IPv6 Firewallrule mit wechselndem Prefix



  • Hi,

    wie kann ich in der pfSense eine IPv6 Firewall Regel erstellen, die sich nur auf die Interface-ID bezieht und den Prefix ignoriert.
    Bei einer Fritzbox kann ich dort das Feld "IPv6 Interface-ID" belegen und egal welcher Prefix vergeben ist, die Regel greift.
    Geht sowas auch mit der pfSense?

    Danke für Eure Rückmeldung.

    Gruß
    Michael



  • Es gibt mMn. nur eine Möglichkeit und dazu benötigst du DHCPv6. Du erstellst eine statische DHCPv6 Zuordnung und gibst einen Hostname an. Dann erstellst du noch einen Host Alias, wo du den zuvor erstellten Hostname einträgst. Diesen Alias gibst du dann in der entsprechenden Firewall Regel ein.

    Das Prinzip ist klar. Der DHCPv6 Server kennt vom jeweiligen Host die aktuelle IPv6 Adresse. Diese IPv6 Adresse ist mit einem Hostname verknüpft wofür es einen Alias gibt. Durch das Eintragen des Alias in die entsprechende Firewall Regel wird damit auch die aktuelle IPv6 Adresse des Host eingetragen.



  • Hi,

    Aber das hieße im Umkehrschluss, dass die IPv6 Adresse von aussen nicht erreichbar wäre. Aber das wiederum will ich ja (eben mit potentiell wechselnden Prefixe).
    An DHCPv6 traue ich mich noch nicht heran wegen Unkenntnis. Ich fahre das auf der pfSense im RA Modus.
    Falls jemand eine Schritt für Schritt Anleitung mit DHCPv6 hätte, würde ich mich da heran trauen.

    Mein Setup sieht grob so aus:
    Fritzbox exposed die pfSense und dort wiederum möchte ich den einen Server mit einen Port freischalten lassen. Die Regel aber verliert sofort Ihre Gültigkeit, sobald die Fritzbox an die pfSense neue Prefixe vergibt/meldet.

    Danke für Eure Rückmeldung.

    Gruß
    Michael



  • Du wirst nicht um DHCPv6 herumkommen, um Firewallregeln mit sich ändernden Präfix zu erstellen. Ob die Regel eingehend oder ausgehend aktiv ist, ist allein von der Firewallregel abhängig.

    Da ich keine Lust habe das alles aufzuschreiben, habe ich ein paar Bilder gemacht wie sowas aussehen könnte. Die Firewallregel ist als Beispiel am WAN Interface eingehend zu einem Server dargestellt.

    Als erstes aktivierst du DHCPv6 und erstellst eine statische Zuordnung von einem Client / Server. Dazu ist eine DUID notwendig. Den Hostname kannst du frei wählen, den benötigst du dann für den Alias (in dem Bsp. Webserver). Die IPv6 Adresse hat in dem Fall den Suffix ::100 und würde mit dem sich ändernden Präfix etwa so aussehen 2001:18b2:3066:b809::100

    Als nächstes stellst du unter RA den Router Modus auf: managed, other stateful, Präfix Flags

    Dann erstellst du einen Alias mit dem Hostname (in dem Bsp. Webserver) und gibst den Name vom Alias an.

    Den Namen vom Alias gibst du anschließend in der Firewallregel ein. In dem Bsp. als Ziel am WAN Interface, da die Regel eingehend zum Server gelten soll.

    Viel mehr kann man dazu nicht sagen, da die Infos vom Internet Provider und das OS vom Server (wo finde ich die DUID) fehlen.










  • Hallo,

    Sorry für die späte Antwort. War im Urlaub.
    Vielen Dank für die Hilfe. Ich schaue mir das mal genauer an und melde mich wieder.

    Gruß



  • Hallo,

    also ich taste mich langsam voran:
    Um auf Deine Frage zu antworten

    Viel mehr kann man dazu nicht sagen, da die Infos vom Internet Provider und das OS vom Server (wo finde ich die DUID) fehlen.

    UnityMedia ist mein Provider, der mir eine /59 Prefix zuweist. Die Fritzbox wiederum deligiert weitere Subnetze mit /62, sodass ich 3 verschiedene Subprefixe habe auf den drei Interfaces von der pfSense.

    Ich frage mich gerade welchen Wert ich für die "Prefix Delegation Size" bei dem DHCPv6 Server einstellen sollte 63 oder gar 64?

    Mein Server läuft auf einem Centos7, so dass mich die Antwort interessieren würde, wie man hier die DUID heraus bekommt (beim Googeln kam mir nichts verwertbares entgegen)

    Vielen Dank!


Log in to reply