Ich habe aktuell das Problem, dass ich die IB2 Firewall in einer Instlalation mit Server/NAS und IPv6 korrekt verwenden möchte. Ziel: * HTTP(S) und SSH Ports auf IPv4 (Port-Weiterleit ung) und IPv6 (Routing) * Firewall eingehend standardmässig blockiert, nur HTTP(S) und SSH auf das Gerät mit IPv6 Adresse öffnen Voraussetzungen: * DHCP der IB2 deaktiviert (das macht ein anderer Server im LAN) Probleme dabei: * Mein Server taucht der Server/NAS nicht auf bzw. nur als Gerät mit IPv6 Adresse, die statisch auf dem gerät Konfigurierte IPv4 Adresse zeigt die Geräteliste nicht an * In der Firewall-Konfiguration auf "User-Defined" kann ich zwar IPv6 bei der Rule-Definition wählen, angezeigt werden aber nur Geräte mit IPv4 Adresse (WTF?) * Es ist auch nicht möglich Geräte manuell zur Geräteliste hinzuzufügen * Ebenfalls kann ich in der Geräteliste über den "Bleistift" nur Namen und Icon ändern, nicht aber die Adressen * Beim Port-Forwarding kann ich ausser von der Liste zu wählen auch eine IP eingeben, nicht aber bei der Firewall-Regel Ich vermute ja, dass die Firewall-Regel nicht auf der IPv6 Adresse sondern auf der MAC Adresse basiert. Es scheint mir aber ein Fehler zu sein, dass ich in der Firewall-Regel als Gerät kein Gerät wählen kann für welches die IB keine IPv4 Adresse erkannt hat. Somit bleibt mir aktuell nur die Option "Any Device" zu wählen. Das funktioniert zwar aber es öffnet die Ports eingehend für ALLE IPv6-fähigen Endgeräte. Nicht nur für den Server. Bei IPv4 ist das kein Problem da sowieso ein NAT dazwischen ist. Die Ports des Port-Forwardings scheinen automatisch immer von der Firewall erlaubt zu sein. Das ist auch gut so, dafür muss man keine Regeln erstellen. Ich hätte aber gerne Regeln für eingehende IPv6 Verbindungen NUR auf bestimmte Geräte konfiguriert. Finde aber eben keine Möglichkeit dazu da ich mein Gerät gar nicht in der Geräteliste bei der Regel finde und in der Geräteliste selbst das Gerät zwar aufgeführt wird aber ohne IPv4 Adresse (obwohl es auch über IPv4 kommuniziert).

> * * * > > @"PowerMac"#38531 schrieb: > > Ja, diese Geräteliste und die Netztopologieansicht ist ein leidiges Thema... wird wahrscheinlich auch prinzipbedingt immer ein solches bleiben. > > * * * Irgendwie seltsam, dass man die Liste nicht einfach selber bearbeiten kann. MAC, IPv4 und IPv6 sind mir ja bekannt. Mir wäre es egal die Geräte manuell zu erfassen. Oder alternativ in der IPv6 Firewall Regel manuell ein Gerät (IPv6 Adresse oder MAC) einzutragen. Ähnlich mache ich das ja auch schon jetzt in der Port-Forwarding Liste für IPv4. Dort taucht mein Server auch nicht auf und ich kann trotzdem dessen IP angeben und das funktioniert auch. Nur in diesem verkrüppelten Firewall-Regel GUI kann ich nur aus einer (unvollständigen und nicht bearbeitbaren) Liste auswählen. > * * * > > @"PowerMac"#38531 schrieb: > > Seltsam dünkt mich, dass zwar die IPv6, nicht aber die IPv4 des NAS in der Liste auftaucht. Bei mir jedenfalls funktioniert dies ordnungsgemäss. Neustart von NAS und Internetbox hast du ja bestimmt schon versucht, oder? Falls dein NAS mehrere LAN-Interfaces (und damit mehrere MAC-Adressen) haben sollte, stecke einmal alle ausser eines davon aus und beobachte ob sich etwas ändert. > > * * * Genau genommen ist das ein Linux-Server mit 2 LAN Interfaces, an einem hängt eine Bridge für VMs am anderen das Host-OS für das ich eine eingehende IPv6 Firewall-Regel machen möchte. Es sollte keinen Unterschied machen ob eines der Interfaces deaktiviert wird denn es sind 2 unterschiedliche MAC und unterschiedliche IPv4/v6 Adressen auf den Interfaces. Und ja, schon mehrmals auch die IB neu gestartet. Habe sogar versucht IPv6 mal an der IB2 zu deaktivieren um dann hoffentlich die Geräte als IPv4 Geräte in der Geräteliste zu finden. Leider Fehlanzeige: * Das Gerät (mit korrekter MAC) bleibt in der Geräteliste, allerdings jetzt nur noch mit Link-Local (fe80::) IPv6 Adresse * Nach dem erneuten einschalten von IPv6 bekam die IB2 jetzt keine lokale IPv6 Adresse mehr und meinte auch Prefix-Delegation wäre nicht verfügbar. Nach mehreren Reboots in diversen IPv6/Route-Prefix Zuständen hat die IB2 jetzt wieder eine IPv6 Adresse und das Routing geht auch wieder. * Der Geräteliste-Eintrag bleibt aber auf IPv6 (jetzt wieder die korrekte Public IPv6 Adresse) - keine IPv4 Adresse. Die IPv4 Adresse wäre mir ja auch egal, aber ich kann paradoxerweise beim erstellen einer IPv6 FIrewall-Rule nur die IPv4 Geräte wählen (???) - total bekloppt. > * * * > > @"PowerMac"#38531 schrieb: > > Dass man bei den Firewallregeln nur IPs aus der Geräteliste auswählen kann (sowohl v4 als auch v6) dünkt mich auch unglücklich; es wäre sicher gut wenn man da custom IPs eintragen könnte. @"MichelB"#345034 ist das etwas für die Featurewunschliste? Wäre evt. mit realtiv geringem Aufwand implementierbar. > > * * * Wenn man denn die IPv6 Einträge wählen könnte... geht leider nicht. Das Gerät ist ja in der Geräteliste vorhanden, auch m it MAC. Aber beim erstellen einer IPv6 Firewall-Regel ist das Gerät nicht auswählbar da vermutlich nur Geräte mit zugewiesener IPv4 Adresse im Drop-Down Menü gefiltert werden. Genau genommen ist das vermutlich ein Bug. [upl-image-preview liId=50641i52741F2B75B66743 alt=SkyBeam_0-1673008368609.png uuid=a06ee8be-911e-4b6a-bfd9-494f7ed89ffe] Da die IPv6 Adresse dynamisch ist (der Prefix kann ändern) wäre eventuell auch ein statischer Eintrag nicht ideal. Den Filter über die MAC zu erstellen wäre ggf. hier sinnvoller. Es scheint nur niemandem aufgefallen zu sein, dass das Firewall-GUI beim erstellen einer IPv6 Regel keine IPv6 Ziele anzeigt.

IB2: Firewall und Geräteliste mit IPv6

SkyBeam

Ich habe aktuell das Problem, dass ich die IB2 Firewall in einer Instlalation mit Server/NAS und IPv6 korrekt verwenden möchte.

Ziel:

HTTP(S) und SSH Ports auf IPv4 (Port-Weiterleit ung) und IPv6 (Routing)
Firewall eingehend standardmässig blockiert, nur HTTP(S) und SSH auf das Gerät mit IPv6 Adresse öffnen

Voraussetzungen:

DHCP der IB2 deaktiviert (das macht ein anderer Server im LAN)

Probleme dabei:

Mein Server taucht der Server/NAS nicht auf bzw. nur als Gerät mit IPv6 Adresse, die statisch auf dem gerät Konfigurierte IPv4 Adresse zeigt die Geräteliste nicht an
In der Firewall-Konfiguration auf "User-Defined" kann ich zwar IPv6 bei der Rule-Definition wählen, angezeigt werden aber nur Geräte mit IPv4 Adresse (WTF?)
Es ist auch nicht möglich Geräte manuell zur Geräteliste hinzuzufügen
Ebenfalls kann ich in der Geräteliste über den "Bleistift" nur Namen und Icon ändern, nicht aber die Adressen
Beim Port-Forwarding kann ich ausser von der Liste zu wählen auch eine IP eingeben, nicht aber bei der Firewall-Regel

Ich vermute ja, dass die Firewall-Regel nicht auf der IPv6 Adresse sondern auf der MAC Adresse basiert. Es scheint mir aber ein Fehler zu sein, dass ich in der Firewall-Regel als Gerät kein Gerät wählen kann für welches die IB keine IPv4 Adresse erkannt hat.

Somit bleibt mir aktuell nur die Option "Any Device" zu wählen. Das funktioniert zwar aber es öffnet die Ports eingehend für ALLE IPv6-fähigen Endgeräte. Nicht nur für den Server.

Bei IPv4 ist das kein Problem da sowieso ein NAT dazwischen ist.

Die Ports des Port-Forwardings scheinen automatisch immer von der Firewall erlaubt zu sein. Das ist auch gut so, dafür muss man keine Regeln erstellen.

Ich hätte aber gerne Regeln für eingehende IPv6 Verbindungen NUR auf bestimmte Geräte konfiguriert. Finde aber eben keine Möglichkeit dazu da ich mein Gerät gar nicht in der Geräteliste bei der Regel finde und in der Geräteliste selbst das Gerät zwar aufgeführt wird aber ohne IPv4 Adresse (obwohl es auch über IPv4 kommuniziert).

PowerMac

Ja, diese Geräteliste und die Netztopologieansicht ist ein leidiges Thema... wird wahrscheinlich auch prinzipbedingt immer ein solches bleiben.

Seltsam dünkt mich, dass zwar die IPv6, nicht aber die IPv4 des NAS in der Liste auftaucht. Bei mir jedenfalls funktioniert dies ordnungsgemäss. Neustart von NAS und Internetbox hast du ja bestimmt schon versucht, oder? Falls dein NAS mehrere LAN-Interfaces (und damit mehrere MAC-Adressen) haben sollte, stecke einmal alle ausser eines davon aus und beobachte ob sich etwas ändert.

Dass man bei den Firewallregeln nur IPs aus der Geräteliste auswählen kann (sowohl v4 als auch v6) dünkt mich auch unglücklich; es wäre sicher gut wenn man da custom IPs eintragen könnte. @MichelB ist das etwas für die Featurewunschliste? Wäre evt. mit relativ geringem Aufwand implementierbar.

hed

@SkyBeam

Ich gehe davon aus, dass die IB für komplexere Fälle wie bei dir schlicht überfordert ist. Ich gehe davon aus, dass sich das auch nicht so rasch ändern wird, denn die IB ist primär für die geschätzt 98% der Kunden entwickelt, die keine nachgeschalteten Router/Firewalls/Proxy/DMZ/DHCP-Server/etc. verwenden.

SkyBeam

@PowerMac schrieb:

Ja, diese Geräteliste und die Netztopologieansicht ist ein leidiges Thema... wird wahrscheinlich auch prinzipbedingt immer ein solches bleiben.

Irgendwie seltsam, dass man die Liste nicht einfach selber bearbeiten kann. MAC, IPv4 und IPv6 sind mir ja bekannt. Mir wäre es egal die Geräte manuell zu erfassen. Oder alternativ in der IPv6 Firewall Regel manuell ein Gerät (IPv6 Adresse oder MAC) einzutragen. Ähnlich mache ich das ja auch schon jetzt in der Port-Forwarding Liste für IPv4. Dort taucht mein Server auch nicht auf und ich kann trotzdem dessen IP angeben und das funktioniert auch.

Nur in diesem verkrüppelten Firewall-Regel GUI kann ich nur aus einer (unvollständigen und nicht bearbeitbaren) Liste auswählen.

@PowerMac schrieb:

Seltsam dünkt mich, dass zwar die IPv6, nicht aber die IPv4 des NAS in der Liste auftaucht. Bei mir jedenfalls funktioniert dies ordnungsgemäss. Neustart von NAS und Internetbox hast du ja bestimmt schon versucht, oder? Falls dein NAS mehrere LAN-Interfaces (und damit mehrere MAC-Adressen) haben sollte, stecke einmal alle ausser eines davon aus und beobachte ob sich etwas ändert.

Genau genommen ist das ein Linux-Server mit 2 LAN Interfaces, an einem hängt eine Bridge für VMs am anderen das Host-OS für das ich eine eingehende IPv6 Firewall-Regel machen möchte. Es sollte keinen Unterschied machen ob eines der Interfaces deaktiviert wird denn es sind 2 unterschiedliche MAC und unterschiedliche IPv4/v6 Adressen auf den Interfaces.

Und ja, schon mehrmals auch die IB neu gestartet. Habe sogar versucht IPv6 mal an der IB2 zu deaktivieren um dann hoffentlich die Geräte als IPv4 Geräte in der Geräteliste zu finden. Leider Fehlanzeige:

Das Gerät (mit korrekter MAC) bleibt in der Geräteliste, allerdings jetzt nur noch mit Link-Local (fe80:🙂 IPv6 Adresse
Nach dem erneuten einschalten von IPv6 bekam die IB2 jetzt keine lokale IPv6 Adresse mehr und meinte auch Prefix-Delegation wäre nicht verfügbar. Nach mehreren Reboots in diversen IPv6/Route-Prefix Zuständen hat die IB2 jetzt wieder eine IPv6 Adresse und das Routing geht auch wieder.
Der Geräteliste-Eintrag bleibt aber auf IPv6 (jetzt wieder die korrekte Public IPv6 Adresse) - keine IPv4 Adresse.

Die IPv4 Adresse wäre mir ja auch egal, aber ich kann paradoxerweise beim erstellen einer IPv6 FIrewall-Rule nur die IPv4 Geräte wählen (???) - total bekloppt.

@PowerMac schrieb:

Dass man bei den Firewallregeln nur IPs aus der Geräteliste auswählen kann (sowohl v4 als auch v6) dünkt mich auch unglücklich; es wäre sicher gut wenn man da custom IPs eintragen könnte. @MichelB ist das etwas für die Featurewunschliste? Wäre evt. mit realtiv geringem Aufwand implementierbar.

Wenn man denn die IPv6 Einträge wählen könnte... geht leider nicht. Das Gerät ist ja in der Geräteliste vorhanden, auch m it MAC. Aber beim erstellen einer IPv6 Firewall-Regel ist das Gerät nicht auswählbar da vermutlich nur Geräte mit zugewiesener IPv4 Adresse im Drop-Down Menü gefiltert werden. Genau genommen ist das vermutlich ein Bug.

Da die IPv6 Adresse dynamisch ist (der Prefix kann ändern) wäre eventuell auch ein statischer Eintrag nicht ideal. Den Filter über die MAC zu erstellen wäre ggf. hier sinnvoller. Es scheint nur niemandem aufgefallen zu sein, dass das Firewall-GUI beim erstellen einer IPv6 Regel keine IPv6 Ziele anzeigt.

SkyBeam

@hed schrieb:

@SkyBeam

Ich gehe davon aus, dass die IB für komplexere Fälle wie bei dir schlicht überfordert ist. Ich gehe davon aus, dass sich das auch nicht so rasch ändern wird, denn die IB ist primär für die geschätzt 98% der Kunden entwickelt, die keine nachgeschalteten Router/Firewalls/Proxy/DMZ/DHCP-Server/etc. verwenden.

Das ist mir schon klar. Die Funktionalität scheint aber vorhanden zu sein. Ich vermute schlicht einen Bug im Firewall-GUI.

Eigentlich möchte ich eine nachgeschaltete Firewall ja gerade nicht einsetzen sondern es geht nur um den Standard Use-Case wo die IB als Gateway zwischen dem Internet und einer flachen LAN-Struktur sitzt. Also der einfachst mögliche Use-Case.

Dabei sollen aber eingehende Verbindungen auf IPv4 und IPv6 blockiert werden (so wie es eigentlich recht üblich ist). Mit Ausnahme von wenigen Geräten die auch eingehende Verbindungen auf bestimmten Ports freigeschaltet bekommen sollen. Das ist ja offensichtlich auch so vorgesehen denn man kann genau dafür ja Regeln erstellen.

Unglücklich ist eigentlich nur die Tatsache (ein Bug?) dass man bei einer IPv6 Regel keine IPv6 Geräte wählen kann.

SkyBeam

Die einzige Lösung die ich aktuell kenne ist die, welche ich in meinem eigenen privaten Netzwerk einsetze:

Extra Router hinter die IB setzen
Prefix delegation einsetzen
Router als DMZ Host konfigurieren
Firewall auf der IB auf "durhhzug" (eingehend/ausgehend erlaubt) setzen

Das könnte ich hier aber nur tun wenn ich entweder einen weiteren Router einsetze oder ein dediziertes LAN-Interface als Router hinzufüge um auf dem Linux-Router ein DMZ-Netz bauen zu können. Das würde zwar funktionieren aber erhöht auch die Fehleranfälligkeit. Dafür brauche ich mindestens 1 Gerät mehr oder müsste den gesamten Traffic immer über den Server (der dann auch noch LAN Router ist) schleusen.

Beides nicht ideal wenn eine flache LAN Struktur eigentlich ausreichend wäre. Alles was ich möchte ist es ein paar Ports über IPv6 an den Server (und nur an diesen) freizuschalten.

Mit IPv4 klappt das mit Port forwarding schon prima.