OPNsense Forum

International Forums => German - Deutsch => Topic started by: tomas on September 09, 2015, 11:23:20 am

Title: IPv6
Post by: tomas on September 09, 2015, 11:23:20 am
Hallo,

ich bin neu auf dem Gebiet 'Ich baue mir meine eigene Firewall' und habe ein paar Fragen.
Meine erste dreht sich um das Thema IPv6.

Ich möchte mein erstes Firewall-Projekt im Neubau meines Schwagers einsetzen.
Dabei soll die Firewall vorallem die Hausautomation etc. schützen. Aber dazu werd ich denke ich noch in einem anderen Thread kommen ;)

Als Provider haben wir uns (wahrscheinlich) Unitymedia ausgesucht. Nun erhält man dort lediglich DS-Lite http://www.elektronik-kompendium.de/sites/net/1904041.htm (http://www.elektronik-kompendium.de/sites/net/1904041.htm)

D.h. ich bin auf IPv6 angewiesen.
Wie sieht da der Support von OpnSense aus? Ist das (schon) voll IPv6 fähig? Beim "Konkurrenten" IPFire z.B. ist das wohl noch nicht der Fall, bzw. nur wenn man es selber über die Konsole aktiviert etc. und kommt wohl erst mit IPFire3.

Ist OpenVPN IPv6 fähig? Sprich kann ich dort schon z.B.
Code: [Select]
proto udp6 benutzen? Ist das schon über die GUI 'bequem' einstellbar?

Und vorallem, wie sieht das in diesem Zuge mit DynDNS aus? Ich muss ja nun nicht meine IPv4 Adresse an den Anbieter weiterreichen sondern die IPv6 der OPNSense oder?!

Würde mir OPNSense bzgl. IPv6 hier einen Strich durch meine Wunschgedanken machen oder funktioniert es?

Vielen Dank
Title: Re: IPv6
Post by: franco on September 10, 2015, 03:41:47 pm
Hi tomas,

OPNsense ist dank pfSense IPv6-fähiger als so manch kommerzielles Produkt. ;)

OpenVPN ist IPv6-fähig. Wir benutzen zwar nicht explizit tcp6/udp6, aber dafür server-ipv6 usw.

Bei DynDNS gibt es wohl einen IPv6-fähigen Provider, falls nicht können wir gern nachziehen.

Hier kann ich nur ausprobieren empfehlen; das Aufsetzen ist in wenigsten fällen trivial und stark vom benutzten Werkzeug abhängig. Generell steht dir nichts im Wege. Probleme gibt es aber bekanntlich immer, im Falle von IPv6 auch gern beim Provider.


Grüße Franco
Title: Re: IPv6
Post by: tomas on September 10, 2015, 09:05:13 pm
Ok, wenn OpenVPN IPv6 fähig ist klingt das ganze schonmal gut.
Ich denke IPv6 Support ist immer wichtiger. Vorallem in Deutschland, mit Kunden bei www.unitymedia.de o.ä. die nur auf Dual-Stack-Lite laufen.

Zum Thema DNS:
Ich habe eine Domain bei https://www.inwx.de/
Ich müsste also dort meine IPv6 Adresse bekanntmachen.
inwx hat auch mehrere API-Schnittstellen bereitgestellt. Siehe https://www.inwx.de/de/offer/api
Wäre es möglich, das zu integrieren?
Title: Re: IPv6
Post by: franco on September 11, 2015, 09:51:07 am
Möglich ja, es gibt auch eine PHP Anbindung, aber das ganze basiert auf RPC und lässt sich damit kaum in das DynDNS System einbinden, denn das baut auf simples HTTP(S) auf. Es sei denn ich habe etwas übersehen?
Title: Re: IPv6
Post by: tomas on September 11, 2015, 03:03:56 pm
Hilft das
https://github.com/florian-t/inwx-fritzbox-dyndns
oder das
https://github.com/gehaxelt/Bash-INWX-DynDNS ?

Eine andere Idee wäre dann ein Umweg über z.B. http://freedns.afraid.org/
Dieses wird doch unterstützt oder? Dann könnte ich dort eine DynDNS eintragen und die Domain von afraid.org dann bei meiner eigenen Domain eintragen.
Title: Re: IPv6
Post by: franco on September 11, 2015, 07:13:08 pm
Es gibt FreeDNS im System, aber kann sein dass IPv6 da noch nicht drin ist. Das lässt sich aber machen, wenn wir gemeinsam testen können.

Und HE.net gibt es als IPv6 dynamic DNS im System.

Wegen INWX Code: "Custom v6" funktioniert nicht mit der API, der will immer ein Webformular. Dafür müsste man ein externes Plugin basteln.
Title: Re: IPv6
Post by: tomas on September 11, 2015, 07:38:12 pm
Ok aber es wäre theoretisch möglich für INWX etwas zu machen, wenn man eben ein Plugin schreibt?

In welcher Sprache müssen Plugins denn geschrieben werden?
PHP, JavaScript kann ich (einigermaßen ;) )

//bzgl. Testen für FreeDNS sage ich Dir dann wenn ich opnsense teste Bescheid!
Title: Re: IPv6
Post by: franco on September 11, 2015, 09:19:58 pm
PHP, die GUI ist auch sehr einfach. Ich glaube einzig der Hook für automatisches DNS Update bei neuer IP muss noch hinzugefügt werden. Weiß nicht genau wie das dann mit dem alten Code in Verbindung aussehen kann, aber das bekommen wir hin.

Eine erste Anleitung zu Plugins gibt es hier: https://wiki.opnsense.org/index.php/Develop:Creating_the_hello_world_module
Title: Re: IPv6
Post by: cibomato on September 12, 2015, 07:37:38 pm
Ich bin im Thema IPv6 noch nicht so drin, in der Wohnung, die uns interessiert, ist die einzig interessante Alternative aber auch Unitymedia, entweder mit DS-Lite oder (da ich nen Server betreiben möchte) mit dem vollen Dualstack-Business-Tarif. Von daher bin ich auch sehr an einer Firewall interessiert, die IPv6 "kann", wobei ich noch nicht genau verstehe, was für einen Dualstackbetrieb firewalltechnisch nötig wäre!?

Viele Grüße,
Jochen
Title: Re: IPv6
Post by: tomas on September 12, 2015, 11:40:30 pm
Naja im Prinzip sollte die Firewall IPv6-Adressen an die Clients verteilen können. Dann sollten die Dienste die auf der Firewall laufen und die man nutzen möchte (z.B. OpenVPN) IPv6 fähig sein.

Bei der FritzBox die ich habe ist es so, dass man im Prinzip auch eine IPv6-Firewall hat. In dieser kann man Ports auf bestimmte Clients (auf deren IPv6-Adresse) freigeben. Ich denke das wurde so gemacht um eben nicht alle IPv6-Geräte 'von Außen' angreifbar zu machen.
-> So eine Funktion wäre natürlich sehr wichtig. Also das ich wirklich nur die IPv6-Geräte erreichen kann die ich auch explizit 'nach Außen' freigebe.

Vielleicht ist für dich das noch interessant:
Ich bin bzw. bei meinen Eltern DualStack-Lite geprägt und habe dort mein NAS stehen. Ich kann dieses bzw. gewisse Dienste die ich freigegeben habe (siehe oben, Erklärung zur FritzBox) 'von Außen' erreichen.
ABER das geht nur wenn du an dem Anschluss von dem du aus auf den Server, Nas, etc. zugreifen willst über eine IPv6 Adresse verfügst.
Z.B. Mein NAS steht hinter einem Unitymedia DualStack-Lite Anschluss: Der Zugriff aus einem anderen UM Netz klappt wunderbar.
Im Mobilfunk sieht es aktuell noch mau aus! Wobei die Telekom hier bald anfangen möchte (http://www.heise.de/netze/meldung/Telekom-startet-IPv6-Einfuehrung-im-Mobilfunknetz-2741029.html (http://www.heise.de/netze/meldung/Telekom-startet-IPv6-Einfuehrung-im-Mobilfunknetz-2741029.html))

Mir reicht das so. Ich muss nicht überall auf mein NAS und hier bei mir habe ich IPv6, bei meinem Bruder gibt es auch eine IPv6, so das beide NAS-Server sich syncen können.

Ich kann die als UM Kunde http://www.unitymediaforum.de/ (http://www.unitymediaforum.de/) für weitere Fragen und Infos empfehlen!
Title: Re: IPv6
Post by: cibomato on September 13, 2015, 11:54:00 am
Dann sollten die Dienste die auf der Firewall laufen und die man nutzen möchte (z.B. OpenVPN) IPv6 fähig sein.
Imo sollten das dann aber alle Dienste sein, oder?
V.a. die Filterfunktion sollte dann IPv6 können, kann das opnsense?
Und muss ich dann bei einem vollen Dualstack-Betrieb quasi 2 Firewalls parallel betreiben, einmal IPv4 und einmal IPv6? Und alle Regeln doppelt erstellen?

-> So eine Funktion wäre natürlich sehr wichtig. Also das ich wirklich nur die IPv6-Geräte erreichen kann die ich auch explizit 'nach Außen' freigebe.
Genau.

Ich bin bzw. bei meinen Eltern DualStack-Lite geprägt und habe dort mein NAS stehen. Ich kann dieses bzw. gewisse Dienste die ich freigegeben habe (siehe oben, Erklärung zur FritzBox) 'von Außen' erreichen.
ABER das geht nur wenn du an dem Anschluss von dem du aus auf den Server, Nas, etc. zugreifen willst über eine IPv6 Adresse verfügst.
Z.B. Mein NAS steht hinter einem Unitymedia DualStack-Lite Anschluss: Der Zugriff aus einem anderen UM Netz klappt wunderbar.
Im Mobilfunk sieht es aktuell noch mau aus!
Ja, so weit hatte ich mich da schon eingelesen. Genau den Zugriff vom Mobilfunknetz aus und damit von IPv4 (derzeit Vodafone), brauche ich aber. Ich betreibe einen privaten Seafile-Server, auf den ich häufig vom Smartphone aus zugreifen muss. Da kommt dann wohl nur der teurere Business-Tarif und damit ein voller Dualstck-Betrieb in Frage.

Ich kann die als UM Kunde http://www.unitymediaforum.de/ (http://www.unitymediaforum.de/) für weitere Fragen und Infos empfehlen!

Die DS-Lite vs. vollem Dualstack-Betrieb Hintergründe hab ich glaube ich verstanden. Unklar ist mir wie gesagt, welche Firewall bei einem Dualstack-Betrieb hier den besten Schutz bieten würde, am weitesten entwickelt ist und wie das einzurichten wäre. Mit IPv4-Firewalls, NAT, Portweiterleitung etc. kenne ich mich ganz gut aus aber IPv6 mit dem Wegfall von NAT, Neighbour-Discovery etc. ist mir noch nicht ganz in's Blut übergegangen...

Danke und Gruß,
Jochen
Title: Re: IPv6
Post by: franco on September 13, 2015, 12:18:23 pm
Zum Thema doppelte Verwaltung: Solange man sich auf Services Beschränkt (Ports auf TCP/UDP) muss man sich nicht um Unterscheidung von IPv4 oder IPv6 kümmern, es sei denn die Unterscheidung ist explizit gewünscht. Die bekannten IPs und Netzwerke können so oder so direkt vom Interface angewählt werden ohne die Addresse explizit kennen zu müssen, es ändert sich also im ersten Moment nicht viel. Natürlich gibt es IPv6 Feinheiten, die dann auftreten können, aber grundsätzlich hat man dann schon viel eingerichtet und zum Laufen gebracht. :)
Title: Re: IPv6
Post by: tomas on September 13, 2015, 12:58:54 pm
Ich glaub ich werde nicht drumherum kommen das ganze mal mit einem alten Rechner an der IPv6-Leitung zu testen, bevor ich mir die 'richtige' Hardware kaufe.

Vielleicht finde ich gegen Weihnachten mal die Zeit dazu.