IPv6 Weiterleitung Ports zu LAN



  • Hallo,

    ich bin irgendwie aufgeschmissen. Zum Thema IPv6 muss ich noch viel lernen und komme aktuell nicht weiter.

    Ich habe einen Server mit pfsense laufen. Angebunden ist der an das WAN mit einer öffentlichen IPv4 (5.6.7.8) und ein IPv6 Subnetz (2a01:xxxx:xxxx:70a2::/64). Die Server im LAN bekommen eine entsprechende IPv4 (10.0.0.x) aus dem LAN und eine IPv6 (2a01:xxxx:xxxx:70a2:2::a - 2a01:xxxx:xxxx:70a2:2::f).

    Nun habe ich im LAN einen Web-Server(10.0.0.2 , 2a01:xxxx:xxxx:70a2:2::a) und einen Mail-Server (10.0.0.3 , 2a01:xxxx:xxxx:70a2:2::b) . Die Domain leitet auf die IPv4 und IPv6 des pfsense-Server (5.6.7.8 , 2a01:xxxx:xxxx:70a2::1). Ich möchte den Mail- und Web-Server per ssh von "außen" erreichen. Den Web-Server über Port 5001 und den Mail-Server über Port 5002. Für IPv4 habe ich hierzu ein NAT eingerichtet, der die Ports 5001 und 5002 an die entsprechenden Server auf Port 22 weiterleitet.

    Aber wie kann ich die Server über IPv6 mit der gleichen Domain ansprechen?
    Ich kann die Server über die Ports entsprechend über IPv4 erreichen, über IPv6 nur über die jeweiligen Server-IPs auf dem Port 22. (Firewall Regeln geben das aktuell frei.)

    Viele Grüße
    proficleaner



  • @proficleaner IPv6 nutzt ja keine Weiterleitung, dementsprechend musst Du die Porst auf dem Server anpassen, nicht in pfSense.



  • Hallo @Bob-Dig ,

    dann kann ich also nicht mit der gleichen Domain umsetzen, sondern müsste z. B. für den Mail-Server die Subdomain mail.xxx nehmen?



  • This post is deleted!


  • @proficleaner Also die Port-Geschichte und die Domain-Geschichte sind nicht zwangsweise miteinander verbunden. Aber da Du die Domain auch bei IPv6 auf die pfSense zeigen lässt, hast Du natürlich ein Problem.

    Ich habe es bei mir so gemacht, dass ich für jeden Server eine eigene Subdomain benutze, die bei IPv6 auf die einzelnen Server ausgerichtet sind und bei IPv4 auf die pfSense.
    Ändert aber an der Port-Geschichte nix. IPv6 ist halt immer direkt erreichbar.
    Außer Du würdest dir ggf. HAProxy angucken, aber das ist komplizierter und würde ich nur machen, wenn Du mehrere und getrennte WebServer auf deren Standardports auf der selben IPv4 nutzen willst.



  • Dein IPv6 ist falsch konfiguriert oder du hast es falsch angegeben. Dein /64 ist auf beiden Seiten, das darf nicht sein!
    Ist 2a01:xxxx:xxxx:70a2::/64 nun auf WAN oder LAN?

    Der DNS muß die IPv4 des WAN Interfaces als A Record wiedergeben und die GUA IPv6 des entsprechenden Servers als AAAA, nicht der WAN Schnittstelle der pfsense. Den Mailserver gibst du als mx Record im DNS ein. Per SSH erreichst du den jeweiligen Server unter seiner jeweiligen Adresse direkt (per IPv6) oder genattet IPv4. Natürlich mußt du die Firewall entsprechend so konfigurieren, dass IPv6 (und ICMP für IPv6) auch von außen durchkommen. GGf kannst du als subdomain mail.example.com mit einem AAAA IPv6 Record hinterlegen, statt einen mx Record. Merke: NAT ist eine Krücke für den begrenzten IPv4 Adressraum, es ist nicht normal, Verkehr zu natten. IPv6 kann man einfach routen und mit einer Firewall durchlassen oder nicht.

    Grüße
    pfadmin



  • Hallo ihr beiden,

    Danke für die Antworten.

    Ich denke ich hatte mich unglücklich ausgedrückt, ich wollte nur darstellen, dass ich ein entsprechendes Subnet zur Verfügung habe. Die Server haben entsprechende IPs aus diesem Subnet.

    Nun denke ich auch, auf Basis euer Aussagen, mein Problem im Zusammenspiel zwischen IPv4 und IPv6 gelöst zu haben. Natürlich ist es einfach durch NAT einfach z. B. 5 unterschiedliche Ports an 5 gleiche Ports mit unterschiedlichen Servern weiterzuleiten. Es ist aber nicht unbedingt schön. Ich denke Ihr habt mir bei der Klärung sehr geholfen, viele Dank dafür.

    Viele Grüße
    proficleaner



  • @proficleaner Du kannst z.B. mit pfBlocker auch Einschränkungen machen, dass nur deutsche IPs auf Ports 22 zugreifen können oder Du schaltest noch ein VPN davor. Du kannst sogar eine Ausnahme nur für eine bestimmte DDNS-Adresse machen usw. ☺


Log in to reply