[dg1yiq]

(18.04.2016, 19:33)Wenne schrieb:  IPv6 Adresse ist da
oder doch nicht ?

Hallo,

leider nicht... der Router hat nur eine Link lokale Adresse... aber keine Prefix vom Provider.

vG
Marco

[Wenne]

Ok , danke für die Info...

[Beowulf Shaeffer]

(18.04.2016, 17:36)dg1yiq schrieb:  tja da scheiden sich die Geister... ich sehe das so, das für ordentlichen IPV6 Betrieb ICMPv6 erforderlich ist.

Das ist richtig, ICMPv6 wird zur Funktion von IPv6 gebraucht und zwar, damit NDP funktioniert. Ich moechte aber explizit, dass ICMPv6 von externen Clients nur zu bestimmten von mir bestimmten Clients in meinem LAN funktioniert und nicht grundsaetzlich zu jedem vorhandenen lokalen Client. Im IPv4 habe ich frueher auch nicht jeden durch mein NAT gelassen, sondern nur Ports auf Clients durchgeleitet, die ich wollte.
Genau so sollte eine Firewall im IPv6 auch arbeiten. Zuerst einmal ist alles ins interne Netz verboten (Deny All Regel), solange bis ich entsprechenden Allow Regeln fuer einen Host anlege und dazu gehoert dann u.A. auch eine ICMPv6 Regel.

Zitat:Nun da ICMP aktivierbar ist, kann man auch direkt mit einem Host innerhalb des DG Netzes kommunizieren.

Spezifiziere was Du mit direkt kommunizieren meinst? "Anpingen" per IPv6 sollte dann gehen richtig, alle weiteren Protokolle sollte IMHO tunlichst nicht funktionieren und von der Firewall weiterhin geblockt werden.Dein Nachbar ist nicht in deinem lokalen Netz, sondern in einem WAN Netz und das sollte schon blockiert werden.
Weitere Dienste sollten erst nach anlegen weiterer Allow Regel funktionieren.

Wenn ich so drueber nachdenke, wuerde ich mich nicht wundern, wenn Du durch das Anlegen der ICMPv6 Allow Regel "von Allen" <-> "an Alle", die komplette Firewall des Genexis umgehst, und nicht nur ICMPv6, sondern allen Traffic nach lokal weiterleitest? Das koennte ja auch ein Bug des Genexis sein?

[dg1yiq]

Hallo,

nun dein Ansatz zur Filterung von Traffic (Whitelisting) ist sicher und für eine Grundeinstellung auch anzuraten. ICMP ist auch ein wenig mehr als NDP. Sicher macht es Sinn einige ICMP Typen zu filtern - aber generell alle... naja.

Ich sagte ja bereits, dass für das normale surfen es auch ohne ICMP geht, wobei das in meinen Augen keine saubere Lösung ist - aber da da lass ich mich gerne eines Besseren belehren :-)

Nun ich muss ein wenig genauer auf mein Beispiel eingehen... solltest du im DG Netzwerk Dienste (also ne Portfreigabe) freigeben und versuchen diese von einem Anderen Netzteilnehmern zu erreiche, wird das ohne ICMP nicht gehen - was ja auch in der Vergangenheit so war. Damit meinte ich nicht, dass ich alle FW umgehen kann... nein das meinte ich natürlich nicht - aber selbst wenn auf der Gegenseite ein FW Regel existiert läuft es nicht ohne ICMP, weil wir eben auf der Ebene noch in gleichen Subnetz äähh pardon gleichem Übergeordneten Provider-Prefix sind und direkte Kommunikation stattfindet (quasi wie im Lan)

Siehe Beispiel:

traceroute to cisco2.xxx.de (2a00:61e0:420d:6601:7ada:6eff:fe52:86a3) from 2a00:61e0:420c:8601:a21d:48ff:fec7:d83c, 30 hops max, 24 byte packets
1 2a00:61e0:420c:8601:20f:94ff:fe32:d551 1.132 ms 1.021 ms 0.994 ms
2 2a00:61e0:420d:6600::1 2.346 ms 2.037 ms 2.031 ms


2a00:61e0:420d:6601 <- Ziel Prefix von SchwiegaPapa
2a00:61e0:420c:8601 <- mein Prefix

1. Hop -> 2a00:61e0:420c:8601:20f:94ff:fe32:d551 Mein Router LAN IPv6
2. Hop -> 2a00:61e0:420d:6600::1 Router von SchwiegaPapa WAN Interface

Weiterhin muss ich ja eingestehen, dass ich IP4 in IP6 Tunnel benutze (nicht VPN), um meine "Dienste" von außen erreichbar zu machen. Diese sind auf Layer 3 also nur IP, Ports spielen da keine Rolle. Ich benötige aber ICMP. (ja die Tunnel sind umverschlüsselt, was aber keine Rolle spielt, da der Traffic des Dienstes nach dem letzten Gateway ehe umverschlüsselt ins Netz geht - außer der Dienst selber ist in sich schon verschlüsselt wie z.B. SSH)

Ich hoffe ich hab jetzt nichts vergessen...

Danke und Grüße
Marco