ipv6 firewall regel greift nicht

[averlon]

Hallo,

warum greift diese IPv6 Forward-Regel nicht:

Code: Alles auswählen

add  "ALLOW_WEB"                          {Action}  "ACCEPT-VPN_LOG, ACCEPT_LOG"                                     {Services}  "WEB"                                                            {Source-Stations}  "ANYHOST"                                                        {Destination-Stations}  "S42252D6"                                                       {LB-Policy}  ""                               {Flags}  deactivated                                      {Prio}  100  {Src-Tag}  0         {Rtg-tag}  0       {Comment}  "eigene; Test WEB"

Service: Web =

Code: Alles auswählen

add  "WEB"                                {Description}  "HTTP, HTTPS, HTTP8080"

bestehend aus:

Code: Alles auswählen

add  "HTTP"                           {Protocol}  TCP       {Ports}  "80"                                                             {Src-Ports}  No
add  "HTTP8080"                       {Protocol}  TCP       {Ports}  "8080"                                                           {Src-Ports}  No
add  "HTTPS"                          {Protocol}  TCP       {Ports}  "443"                                                            {Src-Ports}  No

Und das Zielsystem ist wie folgt definiert:

Code: Alles auswählen

add  "S42252D6"                       {Type}  IP-Address             {Local-network}  ""               {Remote-peer/local-host}  ""                                                               {Address/Prefix}  "fd00:0:0:1::d/128"

Das Zielsystem hat aktuell:

Code: Alles auswählen

ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute
       valid_lft forever preferred_lft forever
2: enp1s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 52:54:00:fc:d3:d6 brd ff:ff:ff:ff:ff:ff
    inet 192.168.110.13/24 metric 100 brd 192.168.110.255 scope global dynamic enp1s0
       valid_lft 21054sec preferred_lft 21054sec
    inet6 fd00:0:0:1::d/128 scope global dynamic noprefixroute
       valid_lft 21053sec preferred_lft 21053sec
    inet6 fe80::5054:ff:fefc:d3d6/64 scope link
       valid_lft forever preferred_lft forever
       
 

Die FW sagt:

Code: Alles auswählen

[IPv6-Firewall] 2026/04/29 13:26:25,817  Devicetime: 2026/04/29 13:26:23,785 [info] : 
The packet below, received from 1UND1 scope global
Internet Protocol Version 6
  Payload length: 40
  Traffic class: 0x00 (DSCP: CS0, ECN: Not-ECT)
  Next header: TCP (6)
  Hop limit: 51
  Source: 2a01:599:902:743a:e4db:e802:b12c:eb85
  Destination: 2001:16b8:21e3:bf01:e563::d
Transmission Control Protocol
  Source port: 44630
  Destination port: 8080
  Sequence number: 821159112
  Acknowledgement number: 0
  Header length: 40 bytes
  Code bits: SYN 
  Window size: 65535
  Checksum: 0x711c
  Urgent pointer: 0
matched FORWARDING rule ALLOW_VPN
no matching conditions, test next rule
matched FORWARDING rule DENY-FW-ALL
OK

Das klappt nur, wenn NPTv6 entsprechend konfiguriert ist, sodass ein Mapping der Destination auf die IPv6-Adresse des Ziels erfolgt.

Mein Verständnis wäre, dass alle !!alle!! eingehenden http8080 der Zieladresse zugeordnet werden.

Wo ist denn da mein Fehler in der Konfiguration?

[backslash]

Hi averlon ,

warum greift diese IPv6 Forward-Regel nicht:

weil

Code: Alles auswählen

  Destination: 2001:16b8:21e3:bf01:e563::d

nicht gleich

Code: Alles auswählen

{Address/Prefix}  "fd00:0:0:1::d/128"

ist

Das klappt nur, wenn NPTv6 entsprechend konfiguriert ist, sodass ein Mapping der Destination auf die IPv6-Adresse des Ziels erfolgt.

genau... das NPTv6 wird beim Empfang vom genatteten Interface durchgeführt, bevor das Paket an die Firewall gegeben wird - entsprechend wird es beim Senden auf das genatteten Interface nach der Firewall ausgeführt.

Mein Verständnis wäre, dass alle !!alle!! eingehenden http8080 der Zieladresse zugeordnet werden.

wie kommst du darauf... Woher soll die Firewall wissen, daß die WAN-Adresse auf die ULA gemappt werden soll, wenn du es nicht konfigurierst - und ghanau das passiert ja im NPTv6...
Ohne die NPTv6-Konfig wäre es ja gar nicht möglich, bei dynamisch zugewiesenen Präfixen einen internen Server mit fester IP zu betreiben und auch noch eine Firewallregel darauf matchen zu lassen


Gruß
Backslash

[averlon]

Hallo backslash,

ich glaube, ich kriege einen Knopf dran.

Die FW ist eine Prüfregel und kein routing.

Sie prüft Quelle/Protokoll (in dem Fall anyhost/8080) und ob das im Protokoll angegebene Ziel dem Ziel in der FW-Regel entspricht.
Da in dem Fall NPTv6 ausgeschaltet war, war das im Protokoll angegebene Ziel nicht identisch mit dem in der FW-Regel angegebenen Ziel und somit = false!

mmh - alles recht schwierig! Viele Stolpersteine.

Danke für die Hilfe!