Hallo zusammen,
ich habe auf meinem Lancom ein extra Gastnetz mit VLAN realisiert. Nachfolgend die Netzdetails:
Netz: INTRANET
VLAN ID: 1
Tag: 0
IP: 192.168.111.0/24
IPv6: Router Adv mit Subnetz ID 1
Schnittstelle: BRG1
Netz: GUEST
VLAN ID: 20
Tag: 20
IP: 192.168.120.0/24
IPv6: Router Adv mit Subnetz ID 20
Schnittstelle: BRG1
Vom Provider erhalte ich ein 56 IPv6 Präfix. Nun zu meinem kleinen Problem. Ich betreibe einen eigenen DNS Server und dieser befindet sich im Netz INTRANET. In der IPv4 Variante ist es mir ohne Probleme möglich diesen aus dem Gästenetz mit der nachfolgenden Firewall-Regel zu machen:
Quelle: Tag 20
Aktion: Accept
Ziel: DNS Server
Auch in der IPv6 Variante habe ich dem GUEST Netz das gleiche Schnittstellen Tag: 20 zugeteilt und auch eine Firewall-Regel erstellt, aber leider lässt sich der DNS Server nicht erreichen. Stelle ich das Schnittstellen Tag vom GUEST Netz für IPv6 auf 0 kann ich jedoch den DNS Server erreichen. Grundsätzlich sollte die Konfiguration damit ja passen und mein Problem liegt vermutlich bei der Firewall. Habt ihr vielleicht einen Tipp für mich.
Liebe Grüße
Markus
IPv6 Routing zwischen Netzen
Moderator: Lancom-Systems Moderatoren
Re: IPv6 Routing zwischen Netzen
Hi elliot2extreme
Es wüprde gehen, wenn du in der Regel auch das Routing-Tag 65535 setzt, denn 0 bedeutet, daß ein etwaig vorhandenes Tag - hier 20 - nicht geändert wird.
Und genau so mußt du die Regel für IPv6 aufsetzen:
Gruß
Backslash
ganz ehrlich: kann nicht sein... denn das Netz GUEST hat das Routing-Tag 20 und das Netz INTRANET hat das Routing-Tag 0. Damit wird der Zugriff mit obiger Regel weiterhin nicht erlaubt.Ich betreibe einen eigenen DNS Server und dieser befindet sich im Netz INTRANET. In der IPv4 Variante ist es mir ohne Probleme möglich diesen aus dem Gästenetz mit der nachfolgenden Firewall-Regel zu machen:
Quelle: Tag 20
Aktion: Accept
Ziel: DNS Server
Es wüprde gehen, wenn du in der Regel auch das Routing-Tag 65535 setzt, denn 0 bedeutet, daß ein etwaig vorhandenes Tag - hier 20 - nicht geändert wird.
Und genau so mußt du die Regel für IPv6 aufsetzen:
Code: Alles auswählen
Stationsobjekt:
Name: DNS_SERVER
Typ: IP-Adresse
Adresse/Prefix: IP des DNS-Servers
Forwarding-Regel:
Name: ALLOW-DNS
Quell-Tag: 20
Routing-Tag: 65535
Aktion: ACCEPT
Dienste: DNS
Quell-Stationen: ANYHOST
Ziel-Stationen: DNS_SERVER
Backslash
-
- Beiträge: 8
- Registriert: 31 Mai 2016, 13:43
Re: IPv6 Routing zwischen Netzen
Hallo backslash,
danke für deine Antwort. In der Tat hat sich bei dem Text für die IPv4 Regel ein Fehler eingeschlichen. Konfiguriert ist es mit:
Quell-Tag: 20
Routing-Tag: 65535
Aktion: ACCEPT
Ziel: DNS-Server
So hatte ich es bei der IPv6 Regel angelegt aber warum auch immer hat diese keine Auswirkung. Bei den IPv6 LAN-Schnittstellen kann man jedoch die Firewall extra ein oder aus schalten und Default ist aus. Nachdem ich es da aktiviert habe funktioniert die Regel auch. Sorry mein Fehler.
Liebe Grüße
Markus
danke für deine Antwort. In der Tat hat sich bei dem Text für die IPv4 Regel ein Fehler eingeschlichen. Konfiguriert ist es mit:
Quell-Tag: 20
Routing-Tag: 65535
Aktion: ACCEPT
Ziel: DNS-Server
So hatte ich es bei der IPv6 Regel angelegt aber warum auch immer hat diese keine Auswirkung. Bei den IPv6 LAN-Schnittstellen kann man jedoch die Firewall extra ein oder aus schalten und Default ist aus. Nachdem ich es da aktiviert habe funktioniert die Regel auch. Sorry mein Fehler.
Liebe Grüße
Markus
Re: IPv6 Routing zwischen Netzen
Hi elliot2extreme
BTW: es reicht, daß die Firewall auf einem der beteiligten Interfaces eingeschaltet ist.
Sie ist auf WAN-Interfces im Default ein und ist daher zumindest in Richtung Internetprovider aktiv. Also keine Angst, daß dein LAN im IPv6 ungeschützt ist, wenn die Firewall im LAN nicht explizit aktiviert ist...
Gruß
Backslash
ohne Firewall gibt es halt nur die nach Tags getrennten Routing-Tabellen... Erst die Firewall ermöglicht den Kontextwechsel und muß dafür auch eingeschaltet werden.Bei den IPv6 LAN-Schnittstellen kann man jedoch die Firewall extra ein oder aus schalten und Default ist aus. Nachdem ich es da aktiviert habe funktioniert die Regel auch. Sorry mein Fehler.
BTW: es reicht, daß die Firewall auf einem der beteiligten Interfaces eingeschaltet ist.
Sie ist auf WAN-Interfces im Default ein und ist daher zumindest in Richtung Internetprovider aktiv. Also keine Angst, daß dein LAN im IPv6 ungeschützt ist, wenn die Firewall im LAN nicht explizit aktiviert ist...
Gruß
Backslash