Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Geräte in Firewall identifizieren - Umgang mit IPv6
« previous
next »
Print
Pages: [
1
]
Author
Topic: Geräte in Firewall identifizieren - Umgang mit IPv6 (Read 320 times)
Sylvan86
Newbie
Posts: 22
Karma: 0
Geräte in Firewall identifizieren - Umgang mit IPv6
«
on:
October 09, 2024, 07:18:26 am »
Ich wollte mal erfragen wie mit solchen Fällen in OpnSense umgegangen ist bzw. wie die Grundphilosophie hierbei ist:
Angenommenes Beispiel:
Ich habe diverse Geräte im lokalen Netz, welche Teil der internen Kommunikation sein sollen aber keinen Kontakt ins Internet erhalten sollen.
Oder noch plastischer: Ein Fernseher soll nicht mit dem Internet kommunizieren dürfen, da eingeblendete Werbung doof ist aber gleichzeitig soll er mit anderen Geräten kommunizieren können, da er z.B. vom NAS streamen können soll oder er über`s Smart-Home gesteuert werden soll.
Erster (evtl. naiver) Ansatz: Eine Block-Regel Richung WAN bei der die Quelle die IPv4-Adresse des Fernsehers ist.
Grundsätzlich o.k., da man diesem ja eine feste IPv4-Adresse per DHCP zuweisen kann.
Mein Verständnisproblem folgt aber nun: Was ist mit IPv6-Kommunikation? Dort gibt es für mich ersichtlich keine feste IPv6-Adresse, welche ich in der Firewall-Regel hinterlegen könnte.
DHCPv6 ist kein Muss - der Fernseher kann auch über SLAAC seine Adressen beziehen, so dass eine wirklich feste Adresse nie garantiert ist.
Des Weiteren kann er ja auch von den Privacy Extensions Gebrauch mache und würfelt sich munter neue Adressen aus.
Und obendrauf ändert sich das Präfix an meinem Anschluss eh dauernd.
In OpenWRT war das alles für mich bislang kein Problem, da ich hierfür nur eine einzige Firewall-Regel brauchte. Dort kann man als Quelle eine MAC-Adresse angeben und damit sind die Identifier auf Level 3 egal. Ziemlich simpel aber wirksam.
In OpnSense scheint die gedankliche Trennung zwischen Layer 2 und 3 jedoch stringenter behandelt zu werden.
Zumindest habe ich auf Anhieb keine Möglichkeit gefunden MAC-Adressen als Quelle der Pakete festzulegen.
Spontan sehe ich für mein Anliegen erst einmal nur folgende Möglichkeit:
Neues Layer 2 Netz (VLAN) sowie Layer 3 Netz einrichten
In diesem den Fernseher unterbringen - z.b. durch Anschluss an den entsprechenden Port am Switch
Im Router neues Interface für dieses Netz einrichten und Dienste hierfür konfigurieren (DHCP, DNS etc.)
Firewall-Regeln erzeugen, so dass aus diesem Netz kein Internet möglich ist aber zwischen LAN und diesem Netz geroutet wird (z.b. für Streaming oder Steuerbefehle)
Natürlich wäre das mit mehr Kontrolle verbunden und unerwünschte Kommunikation ist damit zuverlässiger unterbunden.
Aber ganz ehrlich: Das finde ich schon bisschen zu viel Aufwand der die Verwaltungskomplexität enorm erhöht, verglichen mit einer einzigen Firewall-Regel welche unter OpenWRT das gleiche Endziel erreicht.
Ich gehe daher davon aus, dass ich - noch neu in der OpnSense-Welt - etwas übersehen habe und frage daher wie hier mit derartigen Fällen umgegangen werden sollte.
Btw.: damit die Diskussion nicht abdriftet: MAC-Spoofing macht der Fernseher natürlich nicht - er behält seine MAC brav bei. Wäre er so garstig seine MAC zu ändern, bräuchte ich auch nicht auf Layer 3-Ebene filtern, da er seine IP noch viel einfacher ändern könnte.
Logged
Zapad
Full Member
Posts: 108
Karma: 3
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #1 on:
October 09, 2024, 08:20:48 am »
sehe da kein Problem, du kannst ja ipv6 Protokoll für das Netz/Vlan wo dein gesprächiger TV steckt abstellen.
Logged
Sylvan86
Newbie
Posts: 22
Karma: 0
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #2 on:
October 09, 2024, 08:33:02 am »
Das wäre das LAN.
IPv6 im LAN komplett zu verbieten sehe ich durchaus als Problem wenn es lediglich darum geht einzelnen Geräten den Zugriff aufs Internet zu blockieren.
Logged
meyergru
Hero Member
Posts: 1712
Karma: 168
IT Aficionado
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #3 on:
October 09, 2024, 08:50:00 am »
Du hast doch beide Möglichkeiten bei IPv6. Du kannst dynamische IPv6 Aliases vergeben, bei denen die EUI64 das Gerät identifiziert (unabhängig vom Präfix). Damit kannst Du aber nur Traffic zulassen, nicht blockieren, weil jedes Gerät Privacy Extensions nutzen könnte.
Blockieren kannst Du mittels der MAC, natürlich nur, wenn das Gerät keine MAC faken kann. Sicher klappt das nur mit 802.1X.
Logged
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005
1100 down / 440 up
,
Bufferbloat A+
Sylvan86
Newbie
Posts: 22
Karma: 0
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #4 on:
October 09, 2024, 09:06:07 am »
Quote from: meyergru on October 09, 2024, 08:50:00 am
Blockieren kannst Du mittels der MAC
Exakt darum geht es mir ja hier: Wie?
Wie ich bereits schrieb habe ich bisher diesen Teil verpasst bei OpnSense.
Ich habe nur in einem alten Feature-Request gelesen, dass MAC-Adressen zur Filterung nicht untersützt werden.
Das hätte mich aber gewundert daher hier meine Nachfrage.
Bei den Alias hab ich das zwar schon gesehen aber da man keine MAC direkt in eine Regel schreiben kann bin ich davon ausgegangen, dass ein Alias dafür einzutragen nichts bringen würde - offensichtlich war meine Vermutung da falsch?
Logged
tiermutter
Hero Member
Posts: 1102
Karma: 61
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #5 on:
October 09, 2024, 09:06:54 am »
IPv6 Adressen sollten eigentlich statisch sein, leider schafft Technik-Deutschland es aber nicht wirklich statische Präfixe anzubieten... oder es wird einfach nicht geblickt.
Du kannst aber einfach ein Alias mit der MAC des TV erstellen und damit Zugriffe beschränken, dann ist v4 und v6 abgedeckt.
Gerade bei TV, da die wirklich viel sprechen, habe ich mir angewöhnt denen einfach ein ungültiges Gateway und DNS zu geben, dann muss nicht ständig durch die FW geblockt werden und im LAN funktioniert er trotzdem.
Logged
i am not an expert... just trying to help...
tiermutter
Hero Member
Posts: 1102
Karma: 61
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #6 on:
October 09, 2024, 09:09:37 am »
Quote from: Sylvan86 on October 09, 2024, 09:06:07 am
Exakt darum geht es mir ja hier: Wie?
Firewall > Aliases > Hier Alias erstellen mit der MAC
Dann eine Regel auf dem LAN mit Source = Alias der Zugang zum Internet blockt.
Logged
i am not an expert... just trying to help...
Sylvan86
Newbie
Posts: 22
Karma: 0
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #7 on:
October 09, 2024, 09:15:06 am »
Besten Dank.
Ich bin tatsächlich davon ausgegangen, dass der MAC-Alias nicht funktioniert, da man in die Regel selbst keine MAC-Adresse eintragen kann.
Ich hätte es tatsächlich stattdessen einfach mal probieren sollen anstatt hier einen Thread zu eröffnen.
Aber meine Frage ist damit super beantwortet - danke!
Logged
tiermutter
Hero Member
Posts: 1102
Karma: 61
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #8 on:
October 09, 2024, 09:25:48 am »
Funktioniert bestens... nutze ich vornehmlich um im Multi WAN entsprechend zu routen
Logged
i am not an expert... just trying to help...
Sylvan86
Newbie
Posts: 22
Karma: 0
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #9 on:
October 09, 2024, 09:36:08 am »
Dein Ansatz mit dem ungültigen Gateway fand ich auch clever und hab das gleich mal versucht.
Wollte dort 0.0.0.0 eingeben in der Hoffnung, dass sinnlose Pakete nicht erst das Gerät verlassen aber die Einstellungen der OpnSense meckerten da, dass das Gateway nicht im Subnetz des Client liegt.
Ist ja korrekt - hier aber eben doch so gewünscht.
Anstatt jetzt was anderes einzutragen, wie z.b. die IP-Adresse des Gerätes selbst, bin ich stattdessen über die config.yml gegangen und hab es direkt dort eingetragen.
Scheint bislang das zu tun was es soll.
Vielleicht als Tipp für jemanden der auch mal darüber stolpert.
Logged
tiermutter
Hero Member
Posts: 1102
Karma: 61
Re: Geräte in Firewall identifizieren - Umgang mit IPv6
«
Reply #10 on:
October 09, 2024, 09:38:00 am »
Warum in der Sense? Ich habe den TVs in ihren eigenen Einstellungen entsprechenden Mist eingetragen... geht dann natürlich nicht mit DHCP.
Logged
i am not an expert... just trying to help...
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
Geräte in Firewall identifizieren - Umgang mit IPv6