OPNsense Forum
International Forums => German - Deutsch => Topic started by: Bytechanger on December 10, 2019, 09:24:25 am
-
Hallo,
ich hoffe, ich bekomme meine Frage verständlich formuliert:
Ich bekomme demnächst einen reinen IPv6 Anschluss.
Damit würde ich nach der Zwangstrennung jeweils einen neuen IPv6 Prefix bekommen.
1. Damit ergibt sich für meine Subnetze bereits das Problem, dass ich die Firewall-Regeln nicht passend definieren kann, da sich die Adressen ja ständig ändern!
3. Durch die sie ständig ändernden IPv6 Adressen ist ein Zugriff auf meine Geräte über IPv6 eher unpraktisch/unmöglich, einen externen DDNS Dienst für jedes Gerät möchte ich eher nicht nutzen (gibt es sowas auch als internen Dienst?).
2. Außerdem gibt es ein Problem für eingehende Verbindungen, die ich derzeit über Port-Forwarding auf verschiedene Geräte mappe (NAT). Auch dies ist in IPv6 nicht mehr vorgesehen.
Lösungsgedanken:
Zu 2.
Ich nutze HAProxy als reverse Proxy und nehme alle eingehenden IPv6 Pakete auf der OPNSense an und leite sie dann per IPv4 auf mein internes Gerät, alles würde so bleiben, wie es ist. Ich bötige halt nur einen externen Server, der meine IPv4 Anfragen auf meine IPv6 Adresse routet. Also DynDNS A-Eintrag-> auf den benannten Server, AAA-Eintrag auf meine OPNSense.
Zu1.
Bin ich mir nicht sicher, um weiterhin IPv4 nutzen zu können, müsste ich einen "Umsetzer" IPv4 auf IPv6 haben. Dies könnte in der OPNSense ein Proxy sein. Ich möchte aber keinesfalls TLS-Verbindungen "aufbrechen". Es soll ein reines "internes" Umsetzen stattfinden. Ich denke, so eien Proxy gibt es nicht, da jeweils zwischen IPv4 Client und OPNSense-Proxy eine Verbindung aufgebaut wird und zwischen OPNSense-Proxy und der angeforderten Seite, korrekt? Gäbe es hierzu eine alternative Lösung?
Selbst mit eigenem Zertifikat wird es wohl schwierig, Geräte bei denen ich keine Zertifikate installieren kann ins Internet zu bringen (Ip-Kameras, SAT-Reviever, Thermomix, usw.) ?!
Wie geht Ihr damit um?
Das Thema IPv6 bringt erstmal mehr Probleme als Lösungen, wie ich finde.
Greets
Byte
-
Um einen ISP mit "Zwangstrennung" und ständig wechselndem Präfix würde ich einen großen Bogen machen. Selbst bei vielen 08/15-Consumer-Anschlüssen ist das Präfix de facto statisch (wenn auch nicht offiziell).
OPNsense tut sich in der Tat noch schwer mit dynamischen Präfixen. Entweder anderen ISP nehmen oder eine Firewall, die damit besser umgehen kann.
Bei reinen IPv6-Anschlüssen bieten die ISPs in der Regel DS-Lite, NAT64 o. Ä. an, einen eigenen "Proxy" für ausgehende IPv4-Verbindungen brauchst Du daher nicht.
Außerdem würde ich zusätzlich ULAs einsetzen, damit bist Du zumindest intern unabhängig vom Präfix, das der Provider delegiert.
Das interne Netz solltest Du so weit wie möglich auf IPv6 umstellen. Wahrscheinlich wirst Du ein paar ältere Geräte haben, die das nicht unterstützen. Falls die aus dem Internet erreichbar sein sollen: VPN.
Grüße
Maurice
-
Hi,
danke für die schnelle Antwort.
Ich bekomme Glasfaser bei der "Deutschen Glasfaser". Also kann ich mir den ISP nicht aussuchen.
Bin nicht sicher, ob er ein statischen Prefix hat oder nicht. Es ist mir auch klar, dass ich gerade zwanghaft versuche, meine alte Struktur aufrecht zu erhalten. Aber die schöne neue Welt macht irgendwie mehr Probleme.
Wenn ich versuche, tatsächlich alles IPv6 umzustellen (parallel dazu kann ich ja auch IPv4 intern weiter nutzen, denke ich), bleibt das Problem der Adressen, die theretisch sich änder können.
Ist denn, wenn theoretisch nur ULA einsetze ein routing in OPNSense möglich?
Also IPv6 ULA LAN auf IPv6 WAN (glaube nicht, das wäre ja wieder NAT).
Und extern erreichbare Geräte müssten
a) über eine hoffentlich vorhandene Firewall am Gerät gesichert werden (sperren unnötiger/ungewollter Ports)
b) sich selbst an einen DDNS anmelden (kann wohl auch nicht jedes Gerät), wenn von extern erreichbar sein soll
Aber anhand Deiner Nachricht gehe ich davon aus, dass:
1. ULAs als zusätzliche, zweite IPv6 Adresse möglich sind
2. Zusätzlich ein IPv4 Verkehr innerhalb des Netzes möglich ist
Greets
Byte
Greets
Byte
-
DG schaltet Dual-Stack (IPv6 + IPv4). IPv4 allerdings mit CGN, es sind daher nur ausgehende Verbindungen möglich. Wie stabil dort das IPv6-Präfix ist weiß ich nicht. Ausprobieren und dann entscheiden, ob OPNsense die richtige Wahl ist.
Im LAN kannst Du natürlich auch Dual-Stack fahren. ULAs verwendet man meistens zusätzlich zu GUAs für die Kommunikation im Intranet (auch via VPN). Nur ULAs zu verwenden und zu NATen funktioniert tatsächlich auch (NPT). Das empfiehlt sich aber nur in Ausnahmefällen.
Alte IPv4-only Geräte im LAN erreichst Du aus dem Internet am besten via VPN. Falls unbedingt ein Zugriff ohne VPN erforderlich ist wäre ein Proxy eine Möglichkeit. Wobei bei solchen Geräten das Sicherheitsniveau vielleicht sowieso nicht so ist, dass man die direkt aus dem Internet erreichbar machen möchte.
Etwas komplizierter wird es, falls Du auch von alten IPv4-only-Anschlüssen aus auf das Netz zugreifen musst. Das geht dann nur über einen extern gehosteten Dienst (Tunnel etc.).
Grüße
Maurice
-
Danke für die Antwort.
DG schaltet Dual-Stack (IPv6 + IPv4).
DG schaltet also DS-Lite, meinst Du vermutlich?
Denn Dual Stack wäre toll, dann könnte ich per IPv4 von außen drauf. Das Problem entsteht ja erst bei DS-Lite, wo mein eine quasi nicht öffentliche IPv4 (beim Provider "genattet") bekommt.
Ausprobieren und dann entscheiden, ob OPNsense die richtige Wahl ist.
Ich bin eigentlich sehr zufrieden mit OPNSense und erstaunt, dass diese Firewall-Problematik mit dynamischen Prefixen löst. Es gibt viele mittelständige Unernehmen (Rechtsanwälte, Zahnarztpraxen) die einen Internetanschluss mit Zwangstrennung haben.
Und ich möchte meine Sicherheit (Firewall-Regeln) nicht vom Provider abhängig machen, der irgenwann mal denk, doch andere Prefixe auszuteilen....
Also hoffe ich inständig auf eine OPNSense-Lösung.
Was wäre denn die Alternative zu OPNSense?
Kann das PFSense, oder Sophos?
Etwas komplizierter wird es, falls Du auch von alten IPv4-only-Anschlüssen aus auf das Netz zugreifen musst.
Da würde ich wohl meinen ReverseProxy nehmen und auf die IPv6-Adresse mit entsprechendem Port gehen.
By the Way, gibt es eigentlich ipv6 FireHOL-Adresslisten? Ich habe noch keine gefunden für die Firewall-Aliase??
Greets
Byte
-
DG schaltet also DS-Lite, meinst Du vermutlich?
Nein, ich meine Dual-Stack mit CGN. Bei DS-Lite werden IPv4-Pakete in IPv6-Pakete gekapselt. Stichwort B4 / AFTR. Das macht DG nicht.
Denn Dual Stack wäre toll, dann könnte ich per IPv4 von außen drauf.
Geht wie gesagt nicht wegen CGN.
Es gibt viele mittelständige Unernehmen (Rechtsanwälte, Zahnarztpraxen) die einen Internetanschluss mit Zwangstrennung haben.
Die wenigsten Zahnarztpraxen dürften Server im Intranet haben, die direkt aus dem Internet erreichbar sein müssen. Nur dann ist das ja relevant. Außerdem haben Business-Anschlüsse in der Regel ein festes Präfix.
Was wäre denn die Alternative zu OPNSense?
Kann das PFSense, oder Sophos?
Kann dir keinen Marktüberblick anbieten, aber Lancom kann beispielsweise ganz gut mit dynamischen Präfixen umgehen.
-
Also mein Präfix ist seit 07/2019 stabil bei DG.
Der soll sich angeblich auch nicht ändern. Und Zwangstrennung gibt es ja auch keine.