Synology per ipv6 von außen erreichbar obwohl nix in der UDM Firewall freigegeben... WIE sollten die standard Firewallregeln aussehen?

schalte ganz einfach auf der synology ipv6 aus. Zu finden unter systemsteuerung und dann unter Netzwerke. Dort nimmst du deinen LAN deiner Wahl und unter ipv6 stellst du auf aus. Neustart fertig dann testen. Firewall unter ipv6 ist im Moment so gut wie unmöglich in der udm und Co es erfolgreich umzusetzen.

Trotzdem sollte mit den Standard IPv6 Firewallregeln kein Zugriff von aussen möglich sein. Die Dropt alles bis auf established/related so wie auch bei IPv4. Ohne zutun sollte kein Zugriff möglich sein.

Und warum lässt man auf der Synology einen ddns host mit IPv6 aktualisieren wenn man das ohnehin nicht von aussen erreichbar haben möchte?

Wenn du in die Firewall der UDM Pro gehst, dann auf -> InterneV6 IN

Dort siehst du 3 Standard Regeln,

Allow Established related (also die gewollte Antwort wenn du per IPv6 raus gehst)

Drop invalid traffic

Drop all other traffic

Damit ist IPV6 standardmäßig deaktiviert, es sei denn du hast dort zusätzliche Regeln

Oder, Falls du Zugriff von Außerhalb hast, prüfe das nochmal, ich vermute das du dabei über Wireguard innerhalb deines Netzwerkes verbunden warst, oder das doch das WLAN noch aktiviert war als du es getestet hast.

Zitat von Misux

Oder liegt es daran das ipv6 direkt mit dem Gerät redet ?

Würde es darf es aber nicht von außen wenn die FW das tu was sie soll (und das tut sie bei mir)

Die frage ist hast du von außen zugreifen direkt über eine IP oder hat irgendein „Deine Daten überall APP“ cloud Integration

da vorher schon einen Kanal aufgemacht ?

Den RAUS darf IPv6 jederzeit, wenn dein NAS vorher sagt „Hier bin ich“ dann gibt es einen Reverse Kanal

der nutzbar ist. Das ist der übliche weg bei den Kram schon damit das immer und überall klappt auch

wenn das gerät hier einem NAT versteckt ist oder man nicht so rein darf.

IPv6 Online Scanner mit der IP deines NAS könnten Aufschluss geben. Den der darf dann nicht rein...

eine andere Möglichkeit währe noch wenn UPnP aktiviert ist das sich das NAS das Loch in der Firewall selber bauen kann.

den Dreck sollte keiner nutzen (Internet einstellungen)....

Ja, hier geht Unifi einen anderen Weg wie OpnSense oder pfSense. Bei Unifi ist - meiner Meinung nach - alles AUF, außer man schließt es. Bei OpnSense/pfSense ist es genau umgedreht: Dort ist erst einmal ALLES ZU, außer man erlaubt etwas. Finde ich persönlich am Anfang schicker, macht aber auch etwas mehr Arbeit (auch im Gehirn ).

Zitat von Ronny1978

Bei Unifi ist - meiner Meinung nach - alles AUF, außer man schließt es.

Deine Meinung kollidiert mit den Firewall-Regeln, auf die uboot21 oben verweist.

Zitat von gierig

eine andere Möglichkeit währe noch wenn UPnP aktiviert ist das sich das NAS das Loch in der Firewall selber bauen kann.

den Dreck sollte keiner nutzen (Internet einstellungen)....

Da hätte ich auch drauf getippt, Synology und QNAP bieten ja u.a. Dienste an, ihre NAS vom Internet erreichbar zu machen, teilweise über Cloud oder direkt - nicht das in dem Bereich etwas aktiviert ist.
Auch diese Cloud-Backupfunktionen sind mir ein Grauen bei z.b. meiner QNAP.

Zitat von Ronny1978

Ja, hier geht Unifi einen anderen Weg wie OpnSense oder pfSense. Bei Unifi ist - meiner Meinung nach - alles AUF, außer man schließt es. Bei OpnSense/pfSense ist es genau umgedreht: Dort ist erst einmal ALLES ZU, außer man erlaubt etwas. Finde ich persönlich am Anfang schicker, macht aber auch etwas mehr Arbeit (auch im Gehirn ).

OPNSense und PfSense sind ja auch Firewall-Systeme und da ist das Verhalten das einzig richtige - aller verbieten und nur das erlauben, was gewünscht und gewollt wird. Wer sich so ein System hinstellt - und beide System kommen nun mal aus dem Profibereich - sollte wissen, was er macht.

Unifi ist aber keine Firewall, sondern in erster Linie mal ein Router der auch Firewall-Funktionen hat.

Aufgrund der Zielgruppe hat man sich für den Weg entschieden, das System erst mal offen zu lassen um den Nutzer nicht zu überfordern oder was auch immer - in meinen Augen aber ein vollkommen gefährlicher Weg, weil sich die Leute in falscher Sicherheit wiegen.

Zitat von Tomcat

in meinen Augen aber ein vollkommen gefährlicher Weg, weil sich die Leute in falscher Sicherheit wiegen.

So sehe ich das eben auch.

Zitat von Tomcat

Aufgrund der Zielgruppe hat man sich für den Weg entschieden, das System erst mal offen zu lassen

Zitat von Tomcat

beide System kommen nun mal aus dem Profibereich

Aber ich glaube, so wie sich Unifi immer darstellt, wollen die schon eher im Semi-Profi oder Profibereich gesehen werden. ICH glaube nicht, dass eine UDM Pro oder SE nur auf Home-User ausgerichtet ist. Dafür gibt es zu viele Einstellmöglichkeiten. Und die Marketingabteilung sieht die Produkte - wieder MEINE Meinung - schon eher als Firewall wie als "nur" Router. So wird es unter meinen Augen auch vermarktet. Was mich wieder zu meinem ersten Zitat im jetzigen Post führt: Du hast Recht -> falsche Sicherheit. Jeder fühlt sich durch ein Unifi Gateway optimal geschützt. Und hier ist der Trugschluss.

Zitat von Tomcat

Unifi ist aber keine Firewall, sondern in erster Linie mal ein Router der auch Firewall-Funktionen hat.

Sonst bin ich immer der sagt das es ein Router mit Firewall ist und nicht eine Firewall die auch Routen kan.

Moin, das kann man sehen wie man will. So oder so, so einffach wie bei Fritzbox anklemmen und alles ist eingerichtet ist Unifi tatsächlich nicht.

Aber eigentlich ist unsere Hardware wie auch schon erwähnt auch eher was für Hobby bis zum proffesionellen Bereich gedacht.

Das man sich da nicht ausruhen darf sollte einem schon klar sein, wenn man so einen Aufwand betreibt, Leitungen zu legen, Dosen zu setzen, Die Hardware einzusetzen, Netzwerke zu betreiben und sich Gedanken machen welches Gerät wohin kommt und was es darf oder nicht.

Das ganze geht einem da schon durch den Kopf und ich deenke keiner von uns hier kauft einfach nur unifi Hardware weil der Name vlt, schön klingt oder es schick aussieht. Ich denke schon das sich viele hier auch durch gelesen haben was die Geräte können und wofür die eingesetzt werden und so weiter. ich denke es liegt auch nicht am Preis der entscheidet ich nehme mal Unifi.

Also sollten wir doch es entweder eigentlich wissen bis hin zum besser informierten DAU, das wenn wir dieses einsetzen das wir dann auch ein wenig Arbeit haben und uns nicht auf einen vorkonfectionierten Router ausruhen können. Ich denke das hier alles offen ist, soll vlt dazu dienen, weil die nicht ahnen können welche Zenarien eingesetzt werden und was wir damit vor haben. Ich denke daher ist es dann so das wir uns dann auch erst dann überlegen müssen wie setze ich eine Firewall ein und so weiter. Sei es so andere Anbieter haben sowas im Vorfeld, aber aber könnte ja auch sein das es die fehlersuche schwieriger machen könnte wenn etwas nicht geht weil alles dicht ist als eine Aktion die ich gerade gemacht habe wieder zurück zu stellen weil es nicht mehr geht danach.

Was jetzt nun Sinn oder Unisnn ist bei dieser Sache mag jetzt mal dahin gestellt sein. Aber damit wir uns nicht vom Thema entfernen.

Da wir auch nicht alles Informationen vom TE haben, gibt es doch verschiedene Möglichkeiten.

1. Wenn er einen Dualstack Anschluss hatt, dann vlt IPv6 Unterstützung im Unifi System abschalten.

2. Auf der Synology IPv6 von automatisch auf aus stellen.

3. In der Synology gibt es auch eine Firewall, dort mal die Einstellungen prüfen.

4. Synology Support sonst mal um Hilfe bitten, die sind auch kompetend und geben hilfreiche Tipps, um Einstellungen in der Synology entsprechend an zu passen.

5. Was eher ein schwieriges Thema ist IPv6 im unifi System regeln, was aber im Moment eher ein sinnloses Unterfangen ist.

mfg

Zitat von Ronny1978

ICH glaube nicht, dass eine UDM Pro oder SE nur auf Home-User ausgerichtet ist. Dafür gibt es zu viele Einstellmöglichkeiten.

Ich hab jahrelang bei einem IT-Dienstleister gearbeitet und wir haben etliche WLAN-Netze mit Unifi aufgebaut, teilweise auch sehr große Installationen, aber bei keinem einzigen davon ist jemals ein Router/Firewall von Unifi verbaut worden - da haben wir andere Systeme genutzt, die auch problemlos remote adminsitrierbar sind, Loadbalancing können nicht nur mit 2 Leitungen, in unterschiedlichen Hardware-Konfiguration je nach Anforderungen verfügbar sind und vor allen, was am wichtigsten ist - das wir einen sehr gute Support haben.
Und gerade letztere Punkt ist für mich ein absolutes NoGo, Unifi-Produkte an kritischen Punkten ( was eine Firewall nun mal ist ) in einem Geschäftsumfeld zu installieren.

Bei Switchen und AP ist das kein Problem, wenn die kaputt gehen, tauscht man die aus und schickt das defekte Teil ein, die hatten wir immer reichlich auf Lager. Da ist zum einen nicht viel dran, was kaputt gehen kann, meist durch äußere Einflüße, und zum anderen nicht viel zu konfigurieren.

Aber wenn ich ne Firewall konfigurieren muss und da komplette Installationen hinter hängen, da muss ich sicher sein, einen Support hinter mir zu haben, der mir bei Probleme oder Fragen sofort helfen kann, wenn ich deren Hotline anrufe. Und gerade mit Unifi-Support hab ich bisher weder privat noch beruflich gute Erfahrungen gemacht.

Unifi-UDM's sehe ich höchsten dort, wo ein max. Mittelständiges Unternehmen einen Teilzeit-Admin beschäftigt, der das ganze nebenbei betreut und er weiß was er macht. Für große Installation sind die Geräte eh nicht brauchbar.

Zitat von Naichbindas

ch denke das hier alles offen ist, soll vlt dazu dienen, weil die nicht ahnen können welche Zenarien eingesetzt werden und was wir damit vor haben

Industrie standart, KEIN router dieser Welt, kein L3 Switch sperrt z.B Intervall Routing Standardmäßig.

Hier ist der Unifi eher noch im Vorteil weil weil auf IPv4 das Zwangs NAT gibt und IPv6 auch so eingestellt ist das von

EXTERN also WAN nicht rein kommen kann. Das ist bei „Profi geraten wie Cisco eher offener“

Anders als eine Firewall die ist dann auch zu wie man es erwarten würde.

Zitat von Tomcat

Unifi-UDM's sehe ich höchsten dort, wo ein max. Mittelständiges Unternehmen einen Teilzeit-Admin beschäftigt, der das ganze nebenbei betreut und er weiß was er macht. Für große Installation sind die Geräte eh nicht brauchbar.

SOHO, Small Office / Home. Wie du schon sagst kann ich nicht nen Ticket aufmachen und in 4 Stunden

ne Lösung haben bei Unifi, haben die nicht...wollen die nicht...Das reicht aber für den Kiosk, die Klamotten Bude

1 bis 14 in der Einkaufsstraße, den Schlosser von gegenüber oder dem Project Office die Internat Haben wollen

und fertig. Kein Konzern würde auf die Idee Kommen ne UDM PRO (SE) als BorderGateway hinzustellen und

noch CAMS und Telefone dran anzuschließen oder drauf laufen zu lassen.

Das weiß auch unifi und „Enterprise“ ist das aus sicher der gatways auch nicht das ziel. Denn auch das Single gatway

hat zu wenig Ports und keine Freie Konfiguration (NAT wie ich es will, mehrere Netze, Routing Protokolle auch wenn nun OSPF

geht, und so weiter)

Zitat von gierig

Kein Konzern würde auf die Idee Kommen ne UDM PRO (SE) als BorderGateway hinzustellen und

noch CAMS und Telefone dran anzuschließen oder drauf laufen zu lassen.

Zumal die Teile dafür technisch garnicht brauchbar sind.

Beispiel unsere Firma hat 10 GBit-Internetleitung an den Standorten mit hunderten bis tausende von Clients im WLAN's.

Das will ich mit Unifi sehen.

Wir haben Unifi-Switch auch nur dort verbaut, wo ein Unifi-WLAN aufgebaut wurde, alle anderen Installationen wurden mit HP-Switchen gemacht.
Unifi nur, weil wir die remote per Cloud administriert haben, damit nicht für jeden Kleinkram extra jemand hinfahren musste, nur um z.b. mal einen AP zu restarten.

Kann die UDMPro eigentlich mittlerweile mal als NTP-Server im LAN dienen - das konnte die früher nämlich nicht, was absolut lächerlich ist, jede FritzBox kann das.

wow vernichtendes Urteil

Das die Unifis nicht für große und vor allem alle Netze geeignet sind ist selbstredend.

Man sollte aber nicht auf Punkte rumhacken, die man sich schhön zurecht gelegt hat. Unifi hat niemals behauptet das man 10GBit Internetanschlüsse damit auslasten kann. NTP Server muss weder ein Router noch eine Firewall spielen können. Schon gar nicht in einem Netzwerk mit hunderten bis tausenden Clients. Dort wird es wohl andere Geräte geben, die das erledigen können. Ich hab schon mal gehört, dass z.B. Microsoft in Domänen ein System zur Verteilung der Zeit eingebaut hat ... fraglich also ob das jetzt ein Argument für oder gegen einen Router ist.

Da gibt es sicherlich bessere Gründe