Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

PfSense IPv6-Regel ausschließlich Richtung WAN

Mitglied: Fips81

Fips81 (Level 1) - Jetzt verbinden

13.01.2019, aktualisiert 08:46 Uhr, 315 Aufrufe, 6 Kommentare

Moin,

wie kann ich die pfSense dazu bringen, IPv6-Traffic von diversen Interfaces ausschließlich zum WAN-Interface zu erlauben? Also das Pendant zum Invert-RFC1918-Alias für IPv4.
Derzeit nutze ich Block-Regeln. Aber je nach Anzahl der Interfaces wird das beliebig kompliziert. Außerdem darf man neue Interfaces nicht vergessen.

Danke,
Michael.
Mitglied: Exception
13.01.2019, aktualisiert um 11:57 Uhr
Moin,

bin nicht sicher was du konkret meinst.

Du könntest für deine internen Netze Unique Local Adressen verwenden und bei der pfSense NPT einrichten, wenn du unbedingt IPv6 ähnlich wie IPv4 implementieren möchtest. Allerdings ist das Quatsch und ist eigentlich bei IPv6 nicht mehr vorgesehen. Ich persönlich mache das zwar aktuell selber so, allerdings nur weil es ein paar Besonderheiten bzw. Einschränkungen bei meinem Provider gibt. Normalerweise würde ich einfach das Regelwerk für die Interfaces ordentlich konfigurieren und Global Unicast Adressen verwenden.

Die pfSense arbeitet nach dem Whitelist Prinzip, d.h. per default wird alles geblockt. Du brauchst keine expliziten Block Regeln.

Viele Grüße,
Exception
Bitte warten ..
Mitglied: ChriBo
13.01.2019, aktualisiert 14.01.2019
Hi,
erstelle einen Alias: z.B. myInterfaceNets.
Dann für jedes Interface die allow Regeln (ICMP, DNS etc.) falls benötigt definieren,
dann ein Block IPv& Source any target myInterfaceNets.
dann die Regeln zum WAN
Sobald du ein neues Interface / IPv6 Netz hinzufügst mußt du den Alias erweitern.

CH
Bitte warten ..
Mitglied: Spirit-of-Eli
13.01.2019 um 15:52 Uhr
Ich nutze für spezifische Regeln ohnehin einen Alias mit den Privaten Subnetzen. Da ist es simpel das IPv6 pendant zu ergänzen.
Bitte warten ..
Mitglied: aqui
13.01.2019 um 16:15 Uhr
Außerdem darf man neue Interfaces nicht vergessen.
Die sind ja so oder so IMMER per Default geblockt bei einer Firewall wie jederman weiss. Du musst also explizit freigeben !
Die grundsätzliche Frage ist ob du ein eigenes statisches Kontingent hast oder deine v6 Netze mit Prefix Delegation bekommst.
So oder so ist es aber dann ganz einfach, denn du blockst dann auf den Interfaces deinen eigenen Bereich mit einer Summary Maske und erlaubst den Rest dann zu "Any". Fertisch !
Um das einfacher zu gestalten kannst du dann mit einem Alias arbeiten.
Bitte warten ..
Mitglied: Fips81
13.01.2019 um 21:40 Uhr
Zitat von aqui:
Die grundsätzliche Frage ist ob du ein eigenes statisches Kontingent hast oder deine v6 Netze mit Prefix Delegation bekommst.
Das hätte ich mal besser direkt mit angeben sollen. Ich bekomme ein 56er Prefix vom Provider.

So oder so ist es aber dann ganz einfach, denn du blockst dann auf den Interfaces deinen eigenen Bereich mit einer Summary Maske und erlaubst den Rest dann zu "Any". Fertisch !
Um das einfacher zu gestalten kannst du dann mit einem Alias arbeiten.
Und genau da komme ich nicht weiter. Mein Prefix ist nicht statisch. Spätestens beim WAN-Reconnect stimmen die händisch eingetragenen Aliasse nicht mehr.
Bitte warten ..
Mitglied: Fips81
13.01.2019 um 22:02 Uhr
Den Source-Alias brauche ich eigentlich nicht nochmal erstellen. Wenn ich bspw. bei Source "WLAN_Gast_net" benutze, gilt der Adressbereich auch für die IPv6-Adresse. Allerdings kann ich keine sinnvolle Destination angeben.

Hier nochmal mein Problem:

Prefix vom Provider: 2001:db8:1234:ABC/60
Interface 1 mit Prefix ID1: 2001:db8:1234:ABC1::1234
Interface 2 mit Prefix ID2: 2001:db8:1234:ABC2::1234
Interface 3 mit Prefix ID3: 2001:db8:1234:ABC3::1234 usw.

Lege ich nun einen Alias mit 2001:db8:1234:ABC/60 an und verwende diesen als Invert-Destination, damit NUR der Zugriff ins Internet erlaubt ist, funktioniert das nur bis zum reconnect. Ab dann haben die Interfaces etwa folgende Adressen:

Prefix vom Provider: 2001:db8:1234:DEF/60
Interface 1 mit Prefix ID1: 2001:db8:1234:DEF1::1234
Interface 2 mit Prefix ID2: 2001:db8:1234:DEF2::1234
Interface 3 mit Prefix ID3: 2001:db8:1234:DEF3::1234 usw.

Erstelle ich nun folgende Regel:
IPv6 WLAN_Gast_net -> *
so kommt der Gast in mein komplettes Netz

Erstelle ich nun folgende Regel:
IPv6 WLAN_Gast_net -> !(invert) 2001:db8:1234:ABC/60
so kommt der Gast nur ins Internet. Nach dem WAN-Reconnect und dem neuen Prefix, klappt das nicht mehr.

Da ich als Destination nicht das WAN-Interface, jedoch alle anderen angeben kann, helfe ich mir etwa so aus:
IPv6 BLOCK WLAN_Gast_net -> Privat_net
IPv6 BLOCK WLAN_Gast_net -> Server_net
IPv6 ALLOW WLAN_Gast_net -> *
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Router & Routing

Kein IPv6 ping6 von LAN nach WAN mit pfSense möglich

gelöst Frage von dave-fieteRouter & Routing14 Kommentare

Hallo zusammen, ich habe eine aktuelle pfSense (2.3.4-RELEASE-p1) Installation auf einem ESXi. LAN seitig hat der Router folgende Adressen: ...

Cloud-Dienste

OwnCloud - Synchron. Richtung?

gelöst Frage von InvisibleQuantumCloud-Dienste6 Kommentare

Hay, ich hab mir aber auf meinem Raspi3 ownCloud eingerichtet und alles läuft soweit. Meine Frage: Es werden ja ...

Netzwerke

IPv6 Port Freigabe mit IPv6 Tunnel

gelöst Frage von danielr1996Netzwerke3 Kommentare

Hallo Leute, ist es möglich mit einem IPv6 Tunnel seine Geräte im Heimnetzwerk direkt anzusprechen? Im Moment benutze ich ...

Neue Wissensbeiträge
Windows 7

Windows 7 u. Server 2008 (R2) SHA-2-Update kommt am 12. März 2019

Information von kgborn vor 1 TagWindows 75 Kommentare

Kleine Info für die Admins der oben genannten Maschinen. Ab Juli 2019 werden Updates von Microsoft nur noch mit ...

Firewall
PfSense 2.5.0 benötigt doch kein AES-NI
Information von ChriBo vor 2 TagenFirewall2 Kommentare

Hallo, Wie sich einige hier erinnern werden hat Jim Thompson in diesem Aritkel beschrieben, daß ab Version 2.5.0 ein ...

Internet
Copyright-Reform: Upload-Filter
Information von Frank vor 4 TagenInternet1 Kommentar

Hallo, viele Menschen reden aktuell von Upload-Filtern. Sie reden darüber, als wären es eine Selbstverständlichkeit, das Upload-Filter den Seitenbetreibern ...

Google Android

Blokada: Tracking und Werbung unter Android unterbinden

Information von AnkhMorpork vor 4 TagenGoogle Android1 Kommentar

In Ergänzung zu meinem vorherigen Beitrag: Blokada efficiently blocks ads, tracking and malware. It saves your data plan, makes ...

Heiß diskutierte Inhalte
Hardware
IT-Werkzeugkoffer bis 50,- EUR
gelöst Frage von departure69Hardware43 Kommentare

Hallo. Ich bin als IT-Systembetreuer einer Gemeinde zusätzlich auch der IT-Systembetreuer einer Grund- und Hauptschule. Dort muß ich jedoch ...

Netzwerke
Verteilung von Programmdaten außerhalb des internen Netzwerkes
Frage von mertaufmbergNetzwerke27 Kommentare

Guten Morgen liebe Administratoren, ich versuche zurzeit eine möglichst sichere und einfache Lösung zu suchen, um ein Programmverzeichnis über ...

Netzwerkmanagement
Richtfunknetzwerk mit vielen Hops stabiler gestalten
Frage von turti83Netzwerkmanagement22 Kommentare

Hallo, in meinem Dorf habe ich vor ca. einem Jahr ein Backbone aufgebaut um die Nachbarschaft mit Internet zu ...

Hyper-V
Intel MSC Raid 5 Rebuild
Frage von DannysHyper-V19 Kommentare

Hallo Community, Ich habe einen Modul Server von Intel in Betrieb. Dort ist eine Festplatte aus dem Raid 5 ...