Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPv6 Firewallrule mit wechselndem Prefix

    Scheduled Pinned Locked Moved Deutsch
    6 Posts 2 Posters 963 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • micahelM
      micahel
      last edited by

      Hi,

      wie kann ich in der pfSense eine IPv6 Firewall Regel erstellen, die sich nur auf die Interface-ID bezieht und den Prefix ignoriert.
      Bei einer Fritzbox kann ich dort das Feld "IPv6 Interface-ID" belegen und egal welcher Prefix vergeben ist, die Regel greift.
      Geht sowas auch mit der pfSense?

      Danke für Eure Rückmeldung.

      Gruß
      Michael

      1 Reply Last reply Reply Quote 0
      • nonickN
        nonick
        last edited by

        Es gibt mMn. nur eine Möglichkeit und dazu benötigst du DHCPv6. Du erstellst eine statische DHCPv6 Zuordnung und gibst einen Hostname an. Dann erstellst du noch einen Host Alias, wo du den zuvor erstellten Hostname einträgst. Diesen Alias gibst du dann in der entsprechenden Firewall Regel ein.

        Das Prinzip ist klar. Der DHCPv6 Server kennt vom jeweiligen Host die aktuelle IPv6 Adresse. Diese IPv6 Adresse ist mit einem Hostname verknüpft wofür es einen Alias gibt. Durch das Eintragen des Alias in die entsprechende Firewall Regel wird damit auch die aktuelle IPv6 Adresse des Host eingetragen.

        Netgate 6100

        1 Reply Last reply Reply Quote 0
        • micahelM
          micahel
          last edited by

          Hi,

          Aber das hieße im Umkehrschluss, dass die IPv6 Adresse von aussen nicht erreichbar wäre. Aber das wiederum will ich ja (eben mit potentiell wechselnden Prefixe).
          An DHCPv6 traue ich mich noch nicht heran wegen Unkenntnis. Ich fahre das auf der pfSense im RA Modus.
          Falls jemand eine Schritt für Schritt Anleitung mit DHCPv6 hätte, würde ich mich da heran trauen.

          Mein Setup sieht grob so aus:
          Fritzbox exposed die pfSense und dort wiederum möchte ich den einen Server mit einen Port freischalten lassen. Die Regel aber verliert sofort Ihre Gültigkeit, sobald die Fritzbox an die pfSense neue Prefixe vergibt/meldet.

          Danke für Eure Rückmeldung.

          Gruß
          Michael

          1 Reply Last reply Reply Quote 0
          • nonickN
            nonick
            last edited by

            Du wirst nicht um DHCPv6 herumkommen, um Firewallregeln mit sich ändernden Präfix zu erstellen. Ob die Regel eingehend oder ausgehend aktiv ist, ist allein von der Firewallregel abhängig.

            Da ich keine Lust habe das alles aufzuschreiben, habe ich ein paar Bilder gemacht wie sowas aussehen könnte. Die Firewallregel ist als Beispiel am WAN Interface eingehend zu einem Server dargestellt.

            Als erstes aktivierst du DHCPv6 und erstellst eine statische Zuordnung von einem Client / Server. Dazu ist eine DUID notwendig. Den Hostname kannst du frei wählen, den benötigst du dann für den Alias (in dem Bsp. Webserver). Die IPv6 Adresse hat in dem Fall den Suffix ::100 und würde mit dem sich ändernden Präfix etwa so aussehen 2001:18b2:3066:b809::100

            Als nächstes stellst du unter RA den Router Modus auf: managed, other stateful, Präfix Flags

            Dann erstellst du einen Alias mit dem Hostname (in dem Bsp. Webserver) und gibst den Name vom Alias an.

            Den Namen vom Alias gibst du anschließend in der Firewallregel ein. In dem Bsp. als Ziel am WAN Interface, da die Regel eingehend zum Server gelten soll.

            Viel mehr kann man dazu nicht sagen, da die Infos vom Internet Provider und das OS vom Server (wo finde ich die DUID) fehlen.

            DHCPv6.jpg
            DHCPv6.jpg_thumb
            RA.jpg
            RA.jpg_thumb
            Alias.jpg
            Alias.jpg_thumb
            Firewall_WAN.jpg
            Firewall_WAN.jpg_thumb

            Netgate 6100

            1 Reply Last reply Reply Quote 0
            • micahelM
              micahel
              last edited by

              Hallo,

              Sorry für die späte Antwort. War im Urlaub.
              Vielen Dank für die Hilfe. Ich schaue mir das mal genauer an und melde mich wieder.

              Gruß

              1 Reply Last reply Reply Quote 0
              • micahelM
                micahel
                last edited by

                Hallo,

                also ich taste mich langsam voran:
                Um auf Deine Frage zu antworten

                Viel mehr kann man dazu nicht sagen, da die Infos vom Internet Provider und das OS vom Server (wo finde ich die DUID) fehlen.

                UnityMedia ist mein Provider, der mir eine /59 Prefix zuweist. Die Fritzbox wiederum deligiert weitere Subnetze mit /62, sodass ich 3 verschiedene Subprefixe habe auf den drei Interfaces von der pfSense.

                Ich frage mich gerade welchen Wert ich für die "Prefix Delegation Size" bei dem DHCPv6 Server einstellen sollte 63 oder gar 64?

                Mein Server läuft auf einem Centos7, so dass mich die Antwort interessieren würde, wie man hier die DUID heraus bekommt (beim Googeln kam mir nichts verwertbares entgegen)

                Vielen Dank!

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.