Dynamisches IPV6 Objekt in der Firewall
Hi,
ich beschäftige mich heute zum ersten Mal mit IPV6 und habe Verständnisprobleme wie ich meine Anforderungen umsetzen kann. Ich hoffe das ihr mir da weiterhelfen könnt
Anforderungen:
Ich möchte mein Reverse Proxy Server der bereits per IPV4 aus dem Internet erreichbar ist nun auch mit IPV6 ausstatten.
Rahmenbedingungen:
Meine Anforderungen beschränken sich auf meine private Umgebung. Über meinen Dienstleister in der Fa. habe ich eine Fortigate 40F günstig erhalten und habe meine virtualisierte Sophos XG abgelöst. Auf der Sophos XG waren meine Anforderungen noch nicht umgesetzt (Konnte kein IPV6 PD über PPPOE).
Was ich bereits umgesetzt hatte:
Über die Telekom erhalte ich per PPPOE eine IPV6 Netwerk Präfix von /56 Maske. Dieser Präfix ist leider Dynamisch und nicht statisch. Per Präfix Delegation segmentiere ich diese pro Interface/VLAN auf eine /64 Maske. Die Clients z. B. der Reverse Proxy bilden dann per Slaac Ihre IPV6 Adresse.
Damit erhält der Reverse Proxy 3x IPV6 Adressen:
- Globale
- Temporäre aufgrund des Privacy Extension Flag
- Link-Lokale
Auf dem Reverse Proxy ist für mein vorhaben ja die Globale IPV6 Adresse relevant. Diese Adresse registriere ich per DDNS Client bei meinen DDNS Provider. Auf der Fortigate habe ich entsprechend eine Firewall Policy gebaut, der eingehende Anfragen per HTTP und HTTPS erlauben. Der Zugriff von außen funktioniert auch problemlos.
Nun stelle ich mir aber die Frage, wie das IP Objekt auf der Firewall abgebildet wird, da der Präfix vom Provider dynamisch verteilt wird. Auf diesen habe ich leider keinen Einfluss. Beim nächsten Einwahl z. B. durch einen Neustart der Firewall kann sich die IP-Adresse vom Client verändern. Im Gegensatz zu IPV4, route ich direkt zum Server und kann die Interface Adresse der Firewall nicht als Destination Objekt nutzen.
Zurzeit sehe ich zwei Möglichkeiten, die mir beide aber nicht gefallen.
1. Ich füge der Firewall eine weitere IPV6 Adresse auf dem Interface hinzu und Natte auf den Server. Damit untergrabe ich jedoch die Konzepte von IPV6 nach meinen Verständnis. :D
2. Als Destination Objekte trage ich in der Firewall die FQDN vom DDNS ein und erhalte damit die aktuelle Adresse. Ein Dynamisches Objekt als Destination im Regelwerk habe ich jedoch etwas Bauchweh. :D
Config:
WAN Interface:
DMZ Interface:
Firewall Policy (Die Fortigate habe ich im NGFW Mode laufen. Daher kann ich das Regelwerk auf Applikationen und deren Default Port beschränken):
Evtl. waren das auch zu viele Informationen. Jedoch wird die Frage ggf. für euch etwas greifbarer. Falls die Informationen nicht ausreichen sollte, liefere ich gerne etwas nach
Vielen Dank für eure Unterstützung
ich beschäftige mich heute zum ersten Mal mit IPV6 und habe Verständnisprobleme wie ich meine Anforderungen umsetzen kann. Ich hoffe das ihr mir da weiterhelfen könnt
Anforderungen:
Ich möchte mein Reverse Proxy Server der bereits per IPV4 aus dem Internet erreichbar ist nun auch mit IPV6 ausstatten.
Rahmenbedingungen:
Meine Anforderungen beschränken sich auf meine private Umgebung. Über meinen Dienstleister in der Fa. habe ich eine Fortigate 40F günstig erhalten und habe meine virtualisierte Sophos XG abgelöst. Auf der Sophos XG waren meine Anforderungen noch nicht umgesetzt (Konnte kein IPV6 PD über PPPOE).
Was ich bereits umgesetzt hatte:
Über die Telekom erhalte ich per PPPOE eine IPV6 Netwerk Präfix von /56 Maske. Dieser Präfix ist leider Dynamisch und nicht statisch. Per Präfix Delegation segmentiere ich diese pro Interface/VLAN auf eine /64 Maske. Die Clients z. B. der Reverse Proxy bilden dann per Slaac Ihre IPV6 Adresse.
Damit erhält der Reverse Proxy 3x IPV6 Adressen:
- Globale
- Temporäre aufgrund des Privacy Extension Flag
- Link-Lokale
Auf dem Reverse Proxy ist für mein vorhaben ja die Globale IPV6 Adresse relevant. Diese Adresse registriere ich per DDNS Client bei meinen DDNS Provider. Auf der Fortigate habe ich entsprechend eine Firewall Policy gebaut, der eingehende Anfragen per HTTP und HTTPS erlauben. Der Zugriff von außen funktioniert auch problemlos.
Nun stelle ich mir aber die Frage, wie das IP Objekt auf der Firewall abgebildet wird, da der Präfix vom Provider dynamisch verteilt wird. Auf diesen habe ich leider keinen Einfluss. Beim nächsten Einwahl z. B. durch einen Neustart der Firewall kann sich die IP-Adresse vom Client verändern. Im Gegensatz zu IPV4, route ich direkt zum Server und kann die Interface Adresse der Firewall nicht als Destination Objekt nutzen.
Zurzeit sehe ich zwei Möglichkeiten, die mir beide aber nicht gefallen.
1. Ich füge der Firewall eine weitere IPV6 Adresse auf dem Interface hinzu und Natte auf den Server. Damit untergrabe ich jedoch die Konzepte von IPV6 nach meinen Verständnis. :D
2. Als Destination Objekte trage ich in der Firewall die FQDN vom DDNS ein und erhalte damit die aktuelle Adresse. Ein Dynamisches Objekt als Destination im Regelwerk habe ich jedoch etwas Bauchweh. :D
Config:
WAN Interface:
config system interface
edit "wan"
set vdom "root"
set mode pppoe
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-mode pppoe
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/56
set prefix-hint-plt 0
set prefix-hint-vlt 0
next
end
end
set username $username
set password $password
next
end
DMZ Interface:
config system interface
edit "VLAN 80"
set vdom "root"
set ip 10.1.80.254 255.255.255.0
set allowaccess ping
set alias "DMZ-1 Webserver"
set device-identification enable
set role dmz
set snmp-index 15
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping
set ip6-send-adv enable
set ip6-other-flag enable
set ip6-upstream-interface "wan"
set ip6-delegated-prefix-iaid 1
set ip6-subnet ::50:0:0:0:1/64
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan"
set delegated-prefix-iaid 1
set subnet 0:0:0:50::/64
next
end
end
set interface "lan1"
set vlanid 80
next
end
Firewall Policy (Die Fortigate habe ich im NGFW Mode laufen. Daher kann ich das Regelwerk auf Applikationen und deren Default Port beschränken):
config firewall security-policy
edit 86
set uuid a2cdl2öc-143f-21de-a315-a01c31c942de
set name "Untrust -> Reverse Proxy App IPV6"
set srcintf "Untrust"
set dstintf "DMZ"
set srcaddr6 "Germany IPV6"
set dstaddr6 "Globale IPV6 Adresse des Reverse Proxy"
set action accept
set schedule "always"
set logtraffic all
set ips-sensor "default"
set application 15893 40568 41540 47013 || HTTP.BROWSER HTTPS.BROWSER SSL_TLSv1.2 SSL_TLSv1.3
next
end
Evtl. waren das auch zu viele Informationen. Jedoch wird die Frage ggf. für euch etwas greifbarer. Falls die Informationen nicht ausreichen sollte, liefere ich gerne etwas nach
Vielen Dank für eure Unterstützung
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5841007771
Url: https://administrator.de/forum/dynamisches-ipv6-objekt-in-der-firewall-5841007771.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
ich weiß jetzt nicht, wie das genau bei FortiGate läuft, aber kannst Du statt eines „IP-Objektes“ nicht ein „FQDN-Objekt“ mit dem DynDNS-Namen verwenden. Die Firewall müsste doch auch mit FQDNs umgehen können und diese aktualisieren?
Ansonsten müsste es doch per API geändert werden können. https://docs.fortinet.com/document/fortimail/6.0.4/rest-api-reference
Grüße
lcer
ich weiß jetzt nicht, wie das genau bei FortiGate läuft, aber kannst Du statt eines „IP-Objektes“ nicht ein „FQDN-Objekt“ mit dem DynDNS-Namen verwenden. Die Firewall müsste doch auch mit FQDNs umgehen können und diese aktualisieren?
Ansonsten müsste es doch per API geändert werden können. https://docs.fortinet.com/document/fortimail/6.0.4/rest-api-reference
Grüße
lcer
Hallo,
dann verwende deinen eigenen DDNS-Dienst z.B. https://www.tech-island.com/tutorials/webserver/eigener-dynamicdns-ddns- ...
Grüße
lcer
dann verwende deinen eigenen DDNS-Dienst z.B. https://www.tech-island.com/tutorials/webserver/eigener-dynamicdns-ddns- ...
Grüße
lcer