IPv6 Internettraffic vom LAN-Interface wird durch ominöse Firewall-Regeln geblockt



  • Hallo zusammen,

    ich beschäftige mich schon eine längere Zeit mit der Anbindung meiner PFSENSE über IPv6 und weiß mittlerweile nicht mehr weiter. Ich habe diesbezüglich schon etliche Foren- und Blogbeiträge durchforstet. Nachfolgend die Situation und der aktuelle Status.

    Die pfsense befindet sich hinter einer Fritzbox, welche den Internetzugriff managed. Da diese Fritzbox von mehreren Parteien genutzt wird, kann sie nicht ersetzt werden. Der Internet-Provider (Deutsche Glasfaser) bietet ein /56 Netz an. Die Fritzbox gibt weitere Netze an nachgelagerte Router (pfsense) weiter (IA_PD). Zudem ist die pfsense als Exposed Host eingerichtet.

    Aktuell bekommt das WAN Interface eine routbare IPv6 Adresse. Über das LAN-Interface werden IPv6-Adressen über DHCPv6 verteilt. Dies ist gewünscht, da zukünftig mehrere Netze mit unterschiedlichen IPv6-Adressen verteilt werden sollen. Dies funktioniert einwandfrei. Auch im Log der Fritzbox ist zu erkennen, dass IPv6-Nezte weiter deligiert werden.

    Das WAN-Interface kann externe IPv6 Adressen erreichen, dass LAN-Interface jedoch nicht (trotz routbarer IPv6-Adressen). Dies hat zur Folge, das über IPv6 kein Internetzugriff möglich ist. Und dies ist aktuell mein Knackpunkt.

    In der Firewall ist ICMPv6 von außerhalb ins LAN gestattet und LAN-seitiger Traffic nach draußen ist ohne Einschränkung erlaubt. Testehalber hatte ich zwischenzeitlich IPv6 komplett offen. Dies hat jedoch keine Abhilfe geschaffen.

    Nach etwas forschen im Log habe ich eine Firewall-Regel entdeckt, die teilweise IPv6-Verkehr blockiert. Dies gilt für alle Interfaces, die IPv6 aktiviert hatten (Ausnahme: WAN).

    Beispiel:
    @91(1000004720) block drop in log on ! re1 inet6 from 2a00:XXXX::/64 to any
    @92(1000004720) block drop in log on re1 inet6 from fe80::1:1 to any

    Ich frage mich nun, wo diese Regeln herkommen. Sie scheinen durch einen anderen Service automatisch generiert worden zu sein, da ich diese Regeln nicht in der Regelliste im Web-Interface wiederfinde. Ich tendiere Richtung DHCPv6.

    Hat da jemand von euch eine Idee? Oder sehe ich mittlerweile den Wald vor lauter Bäumen nicht ... ;-) ?

    Besten Dank :-)


  • LAYER 8 Moderator

    @Trunex said in IPv6 Internettraffic vom LAN-Interface wird durch ominöse Firewall-Regeln geblockt:

    Nach etwas forschen im Log habe ich eine Firewall-Regel entdeckt, die teilweise IPv6-Verkehr blockiert. Dies gilt für alle Interfaces, die IPv6 aktiviert hatten (Ausnahme: WAN).

    Dann sieh doch in den Regeln nach WO die Regeln stehen und was sie angelegt hat?
    Und wenn sie nirgends stehen - schau im Log Viewer was als Description angegeben ist, deshalb gibt es die ja. Normalerweise steht bei allem was automatisch generiert wird nen Standard Text bei. Gibts keinen Text wäre das seltsam dann muss die Regel irgendwo definiert sein. Bei allem was Benutzer angelegt haben steht norml. USER RULE mit bei.



  • Besten Dank erstmal für die Rückmeldung @JeGr!

    Tatsächlich habe ich die Beschreibungen der Regeln etwas stiefmütterlich behandelt, was mir natürlich jetzt auf die Füße fällt. Unabhängig davon habe ich die Rule-ID mit jeder einzelnen Regel händisch verglichen (ein typischer Fall von selber Schuld). Allerdings passte die ID zu keiner Regel, die unter Firewall angelegt wurde.

    Lediglich in der CLI konnte ich die Regel finden. Der Inhalt dieser Regel passt jedoch zu keiner, die ich selbst angelegt habe. Da mein Regelwerk sehr übersichtlich ist, kann ich das mit Sicherheit so sagen (vielleicht ca. 10 Regeln). Im Log stand User Rule meines Wissens nach nicht bei.

    Deshalb ist deine Frage die Richtige: Wo stehen die Regeln und wie wurden sie angelegt? Für mich macht das alles keinen Sinn.

    Ich werde im Laufe der Woche meine Regeln korrekt benennen und IPv6 nochmal testen. Vermutlich wird dies keinen Mehrwert bringen, aber dann können wir dies schon mal ausschließen.

    Wenn jemand noch eine Idee hat - gerne her damit! :-)


  • LAYER 8 Moderator

    Schau in die Firewall Logs und schalte ggd vorher noch ein, dass die Regelbeschreibung als Spalte angezeigt wird. Dann kannst du lesen WER oder WAS die Regel macht oder gemacht hat :)



  • So ich konnte nun nochmal testen. Erstmal besten Dank @JeGr für den offensichtlichen Hinweis mit den Firewall-Descriptions. Das hat mehr geholfen, als ich vorher vermutet habe. Manchmal muss man das einfach nochmal vorgehalten bekommen.

    Mir sind bei meinem Test zwei Dinge aufgefallen:

    1. Ein Traceroute zu google.com über IPv6 funktioniert über das WAN-Interface problemlos. Über das LAN-Interface kommt der Traceroute nicht über die Fritzbox hinaus. Vielleicht deutet das auf ein Problem mit den deligierten IPv6 Subnetzen und der Firewall der Fritzbox hin. Hat da noch jemand eine Idee? Die Fritzbox ist ja leider etwas intransparent...

    Für die Theorie spricht auch noch, dass der Standard-IPv6-Verkehr rausgeht, wie besipielsweise ICMPv6 Pakete von Clients. Allerdings kommt kein ICMPv6 Paket zurück (auch nicht geblockt).

    1. Es wird diverser Verkehr von Local-IPv6-Adressen zu Multicast Adressen geblockt. Die Regel sieht wie folgt aus:
      @7(1000107685) block drop in log inet6 all label "Default deny rule IPv6"
      Mir sagt die Regel gar nichts und ich habe keine solche Regel beschrieben. Hat jemand eine Idee, wo die her kommen könnte?

    Ich bin für jeden weiteren Tipp dankbar :-)



  • @Trunex Laut AVM kann die Fritzbox nur ein /62 an nachgelagerte Router weitergeben. Also max. 4 Subnetze.
    https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/1239_IPv6-Subnetz-in-FRITZ-Box-einrichten/



  • @privateer
    Besten Dank für den Hinweis! Ich hatte auf dem WAN Interface vorher /57 Netz angefordert und über DHCP /64 Adressen verteilt.

    Nach deinem Hinweis hatte das WAN Interface auf /62 und auf DHCP /64 und später auf dem WAN Interface /57 und auf DHCP /62. nach jeder Änderung habe ich einen Reboot durchgeführt. Leider hat dies auch nichts gebracht :(

    Hat jemand noch eine Idee? Ich habe echt keine Ahnung mehr, wo ich ansetzen soll.



  • Achja IPv6 habe ich aktuell nur für ein Interface aktiv (LAN), somit wird auch nur ein subnetz weiter verteilt.


  • LAYER 8 Moderator

    @Trunex said in IPv6 Internettraffic vom LAN-Interface wird durch ominöse Firewall-Regeln geblockt:

    Ich bin für jeden weiteren Tipp dankbar :-)

    BTW: es gibt im gleichen Menü der Fritte wo auch exposed host für IPv4 eingestellt werden kann so etwas ähnliches für IPv6. Dann wird ICMPv6 etc. nicht mehr geblockt, das war leider lange das Problem bei den doofen Fritten, dass sie zwar das Subnetz delegiert, aber dann trotzdem firewall'd haben von extern. Sehr nervig. Das geht aber mit dem Schalter freizuschalten.

    8545a1b5-b362-49c9-a5d1-84eb8b7d12e6-image.png



  • Danke für den Hinweis @JeGr !

    Ich hatte die Einstellung zwar schon an der Fritzbox vorgenommen, ich habe vorsichtshalber die Freigabe gelöscht und neu angelegt und die PFSENSE neu gestartet. Leider bleiben die Symptome und das Problem wie gehabt.

    Generell habe ich auch das Gefühl, dass die Problematik von einer Fehlfunktion der Fritte ausgeht. Was ich allerdings noch nicht verstehe, die in dem Post vor 13 Tagen genannte Regel (@7(1000107685) block drop in log inet6 all label "Default deny rule IPv6") immer noch ausgehenden IPv6 Verkehr vom LAN blockiert. Ich verstehe nicht, warum die existiert.

    Hat da jemand noch eine Idee?


  • LAYER 8 Moderator

    Warum wird wohl ein "DEFAULT DENY" existieren? Das ist das Default BLOCK ANY der Firewall selbst. Es wird immer alles geblockt was nicht explizit erlaubt ist. Verstehe deshalb die Frage nicht ganz? Wenn natürlich kein Traffic erlaubt ist, dann wird auch nichts rausgelassen und durch den Default Block weggehauen. Das ist doch normales - dokumentiertes - Verhalten?



  • @JeGr stimmt, es wäre ein normales Verhalten, wenn dieser Traffic nicht erlaubt wäre. Bei mir ist der IPv6 Verkehr auf den LAN Interface explizit erlaubt.



  • Regelwerk WAN Interface
    D1CAB5F1-0DBA-4DEE-A9E8-E4351FBAADDD.png

    Regelwerk LAN Interface (mit den deaktivierten Regeln oben, hatte ich mal etwas ausprobiert)
    0464CB0D-5640-45C9-953D-E9CB5276F9F1.png



  • @Trunex In deiner Regel ist aber das Gateway vorgegeben, lass da doch mal Sternchen drin und konfiguriere unter Routing das Gateway. Oder Multicast muss vielleicht geblockt werden an Netzgrenzen. Also das dürfte alles so sein, wie es soll.