DSM 6.0.1 | Firewall | IPv4 und IPv6 Rules | kein Zugriff von IPv6 im LAN

Status
Für weitere Antworten geschlossen.

Mane76

Benutzer
Mitglied seit
22. Jul 2016
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Liebes Forum,

ich habe eine Frage zur Firewall, insbesondere der Anwendung von IPv4 und IPv6 im gemischten LAN.

Ausgangslage:
- Fritzbox mit DualStack Anbindung der Telekom, FB weist ULA zu, fungiert als DHCPv6 und DNS Server
- DS213+ mit aktuellem DSM 6.0.1, statischer IPv4 und IPv6 über DHCP.
- Konfigurierte Firewall auf Schnittstelle "LAN" mit default "verweigern" und Quell-IP-spezifischen IPv4-Freigaben
- LAN mit diversen Clients (LINUX, WIN, Android, ...), jeweils IPv4 und IPv6 über DHCP + ULA. IPv6 mit privacy extensions

Ergebnis: Alles funktioniert wie gewünscht !

Änderung:
- Aufnahme zusätzliche Firewallregel für IPv6, Zugriff für das Subnet fd00::/8, als Beispiel für Ports 21, 22, 443, 5001

Ergebnis: Ipv4 funktioniert wie bisher, IPv6 ist kein Port offen:
Starting Nmap 6.40 ( http://nmap.org ) at 2016-07-22 17:32 CEST
Nmap scan report for diskstation (fd00::211:xxxx:xxxx:xxxx)
Host is up (0.11s latency).
Other addresses for diskstation (not scanned): 2003:80:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
rDNS record for fd00::211:xxxx:xxxx:xxxx: DiskStation.fritz.box
All 1000 scanned ports on diskstation (fd00::211:xxxx:xxxx:xxxx) are filtered


Wird nun die Firewall in DSM abgeschaltet (Haken rausnehmen, speichern) sind alle Ports über IPv4 und IPv6 erreichbar, wird die Firewall wieder aktiviert (Haken rein und speichern) funktionieren die Firewallregeln für IPv4 und IPv6...bis zum nächsten Erwachen aus dem Stand-by....dann funktionieren wieder nur die IPv4 Regeln, über IPv6 ist die DiskStation nicht erreichbar.

Frage:
Kann sich jemand dieses Verhalten erklären bzw. hat eine Lösung ?
Auch wenn ich einer einzelnen IPv6 Adresse Zugriff gebe ist das Verhalten reproduzierbar.

Lg, Mane76
 

Mane76

Benutzer
Mitglied seit
22. Jul 2016
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Liebes Forum,

nutzt niemand die Firewall in einer IPv4 / IPv6 Umgebung ? Kann ich mir fast nicht vorstellen....

Lg, Mane76
 

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
551
Punkte für Reaktionen
45
Punkte
48
Ich weiß nicht ganz genau was du mit dem hier meinst:
Änderung:
- Aufnahme zusätzliche Firewallregel für IPv6, Zugriff für das Subnet fd00::/8, als Beispiel für Ports 21, 22, 443, 5001
Wo nimmst du die Firewallregeln auf? Fritzbox oder DSM?

Ich setze aber auch die Synology Firewall mit IPv4 und IPv6 ein, da ich einen DS Lite Anschluss habe. Ich habe ein - so glaube ich - ähnliches Phänomen. Mein PC im LAN greift standardmäßig über die öffentliche IPv6 zu und übers Mobilfunk gehe ich natürlich über eine IPv4 Verbindung. Das funktioniert auch alles theoretisch wunderbar. Ich habe die Firewall in der DSM aktiviert und eigentlich möchte ich den Zugriff auf alle Ports verweigern außer den Ausnahmen. Das heißt, ich setze unten den Radio Button bei "Alles verweigern" (oder so ähnlich) für die "LAN-Schnittstelle" und erstelle dann in der Firewall Ausnahmen für die einzelnen Ports und lasse die dann zu. Wenn ich das so mache geht nach einiger Zeit auch die IPv6 Verbindung nicht mehr (lokal und extern nicht) und er versucht immer über die IPv4 zu gehen. Da ich aber über feste-ip.net für IPv4 gehen muss nimmt er dann immer den Umweg über das Internet, was ich unschön finde und soweit ich es im Kopf habe auch nicht mehr einwandfrei funktioniert, da es ja auf die IPv6 umgeleitet wird.

Setze ich nun den Radio Button auf "Alles zulassen" und erstelle eine Regel, in der ich alle Ports dicht mache, die ich nicht brauche, funktioniert es. Ich kann also problemlos alles über IPv6 machen wenn IPv6 zur Verfügung steht. Das heißt im LAN oder auch von extern.

Ich setze auch eine Fritz Box ein (6490 Cable) und habe in der dortigen IPv6 Freigabe auch nur die benötigten Ports aktiviert. Aber selbst wenn ich den kompletten Verkehr freigeben würde habe ich ein ähnliches Phänomen.
Dies kann ich für meine DS415+ und meine DS216+ii reproduzieren und auch die Verbindung der beiden DS untereinander (HyperBackup, Snapshot&Replication, Cloud Station Share Sync) funktioniert nur vernünftig über IPv6 wenn ich die Firewall wie oben auf "Alles Zulassen" und die nicht gewollten Ports dicht machen stelle.


Ich bin mir jetzt nicht wirklich sicher ob es ein ähnliches Problem ist - aber vielleicht hilft bei dir der Trick mit der Firewall in DSM auf "alles zulassen" und nicht benötigte Ports über Regeln blocken auch?!
Ich müsste ggf. auch nochmal einen expliziten IPv6 Port Scan machen um das näher zu untersuchen. Vielleicht ist es auch ein Phänomen im Zusammenspiel mit einer FritzBox?
 

Mane76

Benutzer
Mitglied seit
22. Jul 2016
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Hallo Maulsim,

die Firewallregel nehme ich in DSM auf.

Grundsätzlich haben wir dasselbe Problem, allerdings greifst Du primär "von aussen" zu, bei mir ist es nur "von innen".
Gut, also bin ich schonmal nicht alleine.

Der Vorschlag mit "alles zulassen" ist gundsätzlich gut, standardmässig versuch ich aber mit "alles verbieten" und dann explizit freizugeben abzufahren.
Ein Zusammenspiel mit der Fritzbox möchte ich ausschließen.

Also, danke für die Rückmeldung, jetzt bin ich mal gespannt ob jemand auch noch eine Lösung mit default-"alles verbieten" hat.

Lg, Mane76
 

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
551
Punkte für Reaktionen
45
Punkte
48
Der Vorschlag mit "alles zulassen" ist gundsätzlich gut, standardmässig versuch ich aber mit "alles verbieten" und dann explizit freizugeben abzufahren.

Das ist definitiv auch eher mein Wunsch. So hatte ich es bei DSM 5.2 auch und das lief soweit ich es im Kopf habe. Unter DSM 5.2 war ich aber die meiste Zeit unter einem reinem IPv4 Anschluss und Netzwerk, deshalb bin ich mir nicht 100% sicher ob ich das Problem schon mit DSM 5.2 in meiner DS-Lite und IPv6 Umgebung hatte.

Hast du schon einmal ein Synology Ticket dazu eröffnet?
 

Mane76

Benutzer
Mitglied seit
22. Jul 2016
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
Ticket wurde eröffnet, erste Rückmeldung des Synology Supports:

Unsere Entwicklungsabteilung wird dies Prüfen und entsprechend versuchen das Problem zu lösen.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Jup, reihe mich in die Liste der Wartenden ein! Hab heute das gleiche Problem entdeckt!
 

Mane76

Benutzer
Mitglied seit
22. Jul 2016
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
kurzes Update - keine Rückmeldung von Synology bisher, auch mit den neuen DSM Updates keine Änderung des Verhaltens.
 

Mane76

Benutzer
Mitglied seit
22. Jul 2016
Beiträge
13
Punkte für Reaktionen
0
Punkte
0
kurzes Update - es geht !
Seit DSM Update 6 funktioniert IPv6 auch nach einem DeepSleep / Stand-by. Auch mit dem Update 7 passt noch alles.

Thema somit gelöst - auch wenn der Support sich seit August nicht mehr gemeldet hat... ;-)
 

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
551
Punkte für Reaktionen
45
Punkte
48
Danke für die Info. Werde ich dann auch mal, wenn ich Zeit habe, testen.
 

HabNeFritzbox

Gesperrt
Mitglied seit
09. Jan 2017
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
Leider hat es Syno bisher nicht geschafft, Platzhalter zu setzen für z.B. Subnetz, welche man für Regeln verwenden kann.

Die IPv6 Adressen sind wie schon gesagt wurde, öffentlich und privat zugleich.

Das heißt, damit auch Windows ect. intern mit der öffentlichen Adresse auf die DS kommt bedarf es leider aktuell eher eine sehr großzügige Ausnahme.

Beispiel wäre z.B. 2003:80:: /32 zusetzen, da sich halt Präfix mit neuer Verbindung ändert, und wohl keiner Lust hat per Hand die Regel anzupassen.

Da auch für Multicast keine Regeln möglich sind, bin ich aktuell sogar eher für Firewall der DS abzuschalten. Auch DHCP Server auf DS muss man für alle erlauben, da beim Netzwerkboot erstmal noch keine IP vom Gerät gibt welche man in Regel setzen kann, weil IP ja erst gerade angefragt wird.
 
Zuletzt bearbeitet:

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Leider hat es Syno bisher nicht geschafft, Platzhalter zu setzen für z.B. Subnetz, welche man für Regeln verwenden kann.
Wie? Klar kannst Du Subnets - für IPv4 und auch IPv6 - in Regeln festlegen.

Die IPv6 Adressen sind wie schon gesagt wurde, öffentlich und privat zugleich.
Nein. Linklokale IPv6-Adressen sind nicht öffentlich - und über globale IPv6-Adressen kannst Du nur dann lokal zugreifen, wenn Du einen lokalen DNS betreibst, Festlegungen in der hosts triffst oder den DNS-Rebind-Schutz des Routers deaktivierst und für den relevanten Device-Identifier den entsprechenden Port freigibst.
Du kannst allerdings lokal immer über fe80::xxxx:xxxx:xxxx:xxxx auf ein IPv6-fähiges Gerät zugreifen, wobei der Device-Identifier (d.h. der hintere Teil mit den 'x') nach den Regeln des modifizierten Extended Unique Identifiers aufgebaut ist (vgl. hier).
 

HabNeFritzbox

Gesperrt
Mitglied seit
09. Jan 2017
Beiträge
155
Punkte für Reaktionen
0
Punkte
16
Es gibt kein Platzhalter oder Auswahl in Regeln für "aktuelle Subnetz", welches dynamisch sich anpasst auf Wert von DHCP.

Es werden öffentliche Adressen verwendet keine LUA oder Linklocale.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat