6
PfSense IPv6-Regel ausschließlich Richtung WAN
Moin,
wie kann ich die pfSense dazu bringen, IPv6-Traffic von diversen Interfaces ausschließlich zum WAN-Interface zu erlauben? Also das Pendant zum Invert-RFC1918-Alias für IPv4.
Derzeit nutze ich Block-Regeln. Aber je nach Anzahl der Interfaces wird das beliebig kompliziert. Außerdem darf man neue Interfaces nicht vergessen.
Danke,
Michael.
wie kann ich die pfSense dazu bringen, IPv6-Traffic von diversen Interfaces ausschließlich zum WAN-Interface zu erlauben? Also das Pendant zum Invert-RFC1918-Alias für IPv4.
Derzeit nutze ich Block-Regeln. Aber je nach Anzahl der Interfaces wird das beliebig kompliziert. Außerdem darf man neue Interfaces nicht vergessen.
Danke,
Michael.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 398165
Url: https://administrator.de/contentid/398165
Printed on: April 26, 2024 at 10:04 o'clock
6 Comments
Latest comment
Moin,
bin nicht sicher was du konkret meinst.
Du könntest für deine internen Netze Unique Local Adressen verwenden und bei der pfSense NPT einrichten, wenn du unbedingt IPv6 ähnlich wie IPv4 implementieren möchtest. Allerdings ist das Quatsch und ist eigentlich bei IPv6 nicht mehr vorgesehen. Ich persönlich mache das zwar aktuell selber so, allerdings nur weil es ein paar Besonderheiten bzw. Einschränkungen bei meinem Provider gibt. Normalerweise würde ich einfach das Regelwerk für die Interfaces ordentlich konfigurieren und Global Unicast Adressen verwenden.
Die pfSense arbeitet nach dem Whitelist Prinzip, d.h. per default wird alles geblockt. Du brauchst keine expliziten Block Regeln.
Viele Grüße,
Exception
bin nicht sicher was du konkret meinst.
Du könntest für deine internen Netze Unique Local Adressen verwenden und bei der pfSense NPT einrichten, wenn du unbedingt IPv6 ähnlich wie IPv4 implementieren möchtest. Allerdings ist das Quatsch und ist eigentlich bei IPv6 nicht mehr vorgesehen. Ich persönlich mache das zwar aktuell selber so, allerdings nur weil es ein paar Besonderheiten bzw. Einschränkungen bei meinem Provider gibt. Normalerweise würde ich einfach das Regelwerk für die Interfaces ordentlich konfigurieren und Global Unicast Adressen verwenden.
Die pfSense arbeitet nach dem Whitelist Prinzip, d.h. per default wird alles geblockt. Du brauchst keine expliziten Block Regeln.
Viele Grüße,
Exception
Hi,
erstelle einen Alias: z.B. myInterfaceNets.
Dann für jedes Interface die allow Regeln (ICMP, DNS etc.) falls benötigt definieren,
dann ein Block IPv& Source any target myInterfaceNets.
dann die Regeln zum WAN
Sobald du ein neues Interface / IPv6 Netz hinzufügst mußt du den Alias erweitern.
CH
erstelle einen Alias: z.B. myInterfaceNets.
Dann für jedes Interface die allow Regeln (ICMP, DNS etc.) falls benötigt definieren,
dann ein Block IPv& Source any target myInterfaceNets.
dann die Regeln zum WAN
Sobald du ein neues Interface / IPv6 Netz hinzufügst mußt du den Alias erweitern.
CH
Ich nutze für spezifische Regeln ohnehin einen Alias mit den Privaten Subnetzen. Da ist es simpel das IPv6 pendant zu ergänzen.
Außerdem darf man neue Interfaces nicht vergessen.
Die sind ja so oder so IMMER per Default geblockt bei einer Firewall wie jederman weiss. Du musst also explizit freigeben !Die grundsätzliche Frage ist ob du ein eigenes statisches Kontingent hast oder deine v6 Netze mit Prefix Delegation bekommst.
So oder so ist es aber dann ganz einfach, denn du blockst dann auf den Interfaces deinen eigenen Bereich mit einer Summary Maske und erlaubst den Rest dann zu "Any". Fertisch !
Um das einfacher zu gestalten kannst du dann mit einem Alias arbeiten.
Zitat von @aqui:
Die grundsätzliche Frage ist ob du ein eigenes statisches Kontingent hast oder deine v6 Netze mit Prefix Delegation bekommst.
Das hätte ich mal besser direkt mit angeben sollen. Ich bekomme ein 56er Prefix vom Provider.Die grundsätzliche Frage ist ob du ein eigenes statisches Kontingent hast oder deine v6 Netze mit Prefix Delegation bekommst.
So oder so ist es aber dann ganz einfach, denn du blockst dann auf den Interfaces deinen eigenen Bereich mit einer Summary Maske und erlaubst den Rest dann zu "Any". Fertisch !
Um das einfacher zu gestalten kannst du dann mit einem Alias arbeiten.
Und genau da komme ich nicht weiter. Mein Prefix ist nicht statisch. Spätestens beim WAN-Reconnect stimmen die händisch eingetragenen Aliasse nicht mehr.Um das einfacher zu gestalten kannst du dann mit einem Alias arbeiten.
Den Source-Alias brauche ich eigentlich nicht nochmal erstellen. Wenn ich bspw. bei Source "WLAN_Gast_net" benutze, gilt der Adressbereich auch für die IPv6-Adresse. Allerdings kann ich keine sinnvolle Destination angeben.
Hier nochmal mein Problem:
Prefix vom Provider: 2001:db8:1234:ABC/60
Interface 1 mit Prefix ID1: 2001:db8:1234:ABC1::1234
Interface 2 mit Prefix ID2: 2001:db8:1234:ABC2::1234
Interface 3 mit Prefix ID3: 2001:db8:1234:ABC3::1234 usw.
Lege ich nun einen Alias mit 2001:db8:1234:ABC/60 an und verwende diesen als Invert-Destination, damit NUR der Zugriff ins Internet erlaubt ist, funktioniert das nur bis zum reconnect. Ab dann haben die Interfaces etwa folgende Adressen:
Prefix vom Provider: 2001:db8:1234:DEF/60
Interface 1 mit Prefix ID1: 2001:db8:1234:DEF1::1234
Interface 2 mit Prefix ID2: 2001:db8:1234:DEF2::1234
Interface 3 mit Prefix ID3: 2001:db8:1234:DEF3::1234 usw.
Erstelle ich nun folgende Regel:
IPv6 WLAN_Gast_net -> *
so kommt der Gast in mein komplettes Netz
Erstelle ich nun folgende Regel:
IPv6 WLAN_Gast_net -> !(invert) 2001:db8:1234:ABC/60
so kommt der Gast nur ins Internet. Nach dem WAN-Reconnect und dem neuen Prefix, klappt das nicht mehr.
Da ich als Destination nicht das WAN-Interface, jedoch alle anderen angeben kann, helfe ich mir etwa so aus:
IPv6 BLOCK WLAN_Gast_net -> Privat_net
IPv6 BLOCK WLAN_Gast_net -> Server_net
IPv6 ALLOW WLAN_Gast_net -> *
Hier nochmal mein Problem:
Prefix vom Provider: 2001:db8:1234:ABC/60
Interface 1 mit Prefix ID1: 2001:db8:1234:ABC1::1234
Interface 2 mit Prefix ID2: 2001:db8:1234:ABC2::1234
Interface 3 mit Prefix ID3: 2001:db8:1234:ABC3::1234 usw.
Lege ich nun einen Alias mit 2001:db8:1234:ABC/60 an und verwende diesen als Invert-Destination, damit NUR der Zugriff ins Internet erlaubt ist, funktioniert das nur bis zum reconnect. Ab dann haben die Interfaces etwa folgende Adressen:
Prefix vom Provider: 2001:db8:1234:DEF/60
Interface 1 mit Prefix ID1: 2001:db8:1234:DEF1::1234
Interface 2 mit Prefix ID2: 2001:db8:1234:DEF2::1234
Interface 3 mit Prefix ID3: 2001:db8:1234:DEF3::1234 usw.
Erstelle ich nun folgende Regel:
IPv6 WLAN_Gast_net -> *
so kommt der Gast in mein komplettes Netz
Erstelle ich nun folgende Regel:
IPv6 WLAN_Gast_net -> !(invert) 2001:db8:1234:ABC/60
so kommt der Gast nur ins Internet. Nach dem WAN-Reconnect und dem neuen Prefix, klappt das nicht mehr.
Da ich als Destination nicht das WAN-Interface, jedoch alle anderen angeben kann, helfe ich mir etwa so aus:
IPv6 BLOCK WLAN_Gast_net -> Privat_net
IPv6 BLOCK WLAN_Gast_net -> Server_net
IPv6 ALLOW WLAN_Gast_net -> *