LANCOM-Forum.de

Das inoffizielle Profi-Forum für LANCOM-User
Aktuelle Zeit: 27 Mai 2018, 15:37

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]




Ein neues Thema erstellen Auf das Thema antworten  [ 4 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 20 Apr 2018, 17:45 
Offline

Registriert: 19 Apr 2018, 15:50
Beiträge: 7
Wofür sind die ganzen Freigaben (z.B. ICMPv6) in der Lancom-IPv6-Firewall nötig?

Ich hab das mit dem IPv6 so verstanden: Der Router kriegt einen Präfix vom Provider. Aus diesem Pool kann ich den Clients öffentliche IPv6 Adressen zuweisen. Hierfür kann ich den "Schnittstellen-Optionen" die Option "Router-Adv. senden" aktivieren und dabei entscheiden, ob die Vergabe per SLAAC oder per zusätzlichem DHCPv6 erfolgen soll. Per "Präfix beziehen von"-Option sage ich dann einfach den Präfix des Providers nutzen.

Wofür sind jetzt die ganzen Firewall-Freigaben, die standardmäßig aktiv sind? Diese ganze Router-Advertisement-Sache und DHCPv6 sind ja Sachen die intern ablaufen und daher keine Firewall-Freigabe fürs Internet benötigen. Warum muss ich dann trotzdem erlauben, dass Daten aus dem Internet ungehindert an die Clients weitergeleitet werden dürfen? Ist das kein Sicherheitsrisiko?


Nach oben
 Profil  
 
BeitragVerfasst: 20 Apr 2018, 19:34 
Offline

Registriert: 18 Sep 2017, 12:38
Beiträge: 41
g2216403 hat geschrieben:
Ich hab das mit dem IPv6 so verstanden: Der Router kriegt einen Präfix vom Provider. Aus diesem Pool kann ich den Clients öffentliche IPv6 Adressen zuweisen. Hierfür kann ich den "Schnittstellen-Optionen" die Option "Router-Adv. senden" aktivieren und dabei entscheiden, ob die Vergabe per SLAAC oder per zusätzlichem DHCPv6 erfolgen soll. Per "Präfix beziehen von"-Option sage ich dann einfach den Präfix des Providers nutzen.

Fast. Das vom Provider zugewiesene Präfix nutzt man (von wenigen Ausnahmen abgesehen) nicht direkt. Denn meist bekommt man ein /48- oder /56-Präfix, in den LANs verwendet man aber immer /64. Daher erstellt man für jedes LAN ein Subnetz auf Basis des zugewiesenen Präfixes (dazu ist die "Subnetz-ID"-Einstellung da).

g2216403 hat geschrieben:
Wofür sind jetzt die ganzen Firewall-Freigaben, die standardmäßig aktiv sind?

Man muss hier unterscheiden zwischen Inbound- und Forwarding-Regeln. Du meinst wahrscheinlich die Inbound-Regeln, die betreffen das Routing aber überhaupt nicht (weder WAN->LAN noch LAN->WAN noch LAN<->LAN). Die sind erforderlich, damit die Dienste des Routers funktionieren.

g2216403 hat geschrieben:
Diese ganze Router-Advertisement-Sache und DHCPv6 sind ja Sachen die intern ablaufen und daher keine Firewall-Freigabe fürs Internet benötigen.

Die Firewall greift für sämtlichen Traffic, der den Router erreicht (auch aus den LANs). Schau dir die Inbound-Regeln mal genauer an. Der DHCPv6-Server ist nur für lokale Clients erreichbar (Quell-Station LOCALNET). Für ANYHOST (d. h. auch aus dem WAN) freigegeben sind z. B. der DHCPv6-Client (erforderlich, um ein Präfix vom Provider zu beziehen) und ICMPv6. Letzteres ist essentiell für die Funktion von IPv6 und sollte nicht geblockt werden (bzw. nur sehr selektiv, wenn man genau weiß was man tut).

g2216403 hat geschrieben:
Warum muss ich dann trotzdem erlauben, dass Daten aus dem Internet ungehindert an die Clients weitergeleitet werden dürfen?

Musst Du nicht und ist auch nicht der Fall. Bei den für das Routing entscheidenden Forwarding-Regeln wird default eigentlich nur ausgehender Traffic (LAN->WAN) erlaubt.


Nach oben
 Profil  
 
BeitragVerfasst: 23 Apr 2018, 08:28 
Offline

Registriert: 19 Apr 2018, 15:50
Beiträge: 7
Die "Inbound-Regeln" gelten also nur für Pakete die direkt an den Router adressiert sind?

Und die "Forwarding-Regeln" für alles das der Router an irgend eine Gegenstelle weiterleitet?


Nach oben
 Profil  
 
BeitragVerfasst: 23 Apr 2018, 15:56 
Offline

Registriert: 18 Sep 2017, 12:38
Beiträge: 41
Exakt.

Die Lancom-Doku ist in einigen Punkten ja durchaus kritikwürdig, aber die Default-Regeln sind durchaus dokumentiert: https://www.lancom-systems.de/docs/LCOS ... aults.html


Nach oben
 Profil  
 
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen Auf das Thema antworten  [ 4 Beiträge ] 

Alle Zeiten sind UTC + 1 Stunde [ Sommerzeit ]



Ähnliche Themen
 Themen   Autor   Antworten   Zugriffe   Letzter Beitrag 
Es gibt keine neuen ungelesenen Beiträge in diesem Thema. IPv6 wird Client zugewiesen, obwohl IPv6 deaktiviert ?

firefox_i

1

858

22 Dez 2016, 10:50

alf29 Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. Dateianhang IPv6 von M-net

vidalrod

7

1413

12 Mär 2015, 11:37

vidalrod Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. ipv6 VPN ?

mfdoom

1

816

25 Aug 2017, 09:53

mfdoom Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. LANCOM und IPv6

Oliver

5

22162

01 Mär 2011, 11:08

Jirka Neuester Beitrag

Es gibt keine neuen ungelesenen Beiträge in diesem Thema. L-54ag und IPv6

Raudi

7

13591

09 Jan 2012, 10:34

Raudi Neuester Beitrag

 


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Suche nach:
Gehe zu:  
cron
Powered by phpBB® Forum Software © phpBB Group