Web-Server in "DMZ-VLAN" hinter FRITZ!Box-USG-Kaskade über IPv6 freigeben (Firewall-Regel fehlt)

Es gibt 10 Antworten in diesem Thema, welches 3.943 mal aufgerufen wurde. Der letzte Beitrag () ist von Tuxtom007.

  • Hallo zusammen,


    ich versuche gerade auch über IPv6 einen Webserver im Heimnetz aus dem Internet erreichbar zu machen.


    Zunächst einmal der Status Quo:

    1. Webserver befindet sich in einem "Gäste"-VLAN hinter einer USG, welche wiederum hinter einer Fritz!Box (7530) an einem DSL-Anschluss hängt (Dual-Stack). Also:
      Internet<->Fritz!Box<->USG<->Webserver
    2. An der Fritzbox bekomme ich regelmäßig vom Provider eine IPv4 und ein IPv6/56-Netz
    3. Die Fritzbox delegiert per DHCP-PD /60-Netzte an die USG, welche VLANs aufspannt (jeweils als 64er-Netz)
    4. Beim Webserver ist privacy extension für IPv6 ausgestellt, die Host-ID-Part der IPv6-Adressesn bleiben also stabil
    5. IPv6-Verkehr ins Internet (z.B. vom Webserver) funktioniert
    6. Fritzbox-"Firewall" ist für IPv6 insofern aus, als dass die delegierten IPv6-Netze alle an die USG durchgelassen werden (auch schon unschön, aber in der Fritzbox aktuell nicht anders möglich).

    Nun zur Frage:


    Die USG-Firewallregeln ("Internet v6 In") verhindern erst einmal den Zugriff auf den Port 443 des Webservers (generell gut so).

    Leider gelingt es mir nicht, eine Regel zu erstellen, um nur die IPv6 des Webservers und Port 443 freizugeben.


    Versucht habe ich bei "Internet v6 In" eine Regel mit Destination IPv6-Adresse "::a:b:c:d/::ffff:ffff:ffff:ffff" zu erstellen ("a:b:c:d" sei hier die Host-ID des Webservers), da das Präfix ja nicht stabil bleibt, sondern nächtlich vom Provider über die Fritzbox wechselt.


    Leider erlaubt weder die GUI noch auf der Konsole (auf dem USG) eine "Netzmaske" (also "::ffff:ffff:ffff:ffff") anzugeben. Lasse ich die Netzmakse weg, wird die Adresse vermutlich als "0000:0000:0000:0000:a:b:c:d" interpretiert und damit der Webserver natürlich nicht adressiert.

    Wenn ich testweise die gerade aktuelle komplette IPv6-Adresse des Webservers (also inklusive gerade aktuellen Präfix) eintrage, funktioniert alles - der Zugriff aus dem Internet auf den Webserver klappt.

    Hat jemand eine Idee, wie ich bei der Firewall-Regel auf das Präfix verzichten kann? Auf EdgeOS scheint es zu gehen (laut einem Post, den ich gefunden hatte) - bei der USG wohl aber leider nicht?
    Die Lösung mittels eines Skripts auf der USG irgendwie die Firewall-Regel täglich bei der Änderung des Präfixes zu aktualisieren, würde ich nur ungern machen... Jemand eine andere Idee?


    (Ist lang geworden - sorry...)

    Einmal editiert, zuletzt von micon ()

  • Hm, danke für die schnelle Antwort - dann scheine ich zumindest nichts offensichtliches übersehen zu haben. Dann bleibt wohl wirklich nur, Immer die komplette IP einzutragen (m.E. nicht wirklich praktikabel) oder any/443, was aber den Port 443 in allen VLANs auf allen Rechnern freischaltet - auch nicht sinnvoll.

    Schade, dass Unifi hier so limitiert ist - bei den Firewall-Regeln bei den IPv6-Adressen Masken angeben zu können, wäre schon wichtig (auch um einzelne VLANs zu adressieren). Naja, Thema IPv6 (mal wieder) für Monate parken...

  • Auf EdgeOS scheint es zu gehen (laut einem Post, den ich gefunden hatte) - bei der USG wohl aber leider nicht?

    Die Lösung mittels eines Skripts auf der USG irgendwie die Firewall-Regel täglich bei der Änderung des Präfixes zu aktualisieren, würde ich nur ungern machen... Jemand eine andere Idee?

    Link bitte, danke. :thinking_face: :smiling_face_with_sunglasses: :smiling_face_with_halo:

  • Port-Weiterleitung mit IPv6 geht schon mit UniFi, aber da IPv6 kein NAT kennt und irritierenderweise - trotz Fantastillarden Adressen - deutsche ISPs auf dynamische Präfixe setzen, ist die Ziel-Adresse eben volatil.

    Jau, IPv6 bleibt in DE ein Trauerspiel seitens der Provider.

    Vodafone ist ganz vorne dabei. Wie so kann ich statische IPv4-Adressen bekommen aber keine statische IPv6 - will mir nicht in den Kopf.


    Passt aber gut dazu, das ich heute morgen eine Infomail von Hetzner bekommen habe, das die an dem 28.3. alle neuen Serverbestellungen nur noch mit IPv6 durchführen.

    Wer IPv4 haben will, muss die extra ordern + bezahlen.