LANCOM-Forum.de

Das inoffizielle Profi-Forum für LANCOM-User
Aktuelle Zeit: 22 Okt 2017, 22:59

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 4 Beiträge ] 
Autor Nachricht
 Betreff des Beitrags: IPv6-Routing zwischen zwei LANs
BeitragVerfasst: 21 Sep 2017, 17:30 
Offline

Registriert: 18 Sep 2017, 12:38
Beiträge: 4
Wir nutzen zwei (V)LANs, in beiden ist IPv6 aktiv:

Code:
Interface VLAN-ID Schnittstellen-Tag Präfix
------------------------------------------------------
INTRANET  1       0                  2001:DB8:0:1::/64
GAESTE    2       2                  2001:DB8:0:2::/64

Es existiert eine Default-Route (::/0), Routing-Tag 0, über die IPv6-WAN-Schnittstelle. IPv6-Internetzugang funktioniert damit in beiden Netzen.

Auf Rechnern im INTRANET laufen Dienste, die auch aus dem Internet erreichbar sein müssen. Entsprechende IPv6-Forwarding-Regeln sind in der Firewall eingerichtet und dies funktioniert auch problemlos. (Die Firewall ist nur auf dem WAN-Interface aktiv.)
Ausgerechnet aus dem GAESTE-Netz ist jedoch kein Zugriff auf diese Dienste möglich. Offenbar greift hier das Konzept "Netzwerke mit einem Schnittstellen-Tag ungleich 0 können nur auf Netzwerke zugreifen, die das gleiche Schnittstellen-Tag verwenden".

Gibt es dafür eine einfache Lösung? Aus Sicht von INTRANET soll das GAESTE-Netz genauso behandelt werden wie das WAN.

(Bei IPv4 stellt sich das Problem so nicht, da die Dienste im DNS auf die WAN-IPv4-Adresse auflösen und das Port-Forwarding durchlaufen. Das funktioniert auch aus dem GAESTE-Netz.)


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: IPv6-Routing zwischen zwei LANs
BeitragVerfasst: 22 Sep 2017, 15:49 
Offline
Moderator
Moderator

Registriert: 08 Nov 2004, 22:26
Beiträge: 5646
Wohnort: Aachen
Hi Maurice,

Zitat:
Offenbar greift hier das Konzept "Netzwerke mit einem Schnittstellen-Tag ungleich 0 können nur auf Netzwerke zugreifen, die das gleiche Schnittstellen-Tag verwenden".

genau, d.h. du mußt Traffic vom Gätenetz ins INTRANET per Firewallregel umtaggen. Hinzu kommt noch, daß dein INTRANET das Tag 0 hat - das führt dazu, daß du in der Fierawall das Tag 65535 setzen mußt:

Code:
Name:         ALLOW-GAESTE->INTRANET
Priorität:    0
Quell-Tag:    0
Routing-Tag:  65535
Aktionen:     ACCEPT
Dienste:      ANY (oder auf was du es gerne beschränken willst)
Quelle:       lokales Netz "GAESTE"
Ziel:         lokales Netz "INTRANET"



Zitat:
(Bei IPv4 stellt sich das Problem so nicht, da die Dienste im DNS auf die WAN-IPv4-Adresse auflösen und das Port-Forwarding durchlaufen. Das funktioniert auch aus dem GAESTE-Netz.)

das ist schon "gruselig"... Im IPv4 sollten die lokalen Hostnamen im Gästenetz auch direkt lokal auflösen, statt den Umweg über das WAN zu gehen. Das hätte dann auch den Vorteil, daß du auf den Servern im INTRANET feststellen kannst, ob eine Anfrage aus dem Gästenetz kam oder aus dem Internet, denn sie würden als Quelle direkt die jeweiligen IPs aus dem Gästenetz sehen und nicht die WAN-IP des LANCOMs. In diesem Fall müßtest du dann aber auch die passende Allow-Regel in der IPv4-Firewall setzen (sie sieht letztendlich genau so aus, wie die für IPv6).

Gruß
Backslash


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: IPv6-Routing zwischen zwei LANs
BeitragVerfasst: 22 Sep 2017, 19:25 
Offline

Registriert: 18 Sep 2017, 12:38
Beiträge: 4
Hi Backslash,

Danke für deine Antwort. Habe testweise eine Firewallregel genau so angelegt, es ändert sich aber leider nichts. Greift die Firewall hier überhaupt? "Firewall für dieses Interface aktiv" ist wie gesagt nur auf der WAN-Schnittstelle gesetzt, nicht auf den LAN-Schnittstellen.

Außerdem sind die existierenden Firewallregeln sehr spezifisch, in der Art:
Code:
Name:         ALLOW-WEBSERVER1
Priorität:    0
Quell-Tag:    0
Routing-Tag:  0
Aktionen:     ACCEPT
Dienste:      HTTP, HTTPS
Quelle:       ANYHOST
Ziel:         IPv6-Adresse <bestimmter Host im Intranet>

Es gibt eine Vielzahl derartiger Regeln. Wenn es mit "umtaggen" funktionieren sollte: Müsste ich die Regeln dann alle duplizieren und anpassen? Oder bedarf es nur einer "Umtag-Regel" und danach greifen dann die bestehenden Regeln?


Betreffs der IPv4-Lösung:
Zitat:
das ist schon "gruselig"...

Ich würde es "pragmatisch" oder "konsequent" nennen. 8)

Zitat:
Im IPv4 sollten die lokalen Hostnamen im Gästenetz auch direkt lokal auflösen

Das hieße dann Split DNS, davon bin ich absolut kein Freund (ist aber eine andere Diskussion). Alle aus dem Internet erreichbaren Dienste lösen wir immer auf die öffentlichen Adressen auf. Auch im Intranet, denn dort spielt IPv4 ohnehin fast keine Rolle mehr.

Zitat:
statt den Umweg über das WAN zu gehen

Naja, läuft ja dennoch direkt über den Lancom und nicht über das Internet. Ob der intern über die WAN-Adresse NATet oder direkt von einem LAN ins andere routet halte ich in diesem Szenario für nebensächlich.

Zitat:
Das hätte dann auch den Vorteil, daß du auf den Servern im INTRANET feststellen kannst, ob eine Anfrage aus dem Gästenetz kam oder aus dem Internet

Das ist mir ehrlich gesagt egal. Das Gäste-Netz dient nur als Internetzugang, quasi ein halb-öffentlicher Hotspot. Aus Intranet-Sicht sind Gäste-Netz-Clients nicht vertrauenswürdiger als beliebige Internet-Clients.

Zitat:
In diesem Fall müßtest du dann aber auch die passende Allow-Regel in der IPv4-Firewall setzen

Genau, also mehr Konfigurationsaufwand (habe ich Split DNS schon erwähnt?), aber aus meiner Sicht keine Vorteile.

Mit der IPv4-Lösung bin ich glücklich, jetzt muss es nur noch über IPv6 funktionieren...

Grüße

Maurice


Nach oben
 Profil  
 
 Betreff des Beitrags: Re: IPv6-Routing zwischen zwei LANs
BeitragVerfasst: 13 Okt 2017, 19:42 
Offline

Registriert: 18 Sep 2017, 12:38
Beiträge: 4
Sorry, ich muss nochmal nachfragen. Habe mich intensiv mit dem LCOS-Referenzhandbuch auseinandergesetzt, bekomme aber kein IPv6-Routing zwischen zwei LANs unter Einbeziehung der Firewall zustande. Sollte doch ein Standardszenario sein?

Nochmal konkret: Muss "Firewall für dieses Interface aktiv" für die LAN-Schnittstellen aktiviert werden? Default beim Anlegen einer neuen LAN-Schnittstelle ist "Aus", aber das Umtaggen kann dann ja eigentlich nicht funktionieren. Das testweise Aktivieren hat allerdings auch nichts gebracht.

Außerdem habe ich die Priorität der "Umtag-Regel" auf 9999 gesetzt und die Verkettung aktiviert. Soweit richtig? Dann sollte nur diese eine zusätzliche Regel benötigt werden und anschließend die existierenden Regeln durchlaufen werden?


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 4 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



Ähnliche Themen
 Themen   Autor   Antworten   Zugriffe   Letzter Beitrag 
Es gibt keine neuen ungelesenen Beiträge in diesem Thema. IPv6 mit zwei Providern

sligger

1

847

07 Mai 2016, 20:36

sligger Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. IPv6 Routing

Raudi

7

14463

30 Apr 2012, 20:37

Raudi Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. IPv6-Routing Probleme: forwarding (interface) is disabled

stefanbunzel

3

1006

16 Sep 2013, 14:04

Pothos Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. IPv6 wird Client zugewiesen, obwohl IPv6 deaktiviert ?

firefox_i

1

556

22 Dez 2016, 10:50

alf29 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Dateianhang IPv6 von M-net

vidalrod

7

1092

12 Mär 2015, 11:37

vidalrod Neuester Beitrag

 


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group