IPv6 auf Firewall für eingehende VPN-Verbindungen aktivieren
Hallo,
seit längerem häufen sich die Probleme, dass MA's sich nicht in das VPN einwählen können, da Sie hinter CGN-Internetanschlüssen stecken und somit der IPSec-VPN Verbindungsaufbau nicht funktioniert.
Vertraglich verfüge ich über IPv6-Adressen, die ich auf dem VPN-Gateway allerdings noch konfigurieren muss.
Ich möchte nun nicht einfach ins Blaue konfigurieren, sondern wünsche mir Feedback aus der Community,
da ich mir sicher bin, dass es hier schon einige gab, die IPv4 und IPv6 an einer FortiGate im parallelbetrib konfiguriert haben.
Um etwas konkreter zu werden: Reicht es auf dem WAN-Interface den IPv6-Adresse hinzufügen?
Oder muss ich die VPN-Konfiguration auch noch anpassen? Ich möchte kein IPv6 im Netz machen, daher gehe ich erstmal von einem "nein" aus.
Gibt es hier ggf. noch Sicherheitsbedenken, die ich durch das "einfache" Aktivieren der IPv6-Adresse übersehen habe?
Gruß
seit längerem häufen sich die Probleme, dass MA's sich nicht in das VPN einwählen können, da Sie hinter CGN-Internetanschlüssen stecken und somit der IPSec-VPN Verbindungsaufbau nicht funktioniert.
Vertraglich verfüge ich über IPv6-Adressen, die ich auf dem VPN-Gateway allerdings noch konfigurieren muss.
Ich möchte nun nicht einfach ins Blaue konfigurieren, sondern wünsche mir Feedback aus der Community,
da ich mir sicher bin, dass es hier schon einige gab, die IPv4 und IPv6 an einer FortiGate im parallelbetrib konfiguriert haben.
Um etwas konkreter zu werden: Reicht es auf dem WAN-Interface den IPv6-Adresse hinzufügen?
Oder muss ich die VPN-Konfiguration auch noch anpassen? Ich möchte kein IPv6 im Netz machen, daher gehe ich erstmal von einem "nein" aus.
Gibt es hier ggf. noch Sicherheitsbedenken, die ich durch das "einfache" Aktivieren der IPv6-Adresse übersehen habe?
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 540257
Url: https://administrator.de/forum/ipv6-auf-firewall-fuer-eingehende-vpn-verbindungen-aktivieren-540257.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
7 Kommentare
Neuester Kommentar
Ich möchte kein IPv6 im Netz machen
Was ist damit genau gemeint ? Wenn du mit "im" dein internes Netz meinst ist das IPv6 VPN ja dann irgendwie sinnfrei.Oder willst du einen v6 Tunnel errichten mit encapsuliertem v4 Traffic darin ?
Um überhaupt einen v6 Tunnel errichten zu können brauchst du wenigstens eine v6 Adresse auf deinem öffentlichen WAN Interface.
Vertraglich verfüge ich über IPv6-Adressen
Das ist doch schon mal gut !Was hintert dich dann daran auch intern eine saubere IPv6 Adressierung aufzusetzen. Wenn du nur ein paar popelige IP Segmente hast ist das doch in 10 Minuten erledigt.
Wenigstens ein Testsegment (Test VLAN) solltest du damit mal ausrüsten um damit eine v6 Verbindung sauber zu testen.
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-ipsecvpn ...
https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-ipsecvpn ...
https://danrl.com/projects/ipv6-workshop/
Zitat von @informatikkfm:
Was für ein Subnet gebe ich der Firewall denn am WAN-Interface mit,
wenn ich diese z.B. auf ::2 konfigurieren möchte? /48?
Was für ein Subnet gebe ich der Firewall denn am WAN-Interface mit,
wenn ich diese z.B. auf ::2 konfigurieren möchte? /48?
Auch hier ist es wie bei IPv4: Überall ist konsistent die gleiche Präfixlänge zu verwenden
Wenn der Hoster also /48 verwendet, musst du es auch tun.
Und was meintest du oben bzgl. Policys?
Eigentlich möchte ich intern ja erstmal gar kein IPv6 verwenden.
Eigentlich möchte ich intern ja erstmal gar kein IPv6 verwenden.
Naja, aber die Firewall wird ja wohl den eingehenden Traffic zu sich selbst möglicherweise auch filtern
Und damit VPN erreichbar ist, ist es unter Umständen notwendig, die verwendeten Ports und Protokolle explizit nochmal für IPv6 freizuschalten.
P.S.: Ich weiß nicht, ob du derartige Regeln bei IPv4 verwendet hast, bei IPv6 darfst du aber keinesfalls Filterregeln anlegen, die das komplette ICMPv6-Protokoll wegfiltern, denn dann verlierst du spätestens nach ein paar Minuten die gesamte IPv6-Konnektivität.