Web-Server in "DMZ-VLAN" hinter FRITZ!Box-USG-Kaskade über IPv6 freigeben (Firewall-Regel fehlt)

Hallo zusammen,

ich versuche gerade auch über IPv6 einen Webserver im Heimnetz aus dem Internet erreichbar zu machen.

Zunächst einmal der Status Quo:

1. Webserver befindet sich in einem "Gäste"-VLAN hinter einer USG, welche wiederum hinter einer Fritz!Box (7530) an einem DSL-Anschluss hängt (Dual-Stack). Also:
   Internet<->Fritz!Box<->USG<->Webserver
2. An der Fritzbox bekomme ich regelmäßig vom Provider eine IPv4 und ein IPv6/56-Netz
3. Die Fritzbox delegiert per DHCP-PD /60-Netzte an die USG, welche VLANs aufspannt (jeweils als 64er-Netz)
4. Beim Webserver ist privacy extension für IPv6 ausgestellt, die Host-ID-Part der IPv6-Adressesn bleiben also stabil
5. IPv6-Verkehr ins Internet (z.B. vom Webserver) funktioniert
6. Fritzbox-"Firewall" ist für IPv6 insofern aus, als dass die delegierten IPv6-Netze alle an die USG durchgelassen werden (auch schon unschön, aber in der Fritzbox aktuell nicht anders möglich).

Nun zur Frage:

Die USG-Firewallregeln ("Internet v6 In") verhindern erst einmal den Zugriff auf den Port 443 des Webservers (generell gut so).

Leider gelingt es mir nicht, eine Regel zu erstellen, um nur die IPv6 des Webservers und Port 443 freizugeben.

Versucht habe ich bei "Internet v6 In" eine Regel mit Destination IPv6-Adresse "::a:b:c:d/::ffff:ffff:ffff:ffff" zu erstellen ("a:b:c:d" sei hier die Host-ID des Webservers), da das Präfix ja nicht stabil bleibt, sondern nächtlich vom Provider über die Fritzbox wechselt.

Leider erlaubt weder die GUI noch auf der Konsole (auf dem USG) eine "Netzmaske" (also "::ffff:ffff:ffff:ffff") anzugeben. Lasse ich die Netzmakse weg, wird die Adresse vermutlich als "0000:0000:0000:0000:a:b:c:d" interpretiert und damit der Webserver natürlich nicht adressiert.

Wenn ich testweise die gerade aktuelle komplette IPv6-Adresse des Webservers (also inklusive gerade aktuellen Präfix) eintrage, funktioniert alles - der Zugriff aus dem Internet auf den Webserver klappt.

Hat jemand eine Idee, wie ich bei der Firewall-Regel auf das Präfix verzichten kann? Auf EdgeOS scheint es zu gehen (laut einem Post, den ich gefunden hatte) - bei der USG wohl aber leider nicht?
Die Lösung mittels eines Skripts auf der USG irgendwie die Firewall-Regel täglich bei der Änderung des Präfixes zu aktualisieren, würde ich nur ungern machen... Jemand eine andere Idee?

(Ist lang geworden - sorry...)

Hm, danke für die schnelle Antwort - dann scheine ich zumindest nichts offensichtliches übersehen zu haben. Dann bleibt wohl wirklich nur, Immer die komplette IP einzutragen (m.E. nicht wirklich praktikabel) oder any/443, was aber den Port 443 in allen VLANs auf allen Rechnern freischaltet - auch nicht sinnvoll.

Schade, dass Unifi hier so limitiert ist - bei den Firewall-Regeln bei den IPv6-Adressen Masken angeben zu können, wäre schon wichtig (auch um einzelne VLANs zu adressieren). Naja, Thema IPv6 (mal wieder) für Monate parken...

Zitat von razor

Link bitte, danke.

https://community.ui.com/questions/Inbound-Firewall-rules-with-DHCPv6-PD/31aac051-4565-451c-89b2-8146a36724e8#comment/36880eb8-b3ef-4431-9e87-6049d2e720bb

Hat evtl. doch nichts mit EdgeOS zu tun.... vielleicht ging es mal und jetzt nicht mehr?