ipv6 Verständnis?!

[D0bby]

Hi

ich habe es über das Wochenende endlich mal hinbekommen, mich damit zu beschäftigen und meinen Anschluss (Vodafone) ipv6 rdy zu bekommen.

Ich bekomme eine ipv6 Adresse mit 56 Prefix und mein LAN Netzwerk bekommt via "Track Interface" seine Adressen.

Jetzt komme ich an die stelle, wo mir das aber alles meine ipv4 Regeln umgeht ;)

Bsp. : Ich habe ein paar Kameras, diese sollen NICHT ins Internet sondern nur via NTP und ICMP zum Router erreichbar sein. Jetzt holen die sich ipv6 Adressen und sind Online.

Anderes Beispiel - ein bestimmter Client soll nur über eine der Internetverbindungen raus gehen - ist via ipv6 jetzt über beide Online.


Wie gehe ich also am besten vor? Gibt es sowas wie "wenn die ipv4 rule für dich gilt, sperr ich auch deine ipv6"?

[Patrick M. Hausen]

Am besten in ein separates Netz (VLAN) stecken und dort dann dicht machen.

[tiermutter]

Im Grunde machst Du das genauso wie Du es mit v4 realisiert hast, nur eben auf v6 Basis.
Der einzige Unterschied den ich machen würde ist statt die Regeln mit den IPv6 Adressen zu bauen, die jeweiligen MAC der Geräte (als Alias angelegt) zu nehmen.

Bei den Cams könntest Du es auch einfach und "schnutzig" lösen, indem Du v6 einfach in den Cams abschaltest, sofern möglich.

Das Routing für den Client der nur die eine Verbindung nutzen soll machst Du halt mit ebenfalls einer Regel die für diese MAC generell v6 blockiert oder Du schaltest auch bei diesem Client v6 ab.

Wenn nun aber beide Gateways v6 haben und das auch genutzt werden soll (was ich der Beschreibung nicht entnehme), dann wird es etwas komplizierter, da Du nur ein globales v6 Präfix verteilen und nutzen kannst (was Du jetzt für den Vodafone Anschluss machst)... soll für die andere Verbindung auch v6 genutzt werden, dann musst Du auch ULAs einrichten und diese NATen.

[D0bby]

Das mit den MAC Adressen ist ein guter Tipp.

Jetzt habe ich bei den IPv4 Leases immer noch oder meistens einen Hostnamen dabei der das einordnen recht zügig und leicht macht.
Gibt es sowas in der Art für ipv6 auch? Denn bei meiner Liste steht da nichts

[bimbar]

Es gibt bei OPNSense dynamische Aliase für Interface Netze, da werden die IPv6 Adressen dynamisch aktualisiert, z.B.    __opt1_network .
Ausserdem gibt es noch den Alias Typ "Dynamic IPv6 Host".

Mit einer Kombination aus diesen beiden sollte eigentlich alles machbar sein.

[meyergru]

Schon richtig, aber mit dem __opt1_network kann man einzelne Clients nicht limitieren.

Und wegen RFC 4941 kann effektiv jeder Client beliebige IPs aus dem /64er IPv6-Subnetz nutzen. Das deckt "Dynamic IPv6 Host" nicht ab, der nimmt nur den EUI-64-Suffix.

Deswegen ist für bestimmte Setups neben Blockierung des Interfaces selbst die Angabe einer MAC die einzige Möglichkeit, wobei genau wie bei IPv4 natürlich ohne 802.1x auch die gespooft werden kann.

[bimbar]

MACs sind auch Spoofing fähig.

Am besten man filtert auf ganze Netze.

[Patrick M. Hausen]

MACs sind auch Spoofing fähig.

Am besten man filtert auf ganze Netze.

^Netze^Interfaces/Zonen

[bimbar]

MACs sind auch Spoofing fähig.

Am besten man filtert auf ganze Netze.

^Netze^Interfaces/Zonen

Netze im Sinne von als VLAN abgetrennt.

[JeGr]

> Jetzt komme ich an die stelle, wo mir das aber alles meine ipv4 Regeln umgeht ;)

Tun sie das wirklich? :)

> Bsp. : Ich habe ein paar Kameras, diese sollen NICHT ins Internet sondern nur via NTP und ICMP zum Router erreichbar sein. Jetzt holen die sich ipv6 Adressen und sind Online.

Die Kameras von sich aus? Vielleicht. Von außen online? Nein warum?

Da kommt IMHO auch viel Angst und Skepsis ggü IPv6 her von der Aussage "die holen sich dann selbst Adressen und sind dann plötzlich online und live und im Internet". Nein tun sie nicht. Sie geben sich ggf. Adressen - wenn SLAAC konfiguriert ist. Aber deshalb sind sie nicht per default plötzlich überall erreichbar, außer man hat vorher schon irgendwo geschlampt und überall IPv6 any any rules auf alle Interfaces genagelt. Sonst ist da per se erstmal gar nichts erlaubt :)

Cheers

[D0bby]

Das weiß ich auch :)

Aber die Kamera kann von sich selber auch nach Hause telefonieren (China marken etc.) und genau deshalb will ich nicht, das sie im Internet ist.

Muss sie ja auch überhaupt nicht

[JeGr]

Das kann sie dann, wenn sie v6 fähig ist, stimmt :)

Aber auch nur wenn du irgendwo eine v6 allow Regel drauf hast, sonst kann sie es eben nicht. ;)
Und die meisten legen ja keine Regeln mit 4+6 any any an, sondern eben v4 allow Regeln und da ist v6 nicht automagisch mit inkludiert.

Trotzdem ist das dann ein guter Aufhänger, um sich mal mit dem Thema Segmentierung zu beschäftigen, der wird bei v6 dadurch nämlich durchaus wichtig, da man eher selten spezifische Host Regeln anlegt, sondern eben auf den entsprechenden Interface Prefixen filtert wie das Patrick und Co schon vorgeschlagen haben. Das ist dann an der Stelle noch einfacher einzufangen :) Tatsächlich treibt einen nämlich gerade der Adressüberfluss von v6 an der Stelle dazu, sinnvollere kleinere Netze zu machen um Dinge ordentlich routen, filtern und erlauben zu können ohne den halben Gerätefuhrpark mit statischen Adressen füttern zu müssen :)