IPv6 Port 80 und 443 für internen Server in der Firewall freischalten

Started by Mathias, Today at 02:50:14 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 02:50:14 PM
Hallo,

ich habe auf meiner Opnsense IPv6 aktiviert und freigeschaltet. Die Server im Heim Netz bekommen jetzt auch eine öffentliche IPv6 Adresse von der Telekom. Für die öffentliche IP v6 Adresse von einem Testserver habe ich auch einen DNS Eintrag angelegt. Wie richte ich jetzt auf dem WAN Interface die Portfreigabe für TCP 80 und 443 für diesen Server ein, dass er von aussen darüber erreichbar ist?

Mfg

Mathias
Today at 02:54:14 PM #1
Firewall-Regel an WAN:

Protocol: IPv6, TCP
Source: any
Destination: IPv6-Adresse deines Servers
Destination-Port: 80

Dann dasselbe für 443. Oder einen Port Alias anlegen, z.B. "Web", mit 80 und 443 und dann den verwenden.


Was willst du da forwarden? Das ist ja die Idee bei IPv6, dass man den Müll nicht mehr braucht ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Today at 04:07:26 PM #2
Wenn Du einen Privatkundenanschluss hast, wird das ein bisschen komplizierter:

1. Da die Telekom dynamische Präfixe vergibt, kannst Du für die Firewall-Regel keine feste IPv6 angeben, Du brauchst dazu einen "Dynamic IPv6 Host"-Alias, in dem nur die EUI-64 angegeben wird, also die unteren 64 Bits.

2. Das nächste Problem wird wahrscheinlich sein, dass Du einen DynDNS-Eintrag brauchst, denn die öffentliche IPv6 der OpnSense ist nicht die selbe wie die Deines Servers. Normalerweise wird es dann spannend, wer den DynDNS-Eintrag pflegen kann, weil viele DynDNS-Dienste, wenn sie überhaupt IPv6 können, immer nur die IPv6 des Absenders eintragen (also eventuell nur die IPv6 Deiner OpnSense, wenn nicht der Server selbst den Eintrag macht).

Um Nummer 2 zu lösen, braucht es einen DynDNS-Hoster, dem man sagen kann, dass die unteren X Bits (also EUI-64 plus Interface-Präfix, meist 8 Bits, zusammen 72 Bits) "fest eingestellt" bleiben sollen. Er ändert dann nur den /56er Präfix. Außerdem muss dann die OpnSense die IA_PD anstelle der IA_NA für ausgehende Verbindungen verwenden ("Request Prefix Only" in den WAN-Interface-Einstellungen).

Ist Dir zu kompliziert? Dann betreibe die Server im LAN per IPv4 und verwende einen Reverse-Proxy wie Caddy, NGinx oder HAproxy. Der ist dann per IPv6 unter der IPv6 der OpnSense erreichbar, was viel einfacher ist. Er spricht die Server dann per IPv4 im LAN an und zwar per DNS-Namen, dann brauchst Du Dir auch nicht verschiedene Ports zu merken. Außerdem kann er wahlweise per IPv4 oder IPv6 angesprochen werden.
Und keine Angst, ausgehend kannst Du ja immer noch IPv6 machen - sogar mit Privacy Extensions.

Hier sind die Tutorials dafür:

IPv6
HAProxy
Caddy
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Print
Go Up Pages1
User actions