Messages

Hallo,

vielen Dank für die Antwort. Leider löst das aber mein Problem nicht, denn:

• Kann ich per DynDNS nur einzelne Hosts registrieren, nicht aber einen kompletten v6-Präfix
• Ich möchte nicht, dass die Sicherheit im lokalen Netz von einem externen Dienst abhängt
• Ist bei einem Präfix-Wechsel kurzzeitig meine Firewall so lange offen, bis mal ein Alias-Refresh stattfindet.

Das kann es doch nicht sein, oder?

Ich formuliere meine Frage mal anders:

Wie sieht eine "Erlaube Internetzugang"-Regel für IPv6 aus?


Danke und viele Grüße
direx

Hallo,

ich betreibe OPNsense 19.1.4 an einem DualStack-Anschluss der Telekom. Mein IPv6-Präfix ändert sich leider regelmäßig. Damit habe ich nun folgendes Problem bei den Firewall-Regeln.

Ich besitze derzeit folgende Interfaces mit 5 Subnetzen:

• LAN mit 192.168.1.0/24 und IPv6 Prefix-Tracking
• SRV mit 192.168.2.0/24 und IPv6 Prefix-Tracking
• MMT mit 192.168.3.0/24 und IPv6 Prefix-Tracking
• IOT mit IPv4-only 192.168.4.0/24
• GST mit 192.168.5.0/24 und IPv6 Prefix-Tracking
• ... und WAN

Die Netze sollen sich untereinander erstmal nicht erreichen (nur per Ausnahme). Mir geht es jetzt um Regeln der Art:

"Erlaube Internetzugang aus dem LAN-Netz"

Für IPv4 ist das einfach, da ist das pro Interface diese Regel:

ALLOW destination !192.168.0.0/16

Wie mache ich das für IPv6 sauber? Durch den dynamischen Präfix kann ich ja nicht einfach sagen "erlaube alles, außer destination $PREFIX/48".

Die einzige Möglichkeit, die ich gefunden habe, sind pro Interface erstmal 3 DENY-Regeln mit allen lokalen v6-Netzen (SRV-Net, MMT-Net, ...) als Ziel und darunter dann eine ALLOW-All-Regel. Das ist aber zum einem sehr umständlich und zum anderen ist die ALLOW-All-Regel recht fehleranfällig. Kommt mal ein neues Netz hinzu, dürfen alle erstmal in das Netz. Man muss dann immer noch an eine neue DENY-Regel für jeweils jedes v6-Interface denken.

Irgendwas mache ich doch bestimmt falsch, oder? Ich bin doch sicher nicht der erste, der IPv6 mit OPNsense nutzen will.


Danke und Grüße
direx