informatikkfm
Goto Top

IPv6 auf Firewall für eingehende VPN-Verbindungen aktivieren

Hallo,

seit längerem häufen sich die Probleme, dass MA's sich nicht in das VPN einwählen können, da Sie hinter CGN-Internetanschlüssen stecken und somit der IPSec-VPN Verbindungsaufbau nicht funktioniert.
Vertraglich verfüge ich über IPv6-Adressen, die ich auf dem VPN-Gateway allerdings noch konfigurieren muss.

Ich möchte nun nicht einfach ins Blaue konfigurieren, sondern wünsche mir Feedback aus der Community,
da ich mir sicher bin, dass es hier schon einige gab, die IPv4 und IPv6 an einer FortiGate im parallelbetrib konfiguriert haben.

Um etwas konkreter zu werden: Reicht es auf dem WAN-Interface den IPv6-Adresse hinzufügen?
Oder muss ich die VPN-Konfiguration auch noch anpassen? Ich möchte kein IPv6 im Netz machen, daher gehe ich erstmal von einem "nein" aus.

Gibt es hier ggf. noch Sicherheitsbedenken, die ich durch das "einfache" Aktivieren der IPv6-Adresse übersehen habe?

Gruß

Content-ID: 540257

Url: https://administrator.de/forum/ipv6-auf-firewall-fuer-eingehende-vpn-verbindungen-aktivieren-540257.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

aqui
aqui 28.01.2020 aktualisiert um 10:41:13 Uhr
Goto Top
Ich möchte kein IPv6 im Netz machen
Was ist damit genau gemeint ? Wenn du mit "im" dein internes Netz meinst ist das IPv6 VPN ja dann irgendwie sinnfrei.
Oder willst du einen v6 Tunnel errichten mit encapsuliertem v4 Traffic darin ?
Um überhaupt einen v6 Tunnel errichten zu können brauchst du wenigstens eine v6 Adresse auf deinem öffentlichen WAN Interface.
Vertraglich verfüge ich über IPv6-Adressen
Das ist doch schon mal gut !
Was hintert dich dann daran auch intern eine saubere IPv6 Adressierung aufzusetzen. Wenn du nur ein paar popelige IP Segmente hast ist das doch in 10 Minuten erledigt.
Wenigstens ein Testsegment (Test VLAN) solltest du damit mal ausrüsten um damit eine v6 Verbindung sauber zu testen.
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-ipsecvpn ...
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-ipsecvpn ...
https://danrl.com/projects/ipv6-workshop/
informatikkfm
informatikkfm 28.01.2020 um 10:40:48 Uhr
Goto Top
Zitat von @aqui:
Oder willst du einen v6 Tunnel errichten mit encapsuliertem v4 Traffic darin ?
Um überhaupt einen v6 Tunnel errichten zu können brauchst du wenigstens eine v6 Adresse auf deinem öffentlichen WAN Interface.

Ja, genau. Im Groben und Ganzen geht es erstmal darum, dass ich einen V6-Tunnel bereitstellen kann, und die Clients weiterhin auf die Server/Systeme via IPv4 zugreifen können.
LordGurke
LordGurke 28.01.2020 um 11:12:24 Uhr
Goto Top
Dann sollte es damit getan sein, eine IPv6-Adresse und das Gateway auf dem WAN-Interface zu konfigurieren.
Denke daran, dass du jetzt auch IPv6-Firewallregeln pflegen musst.
informatikkfm
informatikkfm 28.01.2020 um 11:36:55 Uhr
Goto Top
Zitat von @LordGurke:
Denke daran, dass du jetzt auch IPv6-Firewallregeln pflegen musst.

Magst du das noch etwas weiter erläutern?
Ich werde vor der Konfiguration dennoch erstmal den Link von aqui mir reinziehen, da sich doch mehr Fragen ergeben dadurch.

Mein ISP hat mir XXXX:XXXX:XXXX:XXXX:0:0:0:0:0/48 zur Verfügung gestellt. Hier beginnt schon die erste Problematik bzgl. des Subnetting bzw. der Adresse für das WAN-Interface am Ende.
LordGurke
LordGurke 28.01.2020 um 12:07:26 Uhr
Goto Top
Such dir einfach eine Adresse aus face-wink
Subnetting bei IPv6 funktioniert exakt so wie bei IPv4, nur mit mehr Bits.

Solange dir dein Provider keine Vorgaben gemacht hat, kannst du dir die Adresse frei aussuchen — nimm notfalls die ::2 am Ende, das ist nie verkehrt.
informatikkfm
informatikkfm 28.01.2020 um 13:23:44 Uhr
Goto Top
Was für ein Subnet gebe ich der Firewall denn am WAN-Interface mit,
wenn ich diese z.B. auf ::2 konfigurieren möchte? /48?

Und was meintest du oben bzgl. Policys?
Eigentlich möchte ich intern ja erstmal gar kein IPv6 verwenden.
LordGurke
LordGurke 28.01.2020 um 16:37:47 Uhr
Goto Top
Zitat von @informatikkfm:

Was für ein Subnet gebe ich der Firewall denn am WAN-Interface mit,
wenn ich diese z.B. auf ::2 konfigurieren möchte? /48?

Auch hier ist es wie bei IPv4: Überall ist konsistent die gleiche Präfixlänge zu verwenden face-wink
Wenn der Hoster also /48 verwendet, musst du es auch tun.


Und was meintest du oben bzgl. Policys?
Eigentlich möchte ich intern ja erstmal gar kein IPv6 verwenden.

Naja, aber die Firewall wird ja wohl den eingehenden Traffic zu sich selbst möglicherweise auch filtern face-wink
Und damit VPN erreichbar ist, ist es unter Umständen notwendig, die verwendeten Ports und Protokolle explizit nochmal für IPv6 freizuschalten.

P.S.: Ich weiß nicht, ob du derartige Regeln bei IPv4 verwendet hast, bei IPv6 darfst du aber keinesfalls Filterregeln anlegen, die das komplette ICMPv6-Protokoll wegfiltern, denn dann verlierst du spätestens nach ein paar Minuten die gesamte IPv6-Konnektivität.