[GELÖST]IPv6 Port Weiterleitung mit OpnSense

[Patrick M. Hausen]

Was funktioniert nicht? Wenn ihr auf der VM ein tcpdump anwerft, kommen dann Pakete auf Port 22 an für dieses Netz? Wenn ja, dann braucht ihr dann natürlich auf der VM ein Stück Software, das mit diesen Paketen auch etwas tut. Mit einem sshd aus der Standardinstallation geht das nicht. Ihr wollt ja tausende von Adressen parallel bearbeiten - daher muss die Hoenypot-Software die Pakete vom Interface unabhängig von der Zieladresse abgreifen und $irgendwas damit tun ...

[StudentiIT]

Was funktioniert nicht? Wenn ihr auf der VM ein tcpdump anwerft, kommen dann Pakete auf Port 22 an für dieses Netz? Wenn ja, dann braucht ihr dann natürlich auf der VM ein Stück Software, das mit diesen Paketen auch etwas tut. Mit einem sshd aus der Standardinstallation geht das nicht. Ihr wollt ja tausende von Adressen parallel bearbeiten - daher muss die Hoenypot-Software die Pakete vom Interface unabhängig von der Zieladresse abgreifen und $irgendwas damit tun ...

Wir machen das jetzt mit dem tcpdump und schauen uns das an, aber wir haben versucht uns mit der VM per SSH zuverbinden über eine zufällige IP adresse aus dem bereich und uns wurde No route to Host ausgegeben.

[StudentiIT]

Beim tcpdump bekommen wir nichts für die IPv6 anfrage, haben es nochmal bei IPv4 versucht und da bekommen wir was rein.

[Maurice]

wir haben einen IPv6 Adressbereich

Was genau ist damit gemeint? Wird dieser Adressbereich von einem Upstream-Router zur OPNsense-WAN-Adresse geroutet? Oder ist der Adressbereich on-link im WAN-Subnetz?

Grüße
Maurice

[StudentiIT]

wir haben einen IPv6 Adressbereich

Was genau ist damit gemeint? Wird dieser Adressbereich von einem Upstream-Router zur OPNsense-WAN-Adresse geroutet? Oder ist der Adressbereich on-link im WAN-Subnetz?

Grüße
Maurice

der IPv6 Adressbereich wird zum LAN durchgeroutet. aber wir könnten ihn auf den WAN Port legen falls 2 netze gleichzeitig gehen sonst könnte man noch einen 2. WAN port für opnsense bauen.

[Maurice]

wenn wir die Weiterleitung testen bekommen wir No Route to Host als fehlermeldung.

Wie und von wo aus testet ihr das?

Die Port-Forward-Regel ist in Ordnung, habe das auch kurz nachgestellt und es funktioniert einwandfrei. Außer dieser Regel sollte nichts weiter erforderlich sein. Keine statischen Routen, keine zusätzlichen Firewall-Regeln. Die benötigte Firewall-Regel wird durch die Port-Forward-Regel automatisch erstellt, sofern man die Voreinstellung "Add associated filter rule" belässt.

Ich vermute eher, dass der Honeypot-Adressbereich vom Upstream-Router gar nicht zum OPNsense-WAN geroutet wird. Diese Frage hast Du nicht wirklich beantwortet:

Wird dieser Adressbereich von einem Upstream-Router zur OPNsense-WAN-Adresse geroutet? Oder ist der Adressbereich on-link im WAN-Subnetz?

[StudentiIT]

Der IP adressbereich wird zum OPNsense-LAN geroutet

[Maurice]

Der IP adressbereich wird zum OPNsense-LAN geroutet

Von wem? Vom Upstream-Router? Der hat eine direkte Verbindung zum OPNsense-LAN?

[StudentiIT]

Also leute unser Tutor der das Projekt überwacht hatte wohl den traffic vom WAN blockiert damit keine BOts versuchen in unser VM´s zu brute forcen. Wir haben es jetzt mit der NAT regel ausprobiert und tatsächlich bekommen wir packete auf dem VM´s wenn wir tcpdump nutzen aber wir können uns noch nicht verbinden bzw. ssh und http geben uns timeouts nach einer zeit.

EDIT: funktioniert jetzt alles mussten noch ein gw angeben in den VM´s und falls jemand ein ähnliches projekt hat mit den NAT regeln funktioniert es auch auf IPv6 adressen.