Dynamische IPv6 Firewall

Es gibt 3 Antworten in diesem Thema, welches 1.959 mal aufgerufen wurde. Der letzte Beitrag () ist von ubiquedeti.

    Hallo ubiquiti-forum-team,


    nachdem ich schon eine Weile am Basteln bin, hier mal der Versuch meine Lücken bezgl. USG und ip-v6 zu schließen.

    Mein Aufbau:


    Provider Mnet via ipv6 -> Fritzbox -> USG -> switch -> OpenVPNServer.


    IPv6-Prefix wird dynamisch vergeben. Der Server überwacht und updatet die ipv6 Adresse über Inadyn-mt beim DDNS dienst.

    Zugriff von Extern funktioniert auch wunderbar, wenn ich die IP-Adresse der OpenVPN-Servers in die USG-Firewall eintrage.

    Beim nächsten Prefix-wechsel funktioniert die Regel aber nicht mehr, dann ist der Zugriff weg.

    Der versuch, nur einen Suffix einzugeben, also zum Beispiel ::21d:6ff:fd30:cad9 scheitert, dann komme ich nicht mehr durch. Sobald ich die volle IPv6 Adresse eingebe, komme ich durch.

    Ist die Notation falsch, oder wie gehe ich mit dynamischen IP-Prefixen um?

    Ist, glaube ich, zur Zeit ein Bug von Unifi, bzw nicht korrekt gesetzt.

    Ich hoffe das es in einem neueren Controller umgesetzt ist, vielleicht auch schon in einem jetzigen Beta.

    Fange Grade erst an mich mit IPV6 zu beschäftigen, daher habe ich es erst vorhin gelesen das Dyn Prefixe zZ nicht korrekt umgesetzt sind

    Zitat von ubiquedeti

    wenn ich die IP-Adresse der OpenVPN-Servers in die USG-Firewall eintrage.

    warum öffnest du die Firewall nicht für alle IPv6 und limitierst nur den Port auf 1194 (TCP oder UDP je nach Einrichtung). So viele Geräte wirst du ja nicht haben die diesen Port noch offen haben.

    Zitat von uboot21

    warum öffnest du die Firewall nicht für alle IPv6 und limitierst nur den Port auf 1194 (TCP oder UDP je nach Einrichtung). So viele Geräte wirst du ja nicht haben die diesen Port noch offen haben.

    Hm, das ist tatsächlich eine Idee. Zwar nicht das sauberste, da ich eigentlich die sache so Eng wie möglich haben möchte, aber ja. Ich habe den Port eh schon nicht mehr auf standard. Zumindest wäre das eine gute Lösung bis Unifi die dynamischen Präfixe im Griff hat.
    Manchmal liegt die Lösung einfach näher, Danke!