5
PfSense remote access mit ipv6
Hallo zusammen,
ich habe vor Jahren eine pfsense Firewall mit captive portal nach dieser Anleitung
aufgebaut und damit keinerlei Probleme gehabt, bis jetzt. Der Provider vergibt keine ipv4 Adressen mehr und hat auf ipv6 dual stack light umgestellt und seitdem kommen die Gäste nur noch sporadisch auf die Anmeldeseite des captive portals (Anmeldeseite kommt nicht mehr autom. hoch). Der remote access mit portforwarding auf die pfsense GUI funktioniert jetzt natürlich auch nicht mehr.
Die FW hängt hinter einem Router (Fritzbox) und verwendet statische ipv4 Adressen (WAN, LAN und GAST).
Der Umstand, warum ich remote nicht mehr auf die FW komme leuchtet mir ein, da es mit ipv6 kein portforwarding mehr gibt aber ich verstehe nicht, warum die Anmeldeseite nur noch sporadisch bis gar nicht hochkommt (einige Gäste kommen überhaupt nicht mehr drauf). Diejenigen, die es bis zum Anmeldebildschirm schaffen und sich dann anmelden, haben keinerlei Probleme danach bis sie sich ausloggen und hoffen, dass der Anmeldebildschirm beim nächsten mal erscheint.
Fragen:
A.) Warum beeinflusst ipv6 das interne Gastnetz hinter der Firewall?
B.) Wie komme ich jetzt per remote auf die pfsense GUI?
Danke
ich habe vor Jahren eine pfsense Firewall mit captive portal nach dieser Anleitung
aufgebaut und damit keinerlei Probleme gehabt, bis jetzt. Der Provider vergibt keine ipv4 Adressen mehr und hat auf ipv6 dual stack light umgestellt und seitdem kommen die Gäste nur noch sporadisch auf die Anmeldeseite des captive portals (Anmeldeseite kommt nicht mehr autom. hoch). Der remote access mit portforwarding auf die pfsense GUI funktioniert jetzt natürlich auch nicht mehr.
Die FW hängt hinter einem Router (Fritzbox) und verwendet statische ipv4 Adressen (WAN, LAN und GAST).
Der Umstand, warum ich remote nicht mehr auf die FW komme leuchtet mir ein, da es mit ipv6 kein portforwarding mehr gibt aber ich verstehe nicht, warum die Anmeldeseite nur noch sporadisch bis gar nicht hochkommt (einige Gäste kommen überhaupt nicht mehr drauf). Diejenigen, die es bis zum Anmeldebildschirm schaffen und sich dann anmelden, haben keinerlei Probleme danach bis sie sich ausloggen und hoffen, dass der Anmeldebildschirm beim nächsten mal erscheint.
Fragen:
A.) Warum beeinflusst ipv6 das interne Gastnetz hinter der Firewall?
B.) Wie komme ich jetzt per remote auf die pfsense GUI?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 486503
Url: https://administrator.de/contentid/486503
Printed on: April 18, 2024 at 11:04 o'clock
5 Comments
Latest comment
DNS?
B.) Wie komme ich jetzt per remote auf die pfsense GUI?
Über V6 oder per VPN .
Mach ein VPN zu der Fritzbox ( Über myfritz ist die v6-Adresse auflösbar) und dann kannst Du Dich auf die pfsense verbinden.
lks
A.)
Das ist natürlich Unsinn, denn deine FW "sieht" ja keinerlei IPv6 Adresse, denn sie partiziert ja nicht am IPv6 Verkehr.
Es sei denn du reichst das IPv6 Netzwerk intern weiter und hast die FW auch auf dem kaskadierten WAN Port mit IPv6 laufen ?
Leider machst du dazu ja keinerlei Angaben so das wir nur im freien Fall raten können.
Wenn solltest du die FW im Setup ausschliesslich nur mit IPv6 laufen lassen.
Das WLAN Interface dann für RFC 1918 IPs freigeben. (Haken bei Blocking entfernen). Letzteres ist wichtig in Kaskaden Szenarien.
B.)
Ganz stinknormal indem du die LAN IP der pfSense ansprichst wenn du im lokalen Netz bist. Logischerweise solltest du dann die Anti Lockout Rule aktiv haben. Hast du das nicht musst du natürlich eine entsprechende Regel im Regelset auf dem CP Interface aktiviert haben.
Idealerweise mit einer Reservierung der Mac Adrese deines Konfig Rechners das der immer eine feste IP bekommt.
Von remote, also aus deim Internet sollte das immer wenn irgend möglich per VPN passieren. Das Konfig GUI freizuschalten auf dem WAN Port ist immer ein Vabanque Spiel.
So oder so wird es aber an einem DS Lite Anschluss niemals funktionieren, denn du kannst ja logischerweise das CGN NAT Gateway des Provider per IPv4 nicht überwinden. Das ist bekanntermaßen technisch unmöglich, wenigstens mit IPv4.
Siehe dazu auch hier: https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Wenn dann kannst du einzig nur mit einer IPv6 Adresse von remote zugreifen !
Dazu muss die FritzBox aber das IPv6 Netz per Prefix Delegation an die pfSense (WAN Port) weiterreichen so das die pfSense eine öffentliche IPv6 Adresse bekommt. Im Advanced Setup muss dann auch generell IPv6 in der pfSense aktiviert werden !
Auch muss dann eine WAN Port Regel erstellt werden die TCP 443 Zugriff auf die IPv6 WAN IP erlaubt. Wie das genau geht steht hier:
https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritz ...
Hast du das alles umgesetzt ?
Generell ist es völlig egal ob dort ein Router mit DS Lite kaskadiert ist. Die Funktion des CP hängt davon in keinster Weise ab.
Da du schreibst "vor Jahren"... dann kann es sein das du die falschen CP TCP Ports der Portal Seite im Regelwerk definiert hast ! Das ist in der Firmware einmal geändert worden !
Du solltest ggf. das Tutorial darauf nochmal genau durchlesen und die Settingss entsprechend umsetzen !
Eien aktuelle Firmware sollte auch geflasht sein. Leider machst du auch dazu nur sehr oberflächliche bis keine Angaben
Das ist natürlich Unsinn, denn deine FW "sieht" ja keinerlei IPv6 Adresse, denn sie partiziert ja nicht am IPv6 Verkehr.
Es sei denn du reichst das IPv6 Netzwerk intern weiter und hast die FW auch auf dem kaskadierten WAN Port mit IPv6 laufen ?
Leider machst du dazu ja keinerlei Angaben so das wir nur im freien Fall raten können.
Wenn solltest du die FW im Setup ausschliesslich nur mit IPv6 laufen lassen.
Das WLAN Interface dann für RFC 1918 IPs freigeben. (Haken bei Blocking entfernen). Letzteres ist wichtig in Kaskaden Szenarien.
B.)
Ganz stinknormal indem du die LAN IP der pfSense ansprichst wenn du im lokalen Netz bist. Logischerweise solltest du dann die Anti Lockout Rule aktiv haben. Hast du das nicht musst du natürlich eine entsprechende Regel im Regelset auf dem CP Interface aktiviert haben.
Idealerweise mit einer Reservierung der Mac Adrese deines Konfig Rechners das der immer eine feste IP bekommt.
Von remote, also aus deim Internet sollte das immer wenn irgend möglich per VPN passieren. Das Konfig GUI freizuschalten auf dem WAN Port ist immer ein Vabanque Spiel.
So oder so wird es aber an einem DS Lite Anschluss niemals funktionieren, denn du kannst ja logischerweise das CGN NAT Gateway des Provider per IPv4 nicht überwinden. Das ist bekanntermaßen technisch unmöglich, wenigstens mit IPv4.
Siehe dazu auch hier: https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Wenn dann kannst du einzig nur mit einer IPv6 Adresse von remote zugreifen !
Dazu muss die FritzBox aber das IPv6 Netz per Prefix Delegation an die pfSense (WAN Port) weiterreichen so das die pfSense eine öffentliche IPv6 Adresse bekommt. Im Advanced Setup muss dann auch generell IPv6 in der pfSense aktiviert werden !
Auch muss dann eine WAN Port Regel erstellt werden die TCP 443 Zugriff auf die IPv6 WAN IP erlaubt. Wie das genau geht steht hier:
https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritz ...
Hast du das alles umgesetzt ?
Generell ist es völlig egal ob dort ein Router mit DS Lite kaskadiert ist. Die Funktion des CP hängt davon in keinster Weise ab.
Da du schreibst "vor Jahren"... dann kann es sein das du die falschen CP TCP Ports der Portal Seite im Regelwerk definiert hast ! Das ist in der Firmware einmal geändert worden !
Du solltest ggf. das Tutorial darauf nochmal genau durchlesen und die Settingss entsprechend umsetzen !
Eien aktuelle Firmware sollte auch geflasht sein. Leider machst du auch dazu nur sehr oberflächliche bis keine Angaben
Problem A lag nicht an ipv6 sondern es gab ein IP Adressenkonflikt mit einer zweiten Fritzbox, die vom Provider eingesetzt worden ist, um die WLAN Reichweite von der ersten zu erweitern. Folgendes Setup:
*Fritzbox 1: 192.168.0.1 / DHCP aktiv und vergibt Adressen von 100-150 /WLAN aktiv
*Firewall WAN: 192.168.0.2 -> ist mit Fritzbox 1 verbunden
*Firewall GAST: 192.168.1.1 -> ist mit PoE Switch verbunden
*Fritzbox 2: 192.168.178.1 / DHCP aktiv und vergibt Adressen von 2-100 -> ist mit Fritzbox 1 verbunden
Ich wusste bis heute nichts von Fritzbox 2 und staunte nicht schlecht, als bei den Interneteinstellungen der Fritzbox 2 auf einmal Internet über 192.168.0.3 zum Vorschein kam. Block private networks and loopback addresses ist im WAN setup natürlich disabled weil ja die Firewall hinter der ersten Fritzbox hängt. Habe dann der Fritzbox 2 die IP 0.3 zugewiesen und DHCP ausgeschaltet damit die clients die an der Fritzbox 2 hängen die IP von Fritzbox 1 erhalten und siehe da, die Firewall funktionierte wieder wie zuvor.
Problem B konnte ich mit der von dir verlinkten Anleitung bez. ipv6 delegation auch lösen.
Vielen Dank!
*Fritzbox 1: 192.168.0.1 / DHCP aktiv und vergibt Adressen von 100-150 /WLAN aktiv
*Firewall WAN: 192.168.0.2 -> ist mit Fritzbox 1 verbunden
*Firewall GAST: 192.168.1.1 -> ist mit PoE Switch verbunden
*Fritzbox 2: 192.168.178.1 / DHCP aktiv und vergibt Adressen von 2-100 -> ist mit Fritzbox 1 verbunden
Ich wusste bis heute nichts von Fritzbox 2 und staunte nicht schlecht, als bei den Interneteinstellungen der Fritzbox 2 auf einmal Internet über 192.168.0.3 zum Vorschein kam. Block private networks and loopback addresses ist im WAN setup natürlich disabled weil ja die Firewall hinter der ersten Fritzbox hängt. Habe dann der Fritzbox 2 die IP 0.3 zugewiesen und DHCP ausgeschaltet damit die clients die an der Fritzbox 2 hängen die IP von Fritzbox 1 erhalten und siehe da, die Firewall funktionierte wieder wie zuvor.
Problem B konnte ich mit der von dir verlinkten Anleitung bez. ipv6 delegation auch lösen.
Vielen Dank!
die vom Provider eingesetzt worden ist, um die WLAN Reichweite von der ersten zu erweitern
Sowas ist Schrott wenn im Repeatewr Mode passiert. Einen zum reinen AP kastrierten Router sollter man immer im AP Mode betreiben.Guckst du hier:
Kopplung von 2 Routern am DSL Port
Da hat der Provider Mist gebaut und den falsch angeschlossen.
So als reiner AP wäre er ein normaler v6 Client und würde keine Router Advertisements senden die dann tödlich sind.
Ich wusste bis heute nichts von Fritzbox 2 und staunte nicht schlecht
Na ja...sein Netzwerk sollte man als Admin aber schon kennen. Wenns daran schon hapert....no comment !Gut wenns nun klappt wie es soll !
Zweiten Router als zusätlichen AP habe ich ja wie oben beschrieben gemacht. Das mit dem "Admin" ist so ne Sache, um ehrlich zu sein mache ich das ehrenamtlich und habe eigentlich keine Zeit dafür aber es ist für einen guten Zweck und irgendwie macht's dann doch Spaß die Firewall aufzusetzen.
