Toggle sidebar

IPV6 --> Was passiert mit firewall Regeln wenn sich IP ändert?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

S

SAMU

Benutzer
Registriert
26. Sep. 2018
Beiträge
281
Reaktionspunkte
13
Punkte
18
Hi zusammen,

mein Provider (NETCOM-BW) hat diese Woche meinen Anschluss umgestellt: Vorher gab es nur IPv4 ohne IPv6. Jetzt habe ich eine öffentliche IPv6 und IPv4 nur noch über DS-Lite. Dank dem Forum habe ich bereits mein DynDNS bei Strato so umgebaut, dass dort immer meine aktuelle IPv6-Adresse eingetragen wird.

Damit ich meine NAS-Dienste weiterhin extern erreiche, habe ich im vorgeschalteten Synology Router (SRM) eine Firewall-Regel erstellt, die die nötigen Ports zur DiskStation freigibt.
1763749849142.png

Mein Problem: Im SRM muss ich die komplette IPv6-Adresse der DiskStation hinterlegen. Ändert der Provider das IPv6-Präfix, stimmt die Adresse dann nicht mehr – die Firewall-Regel greift nicht mehr, und meine Weiterleitungen funktionieren nicht, bis ich die neue Adresse eintrage.

Wie geht ihr damit um? Gibt es irgendeine Möglichkeit, Firewall-Regeln im Synology SRM dynamisch an das jeweils aktuelle Präfix anzupassen? Zum Beispiel, indem man nur das Interface-Identifier (den Suffix-Teil der Adresse) filtert? Oder habt ihr Lösungen per Script oder anderen Workarounds gefunden?

Ich bin dankbar für jeden Tipp :)

Viele Grüße!
 
Wie Du ja schon erkannt hast, besitzt jedes Gerät eine eigene IPv6. Daher muss auch jedes Gerät, welches Du aus dem Internet ansprechen möchtest den AAAA Record selbst updaten. DynDNS auf dem Router ergibt nur dann Sinn, wenn Du diesen selbst erreichen möchtest.
Du könntest theoretisch ein IPv6 NAT mit ULAs nachbauen, aber ich vermute das gibt Dein Router nicht her und ist auch nicht nativ vorgesehen.
 
DynDNS läuft ja schon aufm NAS. Das passt. Muss nur dieses Gerät von außen erreichen. Rest geht dann in Zukunft per Tailscale.

Router bzw nur Firewall ist ein Synology RT1900. Problem ist eben dass ich dort nicht weiß wie ich die Firewall regeln dynamisch bekomme. Wenn die vorgelagerte FritzBox vom Anschlussbesitzer ein neuen Präfix bekommt, wird zwar der AAAA Eintrag geupdated, das bringt mir dann in dem Moment aber nicht viel wenn dann die Firewall Regeln im Router da nicht mitgeupdated werden.
Deswegen entweder die Frage wie bekomme ich das hin oder die Frage was wäre die Alternative.

Die bisher einzigste Möglichkeit die ich in SRM sehe wäre als Ziel IP "alle" auszuwählen. Dann wären aber alle Geräte in meinem netz auf diesen IPs erreichbar. Und das muss jetzt nicht sein dass da z.b. der alte Yamaha AVR nach außen hin offen ist (der hat ja nichtmal ein PW für seine Konfigseite).
Also auch eher leicht doof diese Idee ;)
 
Ah ok, es geht um eine spezielle Frage zum Synology Router. Das kann ich Dir leider nicht beantworten. Bei mir läuft ein eigener DNS und die Firewall arbeitet mit FQDN.
 
Ich kenne die Synology Router bzw. SRM nicht, aber so auf den ersten Blick unterstützt SRM das nicht.
Folgende Lösungen würde ich vorschlagen:
  • Benutze die FRITZ!Box, die kann für eine IPv6-Portfreigabe den Präfixwechsel behandeln.
  • Gehe über VPN mit IPv6 auf die FRITZ!Box (oder den Synology Router) und benutze im Tunnel IPv4.
  • Eventuell kann die Firewall des Routers über SSH durch ein externes Skript, das durch den Präfix-Wechsel oder einen Cron-Job auf dem NAS angestoßen wird, automatisch umprogrammiert werden.
  • Benutze einen Router, der IPv6 mit dynamischem Präfix vollständig unterstützt.
 
Zuletzt bearbeitet:
Ich kenne den Syno-Router nicht, aber einige Firewalls bieten die Möglichkeit auf eine FQDN einzuschränken. Da könntest du deine aktuelle DDNS eingeben.

Mir wäre es zu stressig, die Firewall auf einzelne Clients einzuschränken. Verteilst du einen Freigeabelink, kannst du schon wieder an der Firewall herumwerkeln.

Meine Syno hat 2FA und die Firewall beschränkt den Zugriff von aussen auf mein Land. Das reicht. Sicherheit ist gut, Paranoia nicht notwendig 😉
 
Wie meinst du die Firewall auf einen einzelnen Client zu beschränken? Ich will im Syno Router halt wirklich nur den Client und die Ports freigeben die auch gebraucht werden (80,443, Hyper Backup usw)

Wie gesagt wäre ja doof wenn ich Global alles freigebe. Dann könnte jeder der zufalligerweise die richtige IP eintippt auf meinem AVR rumwerkeln.

Text (also Domainnamen) lässt mich der Syno Router nicht eintippen.
 
Ich habe den Eindruck, Ihr meint bei Client verschiedene Dinge: @chle versteht darunter externe Systeme, die von außen zugreifen, aus Sicht der Firewall wären das dann die Quelladressen. @SAMU meint damit sein NAS, das ja Client im Netzwerk ist, aus Sicht der Firewall jedoch das Ziel. Kann das sein?
Firewalls arbeiten nicht mit FQDNs sondern immer mit Adressen, die Namensauflösung erfolgt ja bevor die eigentlichen Zugriffe stattfinden. Lediglich bei höheren Protokollen (beispielsweise HTTP-Proxy / SNI) gibt es so etwas.
 
Zuletzt bearbeitet:
Ahhh. Das kann sein. Ich habe Client auf den Router/Firewall bezogen. Also eben aufs NAS.

Hab mal ein Unify Ultra bestellt (kostet nur 88€) und werde damit rumspielen. Die können wohl u.a. Firewall Regeln auf die MAC bezogen.
Der RT wird dann erstmal als nur WiFi AP degradiert.

Mir ist nämlich noch ein zweites Problem aufgefallen: ich muss den Router die IPv6 Adressen vergeben lassen, weil sonst ändert sich das Suffix vom NAS lustigerweise die ganze Zeit.
Problem ist dann aber, dass Android clients davon nix wissen wollen und keine IP6 beziehen. Android will laut meiner Recherche seine IP6 immer über SLAAC beziehen/erstellen.
 
Hagen2000 schrieb:
Firewalls arbeiten nicht mit FQDNs sondern immer mit Adressen
Zum Vergrößern anklicken....
Bei Enterprise-Firewalls kann man z.B. den eingehenden Zugriff bei einer NAT-Regel auch auf einen FQDN beschränken. Da erfolgt halt ständig ein Reverse Lookup der Firewall. In einigen Konstrukten ist das zwingend nötig, um die Sicherheit hochzuhalten.
 
  • Like
Reaktionen: Hagen2000
SAMU schrieb:
Suffix vom NAS lustigerweise die ganze Zeit
Zum Vergrößern anklicken....
Meinst Du damit die Interface-ID? Also mein NAS berechnet die nach EUI-64. Wird sie bei dir vielleicht nach RFC 7217 berechnet? Dann würde sie sich beim Präfixwechsel nämlich ändern.
Edit: Suffix mit Interface-ID verwechselt.
 
Zuletzt bearbeitet:
Hagen2000 schrieb:
Meinst Du damit die Interface-ID? Also mein NAS berechnet die nach EUI-64. Wird sie bei dir vielleicht nach RFC 7217 berechnet? Dann würde sie sich beim Präfixwechsel nämlich ändern.
Zum Vergrößern anklicken....
Puhhh. Da steige ich jetzt leider aus 😅

Kannst du mir das genauer erklären?

Meinte das sich das Suffix hinten ändert.
Wenn ich im Router auf SLAAC Stelle zeigt die Synology allerdings auch ein /64 nach der IP Also ein Adressenreich. Und dann ändert sich die externe IP der Synology.
Wenn ich es fix vergebe hat die Synology ne Adresse mit /128. Also eine einzige.

Naja. Ich warte jetzt auf den Unify. Finde ich eh nicht so super, dass ein Gerät was keine Sicherheitspatches mehr bekommt die Firewall zu meinem Netz ist :)
Und die davor gelagerte FritzBox 7390 ist auch nicht besser 🤣
Aber letzteres ist nicht mein Problem 😄
 
Ah sorry, mein Fehler. Das Suffix gibt die Länge des Präfixes an, die sollte sich aber eigentlich nicht ändern.
Aber wenn Du ein neues Gerät bestellt hast, würde ich auch mal abwarten, wie es damit läuft.
 
So. Ich habe jetzt mindestens 50 graue Haare mehr, aber es geht (mit einem Nachteil) :cool:

Das Unify Gateway kann leider doch keine External-->Internal Firewall Regeln bezogen auf eine MAC.

Die Lösung ist jetzt, die beiden Ports am NAS zu trennen. Bisher hatte ich die Ports zusammen genutzt und mit SMB Multichannel so 2Gbps zwischen PC/NAS gehabt.
Die Ports sind jetzt getrennt, Port 1 ist im Unify Netzwerk "DMZ" und hat dort ein eigenes IPV6 Subnetz. Port 2 vom NAS bleibt im lokalen internen Netz.
1764086642191.png
1764086885049.png
Es gibt dann einfach eine Firewall Regel External-->Internal DMZ mit den entsprechenden Portfreigaben welche auf die komplette DMZ Zone greift. Da dort aber nur ein Gerät ist, passt das.
1764087004741.png

Zusätzlich musste ich noch ein bisschen tüddeln um Homeassistant (hats nicht so mit VLAN und mehreren Netzwerken) dann von DMZ-->Internal in der Firewall durchzutunneln. Und was ich jetzt noch neu nachbauen muss, ist noch das DNS, damit Anfragen wenn sie von intern kommen intern bleiben. Aber das ist dann ein Problem für die Zukunft :D
Vlt upgrade ich dann auch mal noch auf ein 10G Modul. Wobei das für das arme RAID dann schon wieder zu schnell ist :D
 
Ist vielleicht ein bisschen brachial 🔨, aber schön, dass Du eine Lösung hast.
Die Firewall auf dem NAS sollte strikt abgedichtet werden um auszuschließen, dass das NAS zwischen den beiden Netzen ungewollt routet bzw. wirklich nur gewünschter Traffic durchgeht.
Wäre denn diese Lösung mit dem Synology-Router nicht auch möglich gewesen oder ist der dafür zu unflexibel?
 
Würde mal sagen der Synology kann das nicht. Glaube die neueren können VLAN und mehrere Netze. aber der alte nicht.

Ja die Lösung gefällt mir nicht so... Das Routing zwischen den Netzen nervt. Grad gemerkt ich komme von Intern nicht mehr auf Homeassistant weil das Intern-->DMZ-->Intern geroutet werden muss 😐
Theoretisch sollte aber das Routing zwischen den Netzen komplett erlaubt sein... Zack. drei graue Haare mehr


Aber wie machen das alle anderen die Glasfaser/nur IPV6 haben und einzelne Netzwerkgeräte von außen sichtbar haben müssen/wollen? Ich kannn doch nicht der erste sein der so ein Problem hat? 🤔
 
SAMU schrieb:
Zack. drei graue Haare mehr
Zum Vergrößern anklicken....
Ich glaube, die kommen von ganz alleine ;)
IPv6 war am Anfang so gedacht, dass jedes Gerät eine weltweit eindeutige und feste Adresse erhalten kann. Die Datenschutzbedenken kamen erst später dazu. Ein Unternehmen wiederum, das einen öffentlichen Server betreibt, hat in der Regel feste IP-Adressen und muss sich um ein geändertes Präfix nicht kümmern.
Die Lösungswege in #5 sollten funktionieren.
 
  • Like
Reaktionen: SAMU
SAMU schrieb:
Aber wie machen das alle anderen die Glasfaser/nur IPV6 haben und einzelne Netzwerkgeräte von außen sichtbar haben müssen/wollen? Ich kannn doch nicht der erste sein der so ein Problem hat?
Zum Vergrößern anklicken....
ich habe das für einen Bekannten mittels reverse Proxy eingerichtet.
 
JudgeDredd schrieb:
ich habe das für einen Bekannten mittels reverse Proxy eingerichtet.
Zum Vergrößern anklicken....
Reverse proxy hab ich eigentlich schon seit immer:
1764094034933.png

@Hagen2000 hmm. VPN will ich halt nicht (zumindest nicht für alles). Weil dann wird es schwierig mal schnell einen Drive-Link etc zu teilen.
Am liebsten wäre es mir wenn alles weiterhin so klappt wie vorher mit IPV4. Portfreigabe auf 80 und 443 und fertig.

Was es bei mir - zumindest hier - nicht einfacher macht ist halt noch diese Kaskade. Vermieter hat FritzBox und ich bastel dann dahinter meine eigene Firewall, da ich nicht will dass mein Netzwerk mit den 3 anderen Parteien vermischt wird.
Würde der doofe ISP einfach ne fixe IPV6 vergeben und die nicht alle 24h erneuern wäre das auch voll easy. Die alte IPV4 die er vorher bereitgestellt hat hat sich nur so 1-2 mal im Jahr geändert 🙄

Lustigerweise hab ich jetzt grad 1h rumgesucht warum nur das Dashboard in Homeassistant am PC nicht geht. (login geht, dann tot). Firefox zu gemacht, Edge genommen. Zack geht 🤔
 
Lässt sich das Unify Gateway denn vielleicht per Skript umprogrammieren?
Auf den ISP kannst Du vermutlich nicht zugehen bzgl. einer öffentlichen IPv4-Adresse?
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten