OPNsense Forum

Moin, wir machen in rahmen unseres Studiums ein Projekt und benötigen Hilfe.
wir haben einen IPv6 Adressbereich in unseren Netzwerk und möchten, dass wenn eine der Adressen mit Port- 22 also ssh angepingt wird, auf eine VM weitergeleitet wird. Wir sollen dazu OpnSense verwenden, wir haben die Portweiterleitung für IPv4 schon erledigt und dies funktioniert, allerdings ist bei entsprechender Regel im  Firewall -> NAT ->Port Forwarding für IPv6 iwie der Wurm drin. Habt ihr da Erfahrung und iwelche tipps? wenn wir die Weiterleitung testen bekommen wir No Route to Host als fehlermeldung. Hier nochmal die erstellte Regel:

Interface   
WAN

TCP/IP Version   
IPv6

Protocol   
TCP
   
Destination   
IPv6_Range(unser IPv6 adressbereich)

Destination port range   
from:SSH   to: SSH

Redirect target IP   
Single host or Network
(IPv6 adresse unserer VM)

Redirect target port   
SSH

Pool Options:
Default

Für IPv6 verwendet man in der Regel kein NAT sondern gibt einfach den Port (22 in eurem Fall) mit dem Ziel "eure VM" frei.

... daher auch nicht Portweiterleitung, sondern Portfreigabe.
Das ist ua der Vorteil von v6: kein NAT = keine Weiterleitung weil das Gerät direkt über seine GUA erreichbar ist. Der Zugriff nuss nur in der Sense und ggf auf dem Gerät selbst erlaubt werden.

Quote from: Patrick M. Hausen on September 02, 2023, 01:40:15 PM
Für IPv6 verwendet man in der Regel kein NAT sondern gibt einfach den Port (22 in eurem Fall) mit dem Ziel "eure VM" frei.

Also du meinst das wir uns die Regel sparen können und woanders(unter Rules) einfach den Port für den adressbereich frei geben? Aber das würde ja noch nicht das problem lösen das alle adressen in den Adressbereich auf eine VM weitergeleitet werden oder?

Quote from: tiermutter on September 02, 2023, 01:42:51 PM
... daher auch nicht Portweiterleitung, sondern Portfreigabe.
Das ist ua der Vorteil von v6: kein NAT = keine Weiterleitung weil das Gerät direkt über seine GUA erreichbar ist. Der Zugriff nuss nur in der Sense und ggf auf dem Gerät selbst erlaubt werden.

Wir haben allerdings schon eine Pass Regel die alle IPv6 zugriffe erlaubt, nur wir kriegen das nicht hin das auf port 22 alle Adressen in Adressbereich auf eine VM die über Proxmox läuft und in unseren Intern Netz ist weitergeleitet wird. Da wir das gleiche für HTTP nochmal machen, nur auf eine andere VM aber der selbe Adressbereich, ist das mit dem Port schon wichtig und können nicht einfach nur die zugriffe durchlassen.

Es soll also echt der gesamte Adressbereich an die VM geleitet werden?
Keine Ahnung wie man das macht, aber ich sehe auch keinen wirklichen praktischen Grund dafür  :o

Quote from: tiermutter on September 02, 2023, 01:59:22 PM
Es soll also echt der gesamte Adressbereich an die VM geleitet werden?
Keine Ahnung wie man das macht, aber ich sehe auch keinen wirklichen praktischen Grund dafür  :o

Ja wir sehen da auch kein sinn, aber der Prof. will das halt so haben leider. Das soll wohl ein Network Telescope sein der Bots in ein Honeypot lockt die auf der VM laufen und wir sollen die halt in den Honeypot weiterleiten(unsere VM).

Gib der VM eine beliebige Adresse aus einem Netz, dass die OPNsense hat, und route den gesamten Adressbereich dort hin. Dann kann ein Honeypot im promiscuous mode alle Pakete mit dem entsprechenden Ziel abgreifen.

Quote from: Patrick M. Hausen on September 02, 2023, 04:00:25 PM
Gib der VM eine beliebige Adresse aus einem Netz, dass die OPNsense hat, und route den gesamten Adressbereich dort hin. Dann kann ein Honeypot im promiscuous mode alle Pakete mit dem entsprechenden Ziel abgreifen.

Genau das haben wir versucht mit der oben genannten Regel, allerdings sind es 2 VM´s eine für SSH und die andere für HTTP deswegen wollten wir den traffic eingrenzen mit den ports. Die VM´s haben bereits statische IPv6 und IPv4 adressen aus dem Bereich. Das macht die Aufgabe auch so schwierig, dass wir 2 VM´s haben für einen Adressbereich.

Route - nicht NAT Regel. System > Routes.

Quote from: Patrick M. Hausen on September 02, 2023, 04:49:30 PM
Route - nicht NAT Regel. System > Routes.

also System > Routes > Configuration, eine regel hinzufügen. Als Netzwerk adresse nehmen wir dann zb die VM für die SSH VM Gateway wird wahrscheinlich das WAN_inet6 und dann sollten wir eine Route zu der VM haben?

Du legst einen Gateway an mit der IPv6-Adresse der VM und dann eine Route mit Ziel: das gesamte Netz, Gateway: der Gateway, den du angelegt hast. Dann eine Firewall Regel auf WAN, Source, any, Ziel: das gesamte Netz, Zielport: 22, Action: allow.

Quote from: Patrick M. Hausen on September 02, 2023, 05:12:14 PM
Du legst einen Gateway an mit der IPv6-Adresse der VM und dann eine Route mit Ziel: das gesamte Netz, Gateway: der Gateway, den du angelegt hast. Dann eine Firewall Regel auf WAN, Source, any, Ziel: das gesamte Netz, Zielport: 22, Action: allow.

bei der Firewall regel, das Gateway auch auf den neu angelegten Gateway setzten?

Nein, bei Firewall-Regeln setzt man normalerweise gar keinen Gateway.

Quote from: Patrick M. Hausen on September 02, 2023, 05:43:05 PM
Nein, bei Firewall-Regeln setzt man normalerweise gar keinen Gateway.

wir haben es ausprobiert aber es funktioniert leider noch nicht, ein Gedanke wäre weil wir im Gateway das LAN interface ausgewählt haben weil unsere IPv6 adresse für die VM nicht in WAN sondern in LAN liegt anscheinend. Die Regeln aber für das WAN erstellen. Könnte es daran liegen ?

Was funktioniert nicht? Wenn ihr auf der VM ein tcpdump anwerft, kommen dann Pakete auf Port 22 an für dieses Netz? Wenn ja, dann braucht ihr dann natürlich auf der VM ein Stück Software, das mit diesen Paketen auch etwas tut. Mit einem sshd aus der Standardinstallation geht das nicht. Ihr wollt ja tausende von Adressen parallel bearbeiten - daher muss die Hoenypot-Software die Pakete vom Interface unabhängig von der Zieladresse abgreifen und $irgendwas damit tun ...

Quote from: Patrick M. Hausen on September 02, 2023, 06:23:13 PM
Was funktioniert nicht? Wenn ihr auf der VM ein tcpdump anwerft, kommen dann Pakete auf Port 22 an für dieses Netz? Wenn ja, dann braucht ihr dann natürlich auf der VM ein Stück Software, das mit diesen Paketen auch etwas tut. Mit einem sshd aus der Standardinstallation geht das nicht. Ihr wollt ja tausende von Adressen parallel bearbeiten - daher muss die Hoenypot-Software die Pakete vom Interface unabhängig von der Zieladresse abgreifen und $irgendwas damit tun ...

Wir machen das jetzt mit dem tcpdump und schauen uns das an, aber wir haben versucht uns mit der VM per SSH zuverbinden über eine zufällige IP adresse aus dem bereich und uns wurde No route to Host ausgegeben.

Beim tcpdump bekommen wir nichts für die IPv6 anfrage, haben es nochmal bei IPv4 versucht und da bekommen wir was rein.

Quote from: StudentiIT on September 02, 2023, 01:38:20 PM
wir haben einen IPv6 Adressbereich

Was genau ist damit gemeint? Wird dieser Adressbereich von einem Upstream-Router zur OPNsense-WAN-Adresse geroutet? Oder ist der Adressbereich on-link im WAN-Subnetz?

Grüße
Maurice

Quote from: Maurice on September 02, 2023, 07:09:59 PM

Quote from: StudentiIT on September 02, 2023, 01:38:20 PM
wir haben einen IPv6 Adressbereich

Was genau ist damit gemeint? Wird dieser Adressbereich von einem Upstream-Router zur OPNsense-WAN-Adresse geroutet? Oder ist der Adressbereich on-link im WAN-Subnetz?

Grüße
Maurice

der IPv6 Adressbereich wird zum LAN durchgeroutet. aber wir könnten ihn auf den WAN Port legen falls 2 netze gleichzeitig gehen sonst könnte man noch einen 2. WAN port für opnsense bauen.

Quote from: StudentiIT on September 02, 2023, 01:38:20 PM
wenn wir die Weiterleitung testen bekommen wir No Route to Host als fehlermeldung.

Wie und von wo aus testet ihr das?

Die Port-Forward-Regel ist in Ordnung, habe das auch kurz nachgestellt und es funktioniert einwandfrei. Außer dieser Regel sollte nichts weiter erforderlich sein. Keine statischen Routen, keine zusätzlichen Firewall-Regeln. Die benötigte Firewall-Regel wird durch die Port-Forward-Regel automatisch erstellt, sofern man die Voreinstellung "Add associated filter rule" belässt.

Ich vermute eher, dass der Honeypot-Adressbereich vom Upstream-Router gar nicht zum OPNsense-WAN geroutet wird. Diese Frage hast Du nicht wirklich beantwortet:

Quote from: Maurice on September 02, 2023, 07:09:59 PM
Wird dieser Adressbereich von einem Upstream-Router zur OPNsense-WAN-Adresse geroutet? Oder ist der Adressbereich on-link im WAN-Subnetz?

Der IP adressbereich wird zum OPNsense-LAN geroutet

Quote from: StudentiIT on September 04, 2023, 11:50:03 AM
Der IP adressbereich wird zum OPNsense-LAN geroutet

Von wem? Vom Upstream-Router? Der hat eine direkte Verbindung zum OPNsense-LAN?

Also leute unser Tutor der das Projekt überwacht hatte wohl den traffic vom WAN blockiert damit keine BOts versuchen in unser VM´s zu brute forcen. Wir haben es jetzt mit der NAT regel ausprobiert und tatsächlich bekommen wir packete auf dem VM´s wenn wir tcpdump nutzen aber wir können uns noch nicht verbinden bzw. ssh und http geben uns timeouts nach einer zeit.

EDIT: funktioniert jetzt alles mussten noch ein gw angeben in den VM´s und falls jemand ein ähnliches projekt hat mit den NAT regeln funktioniert es auch auf IPv6 adressen.