Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPv6 - irgendwann muss man anfangen - Firewall Frage

    Scheduled Pinned Locked Moved
    Allgemeine Themen
    4
    8
    659
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      slu
      last edited by

      Ich schiebe das Thema schon eine Weile vor mir her, aber jetzt bin ich auf ein Problem gestoßen das ich
      mich endlich mit IPv6 beschäftigen muss (was kein Fehler ist).

      Meine OpenVPN Road Warrior sollen immer durch den Tunnel gehen, das funktioniert mit IPv4 ausgezeichnet.
      Ist der Road Warrior aber in einem fremden Netz mit IPv6 und der Webserver hat auch IPv6 geht das am Tunnel vorbei, klar
      im OpenVPN und der pfSense ist IPv6 noch deaktiviert und nicht konfiguriert.

      Ich habe in allen Firewall Regeln IPv4 ausgewählt, damit dürfte vom WAN -> LAN auch mit aktiviertem IPv6 nichts durchkommen, sehe
      ich das richtig?

      Wenn ich die Wikipedia richtig verstehe gibt es auch private IPv6 Bereiche (ULA), macht es Sinn solche für die OpenVPN Verbindung zu nehmen?

      Für mich ist das im Moment noch alles schwer lesbar und ich kann das ganze Thema noch nicht überblicken, stehe aber auch am Anfang.

      pfSense Gold subscription

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @slu
        last edited by

        @slu said in IPv6 - irgendwann muss man anfangen - Firewall Frage:

        Ich habe in allen Firewall Regeln IPv4 ausgewählt, damit dürfte vom WAN -> LAN auch mit aktiviertem IPv6 nichts durchkommen, sehe
        ich das richtig?

        Je nachdem auf was du dich beziehst ist das richtig so. Wenn auf dem WAN oder sonstigen Interfaces keine v6 Regeln angelegt sind, wird default alles wie üblich geblockt, ja.

        Wenn ich die Wikipedia richtig verstehe gibt es auch private IPv6 Bereiche (ULA), macht es Sinn solche für die OpenVPN Verbindung zu nehmen?

        Das kommt ganz darauf an, was man vor hat. Wenn du lediglich auf interne Systeme zugreifen willst, kann man das natürlich machen. Wenn du aber bspw. deinen Traffic via Tunnel auch wieder ins Internet schicken willst wie bei IPv4, dann macht es mehr Sinn, einen /64er Prefix des größeren Prefixes, das man hoffentlich am Anschluß hat, dem VPN als Tunnelnetz zu geben, damit die Clients dann auch sauber rausgeroutet werden können. Das ist dann der Moment, wo wieder dynamische Prefixe alle Routing-Logik zerlegen und alles den Bach runter geht, denn einen Service kann ich an der Stelle eben wieder nicht mit dynamischen Prefixen bestücken.

        Cheers
        \jens

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        S 1 Reply Last reply Reply Quote 1
        • S
          slu @JeGr
          last edited by

          @jegr
          danke Jens.

          Ich werde dann im ersten Schritt mal IPv6 auf dem WAN aktivieren und schauen was da so kommt.

          Und ja ich möchte den Internet Traffic vom Road Warrior durch den Tunnel ins Internet leiten.
          Die IPv6 Adresse sind für mich sehr unübersichtlich zum lesen, gibt es da eine Eselsbrücke?

          Was mir auch noch nicht klar ist, sowas wie "! Privat Networks" wird für die IPv6 Adressen auch nicht mehr gehen, ich brauche dazu zwingend ein festes IPv6 Netz das sich nicht mehr ändert.

          Bin ich der einzigste dem IPv6 so schwer fällt 😬

          pfSense Gold subscription

          JeGrJ 1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator @slu
            last edited by

            @slu said in IPv6 - irgendwann muss man anfangen - Firewall Frage:

            Bin ich der einzigste dem IPv6 so schwer fällt

            Einzige 👅
            Und nein, es ist halt ein wenig umgewöhnen und eine andere Protokollfamilie.

            Die IPv6 Adresse sind für mich sehr unübersichtlich zum lesen, gibt es da eine Eselsbrücke?

            Kommt darauf an. Bei einem /56er Prefix kannst du dir ja ein /64er ausschneiden nach Wunsch. Das kann man dann auch "kurz" schreiben (ohne 0) und mit :: Syntax. Und die Prefixe selbst kann man mit der :: Schreibweise ganz angenehm abkürzen.

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            S 1 Reply Last reply Reply Quote 0
            • S
              slu @JeGr
              last edited by slu

              @jegr said in IPv6 - irgendwann muss man anfangen - Firewall Frage:

              Einzige 👅

              es sieht so aus als ob ich der Einzige einzigste wäre 😁
              Danke für den Hinweis.

              Ich hab gerade schon den ersten Stolperstein [1] gefunden, meine pfSense ist halt schon alt..
              System -> Advanced -> Networking -> Allow IPv6 war false

              [1] https://docs.netgate.com/pfsense/en/latest/config/advanced-networking.html

              pfSense Gold subscription

              1 Reply Last reply Reply Quote 0
              • Bob.DigB
                Bob.Dig LAYER 8
                last edited by

                Ich benutze solche IPv6 Adressen:
                fd28:faaf:f468:1:192:168:1:10

                Bitte nicht steinigen. 😅

                m0njiM JeGrJ 2 Replies Last reply Reply Quote 0
                • m0njiM
                  m0nji @Bob.Dig
                  last edited by

                  @bob-dig
                  hehe das habe ich für einen kurzen Zeitraum auch mit öffentlichen IPv6 Adressen so gehandhabt. Bis ich dann realisiert habe: "hee die wird ja dann auch auf jeder angesurften Seite so gespeichert." War zwar einfach zu merken für mich, dass ich die interne IPv4 Adresse auch als Teil der IPv6 Adresse genutzt habe. Sinnvoll war es aber nicht ;)

                  Intel i3-N305 / 4 x 2.5Gbe LAN @2.7.2-Release
                  WAN: Vodafone 1000/50, Telekom 250/40; Switch: USW Enterprise 8 PoE, USW Flex XG, US-8-60W; Wifi: Unifi 6 Lite AP, U6 Mesh

                  1 Reply Last reply Reply Quote 0
                  • JeGrJ
                    JeGr LAYER 8 Moderator @Bob.Dig
                    last edited by

                    @bob-dig said in IPv6 - irgendwann muss man anfangen - Firewall Frage:

                    Ich benutze solche IPv6 Adressen:
                    fd28:faaf:f468:1:192:168:1:10

                    Bitte nicht steinigen. 😅

                    vor allem zu lang - wenn man die schon fix vergibt, kann man sie auch kürzen ;)

                    fd28:faaf:f468:1::10

                    ist mir da lieber

                    Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                    If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                    1 Reply Last reply Reply Quote 1
                    • First post
                      Last post