fips81
Goto Top

PfSense IPv6-Regel ausschließlich Richtung WAN

Moin,

wie kann ich die pfSense dazu bringen, IPv6-Traffic von diversen Interfaces ausschließlich zum WAN-Interface zu erlauben? Also das Pendant zum Invert-RFC1918-Alias für IPv4.
Derzeit nutze ich Block-Regeln. Aber je nach Anzahl der Interfaces wird das beliebig kompliziert. Außerdem darf man neue Interfaces nicht vergessen.

Danke,
Michael.

Content-ID: 398165

Url: https://administrator.de/contentid/398165

Ausgedruckt am: 22.11.2024 um 18:11 Uhr

129580
129580 13.01.2019 aktualisiert um 11:57:12 Uhr
Goto Top
Moin,

bin nicht sicher was du konkret meinst.

Du könntest für deine internen Netze Unique Local Adressen verwenden und bei der pfSense NPT einrichten, wenn du unbedingt IPv6 ähnlich wie IPv4 implementieren möchtest. Allerdings ist das Quatsch und ist eigentlich bei IPv6 nicht mehr vorgesehen. Ich persönlich mache das zwar aktuell selber so, allerdings nur weil es ein paar Besonderheiten bzw. Einschränkungen bei meinem Provider gibt. Normalerweise würde ich einfach das Regelwerk für die Interfaces ordentlich konfigurieren und Global Unicast Adressen verwenden.

Die pfSense arbeitet nach dem Whitelist Prinzip, d.h. per default wird alles geblockt. Du brauchst keine expliziten Block Regeln.

Viele Grüße,
Exception
ChriBo
ChriBo 13.01.2019, aktualisiert am 14.01.2019 um 07:58:49 Uhr
Goto Top
Hi,
erstelle einen Alias: z.B. myInterfaceNets.
Dann für jedes Interface die allow Regeln (ICMP, DNS etc.) falls benötigt definieren,
dann ein Block IPv& Source any target myInterfaceNets.
dann die Regeln zum WAN
Sobald du ein neues Interface / IPv6 Netz hinzufügst mußt du den Alias erweitern.

CH
Spirit-of-Eli
Spirit-of-Eli 13.01.2019 um 15:52:58 Uhr
Goto Top
Ich nutze für spezifische Regeln ohnehin einen Alias mit den Privaten Subnetzen. Da ist es simpel das IPv6 pendant zu ergänzen.
aqui
aqui 13.01.2019 um 16:15:22 Uhr
Goto Top
Außerdem darf man neue Interfaces nicht vergessen.
Die sind ja so oder so IMMER per Default geblockt bei einer Firewall wie jederman weiss. Du musst also explizit freigeben !
Die grundsätzliche Frage ist ob du ein eigenes statisches Kontingent hast oder deine v6 Netze mit Prefix Delegation bekommst.
So oder so ist es aber dann ganz einfach, denn du blockst dann auf den Interfaces deinen eigenen Bereich mit einer Summary Maske und erlaubst den Rest dann zu "Any". Fertisch !
Um das einfacher zu gestalten kannst du dann mit einem Alias arbeiten.
Fips81
Fips81 13.01.2019 um 21:40:27 Uhr
Goto Top
Zitat von @aqui:
Die grundsätzliche Frage ist ob du ein eigenes statisches Kontingent hast oder deine v6 Netze mit Prefix Delegation bekommst.
Das hätte ich mal besser direkt mit angeben sollen. Ich bekomme ein 56er Prefix vom Provider.

So oder so ist es aber dann ganz einfach, denn du blockst dann auf den Interfaces deinen eigenen Bereich mit einer Summary Maske und erlaubst den Rest dann zu "Any". Fertisch !
Um das einfacher zu gestalten kannst du dann mit einem Alias arbeiten.
Und genau da komme ich nicht weiter. Mein Prefix ist nicht statisch. Spätestens beim WAN-Reconnect stimmen die händisch eingetragenen Aliasse nicht mehr.
Fips81
Fips81 13.01.2019 um 22:02:57 Uhr
Goto Top
Den Source-Alias brauche ich eigentlich nicht nochmal erstellen. Wenn ich bspw. bei Source "WLAN_Gast_net" benutze, gilt der Adressbereich auch für die IPv6-Adresse. Allerdings kann ich keine sinnvolle Destination angeben.

Hier nochmal mein Problem:

Prefix vom Provider: 2001:db8:1234:ABC/60
Interface 1 mit Prefix ID1: 2001:db8:1234:ABC1::1234
Interface 2 mit Prefix ID2: 2001:db8:1234:ABC2::1234
Interface 3 mit Prefix ID3: 2001:db8:1234:ABC3::1234 usw.

Lege ich nun einen Alias mit 2001:db8:1234:ABC/60 an und verwende diesen als Invert-Destination, damit NUR der Zugriff ins Internet erlaubt ist, funktioniert das nur bis zum reconnect. Ab dann haben die Interfaces etwa folgende Adressen:

Prefix vom Provider: 2001:db8:1234:DEF/60
Interface 1 mit Prefix ID1: 2001:db8:1234:DEF1::1234
Interface 2 mit Prefix ID2: 2001:db8:1234:DEF2::1234
Interface 3 mit Prefix ID3: 2001:db8:1234:DEF3::1234 usw.

Erstelle ich nun folgende Regel:
IPv6 WLAN_Gast_net -> *
so kommt der Gast in mein komplettes Netz

Erstelle ich nun folgende Regel:
IPv6 WLAN_Gast_net -> !(invert) 2001:db8:1234:ABC/60
so kommt der Gast nur ins Internet. Nach dem WAN-Reconnect und dem neuen Prefix, klappt das nicht mehr.

Da ich als Destination nicht das WAN-Interface, jedoch alle anderen angeben kann, helfe ich mir etwa so aus:
IPv6 BLOCK WLAN_Gast_net -> Privat_net
IPv6 BLOCK WLAN_Gast_net -> Server_net
IPv6 ALLOW WLAN_Gast_net -> *