Server in DMZ Zone nicht via IPv6 erreichbar. Firewallregel?

    Hallo Jungs.

    Ich versuche seit geraumer Zeit meinen Zoraxy Reverse Proxy, der in der DMZ Zone hängt, via v6 (und https ) erreichbar zu machen.

    Dazu aktualisiert dieser Server seine v4 und v6 Adresse an den DNS (IPv64), so dass diese im Netz sichtbar wird.
    Für v4 habe ich ein Portforwarding (443) eingerichtet und damit komme ich auch auf den Server drauf.

    Ist der Besucher allerdings via v6 angeschaltet so kommt dieser nicht auf meinen Server.

    Ebenso kann ich das nachvollziehen, indem ich von einem Server im Internet via nmap versuche zuzugreifen. (Siehe Screenshot)

    Nun vermute ich dass ich in meiner UDM-Pro hier eine Firewallregel nicht richtig konfiguriert habe, so dass diese blockt. Aber ich wüßte nicht, was ich da falsch gemacht haben sollte. Siehe weitere Screenshots.

    Hat das schon jemand mal gemacht und könntet ihr mal einen Blick auf die Screenshots werfen?

    Irgendwas muss ich doch übersehen.


    Danke schon mal im Voraus


    Grüße

    Daimonion

    Quote from DoPe

    Source Port ist falsch. Da muss Any hin ... Man verbindet auf Port 443, aber das Paket wird sicher nicht von Port 443 abgesendet.

    Die IPv6 ist dynamisch? Dann wird es ja nur von 12 bis Mittag funktionieren.

    *KopfTisch* Wie kann man nur so doof sein. Natürlich muss als src Any hin. Vielen Dank. DoPe
    nmap zeigt nun Port 443 offen an. Ich checke mal ob ich nun die Verbindungen alle herstellen kann

    Naichbindas

    Keine festen, sondern nur die üblichen Subnetze. Ich tausche die DST später noch gegen eine Zone aus.

    Quote from daimonion

    Ja das ist richtig.

    Hab das gestern auch nur mal zum Testen rein gemacht. Ist in der aktuellen Regel auch schon wieder raus und die Regel schaut nun auf die Zone.

    Wie meinste das? Die Firewall lässt jetzt an alle IPv6 Adressen, die in DMZ sind den Port 443 durch?

    Naja, wenn da nichts anderes drin ist und auch nicht rein kommt ok. Aber das ist schon ziemlich dirty :) anders geht es aber mit der Firewall aktuell nicht.

    Quote from DoPe

    Wie meinste das? Die Firewall lässt jetzt an alle IPv6 Adressen, die in DMZ sind den Port 443 durch?

    Naja, wenn da nichts anderes drin ist und auch nicht rein kommt ok. Aber das ist schon ziemlich dirty :) anders geht es aber mit der Firewall aktuell nicht.

    Genau. In der DMZ ist nur der reverse proxy. Die eigentlichen Server sind in einem weiteren vlan.

    Die v4 Adresse kann ich beim portforwardingn ja angeben. Die v6 ändert sich entsprechend der Präfixänderung. Mal schauen wann ubiquity das fixt bei der Firewall.

    Na zum Beispiel könnten sie anstelle der Adresse das Symbol/den Platzhalter für das Device nehmen. Ich glaube bei v4 geht das mehr oder weniger schon.

    Klar die unten drunter liegende Regel muss das irgendwie dann auch abbilden können und letztlich ist die Firewall wahrscheinlich auch nur ein iptables, aber da Ubiquity in dem Bereich in der letzten Zeit sehr aktiv war bin ich guter Dinge.

    Ja das ist ja richtig, aber IPv4 hast du auf deiner Ebene und IPv6 ist auf Providerebene.

    Daher wird das so wohl kaum passieren das die das so implementieren, weil die keinen Einfluss auf die IPv6 Adressen haben.

    Entweder fragst du bei deinem Provider nach ob du festes IPv6 Präfix bekommen kannst, oder lässt es bei IPv4 als Weiterleitung.

    Mann hat es nicht leicht, aber leicht hat es einen..

    External Content beta.ubiquiti-networks-forum.de
    Content embedded from external sources will not be displayed without your consent.
    Quote from Naichbindas

    Ja das ist ja richtig, aber IPv4 hast du auf deiner Ebene und IPv6 ist auf Providerebene.

    Daher wird das so wohl kaum passieren das die das so implementieren, weil die keinen Einfluss auf die IPv6 Adressen haben.

    Entweder fragst du bei deinem Provider nach ob du festes IPv6 Präfix bekommen kannst, oder lässt es bei IPv4 als Weiterleitung.

    Das spielt gar keine Geige warum sich eine IPv6 ändert. Das muss Unifi nur implementieren ... so wie das bei AVM und vielen anderen Systemen ja auch seit Ewigkeiten geht. Ich befürchte nur, dass es wieder so eine typischen DACH oder EU Marotte ist die Präfixe und somit die IPs zu rollen. Hier werden sowieso viel zu viel seltsame und überflüssige Dinge getan ... da müsste viel mehr reguliert werden. Aber bei unseren Gesetzgebern ist das vergebene Liebesmühe, darauf zu hoffen.

    Moin

    Ich habe es bei mir über die Console gemacht

    ip6tables -I FORWARD 3 -d ::90b6:6fff:faaf:8f20/::ffff:ffff:ffff:ffff -p udp -m multiport --dport 51944 -j RETURN

    90b6:6fff:faaf:8f20 druch die letzten 64 bit der ipv6 adresse des zu erreichenden gerätes (Gerät muss natürlich so konfiguriert sind das die gleich bleibt) ersetzen.
    Der provider ändert ja nur den Präfix, damit funkiotiert das bei mir wunderbar wenn sich der Präfix mal ändert (kommt hier aber selten vor).

    funktioniert bei mir genau so zuverlässig wie mit der Fritzbox. Die ip6... Zeile setzt ein script beim Booten

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login