Hallo Zusammen,
nachdem ich mich ein paar Stunden durch das Delegieren von IPv6 Prefixen gearbeitet habe, habe ich eine Frage zu den zugehörigen Firewall Regeln. Grundsätzlich ist der Aufbau vereinfacht so:
[Internet, Telekom Glasfaser]---[WAN][OpnSense][LAN]---[Fritzbox]
Die Telekom gibt mir ein /56 Netz. Das Weiterreichen eines /62 Prefixes an die Fritzbox funktioniert so weit, die Fritzbox teilt das Netz nochmal in /64er Netze (Gast WLAN und so) und es erhalten die Clients auch alle eine IP Adresse. Die Standard LAN Firewall Regel lautet nun, dass alles aus dem Netzwerk des LAN Interfaces ins durch darf. Das LAN hat allerdings ein /64 Netz, der delegierte /62 Prefix der Fritzbox ist natürlich ein Anderer. Ich kann mich nicht darauf verlassen, dass beim nächsten Start mein /56 Netz das Gleiche ist. Und jetzt?
Aktuell habe eine Regel, die jeglichen IPv6 IN Verkehr auf LAN erlaubt, ohne Beschränkung auf ein Netz. Wäre das vom Konzept in Ordnung, oder hole ich mir damit eine Unsicherheit ins Netz?
Danke und viele Grüße
Robert
Das Problem gab es in ähnlich Form bereits hier:
https://forum.opnsense.org/index.php?topic=35724.0
https://forum.opnsense.org/index.php?topic=38579.0
Wenn es Subdelegation gibt, betreibst Du offensichtlich Deine Fritzbox als zweiten Router. Das hat natürlich den prinzipiellen Nachteil, dass die Verwaltung auf zwei Stellen verteilt werden muss.
Klar ist, dass bei Betrieb als LAN-Client die Trennung für das Gast-WLAN entfällt, da die Fritzbox keine VLANs kann.
Was Deine Frage angeht: Zunächst ist das kein Problem, weil die Fritzbox per Default den gesamten eingehenden Verkehr blockt, somit bleibt die Regel auf der OpnSense wirkungslos. Natürlich ist die Fritzbox selbst exponiert, aber das wäre sie auch, wenn sie direkt am WAN hinge.
Ansonsten würde eine "Allow All"-Regel natürlich irgendwie widersinnig, wozu benötigt man dann überhaupt eine Firewall? Theoretisch exponierst Du damit alle Clients für Angriffe wie CVE-2024-38063 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-38063), CVE-2020-16898 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16898), CVE-2021-24026 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-24026) et.al.
Praktisch ist das bei IPv6 fast nie ein Problem, weil aufgrund des riesigen Adressraums von EUI-64 keine Scans stattfinden. Es müsste schon eine ausgehende IPv6-Verbindung für eine Reverse-Attacke genutzt werden.
Moin, danke für die Antwort. Das Netz ist historisch gewachsen und so, daher sitzt die OpnSense aus dem Internet gesehen vor der Fritzbox und teilt dort z.B. den Traffic schon in Heimnetz (Fritzbox + 3 APs etc.) und DMZ auf. Den Teil des Netzes würde ich außen vor lassen.
Den Teil, wo ich deiner Meinung nach die Fritzbox ins Internet exponiere, verstehe ich noch nicht. Ich lasse ja nicht jeglichen Verkehr auf dem WAN Interface rein, sondern lediglich auf dem LAN Interface. Auf dem WAN Interface besteht ja weiterhin die Default deny Regel.
Auf dem LAN heißt das ja nur, dass Du den Traffic ins Internet lässt - nur verstehe ich nicht nicht, wieso Du dafür eine eigene Regeln brauchst, für das LAN-Interface gibt es doch per Default eine "Allow-All"-Regel (für ausgehenden Traffic für IPv4 und IPv6)?
Kannst die Regel mal zeigen?
Die Standardregel, die jeglichen Verkehr aus dem LAN ins Internet lässt, seht ihr im ersten Post im Anhang als "Default allow LAN IPv6 to any rule". Die Konfiguration ist, dass dort als Quelle das "LAN Netzwerk" gesetzt ist. Jetzt ist aber das Problem, dass das LAN Netzwerk ein /64 Netz ist, diese Konfiguration kommt nach meinem Verständnis aus dem "Schnittstellen Tracking" mit der übergeordneten Schnittstelle "WAN". Das ergibt ja auch Sinn, wenn das "LAN Netzwerk" den kompletten Prefix abdecken würde, könnte kein Prefix mehr delegiert werden.
Das bedeutet, dass das Netz, welches an die Fritzbox delegiert wird, ein andere Netz als das "LAN Netzwerk" ist und daher die Standardregel "Default allow LAN IPv6 to any rule" nicht mehr greift.
Das Problem hier ist, dass die Netze ja vom Provider vorgegeben und über das Tracking an das LAN weitergegeben werden und daher nicht einfach als statische Regel eingetragen werden könne.
Die IPv6 Konfiguration des LAN Interfaces habe ich nochmal angehängt, "Internet" ist hier das "WAN" Interface.
Quote from: crbble on August 31, 2024, 08:03:34 AM
Das Weiterreichen eines /62 Prefixes an die Fritzbox funktioniert so weit, die Fritzbox teilt das Netz nochmal
Warum nicht /63?
Quote from: Bob.Dig link=topic=42574.msg210890#msg210890 date=172510249Warum nicht /63?
/quote]
Egal, hauptsache kleiner als 64 und größer als 56?