[GELÖST]IPv6 Port Weiterleitung mit OpnSense

[StudentiIT]

Moin, wir machen in rahmen unseres Studiums ein Projekt und benötigen Hilfe.
wir haben einen IPv6 Adressbereich in unseren Netzwerk und möchten, dass wenn eine der Adressen mit Port- 22 also ssh angepingt wird, auf eine VM weitergeleitet wird. Wir sollen dazu OpnSense verwenden, wir haben die Portweiterleitung für IPv4 schon erledigt und dies funktioniert, allerdings ist bei entsprechender Regel im  Firewall -> NAT ->Port Forwarding für IPv6 iwie der Wurm drin. Habt ihr da Erfahrung und iwelche tipps? wenn wir die Weiterleitung testen bekommen wir No Route to Host als fehlermeldung. Hier nochmal die erstellte Regel:

Interface   
WAN

TCP/IP Version   
IPv6
 
Protocol   
TCP
   
Destination   
IPv6_Range(unser IPv6 adressbereich)

Destination port range   
from:SSH   to: SSH

Redirect target IP   
Single host or Network
(IPv6 adresse unserer VM)

Redirect target port   
SSH
 
Pool Options:
Default

[Patrick M. Hausen]

Für IPv6 verwendet man in der Regel kein NAT sondern gibt einfach den Port (22 in eurem Fall) mit dem Ziel "eure VM" frei.

[tiermutter]

... daher auch nicht Portweiterleitung, sondern Portfreigabe.
Das ist ua der Vorteil von v6: kein NAT = keine Weiterleitung weil das Gerät direkt über seine GUA erreichbar ist. Der Zugriff nuss nur in der Sense und ggf auf dem Gerät selbst erlaubt werden.

[StudentiIT]

Für IPv6 verwendet man in der Regel kein NAT sondern gibt einfach den Port (22 in eurem Fall) mit dem Ziel "eure VM" frei.

Also du meinst das wir uns die Regel sparen können und woanders(unter Rules) einfach den Port für den adressbereich frei geben? Aber das würde ja noch nicht das problem lösen das alle adressen in den Adressbereich auf eine VM weitergeleitet werden oder?

[StudentiIT]

... daher auch nicht Portweiterleitung, sondern Portfreigabe.
Das ist ua der Vorteil von v6: kein NAT = keine Weiterleitung weil das Gerät direkt über seine GUA erreichbar ist. Der Zugriff nuss nur in der Sense und ggf auf dem Gerät selbst erlaubt werden.

Wir haben allerdings schon eine Pass Regel die alle IPv6 zugriffe erlaubt, nur wir kriegen das nicht hin das auf port 22 alle Adressen in Adressbereich auf eine VM die über Proxmox läuft und in unseren Intern Netz ist weitergeleitet wird. Da wir das gleiche für HTTP nochmal machen, nur auf eine andere VM aber der selbe Adressbereich, ist das mit dem Port schon wichtig und können nicht einfach nur die zugriffe durchlassen.

[tiermutter]

Es soll also echt der gesamte Adressbereich an die VM geleitet werden?
Keine Ahnung wie man das macht, aber ich sehe auch keinen wirklichen praktischen Grund dafür 

[StudentiIT]

Es soll also echt der gesamte Adressbereich an die VM geleitet werden?
Keine Ahnung wie man das macht, aber ich sehe auch keinen wirklichen praktischen Grund dafür 

Ja wir sehen da auch kein sinn, aber der Prof. will das halt so haben leider. Das soll wohl ein Network Telescope sein der Bots in ein Honeypot lockt die auf der VM laufen und wir sollen die halt in den Honeypot weiterleiten(unsere VM).

[Patrick M. Hausen]

Gib der VM eine beliebige Adresse aus einem Netz, dass die OPNsense hat, und route den gesamten Adressbereich dort hin. Dann kann ein Honeypot im promiscuous mode alle Pakete mit dem entsprechenden Ziel abgreifen.

[StudentiIT]

Gib der VM eine beliebige Adresse aus einem Netz, dass die OPNsense hat, und route den gesamten Adressbereich dort hin. Dann kann ein Honeypot im promiscuous mode alle Pakete mit dem entsprechenden Ziel abgreifen.

Genau das haben wir versucht mit der oben genannten Regel, allerdings sind es 2 VM´s eine für SSH und die andere für HTTP deswegen wollten wir den traffic eingrenzen mit den ports. Die VM´s haben bereits statische IPv6 und IPv4 adressen aus dem Bereich. Das macht die Aufgabe auch so schwierig, dass wir 2 VM´s haben für einen Adressbereich.

[Patrick M. Hausen]

Route - nicht NAT Regel. System > Routes.

[StudentiIT]

Route - nicht NAT Regel. System > Routes.

also System > Routes > Configuration, eine regel hinzufügen. Als Netzwerk adresse nehmen wir dann zb die VM für die SSH VM Gateway wird wahrscheinlich das WAN_inet6 und dann sollten wir eine Route zu der VM haben?

[Patrick M. Hausen]

Du legst einen Gateway an mit der IPv6-Adresse der VM und dann eine Route mit Ziel: das gesamte Netz, Gateway: der Gateway, den du angelegt hast. Dann eine Firewall Regel auf WAN, Source, any, Ziel: das gesamte Netz, Zielport: 22, Action: allow.

[StudentiIT]

Du legst einen Gateway an mit der IPv6-Adresse der VM und dann eine Route mit Ziel: das gesamte Netz, Gateway: der Gateway, den du angelegt hast. Dann eine Firewall Regel auf WAN, Source, any, Ziel: das gesamte Netz, Zielport: 22, Action: allow.

bei der Firewall regel, das Gateway auch auf den neu angelegten Gateway setzten?

[Patrick M. Hausen]

Nein, bei Firewall-Regeln setzt man normalerweise gar keinen Gateway.

[StudentiIT]

Nein, bei Firewall-Regeln setzt man normalerweise gar keinen Gateway.

wir haben es ausprobiert aber es funktioniert leider noch nicht, ein Gedanke wäre weil wir im Gateway das LAN interface ausgewählt haben weil unsere IPv6 adresse für die VM nicht in WAN sondern in LAN liegt anscheinend. Die Regeln aber für das WAN erstellen. Könnte es daran liegen ?