Hallo zusammen,
ich versuche gerade auch über IPv6 einen Webserver im Heimnetz aus dem Internet erreichbar zu machen.
Zunächst einmal der Status Quo:
- Webserver befindet sich in einem "Gäste"-VLAN hinter einer USG, welche wiederum hinter einer Fritz!Box (7530) an einem DSL-Anschluss hängt (Dual-Stack). Also:
Internet<->Fritz!Box<->USG<->Webserver - An der Fritzbox bekomme ich regelmäßig vom Provider eine IPv4 und ein IPv6/56-Netz
- Die Fritzbox delegiert per DHCP-PD /60-Netzte an die USG, welche VLANs aufspannt (jeweils als 64er-Netz)
- Beim Webserver ist privacy extension für IPv6 ausgestellt, die Host-ID-Part der IPv6-Adressesn bleiben also stabil
- IPv6-Verkehr ins Internet (z.B. vom Webserver) funktioniert
- Fritzbox-"Firewall" ist für IPv6 insofern aus, als dass die delegierten IPv6-Netze alle an die USG durchgelassen werden (auch schon unschön, aber in der Fritzbox aktuell nicht anders möglich).
Nun zur Frage:
Die USG-Firewallregeln ("Internet v6 In") verhindern erst einmal den Zugriff auf den Port 443 des Webservers (generell gut so).
Leider gelingt es mir nicht, eine Regel zu erstellen, um nur die IPv6 des Webservers und Port 443 freizugeben.
Versucht habe ich bei "Internet v6 In" eine Regel mit Destination IPv6-Adresse "::a:b:c:d/::ffff:ffff:ffff:ffff" zu erstellen ("a:b:c:d" sei hier die Host-ID des Webservers), da das Präfix ja nicht stabil bleibt, sondern nächtlich vom Provider über die Fritzbox wechselt.
Leider erlaubt weder die GUI noch auf der Konsole (auf dem USG) eine "Netzmaske" (also "::ffff:ffff:ffff:ffff") anzugeben. Lasse ich die Netzmakse weg, wird die Adresse vermutlich als "0000:0000:0000:0000:a:b:c:d" interpretiert und damit der Webserver natürlich nicht adressiert.
Wenn ich testweise die gerade aktuelle komplette IPv6-Adresse des Webservers (also inklusive gerade aktuellen Präfix) eintrage, funktioniert alles - der Zugriff aus dem Internet auf den Webserver klappt.
Hat jemand eine Idee, wie ich bei der Firewall-Regel auf das Präfix verzichten kann? Auf EdgeOS scheint es zu gehen (laut einem Post, den ich gefunden hatte) - bei der USG wohl aber leider nicht?
Die Lösung mittels eines Skripts auf der USG irgendwie die Firewall-Regel täglich bei der Änderung des Präfixes zu aktualisieren, würde ich nur ungern machen... Jemand eine andere Idee?
(Ist lang geworden - sorry...)