Messages

1

German - Deutsch / Re: OpenVPN und IPv6 Gedanken und Unverständnis

« on: December 08, 2021, 03:53:23 pm »

Hallo,

ich würde OpenVPN gern zusätzlich über IPv6 verfügbar machen. Hat damit jemand Erfahrungen? Speziell interessiert mich: Wie bekomme ich Zugriff auf mein LAN vom VPN Client aus?

Bei IPv4 puppig einfach: Die Option Lokales IPv4-Netzwerk benutzen.

Bei IPv6 ergeben sich aber meiner Meinung nach Schwierigkeiten. Dazu muss ich sagen, dass meine IPv6 Konfiguration folgende ist:

WAN (via PPPoE): DHCPv6

Code: [Select]

Nur einen IPv6-Präfix anfordern: Ja
DHCPv6 Prefix Delegation Größe: 56
Sende einen IPv6-Präfixhinweis: Ja
Sende SOLICIT direkt: Ja
IPv4-Verbindung verwenden: Ja

LAN: Schnittstelle aufzeichen
Select

Code: [Select]

Schnittstelle: WAN
IPv6 Präfix ID: 0

An erster Stelle eine Nebenfrage: Wozu dient genau die Präfix ID?

Jetzt zum Problem das ich denktechnisch habe:

Alle meine IPv6 Clients beziehen eine global unicast und werden über den radvd der sense konfiguriert. Da ich bei jeder Einwahl vom Provider ein neues Präfix bekomme, müsste ich den VPN Server ja jedes mal neu konfigurieren.
Wobei das ja mMn. auch sinnlos wäre, weil ich mich durch global unicasts eh direkt mit jedem meiner Rechner ohne eine VPN Verbindung connecten kann, wenn ich die entsprechenden Rules habe.

Sinn würde es machen, wenn mein LAN manuell mit unique local konfiguriert wäre. Ich wüsste sofort, welches Netz ich bei OpenVPN eintragen müsste. Ich würde dann auch den radvd oder DHCPv6 einrichten, dass es meinen Clients Adressen in meinem unique local Netz zuweist. Dann hätte ich aber gewissermaßen nix anderes als IPv4 und müsste ja dann von meinem unique local Netz auf eine unique global Adresse natten, wenn die Clients ins Internet sollen?

Eine Möglichkeit, radvd und DHCPv6 mit nem tracked Interface zu konfigurieren gibt es ja nicht. Da brauche ich statische IPs. Außerdem kann ich einem Interface auch nicht gleichzeitig ne statische unique local UND eine unique global Adresse geben, oder? Das alles verwirrt mich etwas.

Wie würdet ihr das ganze einrichten?

Ja, was die ISPs da teilweise veranstalten ist schon unverständlich. Mein ISP hat vor kurzem viele Umstellungen vogenommen. Von heut auf morgen hatten plötzlich 90% der Kunden DS-Lite statt Full DualStack.

2

Intrusion Detection and Prevention / Re: Block connection to IPs which are not in DNS cache

« on: December 02, 2021, 11:33:51 am »

Is this possible in OPNSense?  With the advent of DoH I want to prevent all connections to IPs that have not been resolved by the local DNS cache.

I looked through the settings and I didn't see anything that would do this.

Thanks.

To approve domains ex. example.com only approve the IPs of the DNS servers that have that domain. You can do this by going to "DNS Server Settings", selecting "Properties" on the "Interfaces Tab", and then explicitly allow only those DNS Servers which are hosting that domain to respond content requests.