Toggle sidebar

IPV6 --> Was passiert mit firewall Regeln wenn sich IP ändert?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

so ganz verstehe ich Dein Problem nicht.
Du hast EINEN Reverse Proxy, von diesem publishst Du die IPv6 in Dein DynDNS Account. Der reverse Proxy leitet dann eben an den Zielclient weiter. Innerhalb Deines Netzes kannst Du doch dann IPv4 nehmen
 
Das Problem ist die Firewall.

Ich versuche es mal zu erklären:
1764100431716.png

Sie sieht der Netzwerkaufbau aktuell aus. Was hier fehlt ist die FritzBox welche noch dazwischen funkt.
Die Fritzbox holt sich ein /56 Netz von Netcom. Danach kommt mein mein CloudGateway (früher der Synology RT) und dahinter dann die Synology DS.
Die Synology publisht ihre IPV6 via DDNS. Wenn ich jetzt von außen zugreifen will sagt zuerst mal die Firewall der FritzBox "Stop". Früher und aktuell auch wieder hab ich dazu einfach mein CloudGateway als DMZ freigegeben.
Dann kommt aber die nächste Instanz. Nämlich die Firewall im CloudGateway. Dort tippe ich jetzt eine Regel ein "Extern-->Intern auf Port 443 auf diese IPV6 zulassen".
Dann landet die anfrage beim Synology und die verteilt es dann intern / extern via IPV4 über den ReverseProxy.

Das geht dann 24h gut, bis der blöde ISP meint er muss jetzt ein neues IPV6 Präfix zuweisen. Die neue IPV6 publisht die Synology zwar via DDNS, aber die Firewallregel ist ja noch "alt" und hat die alte IPV6 drin. Ergo geht nix mehr.
Das Problem hatte ich mit dem SynologyRouter und dachte ich kann es mit dem CloudGateway einfacher lösen (z.b. indem man regeln erstellen kann die den Präfix ignorieren). aber das war halt leider nix.

Jetzt wo ich das alles tippe fällt mir noch ein, dass es vlt auch möglich gewesen wäre den ReverseProxy auf ein andere Gerät umzuziehen (SynologyRouter). aber der hat so schon aufm letzten Loch gepfiffen...

Meine Lösung ist jetzt dass die Synology sich in zwei Netzen befindet. Einmal "Intern" 10.1.1.0/24 und einmal "DMZ" 10.1.2.0/24 jeweils mit nem eigenen IPV6 /64er Netz.
Und dann gibts im CloudGateway ne Firewall Regel die dann nicht mehr auf ne IPV6 beschränkt ist, sondern auf das komplette DMZ /64er Netz.
1764101027329.png
Da sich die Synology alleine im DMZ Netz befindet habe ich da auch keine Probleme damit. Der Synology Router kann keine zwei getrennte Netze machen und deshalb hätte sich dort die Firewall Regel dann auch ALLE Geräte in dem Netz bezogen. Das heißt Port 80 vom Yamaha AVR oder Klipper wäre dann auch offen.

Damit ich jetzt von einem Netz Intern nach DMZ komme bzw von DMZ nach Intern gibt es dann halt wieder Regeln:
Hier am Beispiel von HomeAssistant:
1764101515233.png

Dazu sind jetzt noch entsprechende DNS A und AAAA Einträge im CloudGateway angelegt welche dann direkt auf die LinkLocal IPV6 bzw IPV4 des NAS zeigen.
wobei ich die glaube ich eh nicht mehr brauche. Früher bei IPV4 hab ich die genutzt weil ich sonst automatisch auf die öffentliche IPV4 der Fritte aufgelöst habe und der interne Traffic dann immer einmal dort durch ist.

Jetz im Moment funktionierts so. mal gucken wann mir die ersten Probleme auffallen. Und ja, es gibt auch noch optimierungspotential. z.b. wird das HyperBackup aktuell noch übers "offene" Internet gemacht. Da will ich eigentlich auch schon lange mal Tailscale einrichten... Oder jetzt wo ich hier auch Unify habe vlt ein Unify Site-to-Site 🤔
 
Zuletzt bearbeitet von einem Moderator:
Für deinen externen DDNS-Eintrag brauchst Du dann aber keinen A-Record mehr - der stört doch nur.
 
Also ich finde das schon etwas seltsam, wenn man in einer Firewall bei der Regelzuweisung nicht mit dem IPv6 Prefix vom WAN-Interface arbeiten kann. Aber wenn Du es sagst, muss ich es ja so glauben.
Wenn Du vom ISP ein /56 Prefix bekommst, wer managed denn die 64/ Netze (RA) und wer macht DHCP6 ?
 
Ich habe mittlerweile noch das hier gefunden: https://www.youtube.com/watch?v=IN_Rnm2yoak
Der macht das genauso wie ich es jetzt mache.

Problem: Heute nacht gab es wieder ein neues Präfix. Und irgendwie bekommt der Unify das nicht mit bzw aktualisiert seine Netze nicht, sondern behält die beim alten Präfix 😠
 
JudgeDredd schrieb:
Also ich finde das schon etwas seltsam, wenn man in einer Firewall bei der Regelzuweisung nicht mit dem IPv6 Prefix vom WAN-Interface arbeiten kann.
Zum Vergrößern anklicken....
Wie meinst du das? Das WAN Interface vom Unify? Das juckt mich ja eigentlich nicht. Ich will ja auf das NAS und nicht aufs Unify von extern.


JudgeDredd schrieb:
Wenn Du vom ISP ein /56 Prefix bekommst, wer managed denn die 64/ Netze (RA) und wer macht DHCP6 ?
Zum Vergrößern anklicken....
Die Fritzbox sollte eigentlich ein /57 Netz an das Unify verteilen und der erstellt dann seine /64-Netze
1764143077442.png
Einmal Fritzbox

und hier Unify:
1764143114158.png
1764143143305.png

Von der Konfiguration her ähnlich wie hier: https://www.youtube.com/watch?v=RWnGuHNI0Q8
 
SAMU schrieb:
Wie meinst du das? Das WAN Interface vom Unify? Das juckt mich ja eigentlich nicht. Ich will ja auf das NAS und nicht aufs Unify von extern.
Zum Vergrößern anklicken....
Naja, die Pakete müssen ja auch durch das Unify, wie bekommt dieses denn den Adresse für das WAN Interface (DHCPv6) ?
Im Unify kann man doch bestimmt die WAN IP mit Netzmaske definieren, so daß Du dann in der FW vom Unify mit eben diesem Präfix arbeiten kannst.
 
Die WAN-IP vom Unify wird über DHCPv6 von de Fritzbox vergeben:
1764148997002.png

Die passt aber auch immer. Aber irgendwie verstehe ich nicht was du mir damit sagen willst :D Weil was soll ich dann mit der WAN-IP machen bzw was willst du was ich damit tun soll?
Die WAN IP vom Unify ändert sich ja auch dauernd, wenn sich der Präfix von meinem ganzen Netz ändert:

1764149120159.png
1764149178163.png

Passend dazu ändert sich ja dann auch die WAN-IP von meinem Unify. Aktuell eben zu dem:
1764149228847.png
 
Also um das mal auf einen Nenner zu bringen (so wie ich das bisher verstanden habe) ...
  1. Dein ISP stellt Dir ein /56 Netz zur Verfügung.
  2. Die FritzBox gibt dem Unifi ein /57 Netz mittels DHCPv6
  3. Der Unify teilt dieses dann weiter in /64er Netze auf
Das wäre zumindest mein Verständnis aus den vorherigen Posts.
Dann muss die Fritzbox in ihrer Firewall den entsprechenden Port für das /57er Netz erlauben und der Unify dann eben den gleichen Port für die IP aus dem /64 Netz der Synology.

Kann die Fritzbox überhaupt die Netze aufteilen ?
 
Der Zugriff geht mittlerweile ja. Eigentlich habe ich nur noch zwei Probleme:
* Dass der doofe ISP regelmäßig den Prefix wechselt und das kommt dann bei mir im lokalen Netz irgendwie nicht mehr an. Erst nach einem Reboot vom Unify nimmt er sich das neue Präfix und es geht wieder.
Screenshot 2025-11-26 113008.png
* Ich kann irgendwie vom "Default" Netz (also da wo z.b. mein Laptop ist) nicht in das DMZ Netz Routen. zumindest per IPV6. IPV4 geht. Aber das Problem stelle ich mal hinten an.

JudgeDredd schrieb:
  1. Dein ISP stellt Dir ein /56 Netz zur Verfügung.
  2. Die FritzBox gibt dem Unifi ein /57 Netz mittels DHCPv6
  3. Der Unify teilt dieses dann weiter in /64er Netze auf
Zum Vergrößern anklicken....
Genau. Die Fritzbox sollte das eigentlich können. Zumindest sagt sie dass sie es kann und er Unify sagt auch dass es passt. Zumindest eben solange bis sich der doofe Präfix ändert.
 
Also wenn der Unify ein neues Präfix erhält, dann sollte er seinerseits seine angebundenen Clients entsprechend mit einem neuen Präfix versorgen. Auf die Schnelle habe ich nur das hier gefunden: https://help.ui.com/hc/en-us/articl...eway-Static-IPv6-and-DHCPv6-Prefix-Delegation
Das beschreibt allerdings nur das Verhalten, wenn der Unify selbst der erste Router ist. Ich schätze mal, da klappt was nicht im Zusammenspiel zwischen FRITZ!Box und dem Unify. Ich würde mal im Unify-Forum nachfragen.
 
@Hagen2000 habe grad ein Ticket bei Unify erstellt. Der Support Mitarbeiter hat sich zwei Netzwerkmitschnitte angeschaut und wusste dann auch nicht so Recht.
Letzte Aussage war "ich muss das mit meinem Team näher anschauen, wir melden uns"

Mal schauen.
 
  • Like
Reaktionen: Hagen2000
@JudgeDredd ca 30min? Das Problem stand an während ich mit dem Support gechatted habe.

Nur mal kurz reingeschaut. RA hab ich gefunden, aber viel schlauer bin ich nicht geworden 😅
 
naja, mal abwarten, was der Support dazu meint.
Was vergibt die Fritzbox denn dem Unify für eine LeaseTime ?
 
JudgeDredd schrieb:
Was vergibt die Fritzbox denn dem Unify für eine LeaseTime ?
Zum Vergrößern anklicken....
Keine Ahnung :D

Habe mir jetzt gerade einen Work Around gebaut. (bisschen externe Hilfe von Perplexity war aber nötig).

Das Problem bzw ähnliche Probleme scheint es schon länger zu geben:
https://community.ui.com/questions/.../cdf5946a-b07a-4a2a-87b2-5fdc2833c4b5?reply=1
https://community.ui.com/questions/...w-prefix/4d6c5132-5f54-492c-a47a-b576182157fe

Aus irgendeinem Grund bekommt das Gateway zwar mit dass sich der Präfix ändert, ändert den aber nicht für die Netzwerke dahinter. Habe jetzt per ssh ein Script aufs Unify geklatscht welches per Cron regelmäßig aufgerufen wird. Das prüft dann ob sich das Präfix geändert hat und falls ja, führt es einen reboot aus.
1764234668821.png

Habs jetzt grad nur manuell aufgerufen, aber scheint zu funktionieren. Sehe ich dann später wenn ich das I-Net der Fritzbox nochmal kappe.
 
Dein workaround mag ja funktionieren, aber gute Werbung für Unifi ist das ja nicht.
Du schreibst ja, das nach einem reboot das neue Präfix an die Netze weitergegeben wird (sowohl mit als auch ohne script)
Dann vermute ich, das das Unifi Gateway die nur aktualisiert, wenn er sich über DHCPv6 am WAN eine neue IP holt. Das macht er natürlich nur dann, wenn die Lease abläuft. Daher mein Vorschlag, die LeaseTime kleiner oder gleich der LeaseTime von Deinem ISP zu setzen.
Kannst Du mal nach einem Präfixwechsel vom ISP einen manuellen DHCP request am Unifi ausführen und schauen ob sich dann das Präfix geändert und an die anderen Netze weitergegeben hat ?
 
Das lustige ist, dass es mit dem Reboot meistens klappt... Aber nicht immer. Irgendwie hat sich die FritzBox jetzt wieder einen neuen Präfix geholt aber der WAN-Port vom Unify steht noch auf dem alten Präfix. Dann macht mein Script aber auch keinen Reboot...
Statt 2a00:79c0:765:b300 habe ich jetzt eigentlich 2a00:79c0:7e5:ae00.

Ausgabe Unify:
Code: 
root@Cloud-Gateway-Ultra:~# ip -6 addr show dev eth4
5: eth4: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc htb state UP group default qlen 1000
    inet6 2a00:79c0:765:b300:eea:14ff:fe49:6101/128 scope global dynamic
       valid_lft 4335sec preferred_lft 735sec
    inet6 fe80::eea:14ff:fe49:6101/64 scope link
       valid_lft forever preferred_lft forever

Mit einem manuellen renew und anschliesendem Start vom Script wird der Reboot sofort durchgeführt:
Code: 
root@Cloud-Gateway-Ultra:~# killall -SIGUSR1 odhcp6c
root@Cloud-Gateway-Ultra:~# ip -6 addr show dev br0
17: br0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    inet6 2a00:79c0:7e5:aefc::1/64 scope global tentative dynamic
       valid_lft 7190sec preferred_lft 3590sec
    inet6 fe80::cea:14ff:fe49:60fe/64 scope link
       valid_lft forever preferred_lft forever
root@Cloud-Gateway-Ultra:~# /data/unifi/ipv6_prefix_watchdog.sh
Connection to 10.1.1.1 closed by remote host.
Connection to 10.1.1.1 closed.

Klar, ich hätte jetzt noch die 735sec oben abwarten können, dann würde er sich die ipv6 neu beziehen. Aber das ist doch doof so. Müsste die FritzBox im Netzwerk nicht rumverteilen/announcen dass es ein neues Präfix gibt und sich die Unify dann das neue Präfix direkt abholen? Oder ist das wirklich so bei IPV6 dass die Clients immer die LeaseTime abwarten?


Edit: gerade eben kam auch eine Antwort auf mein Support Ticket bei Unify. Unify hätte gerne einen weiteren Paketmitschnitt. Leider bin ich jetzt für einige Zeit weg von Zuhause und glaube ein Paketmitschnitt per VPN während man das Internet kappt geht nicht so gut 😅
NetCom BW hüllt sich immernoch in schweigen warum sie das Prefix so oft ändern. Heute schon zweimal neue Prefix bekommen...
 
Zuletzt bearbeitet:
SAMU schrieb:
Müsste die FritzBox im Netzwerk nicht rumverteilen/announcen dass es ein neues Präfix gibt und sich die Unify dann das neue Präfix direkt abholen?
Zum Vergrößern anklicken....
Naja, der DHCP auf der Fritzbox könnte natürlich ein FORCERENEW an den Unify schicken, aber ich weiß nicht welcher DHCP auf der Fritte läuft und ob der das kann (ISC kann es nicht). ABer so wie Du schriebst, offensichtlich nicht.
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten