Umstieg von Fritzbox auf Lancom - IPv6

[Josh]

Hallo zusammen!

Ich habe mich dazu entschlossen, meine FB7590 gegen einen Lancom 1783vaw, den ich in der Bucht geschossen habe, zu tauschen.

Nachdem ich einige Probleme/Aufgaben gelöst habe, läuft's jetzt so weit. Nur bei IPv6 habe ich noch Fragen/Probleme.

Bei der FB gab es eine ULA-Adresse fd00:... Diese Adresse ist immer fix und ändert sich nicht. Diese hatte ich dazu genutzt per DHCP den DNS-Server und das Gateway (LancomRouter) zu verteilen. Den DNS macht eine Pi-Hole Dockerinstallation auf meinem NAS.

Beim Lancom finde ich nur eine fe80-Adresse, die sich m.E. alle sieben Pfingesten ändert. Ich habe zwar jetzt die fe80-Adressen eingetragen und es funktioniert. Aber wenn sie die Adresse später mal ändert, wird's nicht mehr funktionieren.

Ich muss zugeben, dass ich mich mit IPv6 nur ganz wenig auskenne. Habe bereits nach einem Tutorial gesucht, um den Lancom richtig einzustellen. Leider nichts gefunden, womit ich arbeiten könnte. Zusätzlich habe ich noch ein ungutes Gefühl zum Thema Sicherheit. Bin halt unsicher, ob ich mir über IPv6 nicht irgendein Loch ins System gerissen habe.

Gibt es hier jemanden, der mich mal an die Hand nehmen kann?

Gruß Josh

P.S.: Der Konfigurationswizard ist durchgelaufen und ich bekomme vom ISP eine öffentliche IPv6-Adresse/Netz. 2100:...../56. Das scheint zu funktionieren... hoffe ich

[backslash]

Hi Josh,

es hindert dich erstmal niemand daran auch am LANCOM ULAs zu verwenden. Dann haben an Ende alle Hosts zwei Adressen: die manuell konfigurierte ULA (also aus dem Prefix fc00::/7 gebildet) und eine aus dem vom Provider zugewiesenen Prefix gebildete globale Adresse.

Du könntest aber Probleme mit fehlerhaften IPv6-Implementierungen z.B. auf IOT-Devices bekommen, die entweder Autokonfig falsch implementiert haben (un z.B. nur eine Adrsse akzeotieren) oder beim Zugftriff auf's Internet die ULA als Absnederadresse setzen... Aber das Problem gibt es immer, wenn ULAs im Spiel sind

Ab der 10.50 unterstützt das LANCOM auch NPTv6, so daß du globale Adressen ganz aus deinem Netz verbannen und nur noch mit ULAs arbeiten kannst - aber der Sinn des IPv6 war ja eigentlich, daß man ohne NAT leben wollte...

BTW: die linklokalen Adressen (also aus dem Prefix fe80::/16) sollten sich nicht ändern - nichtmal bei einer aktiven Privacy-Extension, denn die primäre linklokale Adresse wird als EUI-64 Adresse aus der Mac-Adresse der Ethernet-Karte gebildet. Bei einem LANCOM lautet sie wenn die Mac-Adresse 00:a0:57:12:34:56 ist: fe80::02a0:57ff:fe12:3456. Aber du kannst natürlich auch manuell linklokale Adressen vergeben. Die haben die Hosts dann zusätzlich...

Gruß
Backslash

[Josh]

Herzlichen Dank für Deine Antwort. Ich habe mir die Sache bereits angesehen, muss mich aber noch weiter einarbeiten, um das alles zu verstehen. Einen ersten Überblick habe ich aber bereits.

Es wundert mich ein wenig, dass ich früher einmal eine Änderung in einer fe80-Adresse hatte. Jetzt sind die Adressen allem Anschein nach statisch.

Wie wird verhindert, dass man von außen per IPv6-Adresse ins LAN kommt bzw. wie mache ich eine Weiterleitung über IPv6 auf eine interne Adresse? Das habe ich noch nicht so ganz gecheckt. Ich möchte bei meinen Versuchen mit IPv6 nicht zufällig ein Loch ins LAN reißen. Und wo aktiviere/deaktiviere ich die "Privacy-Extension".

[backslash]

Hi Josh

Wie wird verhindert, dass man von außen per IPv6-Adresse ins LAN kommt bzw.

über die Fierwall... Im Default ist sie so konfiguriert, daß sie allen Traffic von "innen" nach "auusen" zuläßt (Regel: ALLOW-OUTBOUND) und alles andere blockiert (Regel DENY-ALL).

wie mache ich eine Weiterleitung über IPv6 auf eine interne Adresse

bei IPv6 gibt es keine "Weiterleitungen". Du mußt nur Traffic zum jedweilgen Ziel mit einer Firewall-Regel erlauben...

Dazu brauchst du ein Stations-Objekt, das den Server beschreibt, z.B. (bei dynamischen Prefixen):

Code: Alles auswählen

Name:          MY-WEB-SERVER
Typ:           delegiertes Prefix
Gegenstelle:   Name deiner Internet-Verbindung (da kommt der Prefix her)
Adresse:       ::<subnet-id des Netzes, in dem der Server steht>:<identifier des servers>/128

und dann eine Foirwarding-Regel, die den Traffic zuläßt:

Code: Alles auswählen

Name:     ALLOW-MY-WEB-SERVER
Akton:    ACCEPT
Quelle:   alle Stationen
Ziel:     MY-WEB-SERVER
Dienste:  z.b. WEB

Gruß
Backslash

[Josh]

OK, danke für Deine Erklärungen. Habe ich so weit verstanden.

Die IPv6-Forwarding-Regeln sind für den ein- und ausgehenden IPv6-Netzwerkverkehr. Habe einen Screenshot meiner Einstellungen angehängt. Habe da nichts verändert. Ist also Standard.

Was machen genau die IPv6-Inbound-Regeln? IPv4 macht da keinen Unterschied. Ich vermute, dass es sich hier nur um internen Datenverkehr geht. Auch hierzu habe ich einen Screenshot mit meinen Einstellungen angehängt. Außer der AVM-Mesh-Discovery-Regel ist alles so voreingestellt.

Mal noch eine kleine OT-Frage: Wenn ich im Firewall-Logging eine lokale IPv6-Adresse sehe. Wie finde ich das dazu gehörige Gerät? Ich könnte natürlich alle Geräte manuell abklappern. Aber bei über 100 Geräten dauert das ja ewig. Ein nslookup auf eine IPv6-Adresse bringt nicht den Namen des lokalen Geräts. Wenn ich aber ein nslookup auf eine externe IPv6-Adresse (z.B. von Google) durchführe, komme ich zum gewünschten Ergebnis. Ist da noch etwas mit dem DNS auf IPv6-Ebene nicht in Ordnung. Auf IPv4-Ebene klappt alles wie gewünscht.

[backslash]

Hi Josh

Die IPv6-Forwarding-Regeln sind für den ein- und ausgehenden IPv6-Netzwerkverkehr.

nein, die sind für IPv6-Trafic der durch das LANCOM gerouter wird - z.b. vom LAN zum INTERNET

Habe einen Screenshot meiner Einstellungen angehängt. Habe da nichts verändert. Ist also Standard.

damit werden nur "abgehende" Sessions (vom LAN ins Interner) erlaubt (ALLOW-OUTBOUND) und "Einkommende" (vom Internet zum LAN) werden geblockt (DENY-ALL),

Was machen genau die IPv6-Inbound-Regeln?

die Regeln alles, was am LANCOM terminiert wird (z.B. Zugriff auf die Konfiguration)

IPv4 macht da keinen Unterschied.

Für IPv4 gibt es unter Management -> Admin -> Zugriffeinstellungen die "Zugriff-Stationen". Wenn in der Tabelle Einträge sind, dann dürfen nur die eingetragenen Hosts auf die Konfiguration zugreifen. Das ist eine Art "Inboundregel-Light"...

Außer der AVM-Mesh-Discovery-Regel ist alles so voreingestellt

Da das LANCOM das eh nicht versteht, kannst du die Regel auch gleich wieder löschen...

Wenn ich im Firewall-Logging eine lokale IPv6-Adresse sehe. Wie finde ich das dazu gehörige Gerät? I

i.A. wird auch die linklokale Adresse als EUI-64 Adresse aud ser MAC-Adresse gebildet, so wird aus der Mac-Adresse 00:a0:57:12:34:56 die linklokale Adresse fe80:57ff:fe12:3456. Aber das Problem hast du bei IPv4 doch genau so...
Die Abbildung von IPv6-Adresse auf MAC-Adresse kannst du dir im CLI aber auch mittels "show ipv6-neighbor-cache" anschauen.

Ein nslookup auf eine IPv6-Adresse bringt nicht den Namen des lokalen Geräts. Wenn ich aber ein nslookup auf eine externe IPv6-Adresse (z.B. von Google) durchführe, komme ich zum gewünschten Ergebnis. Ist da noch etwas mit dem DNS auf IPv6-Ebene nicht in Ordnung. Auf IPv4-Ebene klappt alles wie gewünscht.

Ein ns-lookup funktioniert nur dann, wenn sich die Geräte eine Adresse per DHCP besorgen und diese auch nutzen. Nutzt ein Gerät aber nur seine linklokaler Adresse, gibt es keine Möglcihkleit der DNS-Auflösung - woher soll das LANCOM den Namen auch kennen...

Gruß
Backslash

[Josh]

Nochmal super herzlichen Dank für Deine ausführlichen Erklärungen. Ich arbeite an meiner Lernkurve. Sollte im Laufe der Einarbeitung in das Thema IPv6 noch Fragen auftauchen, werde ich mich nochmal melden.