfalls eine weitere "Client"-VM aufzusetzen, die dann LAN spielt? Wobei ich werde es wohl doch so machen, brauche ja nur einen Browser. -
Du kannst die VM auch mit mehreren VLANs betreiben, in eins kommt dann ein Testclient oder eine VM die dann über die Lab Sense laufen muss um ins Internet zu gelangen.
-
@nocling Hab inzwischen einfach noch einen Client aufgesetzt und konnte bis jetzt das Problem nicht nachstellen, wird wohl Zeit für einen absoluten Neustart.
Was mich noch beschäftigt, pfSense scheint mir den falschen Treibr für meine NIC zu installieren, es nimmt igb, es sollte lt. FreeBSD aber em sein (Intel 82580). Zumindest habe ich ein MSIX Problem, wenn ich eine Gen2 Vm damit mache.
Frage, wie wählt man den passenden Treiber in pfSense aus? Ich würde es zumindes testen wollen, ob es mit dem em Treiber geht. -
@bob-dig said in IPv6 Port Forwarding tatsächlich möglich:
@JeGr Du hast ja die aktuelle pfSense auch hinter einem anderen Router laufen und hast keine größeren Probleme gehabt? Ich würde gerne zum Testen eine eigene virtuelle 2.5 aufsetzen, aber hinter der bestehenden 2.4.5. Mein Problem damit wäre es aber quasi noch mal dahinter zu kommen, in das LAN der 2.5. Wie könnte ich das erreichen, außer ebenfalls eine weitere "Client"-VM aufzusetzen, die dann LAN spielt? Wobei ich werde es wohl doch so machen, brauche ja nur einen Browser.
- Kiste als VM installieren.
- Kiste zieht sich DHCP von der 2.4.5er und hat dein "LAN" quasi als WAN sowie 192.168.1.0/24 als LAN gesetzt. Wenn dein LAN 192.168.1.0 ist - doof. Dann musst du die VM direkt anders konfigurieren.
- Wenn VM fertig ist:
- auf VM Konsole aufrufen
- Option 12
playback enableallowallwanexit
- Testweise die UI via der DHCP vergebenen WAN IP aufrufen
- Tada pfSense 2.5 auf WAN IP erreicht. Einloggen und ggf. WAN Regel soweit abändern wie gewünscht.
-
@bob-dig said in IPv6 Port Forwarding tatsächlich möglich:
Was mich noch beschäftigt, pfSense scheint mir den falschen Treibr für meine NIC zu installieren, es nimmt igb, es sollte lt. FreeBSD aber em sein (Intel 82580). Zumindest habe ich ein MSIX Problem, wenn ich eine Gen2 Vm damit mache.
FreeBSD installiert nichts. Der macht beim Booten einen HW Check und schaut sich an was die Interfaces für Infos rausgeben und wenn er meint, das ist ein igb, dann ist es wohl ein igb Interface. Hätte es noch nirgends gesehen, dass hier aus Jux ein falscher Treiber geladen wird. Zudem sind in 2.5 Treiber auch aktualisiert und zusammengefasst worden. Würde also ggf. nochmals nachlesen ob das wirklich "falsch" ist oder das einfach nur ein Treibermerge war.
-
@jegr Jau, die Site von FreeBDS scheint da nicht sonderlich aktuell zu sein. Ich habe jetzt auf eine 10G-NIC gewechselt, weil diese besser läuft. Und bei diesem Wechsel ist mir die VM irgendwie kaputt gegangen und ich bin nun ausschließlich auf einer frischen 2.5 unterwegs. Bis auf IPv6 hab ich inzwischen fast alles per Hand wieder eingerichtet, sofern mich meine Erinnerungen nicht trügen.
[solved]: IPv6 Port Forwarding ist tatsächlich möglich und wird genauso wie bei IPv4 gemacht.
