Firewalling in IPv6

[alex0801]

Hallo zusammen,

durch meinen anderen Thread (viewtopic.php?p=1376847) bin ich auch ein für mich neues Problem gestoßen. Und ich steh mal wieder wie der "Ochs vor'm Berg":

Wie manage ich denn ein IPv6 Netzwerk richtig? Die Frage klingt vielleicht einfach, aber mir tun sich da ganze Abgründe auf...

Doch von vorne:

Typisches Szenarion:

Du hast einen Internetzugang mit IPv4 und IPv6 (ob mit oder ohne CGNAt spielt erstmal keine Rolle).
Dein Provider gibt dir ein IPv6 /56 Subnetz.

Du hast in deinem lokalen netzwerk viele 0815 Clients, die einfach nur "online gehen" wollen.
Dann hast du aber auch diverse Server oder Services: Webserver, Switches, Telefonie-Services, ... eben diverse Dinge die du direkt ansprechen können willst. Und mit direkt würde ich meinen "statisch adressiert".

Warum statisch: Naja, Firewalls tun sich mit IP Adressen einfacher als mit Hostnamen, deren dahinter stehende IP sich ggf. immer mal wieder ändert.

Mein naiver Ansatz war: Naja, da wird's doch was ähnliches wie DHCPv4 geben, wo ich basierend auf der MAC dem Gerät/Service/Server eine IP zuweisen kann. Dann muss ich nicht jedes Gerät einzeln mit einer statischen IP versehen, sondern kann das zentral im Router (der ja meist der DHCP Server in kleineren Netzen ist) erledigen.

Doch pustekuchen:

1. Gibt es wohl Router (da gehört meiner von Mikrotik dazu), die nur Prefixes und keine einzelnen Adressen vergeben
und
2. ist die Adressvergabe per SLAAC eben stateless. Es gibt keine zentrale Instanz die alles kennt
und
3. selbst wenn ich DHCPv6 nutze (z.b. auf meinem Linux-Server mit wide-dhcp6-server), dann läuft das nicht auf Basis der MAC, sondern auf Basis dieser DUID, die ehrlich gesagt unter Linux ein "horror" ist, weil sie nicht vernünftig lesbar auszugeben ist (Windows kann das besser ).


Stellt sich für mich jetzt also die Frage:

Was ist der Best-Practice weg um Geräten/Servern/Services im Netzwerk eine Adresse zu verpassen, die ich möglichst zentral pflege, so dass ich eine saubere/vernünftige Liste mit Adressen habe, die ich in der Firewall für diverse Dinge nutzen kann.
Clients sind wie gesagt kein Problem. Das funktioniert ganz gut.

Das einzige das ich aktuell sehen würde:

Den Geräten/Servern/Services einzeln und von Hand eine IPv6 statisch konfigurieren und selbst eine Tabelle/Doku pflegen in der ich das alles notiere.
Aber das kann's doch nicht sein, oder?
Oder denke ich da zu sehr im "IPv4" Schema und bei IPv6 gibt's einen anderen Weg den ich noch nicht sehe?

Kann mich da jemand mit einem Praxisbeispiel aufschlauen "wie man das aktuell so macht"?

Grüße,
Alex

[bluestar]

Wie manage ich denn ein IPv6 Netzwerk richtig? Die Frage klingt vielleicht einfach, aber mir tun sich da ganze Abgründe auf...

Du solltest einmal folgende Frage für dich beantworten:
* Welche Systeme brauchen überhaupt eine "feste"-öffentlich erreichbare IPv6 Adresse (bei IPv4 gibt's für Heimnetze gar keine öffentlich erreichbaren Adressen (man leitet höchstens einzelne Ports ins LAN weiter).

Die Tatsache, die das Leben im klassischen Heimnetz etwas schwieriger macht ist natürlich das dynamische Prefix deines Anbieters.

Ich gehe daher in Heimnetzen folgendermaßen vor:
1) Der Router darf das öffentliche Prefix im Lan bekanntgeben und zusätzlich gebe ich noch ein weiteres, statisches privates Prefix bekannt (z.B. fd9e:ccb3:0efd:6d47::/64).

2) Auf den Linux-Geräten und auf dem Switch arbeite ich mit der Option das Token zu konfigurieren, bei Linux funktioniert das mit systemd-networkd so:

Code: Alles auswählen

[IPv6AcceptRA] 
Token=::2

In diesem Fall empfängt dein System das Prefix vom Router und generiert sich daraus fd9e:ccb3:0efd:6d47::2 als private IP und eine entsprechende mit dem öffentlichen Prefix.

2.1) Geräte die diese Konfiguration nicht können, sind mir relativ egal, weil auch diese haben dank der Mac-Adresse ja ein statische, wenn auch schwer zu merkende IPv6 IP: fd9e:ccb3:0efd:6d47:2b:e99d:65c7:9acc

Zusammenfassend lässt sich jedoch sagen, dass du weder DHCPv6 brauchst noch eine händische Liste von vergebenen IPv6 Adressen pflegen musst, da du ja einen DNS-Server hast. (kann auch ein DNS-Server bei deinem Provider sein).

Für von extern wirklich erreichbare Systeme brauchst du halt dynamische DNS-Updates. Interne Systeme kannst du über die Interne IPv6 IP jedoch problemlos im DNS eintragen:

Code: Alles auswählen

nas1.example.com. AAAA fd9e:ccb3:0efd:6d47::3
drucker1.example.com. AAAA fd9e:ccb3:0efd:6d47:2b:e99d:65c7:9acc 

Last but not least: Ich verwende selbst bei einem statischen IPv6 Prefix immer parallel ein statisches privates Prefix, einfach weil ich das Netz dann sauber aufbauen kann und das Renumbering (sollte es zu einem Wechsel des öffentlichen Prefixes kommen) relativ schnell von statten geht.

[schorsch_76]

Bei IPv6 kann ein NIC viele IPv6 Adressen haben. Du kannst entweder die Link Local Adressen verwenden die hast du jetzt schon und sind einmalig aber nur über das locale Netz ohne Routing zu erreichen.

Bsp.:

Code: Alles auswählen

ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
4: nm-bridge: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 2003:d8:2748:af00:3d04:2432:ca5a:72/128 scope global dynamic noprefixroute 
       valid_lft 6378sec preferred_lft 2778sec
    inet6 fd13:6b90:5163:10:f98f:6005:16bb:eb1c/64 scope global dynamic noprefixroute 
       valid_lft 6977sec preferred_lft 3377sec
    inet6 2003:d8:2748:af00:6abe:3e41:816e:913a/64 scope global dynamic noprefixroute 
       valid_lft 6977sec preferred_lft 1007sec
    inet6 fe80::3d04:2432:ca5a:72/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

fe80: Link Local. Damit kann ich diesen Rechner erreichen. Diese Adresse ändert sich nur bei einer anderen MAC.
2003: Das ist die globale Adresse. DIese ändert sich bei einer neuen Verbindung.
fd13: Das ist meine ULA. Wird nicht im Internet geroutet. fdxx. Sind alles ULA. Dein Router kann das meist schon von Haus aus zusätzlich vergeben.

Also kann ich mit ssh georg@fe80:2432:ca5a:72 mich verbinden, georg@fd13:6b90:5163:10:f98f:6005eb1c, etc.

Diese Adressen könntest du auch in einen DHCP wie dnsmasq eintragen der dann upstream deinen anderen Router nutzt. Dann wären auch die Namen auflösbar wenn du das willst. Bei Link Local muss noch die NIC angehängt werden von deinem Source Rechner. Bsp. ssh georg@fe80:2432:ca5a:72%eth0

[bluestar]

Moment... wenn ich ULA im stil von fdxx:.... verwende, ist die nur lokal. DynDNS macht ja nur sinn für das Public /56 Subnetz das ich vom ISP bekomme.

Ich muss hier noch mal klarstellen: Du lässt zwei Präfixe vom Router verteilen, einmal den statischen mit fdxx:.... und einmal den von deinem Provider zugewiesenen.

Wenn sich das öffentliche Präfix ändert, dann musst du natürlich den DNS aktualisieren und die Firewall neu starten. NAT würde ich im IPv6 Bereich nicht machen.

[alex0801]

@bluestar


Okay, verstanden ... fast verstanden...

Wenn NAT eher ne blöde Idee ist: Dann muss ich mit jedem Prefix-Wechsel die Firewall anpassen... Weil Hostnamen mag die Firewall eher nicht so. Ich muss hier IPs verwenden. Glücklicherweise könnte ich das Update der Firewall wohl scripten. Unschön, aber machbar.

Und wenn ich den Weg aus dem Internet bis hin zum Ziel-Gerät im LAN über die Public IP im /56 Subnetz des ISPs mache:
Wozu dann noch das ULA Präfix? Rein für den internen IPv6 Zugriff? Der geht ja über die Link Local Adresse(n).

[update]

okay, hab nochmal nach oben geblättert und diese Begründung gefunden:

Last but not least: Ich verwende selbst bei einem statischen IPv6 Prefix immer parallel ein statisches privates Prefix, einfach weil ich das Netz dann sauber aufbauen kann und das Renumbering (sollte es zu einem Wechsel des öffentlichen Prefixes kommen) relativ schnell von statten geht.

Kannst du das ein wenig genauer erläutern?

[bluestar]

@bluestar

Okay, verstanden ... fast verstanden...

Wenn NAT eher ne blöde Idee ist: Dann muss ich mit jedem Prefix-Wechsel die Firewall anpassen... Weil Hostnamen mag die Firewall eher nicht so. Ich muss hier IPs verwenden. Glücklicherweise könnte ich das Update der Firewall wohl scripten. Unschön, aber machbar.

Ich kenne deine Firewall nicht, aber meine Shorewall erfordert einfach einen Neustart, wenn sich ein Präfix ändert. Weil ich dort nunmal auch den Ziel-Präfix für die einzelnen VLANs unterschiedlichen Regeln unterwerfe.

Und wenn ich den Weg aus dem Internet bis hin zum Ziel-Gerät im LAN über die Public IP im /56 Subnetz des ISPs mache:
Wozu dann noch das ULA Präfix? Rein für den internen IPv6 Zugriff? Der geht ja über die Link Local Adresse(n).

Solltest du in die Verlegenheit kommen mit mehreren VLANs zu arbeiten, dann sind die Link-Local Adressen nicht länger eine Option, daher verwende ich immer ein ULA Präfix.

Last but not least: Ich verwende selbst bei einem statischen IPv6 Prefix immer parallel ein statisches privates Prefix, einfach weil ich das Netz dann sauber aufbauen kann und das Renumbering (sollte es zu einem Wechsel des öffentlichen Prefixes kommen) relativ schnell von statten geht.

Kannst du das ein wenig genauer erläutern?

Bei mir laugen 99% der Services auf dem privaten ULA, die sind von extern auch nicht erreichbar. Das Renumbering ist daher relativ schnell erledigt, weil halt nur wenige Services

[alex0801]

Ah, das mit den VLANs und Prefixes ist clever.

Mein Netz ist simpel genug so dass ich vermutlich ohne VLANs arbeite.
Hab bei mir nun gesehen, dass ich um die sich ändernden DNS Einträge sauber drumherum kann:

Ich kann in den Firewall-Regeln "Adresslisten" verwenden statt fester Adressen verwenden. Da erstelle ich für jedes Zielsystem im LAN eine solche Liste. In jede Liste kommt eine Adresse rein, die ich per Script durch den Präfix-Wechsel getriggert update. Fertig.

[alex0801]

Naja, würde ich nicht so eng sehen mit dem NAT. Zuhause macht das keine Probleme.

Stimme ich dir zu. ABER: Ich schätze ich kann mir das ohne weiteres sparen:

Wenn ich das /56 ISP Subnetz in mein LAN propagiere, bekommt jeder eine "öffentliche" IP und kann auch damit "raus ins Internet". Reinwärts steht da erstmal die Firewall die darüber entscheidet was rein darf und was nicht.

Wenn IPv6 der Server, welche sie sich geben, am Ende auf der MAC oder auf Tokens basiert, kann ich es recht einfach in der Firewall zuordnen.

Das Thema wechselndes Prefix kann ich in meinem Router per Script recht einfach lösen und ohne jedesmal die Firewallregeln anzupassen (Mikrotik sei dank):
Die Regel bleibt gleich, nur die IP der genutzten "Address List" ändert sich per Script
--> Firewall-Regel Liste bleibt demnach unverändert und übersichtlich.

Ich muss also nur 3 Dinge tun:

1. Alle Server dazu bringen eine vernünftige IPv6 zu ziehen, so dass ich die im Router "einfach wiederfinde". Bei meinem Setup ist das übersichtlich und man kann sich's auch noch ganz gut merken. Einstellungen im Netzwerk unter Linux. Fertig.
2. Alle Server dazu bringen ihre gezogene IPv6 im DynDNS zu registrieren. Cronjob. Passt.
3. In der Firewall bei jedem Prefix-Wechsel ein Update der Adressliste veranlassen. Easy.

IPv4 mit Portforwarding etc. ist dann erstmal völlig außen vor und unnötig.
Und weil ich ein CGNAT auf IPv4 Seite habe, und immer mal wieder unterwegs "ipv4 only" habe, nutze ich nen 1€ Ionos VPS Root auf dem ein Portmapper läuft. Einfach eine sture Weiterleitung/Proxy-Möglichkeit um mit IPv4-only auf IPv6-only zuzugreifen. Sehr simpel und erfordert auch da kein Firewall-Krempel, kein VPN und sonstige Komplexität.

Ich denke das wird richtig gut.

Jetzt muss ich erstmal basteln. An der Stelle schon mal vielen herzlichen Dank für die Aufklärung und die Tipps.


[Ergänzung zu 2.]
Geht nochmal einfacher: Es reicht wenn ich dem DynDNS Dienst das neue Prefix bekannt gebe. Solange die Server alle noch ihr bekanntes "suffix" nutzen... nochmal simpler. Der Dienst www.ipv64.net kann das wohl. Teste ich noch.

[alex0801]

Kleines Zwischenfeedback:

ipv64.net als mein neuer DynDNS funktioniert extrem gut. Mit gefällt es besonders gut, dass ich da einfach das neue IPv6 Prefix per API bekanntgeben kann und dann alle DNS Einträe automatisch auf das neue Prefix angepasst werden. An sich sind auch die API Möglichkeiten "mega gut".

Die Idee mit dem gemieteten VPS Root Server lediglich einen kleinen Proxy wie 6tunnel laufen zu lassen und damit dann einfach ohne weiteres wirrwar alle IPv4 Anfragen auf IPv6 umzubiegen... hat mäßig gut geklappt: 6tunnel macht nur TCP. Für UDP muss ich ne andere Lösung suchen. socat ist hier wohl eine Lösung, hab ich aber nicht nicht hinbekommen.
Bis jetzt baut noch mein Router eine Wireguard-Verbindung zum VPS Root auf, und der VS Root tunnelt darüber IPv4 zurück ins Heimnetz. Läuft auch sehr stabil.

Meine Kisten hinter meinem Router die einen Online-Service anbieten, bekommen über die Token-Konfiguration einen festen IPv6 Token als "Suffix" im Bereich den ich durch den ISP zugewiesen bekommen hab. In der Firewall im Router steht dann einfach nur noch, welche IPv6 IP/Port Anfrage rein darf und welche nicht. Das anpassen der Firewall-Regel auf das neue Präfix war auch kein Hexenwerk (nutze Mikrotik Router). Könnte mir vorstellen dass das bei einer Fritzbox aber ähnlich einfach oder sogar noch einfacher läuft (werde ich in den nächsten 6 Wochen testen wenn der nächste Glasfaseranschluss im Familienkreis online geht und da dann CGNAT greift).

Alles in allem: Ich bin happy. Läuft alles, war doch "überschaubar" was den Aufwand anbelangt. Und die nötige Lernkurve... nun, ohne geht's halt nicht.
Wenn ich jetzt noch eine Art 6tunnel Lösung finde die für UDP genau so gut funktioniert wie für TCP, dann kann ich mir noch ein Stückchen Komplexität im Sinne der Wireguard Verbindung einsparen und das System nochmal sicherer machen.

Davon abgesehen: IPv6 ist jetzt kein "Feind" mehr, eher ein "bester neuer Freund" Ich mags mittlerweile ganz gern.
Wenn ich dann noch ein festes Präfix bekommen würde... ein Traum...

Zum Thema was mit IPv6 noch gar nicht geht im großen weiten Internet: Das ist erschreckend: https://www.youtube.com/watch?v=SKUc2xinX7U

[wanne]

Die Regel bleibt gleich, nur die IP der genutzten "Address List" ändert sich per Script

Warum? Warum nicht einfach auf den Host-Teil statt auf die ganze IP matchen?
Hier ein unschönes Beispiel:

Code: Alles auswählen

daddr & ::ffff:ffff:ffff:ffff == ::abcd:ef:1234:4678

Man kann das mit nftables sicher mit not ::/64 statt ::ffff:ffff:ffff:ffff dummer weiße weiß ich nicht, wie man ein binary not in nftables macht. ! ist schon fürs logische nicht vergeben... Und mod 18446744073709551616 (2^64=18446744073709551616) ist bedingt lesbarer als & ::ffff:ffff:ffff:ffff...
Also z.B für ne eingehende tcp-Verbindung für IPs mit dem Host-Teil ::da5e:d3ff:fe0e:3424

Code: Alles auswählen

nft 'add rule ip6 filter input ip6 daddr & ::ffff:ffff:ffff:ffff == ::da5e:d3ff:fe0e:3424 tcp flags & (syn | ack) == syn'

Vollständig ohne ineffiziente und ineffiziente stateful oder dynamische Regeln.

[wanne]

Moment... wenn ich ULA im stil von fdxx:.... verwende, ist die nur lokal. DynDNS macht ja nur sinn für das Public /56 Subnetz das ich vom ISP bekomme.

Sehe ich nur bedingt so: homeserver.wanne.org ist einfach viel einfacher zu merken als [fd6681be:0:da5e:d3ff:fe0e:3424]. Und den öffentlichen DNS zu nutzen spart dir Split-DNS, dass diverse Sicherheitsfeatures wie DNSSec kaputt schießt. (Weshalb viele Browser ja auch nicht mehr den lokalen DNS nutzen.) Aber Dyn muss der natürlich nicht sein. Aber was immer für ne Lösung eh schon da ist, ist doch bestens. Die meisten DynDNS-Dienste können auch statische Einträge.

Wenn ich untern für die Serverdienste ULA verwende, bin ich wieder bei NAT

Warum? Wenn du den Dienst nur intern anbieten willst bindet er auf fdxx. Da braucht es kein NAT da eh nicht von extern erreichbar. Wenn er auch von extern erreichbar sein soll bindet er auf die öffentliche Adresse oder *. Die ja sowieso auch von intern und extern erreichbar ist. Auch da braucht es kein NAT.
Alles von dem du dich trennen musst, ist das jeder Host nur eine IP haben kann, was unter IPv6 defakto eh nicht möglich ist. Du wirst am ende eh beide Präfixe announcen und so wird jeder client in beiden Netzen ne IP bekommen.

[alex0801]

Die Regel bleibt gleich, nur die IP der genutzten "Address List" ändert sich per Script

Warum? Warum nicht einfach auf den Host-Teil statt auf die ganze IP matchen?

Wenn ich als Router ein freies Linux hätte: Okay. Aber ich bin hier doch ein wenig "eingeschränkt". Mikrotik's RouterOS tickt da ein wenig anders. Läuft aber doch extrem gut und doch einfach.

Alles von dem du dich trennen musst, ist das jeder Host nur eine IP haben kann, was unter IPv6 defakto eh nicht möglich ist. Du wirst am ende eh beide Präfixe announcen und so wird jeder client in beiden Netzen ne IP bekommen.

Das mit dem Hostnamen stimmt. Sehe das aber nicht als "DynDNS". Das macht mein Router schon mit dem Hostnamen. Ähnlich zu dem, wie er's für's DHCP bei IPv4 macht.
Aber ich seh den Bedarf für dir fdXX ULA Adresse nicht. Spricht was dagegen die fe80 Adressen zu nehmen?

[bluestar]

Aber ich seh den Bedarf für dir fdXX ULA Adresse nicht. Spricht was dagegen die fe80 Adressen zu nehmen?

Ich sehe aktuell ein Problem, die fe80 Adressen sauber ins DNS zu bekommen, ohne den Interface-Part laufen die nämlich nicht.

DNS-Eintrag:

Code: Alles auswählen

testhost.local.de AAAA fe80::1

Pingtest:

Code: Alles auswählen

xxxx@xxxxx ~ % ping6 testhost.local.de
PING6(56=40+8+8 bytes) fe80::828:26c3:b10c:e693%en7 --> fe80::1
ping6: sendmsg: No route to host
ping6: wrote fe80::1 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote fe80::1 16 chars, ret=-1

Es funktioniert nur mit der Angabe des Devices:

Code: Alles auswählen

xxxx@xxxxx ~ % ping6 fe80::1%en7
PING6(56=40+8+8 bytes) fe80::828:26c3:b10c:e693%en7 --> fe80::1%en7
16 bytes from fe80::1%en7, icmp_seq=0 hlim=64 time=0.650 ms
16 bytes from fe80::1%en7, icmp_seq=1 hlim=64 time=0.736 ms

Code: Alles auswählen

testhost.local.de. AAAA fe80::1%en7

Kann ich allerdings nicht im DNS eintragen.

[alex0801]

Du hast recht, hab ein wenig recherchiert:

Die LinkLocal Adressen im fe80 Bereich sind nur in einem Netzwerksegment gültig. Hab ich verschiedene Netzwerkinterfaces könnte theoretisch auf jedem Netzwerkinterface ein und dieselbe fe80 IP vergeben sein. Deshalb muss man das Interface mit angeben um das "eindeutig" zu machen.

Das klingt erstmal negativ für IPv6, aber irgendwie ist das doch sehr durchdacht. Und hier machen die ULA IPs nun auch wieder Sinn.
Na dann werde ich die im Router wieder für's Advertisement einschalten und wieder sauber verteilen.

Kurzum: fe80 Adressen sind ganz nett, aber im Normalfall für den Hausgebrauch doch nicht zu gebrauchen

[wanne]

Kurzum: fe80 Adressen sind ganz nett, aber im Normalfall für den Hausgebrauch doch nicht zu gebrauchen

Sie sind halt für Netzwerk-Discovery gedacht. Wenn du Software baust, die Router, Fernseher oder Drucker im lokalen Netz sucht machen die Sinn. Das ist glaube ich deutlich mehr "Hausgebrauch" als den lokalen Webserver o.ä. zu betreiben. Aber für die manuelle Nutzung sind sie quatsch.

[wanne]

Habe mal den Grundsatzteil von der genauen Problematik abgetrennt.
Hoffe das hilft und macht es nicht unlesbarer.

Feedback erwünscht.


viewtopic.php?p=1377326