7
IPv6 auf Firewall für eingehende VPN-Verbindungen aktivieren
Hallo,
seit längerem häufen sich die Probleme, dass MA's sich nicht in das VPN einwählen können, da Sie hinter CGN-Internetanschlüssen stecken und somit der IPSec-VPN Verbindungsaufbau nicht funktioniert.
Vertraglich verfüge ich über IPv6-Adressen, die ich auf dem VPN-Gateway allerdings noch konfigurieren muss.
Ich möchte nun nicht einfach ins Blaue konfigurieren, sondern wünsche mir Feedback aus der Community,
da ich mir sicher bin, dass es hier schon einige gab, die IPv4 und IPv6 an einer FortiGate im parallelbetrib konfiguriert haben.
Um etwas konkreter zu werden: Reicht es auf dem WAN-Interface den IPv6-Adresse hinzufügen?
Oder muss ich die VPN-Konfiguration auch noch anpassen? Ich möchte kein IPv6 im Netz machen, daher gehe ich erstmal von einem "nein" aus.
Gibt es hier ggf. noch Sicherheitsbedenken, die ich durch das "einfache" Aktivieren der IPv6-Adresse übersehen habe?
Gruß
seit längerem häufen sich die Probleme, dass MA's sich nicht in das VPN einwählen können, da Sie hinter CGN-Internetanschlüssen stecken und somit der IPSec-VPN Verbindungsaufbau nicht funktioniert.
Vertraglich verfüge ich über IPv6-Adressen, die ich auf dem VPN-Gateway allerdings noch konfigurieren muss.
Ich möchte nun nicht einfach ins Blaue konfigurieren, sondern wünsche mir Feedback aus der Community,
da ich mir sicher bin, dass es hier schon einige gab, die IPv4 und IPv6 an einer FortiGate im parallelbetrib konfiguriert haben.
Um etwas konkreter zu werden: Reicht es auf dem WAN-Interface den IPv6-Adresse hinzufügen?
Oder muss ich die VPN-Konfiguration auch noch anpassen? Ich möchte kein IPv6 im Netz machen, daher gehe ich erstmal von einem "nein" aus.
Gibt es hier ggf. noch Sicherheitsbedenken, die ich durch das "einfache" Aktivieren der IPv6-Adresse übersehen habe?
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 540257
Url: https://administrator.de/contentid/540257
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
7 Kommentare
Neuester Kommentar
Ich möchte kein IPv6 im Netz machen
Was ist damit genau gemeint ? Wenn du mit "im" dein internes Netz meinst ist das IPv6 VPN ja dann irgendwie sinnfrei.Oder willst du einen v6 Tunnel errichten mit encapsuliertem v4 Traffic darin ?
Um überhaupt einen v6 Tunnel errichten zu können brauchst du wenigstens eine v6 Adresse auf deinem öffentlichen WAN Interface.
Vertraglich verfüge ich über IPv6-Adressen
Das ist doch schon mal gut !Was hintert dich dann daran auch intern eine saubere IPv6 Adressierung aufzusetzen. Wenn du nur ein paar popelige IP Segmente hast ist das doch in 10 Minuten erledigt.
Wenigstens ein Testsegment (Test VLAN) solltest du damit mal ausrüsten um damit eine v6 Verbindung sauber zu testen.
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-ipsecvpn ...
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-ipsecvpn ...
https://danrl.com/projects/ipv6-workshop/
Zitat von @aqui:
Oder willst du einen v6 Tunnel errichten mit encapsuliertem v4 Traffic darin ?
Um überhaupt einen v6 Tunnel errichten zu können brauchst du wenigstens eine v6 Adresse auf deinem öffentlichen WAN Interface.
Oder willst du einen v6 Tunnel errichten mit encapsuliertem v4 Traffic darin ?
Um überhaupt einen v6 Tunnel errichten zu können brauchst du wenigstens eine v6 Adresse auf deinem öffentlichen WAN Interface.
Ja, genau. Im Groben und Ganzen geht es erstmal darum, dass ich einen V6-Tunnel bereitstellen kann, und die Clients weiterhin auf die Server/Systeme via IPv4 zugreifen können.
Dann sollte es damit getan sein, eine IPv6-Adresse und das Gateway auf dem WAN-Interface zu konfigurieren.
Denke daran, dass du jetzt auch IPv6-Firewallregeln pflegen musst.
Denke daran, dass du jetzt auch IPv6-Firewallregeln pflegen musst.
Magst du das noch etwas weiter erläutern?
Ich werde vor der Konfiguration dennoch erstmal den Link von aqui mir reinziehen, da sich doch mehr Fragen ergeben dadurch.
Mein ISP hat mir XXXX:XXXX:XXXX:XXXX:0:0:0:0:0/48 zur Verfügung gestellt. Hier beginnt schon die erste Problematik bzgl. des Subnetting bzw. der Adresse für das WAN-Interface am Ende.
Such dir einfach eine Adresse aus 
Subnetting bei IPv6 funktioniert exakt so wie bei IPv4, nur mit mehr Bits.
Solange dir dein Provider keine Vorgaben gemacht hat, kannst du dir die Adresse frei aussuchen — nimm notfalls die ::2 am Ende, das ist nie verkehrt.
Subnetting bei IPv6 funktioniert exakt so wie bei IPv4, nur mit mehr Bits.
Solange dir dein Provider keine Vorgaben gemacht hat, kannst du dir die Adresse frei aussuchen — nimm notfalls die ::2 am Ende, das ist nie verkehrt.
Was für ein Subnet gebe ich der Firewall denn am WAN-Interface mit,
wenn ich diese z.B. auf ::2 konfigurieren möchte? /48?
Und was meintest du oben bzgl. Policys?
Eigentlich möchte ich intern ja erstmal gar kein IPv6 verwenden.
wenn ich diese z.B. auf ::2 konfigurieren möchte? /48?
Und was meintest du oben bzgl. Policys?
Eigentlich möchte ich intern ja erstmal gar kein IPv6 verwenden.
Zitat von @informatikkfm:
Was für ein Subnet gebe ich der Firewall denn am WAN-Interface mit,
wenn ich diese z.B. auf ::2 konfigurieren möchte? /48?
Was für ein Subnet gebe ich der Firewall denn am WAN-Interface mit,
wenn ich diese z.B. auf ::2 konfigurieren möchte? /48?
Auch hier ist es wie bei IPv4: Überall ist konsistent die gleiche Präfixlänge zu verwenden
Wenn der Hoster also /48 verwendet, musst du es auch tun.
Und was meintest du oben bzgl. Policys?
Eigentlich möchte ich intern ja erstmal gar kein IPv6 verwenden.
Eigentlich möchte ich intern ja erstmal gar kein IPv6 verwenden.
Naja, aber die Firewall wird ja wohl den eingehenden Traffic zu sich selbst möglicherweise auch filtern
Und damit VPN erreichbar ist, ist es unter Umständen notwendig, die verwendeten Ports und Protokolle explizit nochmal für IPv6 freizuschalten.
P.S.: Ich weiß nicht, ob du derartige Regeln bei IPv4 verwendet hast, bei IPv6 darfst du aber keinesfalls Filterregeln anlegen, die das komplette ICMPv6-Protokoll wegfiltern, denn dann verlierst du spätestens nach ein paar Minuten die gesamte IPv6-Konnektivität.
