NAS Firewall ipv6 ULA

macuser

Benutzer
Mitglied seit
30. Jul 2011
Beiträge
104
Punkte für Reaktionen
6
Punkte
18
Hallo, über die Feiertage habe ich etwas Ruhe und versuche mich in die Thematik ipv6 reinzuarbeiten. Ich habe jedoch einen Dual-Stack-Anschluss und betreibe alles per ipv4 problemlos.

Ich habe zu Hause mehrere VLANS, welche mit Umtaggen und Inter-VLAN-Routing per Firewallregel per ipv4 in das Netzwerk des NAS und einer VUPLUS (TV-Stream/SAT) sharen können. Wir sind hier mehrere Familien, wo jeder sein eigenes Netzwerksegment besitzt.

Der Router ist ein betagter Lancom 1781, welcher seine Sache sehr ordentlich macht.

Für ein sauberes Dual-Stack habe ich alle Netzwerke doppelt angelegt, identische VLAN-ID'S und Schnittstellen-Tags. Ich habe mich nach einigem Herumprobieren für eine Stateless Address Autoconfiguration entschieden. Zusätzlich habe ich für jedes VLAN einen Prefix und Subnetz-ID für unique local address (ULA) festgelegt. Das ist alles Neuland für mich. Funktioniert soweit so gut. Firewall muss für ipv6 extra konfiguriert werden. Inter-VLAN-Routing läuft auch adäquat wie bei ipv4. NAT fällt weg, Port-Forwading auf das NAS, AAA-Record beim Domain-Anbieter angelegt. etc,

Für das Einrichten der Firewall würde ich gerne wie bei ipv4 Berechtigungen für verschiedene Adressbereiche erstellen, beispielsweise per SMB sollte nicht jeder Zugreifen können:

----------
(LAN)

PortsProtokoll Quell-IPAktion
Alle Alle192.168.1.1 bis ......Zulassen
AuswahlAuswahl192.168.2.1 bis ......Zulassen
AuswahlTCP Deutschland......Zulassen
Wenn keine Regel zutrifft, Zugriff verweigern

Die Firewall wird verkürzt dargestellt. Wie richtet man das für die ULA's ein? Ich habe versucht Regel Nr. 1 mit Subnetz eines VLANS ausprobiert:
IP: fd00::
Präfixlänge: 64
---------

Keine Chance per ULA auf die DS zukommen. Über die globale Adresse oder Domain (DNS-Server ist der Lancom) kommt man problemlos drauf, jedoch nur mit der Auswahl der Ports, so wie es vorgesehen ist. Wo liegt der Fehler?

Ich könnte natürlich das über die Lancom-Firewall lösen, ich hätte aber gerne die selbe Vorgehensweise auf der DS wie bei ipv4.

Viele Grüße und Frohes Fest
M
 
Zuletzt bearbeitet:

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
374
Punkte für Reaktionen
135
Punkte
43
Interessantes Thema, mit dem ich mich bislang aber nur in Theorie beschäftigt habe. Daher gestatte mir ein paar Rückfragen:

fd00::/64 bedeutet ja ULA-Präfix 00:0000:0000 und Subnetz-Id 0000 - oder ist das der Teil, den Du verkürzt hast?
… nur mit der Auswahl der Ports …
Im Zusammenhang mit IPv6 - kannst Du das etwas näher erläutern?
 

macuser

Benutzer
Mitglied seit
30. Jul 2011
Beiträge
104
Punkte für Reaktionen
6
Punkte
18
Hallo, verkürzt habe ich die Firewall-Regeln auf das Notwendigste.
Beispielsweise habe ich für die VLAN's ULAS mit jeweils zugehörigem Präfix-Pool erstellt:

fd00::1:Identifer

Die 1 ist die Subnetz-ID, damit man nicht mit dem WAN-Subnetz (ID=0) kollidiert. Ein weiteres für Multimedia-Geräte (TV, Amazon-Stick, Streaming):

fd004:4:Identifer

Somit haben alle Geräte mindestens 3 Adressen, Global, ULA und Verbindungslokale.

In den abgebildeten Firewall können Regel 2 und 3 nur Drive, Chat, Filestation, Regel 1 kann alles (Wartungsnetz). Das will ich parallel mit ipv6 abbilden und weiß nicht genau, welche Werte unter "spezieller IP" eingetragen werden,

Viele Grüße
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat