UDM-SE Vodafone Dual Stack Anschluss und IPv6 betreiben bzw. Firewall Regeln?

Es gibt 16 Antworten in diesem Thema, welches 3.542 mal aufgerufen wurde. Der letzte Beitrag () ist von awmst4.

    Hi Zusammen,


    bei meinem Anschluss bekomme ich wie ich jetzt gemerkt habe über unser Vodafone Modem im Bridge Mode eine IPv4 und IPv6 Adresse (56er Prefix).


    Ist die UDM-SE da voll kompatibel und funktioniert damit ohne Probleme? Bei einer fritz.box kann man im Bereich ja viele IPv6 Einstellungen machen. Bei einer UDM-SE ja nur Prefix einstellen und halt DHCPv6 usw.


    Gibt es hier noch mehr Einstellungen, oder reicht das komplett aus?


    Und wenn das dann läuft wie macht Ihr das mit IPv6 im Heim-Netzwerk? Da muss man ja komplett nochmal neu an die Firewall Regeln usw., oder wie ist da das best case?


    Würde mich über Mithilfe sehr freuen, da ich im Bereich IPv6 noch nicht so bewandert bin.


    Grüße

    Zitat von opensec

    bei meinem Anschluss bekomme ich wie ich jetzt gemerkt habe über unser Vodafone Modem im Bridge Mode eine IPv4 und IPv6 Adresse (56er Prefix).

    Also ich bekomme von Vodafone (Cable Max 1000 mit echtem Dual Stack) ein /59er Präfix und leite es mit meiner UDM Pro in ausgewählte LANs weiter. Im Wesentlichen beschränkt es sich auf die Einstellung im WAN und im jeweiligen LAN. Achtung, die DNS Adressen sind die eines internen PiHole, wenn Du den ISP DNS verwenden möchtest, einfach den Haken bei "Auto" belassen. Firewall kann ich nichts zu sagen, bisher sind meine internen Services nur via IPv4 erreichbar.


    WAN



    LAN

    Mehr als die normale Nutzung für Geräte kann die UDM auch nicht.

    Die IPv6 Firewall der UDM kann keine Port freigaben. Ein Block zwischen zwei VLANs geht mit einem variablen Präfix ebenfalls nicht, da die UDM Firewall ohne Regel alles erlaubt. Erstellt man eine Regel funktioniert es bis: ändert sich das Präfix, wird die Regel nutzlos.


    Meine Erfahrung mit der UDM: erst mit einem festen Präfix macht es halbwegs Spaß (bis man eine Port-freigabe für einen IPv6 Server braucht)


    Hat man ein Variables Präfix (und braucht IPv6 wegen DS-Lite) sollte IPv6 nur in einem Netzwerk aktiviert werden, wenn man kein Inter-VLAN Routing haben will. Sonst ist das GAST / IOT Netzwerk doch nicht so "isoliert" wie man meint.

    Portfreigaben gibt es bei IPv6 nicht mehr da kein NAT vorhanden. Du kannst aber das Gerät aus dem Internet erreichbar machen und den Zugriff auf einen Port beschränken. Das geht auch mit Unifi. Da wir aber wahrscheinlich alle keine feste IPv6 Adressen haben ist das Thema für die Tonne.

    Zitat von jkasten

    Portfreigaben gibt es bei IPv6 nicht mehr da kein NAT vorhanden.

    Bisschen unglücklich formuliert, natürlich muss ich auch für IPv6 eine Port-Freigabe in die Firewall bohren. Und NAT gibt es in IPv6 auch noch, schließlich kann ich mein internes LAN IPv6 auch mit Site-Local-Adressen fahren und brauche dann NAT.

    NAT ist bei IPv6 wirklich überflüssig und wird nur gebraucht wenn man nicht durchgehend IPv6 nutzt. Das ist ja der Sinn und Zweck des ganzen. Nutzt du allerdings nicht die öffentliche Adresse des Clients, dann brauchst du natürlich NAT.

    Mein Problem lag darin das Wireguard bei Verwendung von ULA's für die Clients IPv4 beim Aufbau der Verbindung priorisiert und ich nach dem stolpern über den Post von awmst4 und dem testen meiner Portfreigaben dachte es läge am Unifi OS. Aber nein, mit globaler IPv6 anstelle einer Domain funktioniert alles und die Verbindung wird durch die v6 Portfreigabe aufgebaut.


    Hätte ich globale v6 Adressen für meine Clients, könnte man das ganze "richtig" bauen aber wie jkasten schon sagte, da wir in der Regel keine festen v6 Präfixe haben, ist eine Portfreigabe sinnfrei. Geschäftskundenprodukt mit fester IP Adresse und 250Mbit SVDSL kostet bei der Telekom 95€/Monat inkl. MwSt. nur mal so nebenbei :nauseated_face:


    Okay das war jetzt etwas viel Offtopic.

    Mich würde auch mal intressieren wie sich das mit der Firewall verhält.

    Ich bekomme von meinem Provider eine feste IPv4 Adresse sowie einen festen IPv6 Präfix.


    Derzeit habe ich aber IPv6 deaktiviert, da ich mich noch nicht wirklich auskenne damit.


    Wenn ich IPv6 nun aktiviere, ist es dann immer noch möglich meinen Raspberry mit Home Assistant per portfreigabe auch über IPv6 zu erreichen statt nur per IPv4?

    In der v3 der UDM scheint das Portfreigabeproblem behoben zu sein. Zumindest ist nach dem Update mein Mailserver per IPv4 und IPv6 erreichbar. Wenn du eine feste Domain hast und den Port bei Internet v6 in freigibst, kannst du IPv6 nutzen.


    was nach wie vor nicht richtig geht: Steuern welches Netzwerk welche Präfix ID nutzt. Ich würde zur Sicherheit nach der Präfix Delegation die UDM neu starten.

    Wichtig, das InterVLAN Routing auch für IPv6 deaktivieren!

    Zitat von awmst4

    In der v3 der UDM scheint das Portfreigabeproblem behoben zu sein. Zumindest ist nach dem Update mein Mailserver per IPv4 und IPv6 erreichbar. Wenn du eine feste Domain hast und den Port bei Internet v6 in freigibst, kannst du IPv6 nutzen.


    was nach wie vor nicht richtig geht: Steuern welches Netzwerk welche Präfix ID nutzt. Ich würde zur Sicherheit nach der Präfix Delegation die UDM neu starten.

    Wichtig, das InterVLAN Routing auch für IPv6 deaktivieren!

    Was ist denn mit InterVLAN Routing gemeint?

    Das ein Gerät aus VLAN 10 mit einem aus VLAN 20 reden kann/darf?


    Ist es theoretisch möglich, intern IPv6 Adressen zu nutzen und extern nur IPv4 bzw. umgedreht?

    Zitat von DesertH2O

    Wie soll man das machen, ohne festes Präfix?

    Das geht bei Unifi nur mit festem Präfix. Bei variablem Präfix sollte IPv6 nur auf einem Netzwerk aktiviert werden oder wenn das uneingeschränkte InterVLAN Routing zwischen den netzen erwünscht ist.