Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense remote access mit ipv6

Mitglied: cmddata

cmddata (Level 1) - Jetzt verbinden

18.08.2019 um 09:20 Uhr, 448 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe vor Jahren eine pfsense Firewall mit captive portal nach dieser Anleitung
aufgebaut und damit keinerlei Probleme gehabt, bis jetzt. Der Provider vergibt keine ipv4 Adressen mehr und hat auf ipv6 dual stack light umgestellt und seitdem kommen die Gäste nur noch sporadisch auf die Anmeldeseite des captive portals (Anmeldeseite kommt nicht mehr autom. hoch). Der remote access mit portforwarding auf die pfsense GUI funktioniert jetzt natürlich auch nicht mehr.
Die FW hängt hinter einem Router (Fritzbox) und verwendet statische ipv4 Adressen (WAN, LAN und GAST).

Der Umstand, warum ich remote nicht mehr auf die FW komme leuchtet mir ein, da es mit ipv6 kein portforwarding mehr gibt aber ich verstehe nicht, warum die Anmeldeseite nur noch sporadisch bis gar nicht hochkommt (einige Gäste kommen überhaupt nicht mehr drauf). Diejenigen, die es bis zum Anmeldebildschirm schaffen und sich dann anmelden, haben keinerlei Probleme danach bis sie sich ausloggen und hoffen, dass der Anmeldebildschirm beim nächsten mal erscheint.

Fragen:
A.) Warum beeinflusst ipv6 das interne Gastnetz hinter der Firewall?
B.) Wie komme ich jetzt per remote auf die pfsense GUI?


Danke
Mitglied: Lochkartenstanzer
LÖSUNG 18.08.2019 um 09:31 Uhr
Zitat von cmddata:

Fragen:
A.) Warum beeinflusst ipv6 das interne Gastnetz hinter der Firewall?

DNS?

B.) Wie komme ich jetzt per remote auf die pfsense GUI?

Über V6 oder per VPN .

Mach ein VPN zu der Fritzbox ( Über myfritz ist die v6-Adresse auflösbar) und dann kannst Du Dich auf die pfsense verbinden.

lks
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.08.2019, aktualisiert um 11:27 Uhr
A.)
Das ist natürlich Unsinn, denn deine FW "sieht" ja keinerlei IPv6 Adresse, denn sie partiziert ja nicht am IPv6 Verkehr.
Es sei denn du reichst das IPv6 Netzwerk intern weiter und hast die FW auch auf dem kaskadierten WAN Port mit IPv6 laufen ?
Leider machst du dazu ja keinerlei Angaben so das wir nur im freien Fall raten können.
Wenn solltest du die FW im Setup ausschliesslich nur mit IPv6 laufen lassen.
Das WLAN Interface dann für RFC 1918 IPs freigeben. (Haken bei Blocking entfernen). Letzteres ist wichtig in Kaskaden Szenarien.
B.)
Ganz stinknormal indem du die LAN IP der pfSense ansprichst wenn du im lokalen Netz bist. Logischerweise solltest du dann die Anti Lockout Rule aktiv haben. Hast du das nicht musst du natürlich eine entsprechende Regel im Regelset auf dem CP Interface aktiviert haben.
Idealerweise mit einer Reservierung der Mac Adrese deines Konfig Rechners das der immer eine feste IP bekommt.
Von remote, also aus deim Internet sollte das immer wenn irgend möglich per VPN passieren. Das Konfig GUI freizuschalten auf dem WAN Port ist immer ein Vabanque Spiel.
So oder so wird es aber an einem DS Lite Anschluss niemals funktionieren, denn du kannst ja logischerweise das CGN NAT Gateway des Provider per IPv4 nicht überwinden. Das ist bekanntermaßen technisch unmöglich, wenigstens mit IPv4.
Siehe dazu auch hier: https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Wenn dann kannst du einzig nur mit einer IPv6 Adresse von remote zugreifen !
Dazu muss die FritzBox aber das IPv6 Netz per Prefix Delegation an die pfSense (WAN Port) weiterreichen so das die pfSense eine öffentliche IPv6 Adresse bekommt. Im Advanced Setup muss dann auch generell IPv6 in der pfSense aktiviert werden !
Auch muss dann eine WAN Port Regel erstellt werden die TCP 443 Zugriff auf die IPv6 WAN IP erlaubt. Wie das genau geht steht hier:
https://blog.veloc1ty.de/2015/08/22/pfsense-ipv6-delegation-hinter-fritz ...
Hast du das alles umgesetzt ?

Generell ist es völlig egal ob dort ein Router mit DS Lite kaskadiert ist. Die Funktion des CP hängt davon in keinster Weise ab.
Da du schreibst "vor Jahren"... dann kann es sein das du die falschen CP TCP Ports der Portal Seite im Regelwerk definiert hast ! Das ist in der Firmware einmal geändert worden !
Du solltest ggf. das Tutorial darauf nochmal genau durchlesen und die Settingss entsprechend umsetzen !
Eien aktuelle Firmware sollte auch geflasht sein. Leider machst du auch dazu nur sehr oberflächliche bis keine Angaben
Bitte warten ..
Mitglied: cmddata
18.08.2019 um 20:20 Uhr
Problem A lag nicht an ipv6 sondern es gab ein IP Adressenkonflikt mit einer zweiten Fritzbox, die vom Provider eingesetzt worden ist, um die WLAN Reichweite von der ersten zu erweitern. Folgendes Setup:
*Fritzbox 1: 192.168.0.1 / DHCP aktiv und vergibt Adressen von 100-150 /WLAN aktiv
*Firewall WAN: 192.168.0.2 -> ist mit Fritzbox 1 verbunden
*Firewall GAST: 192.168.1.1 -> ist mit PoE Switch verbunden
*Fritzbox 2: 192.168.178.1 / DHCP aktiv und vergibt Adressen von 2-100 -> ist mit Fritzbox 1 verbunden

Ich wusste bis heute nichts von Fritzbox 2 und staunte nicht schlecht, als bei den Interneteinstellungen der Fritzbox 2 auf einmal Internet über 192.168.0.3 zum Vorschein kam. Block private networks and loopback addresses ist im WAN setup natürlich disabled weil ja die Firewall hinter der ersten Fritzbox hängt. Habe dann der Fritzbox 2 die IP 0.3 zugewiesen und DHCP ausgeschaltet damit die clients die an der Fritzbox 2 hängen die IP von Fritzbox 1 erhalten und siehe da, die Firewall funktionierte wieder wie zuvor.

Problem B konnte ich mit der von dir verlinkten Anleitung bez. ipv6 delegation auch lösen.

Vielen Dank!
Bitte warten ..
Mitglied: aqui
19.08.2019, aktualisiert um 13:20 Uhr
die vom Provider eingesetzt worden ist, um die WLAN Reichweite von der ersten zu erweitern
Sowas ist Schrott wenn im Repeatewr Mode passiert. Einen zum reinen AP kastrierten Router sollter man immer im AP Mode betreiben.
Guckst du hier:
https://administrator.de/wissen/kopplung-2-routern-dsl-port-48713.html#t ...
Da hat der Provider Mist gebaut und den falsch angeschlossen.
So als reiner AP wäre er ein normaler v6 Client und würde keine Router Advertisements senden die dann tödlich sind.
Ich wusste bis heute nichts von Fritzbox 2 und staunte nicht schlecht
Na ja...sein Netzwerk sollte man als Admin aber schon kennen. Wenns daran schon hapert....no comment !
Gut wenns nun klappt wie es soll !
Bitte warten ..
Mitglied: cmddata
21.08.2019 um 08:51 Uhr
Zweiten Router als zusätlichen AP habe ich ja wie oben beschrieben gemacht. Das mit dem "Admin" ist so ne Sache, um ehrlich zu sein mache ich das ehrenamtlich und habe eigentlich keine Zeit dafür aber es ist für einen guten Zweck und irgendwie macht's dann doch Spaß die Firewall aufzusetzen.
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Netzwerke
IPv6 Port Freigabe mit IPv6 Tunnel
gelöst Frage von danielr1996Netzwerke3 Kommentare

Hallo Leute, ist es möglich mit einem IPv6 Tunnel seine Geräte im Heimnetzwerk direkt anzusprechen? Im Moment benutze ich ...

Batch & Shell
IPv6 Aktualisierung
gelöst Frage von trallerBatch & Shell3 Kommentare

Hallo, ich versuche gerade ein Script zu schreiben, um die IPv6 bei einem DynDNS Anbieter zu aktualisieren. Ich muss ...

Ausbildung
IPv6 Subnetting
gelöst Frage von Greygor1995Ausbildung11 Kommentare

Moin moin, Ich verzweifel aktuell am IPv6 Subnetting, die Herangehensweise hier habe ich schon gefunden, verstehe diese nur nicht ...

Neue Wissensbeiträge
Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 2 TagenVoice over IP6 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Apple

Apple Special Event vom 10.09.2019: Arcade, TV+, iPad und iPadOS, Watch und iPhone 11

Information von Trontur vor 3 TagenApple2 Kommentare

Hier könnt ihr euch die Keynote von Tim Cook auf dem Apple Special Event vom 10.09.2019 anschauen: September Event ...

LAN, WAN, Wireless

Das RIPE ist quasi endgültig leer was IPv4 angeht

Information von LordGurke vor 11 TagenLAN, WAN, Wireless8 Kommentare

Das RIPE teilt mit, dass sie erwarten, Ende des Jahres keine /22-IPv4-Allocations (1.024 Adressen) mehr vergeben zu können. Dann ...

Verschlüsselung & Zertifikate

Ein besserer Weg zur Delegation of Control für Bitlocker Recoverykeys

Anleitung von DerWoWusste vor 11 TagenVerschlüsselung & Zertifikate

Will man Supportmitarbeitern ermöglichen, Bitlocker-Recoverykeys auszulesen, dann bietet sich eigentlich der Delegation of Control Wizard an. Ich zeige zunächst ...

Heiß diskutierte Inhalte
Hyper-V
Umzug Hyper-V mit VM in anderen Netzwerkabschnitt
gelöst Frage von keine-ahnungHyper-V9 Kommentare

Moin at all, ich habe leider den Freitag verpennt - daher meine obligate Freitagsfrage erst jetzt Ich habe einen ...

Windows 10
Windows 10 ( upgrade per media creator von win7 ) hat keine Systemwiederherstellung
gelöst Frage von knirschkeWindows 108 Kommentare

Hallo ! Habe letztlich mein Win7 auf Win10 aufgepeppt per Media Creator. Ging - obzwar recht spät - ganz ...

Windows Server
Drucker auf dem Terminalserver 2016 via Printserver wird nicht angezeigt
Frage von EchterHansenWindows Server7 Kommentare

Moin Moin, ich habe hier zwei 2016er Terminalserver und einen 2016er Printserver, auf dem ca. 10 RICOH-Drucker Typ 4. ...

Windows Server
SATA Controler aktivieren an Fujitsu Primergy RX300 S7
Frage von darklivingWindows Server6 Kommentare

Guten Morgen zusammen, ich versuche gerade an einem Fujitsu Primergy Server den SATA Controller zu nutzen. Bis vor kurzem ...