1
German - Deutsch / IPv6 NPT und eingehende Verbindungen vertragen sich nicht
« on: July 27, 2019, 07:26:29 pm »
Hallo,
zuletzt habe ich festgestellt das es 2019 ist. Also höchste Zeit mein professionelles Familiennetzwerk IPv6-Fähig zu machen. Ich hätte es lassen sollen.... IPv6 hat leider noch immer einen desolaten Zustand. Die Schuld sehe ich nicht beim Protokoll selbst, sondern bei den Vergewaltigungen (dynamische Präfixe) welche die ISPs veranstalten. Aber ich komme vom Thema ab...
Das Netzwerk fußt nun auf ULAs welche OPNsense mittels NPT auf GUAs übersetzt und routet. Das funktioniert ganz gut. (Habe einen Cronjob der die NPT-Regeln automatisch aktualisiert, da OPNsense keine dynamischen Präfixe in Regeln beherrscht) Andere Lösungen mit GUAs oder mehrere IPv6-Adressen (GUA und ULA zugleich) auf den Interfaces habe ich bereits erprobt und aufgrund diverser "Nebenwirkungen" verworfen.
Jetzt das Problem: Ich möchte einen Webserver in dem Netzwerk aus dem globalen IPv6-Internet erreichbar machen. Kein Problem: Entsprechende PASS-Regel auf dem WAN-Interface definiert und.... nichts. Kein Verbindungsaufbau von außen möglich.
Beim Debuggen habe ich dann folgendes beobachtet:
Schritt 7 ist das Problem. ULAs werden im Internet nicht geroutet und mein Paket verschwendet beim nächstbesten richtig konfigurierten Router im Nirvana. Eigentlich müsste hier die Übersetzung auf die GUA noch stattfinden. Für ausgehende Verbindungen funktioniert NPT auch wie vorgesehen. Nur für eingehende Verbindungen scheint sich OPNsense einen Verbindungszustand zu merken, der dann bei der Antwort NPT verhindert.
Hat von euch jemand eine Idee wie man OPNsense zum richtigen verhalten bewegen kann? Denn ich bin gerade mit meinem Latein am Ende....
Entdeckt habe ich das Problem mit 19.1.10. Aber auch ein Upgrade auf das aktuelle 19.7.1 ändert nichts an dem verhalten.
zuletzt habe ich festgestellt das es 2019 ist. Also höchste Zeit mein professionelles Familiennetzwerk IPv6-Fähig zu machen. Ich hätte es lassen sollen.... IPv6 hat leider noch immer einen desolaten Zustand. Die Schuld sehe ich nicht beim Protokoll selbst, sondern bei den Vergewaltigungen (dynamische Präfixe) welche die ISPs veranstalten. Aber ich komme vom Thema ab...
Das Netzwerk fußt nun auf ULAs welche OPNsense mittels NPT auf GUAs übersetzt und routet. Das funktioniert ganz gut. (Habe einen Cronjob der die NPT-Regeln automatisch aktualisiert, da OPNsense keine dynamischen Präfixe in Regeln beherrscht) Andere Lösungen mit GUAs oder mehrere IPv6-Adressen (GUA und ULA zugleich) auf den Interfaces habe ich bereits erprobt und aufgrund diverser "Nebenwirkungen" verworfen.
Jetzt das Problem: Ich möchte einen Webserver in dem Netzwerk aus dem globalen IPv6-Internet erreichbar machen. Kein Problem: Entsprechende PASS-Regel auf dem WAN-Interface definiert und.... nichts. Kein Verbindungsaufbau von außen möglich.
Beim Debuggen habe ich dann folgendes beobachtet:
- TCP-SYN kommt auf WAN-Interface an
- Empfänger wird per NPT auf mein ULA-Adressbereich abgebildet
- Wird durch die FW-Regeln durchgewunken
- Verlässt OPNsense über das DMZ-Interface zum Server
- TCP-ACK vom Server kommt auf dem DMZ-Interface des OPNsense an
- Wird entsprechend der FW-Regeln durchgewunken
- Verlässt OPNsense über das WAN-Interface mit ULA-Absendeadresse als Absender!
Schritt 7 ist das Problem. ULAs werden im Internet nicht geroutet und mein Paket verschwendet beim nächstbesten richtig konfigurierten Router im Nirvana. Eigentlich müsste hier die Übersetzung auf die GUA noch stattfinden. Für ausgehende Verbindungen funktioniert NPT auch wie vorgesehen. Nur für eingehende Verbindungen scheint sich OPNsense einen Verbindungszustand zu merken, der dann bei der Antwort NPT verhindert.
Hat von euch jemand eine Idee wie man OPNsense zum richtigen verhalten bewegen kann? Denn ich bin gerade mit meinem Latein am Ende....
Entdeckt habe ich das Problem mit 19.1.10. Aber auch ein Upgrade auf das aktuelle 19.7.1 ändert nichts an dem verhalten.