dynamische Portfreigabe bei/mit IPv6

Es gibt 7 Antworten in diesem Thema, welches 2.745 mal aufgerufen wurde. Der letzte Beitrag () ist von phino.

    Hi,

    gestern bin ich von einer alten USG-Pro auf eine neue UDM SE umgestiegen und soweit zufrieden, mit Ausnahme von IPv6 Firewall Regeln.


    Bei meiner alten USG-Pro konnte ich in der config.gateway.json Ports für IPv6 freigeben mit Regeln wo das Prefix maskiert wurde, z.B. so:

    Code
    "2500": {
  "action": "accept",
  "description": "OpenVPN",
  "destination": {
  "address": "::1234:abcd:0011:1234/::ffff:ffff:ffff:ffff",
  "port": "1194"
  },
  "log": "enable",
  "protocol": "tcp_udp"
},


    In der UDM SE wird das leider nicht mehr unterstützt. Kann man trotzdem irgendwie so eine Freigabe einrichten?

    Alle 24h wechselt bei mir das von der Telekom vergeben Prefix.


    Via SSH kann ich zumindest mit ip6tables mit die Regeln anschauen und könnte vermutlich auch eine erstellen. Oder gibt es da einen besseren Weg?

    Im GUI kann man die IPv6 Adress Group leider nicht mit der Maske eintragen.

    Wenn du den Befehlt dafür auf der Command Line herausgefunden hast, ich schätze das geht mit iptables (Vermutung), dann schau dir das an:


    UDMPRO SE · Issue #214 · boostchicken-dev/udm-utilities
    Describe the bug Hi just received the UDMPRO SE. I'm not able to get this package to install on it. Wondering if anyone has any ideas? When I SSH into the…
    github.com


    Das ist meiner Ansicht nach sogar viel mächtiger, als die config.gateway.json. Habe mir damit kürzlich ein paar Masqueraden eingerichtet. Das funktioniert super.


    Wenn du dabei Probleme hast, kann ich gern unterstützen. Aber den Command Line Befehl musst du selbst herausfinden oder jemand anderes hier unterstützt. :winking_face:


    Gruß Hoppel

    Hi,

    danke schon mal für die Antwort. Ich hatte über die GUI schon einmal eine Rule für IPv6 hinzugefügt, allerdings ohne maskiertes Prefix.

    Das sieht dann so aus bei den WAN_IN Regeln:

    Code
    root@UDMSE:~# ip6tables --list-rules UBIOS_WAN_IN_USER
-N UBIOS_WAN_IN_USER
-A UBIOS_WAN_IN_USER -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment 00000001095216663483 -j RETURN
-A UBIOS_WAN_IN_USER -m conntrack --ctstate INVALID -m comment --comment 00000001095216663484 -j DROP
-A UBIOS_WAN_IN_USER -m set --match-set UBIOS_61f50bf99ad68109199354e9 dst -m set --match-set UBIOS_61f50c139ad68109199354ea dst -m comment --comment 00000001095216664980 -j RETURN
-A UBIOS_WAN_IN_USER -j LOG
-A UBIOS_WAN_IN_USER -m comment --comment 00000001097364144126 -j DROP

    Die Regel taucht dann als "-A UBIOS_WAN_IN_USER -m set --match-set UBIOS_61f50bf99ad68109199354e9 dst -m set --match-set UBIOS_61f50c139ad68109199354ea dst -m comment --comment 00000001095216664980 -j RETURN" auf. Nun tue ich mich leider etwas schwer mit ip6tables. Im Prinzip möchte ich ja nur UDP+TCP Port 1194 für "::1234:abcd:0011:1234/::ffff:ffff:ffff:ffff" öffnen.

    Die GUI Regeln scheinen ja nur irgendwelche sets aus der db zu matchen, wo dann Ports und IPV6 Adressen vermutlich drin stehen.


    EDIT:


    So ich habe es vermutlich richtig hinbekommen:

    Code
    ip6tables -I UBIOS_WAN_IN_USER 3 -d ::1234:abcd:0011:1234/::ffff:ffff:ffff:ffff -p tcp -m multiport --dport 1194 -j RETURN


    Allerdings ist die Regel natürlich nach jeder Provisionierung der UDM SE wieder weg.


    Wie könnte ich das mit den udm-utilities nun persistieren?

    Einmal editiert, zuletzt von nikos1988 ()

    Hallo zusammen,


    gibt es hier inzwischen Neuigkeiten? Mich nervt es inzwischen sehr, dass ein von der Telekom delegiertes IPv6-Subnetz keine individuellen Firewall-Regeln für die sich dynamisch ändernden Hostaddressen beherrscht. Das geht weder auf der "alten" USG Pro 4 noch auf auf der UDM-SE.


    Hawedieehre.

    Fant

    Wird es auch nie geben da dynamisch... Entweder feste Adressen oder es geht schlicht nicht.

    Zitat von jkasten

    Wird es auch nie geben da dynamisch... Entweder feste Adressen oder es geht schlicht nicht.

    Nun ja, warum nicht?

    Es muss doch nur die IPv6 Interface-ID in der Regel eintragen und dazu gesagt werden, dass es sich um WAN_1_IN handelt, dann kommt dem Präfix einfach dazu.

    Diese Art der Freigabe funktioniert doch auch bei der Fritz!Box. Gut AVM beschäftigt sich ja schon länger mit dem 25 Jahre alten IPv6-Protokoll, da hingt Ubiquiti etwas hinterher. :tired_face:


    Einmal editiert, zuletzt von phino ()