Beiträge von nikos1988

  • dynamische Portfreigabe bei/mit IPv6

    Hi,

    danke schon mal für die Antwort. Ich hatte über die GUI schon einmal eine Rule für IPv6 hinzugefügt, allerdings ohne maskiertes Prefix.

    Das sieht dann so aus bei den WAN_IN Regeln:

    Code
    root@UDMSE:~# ip6tables --list-rules UBIOS_WAN_IN_USER
-N UBIOS_WAN_IN_USER
-A UBIOS_WAN_IN_USER -m conntrack --ctstate RELATED,ESTABLISHED -m comment --comment 00000001095216663483 -j RETURN
-A UBIOS_WAN_IN_USER -m conntrack --ctstate INVALID -m comment --comment 00000001095216663484 -j DROP
-A UBIOS_WAN_IN_USER -m set --match-set UBIOS_61f50bf99ad68109199354e9 dst -m set --match-set UBIOS_61f50c139ad68109199354ea dst -m comment --comment 00000001095216664980 -j RETURN
-A UBIOS_WAN_IN_USER -j LOG
-A UBIOS_WAN_IN_USER -m comment --comment 00000001097364144126 -j DROP

    Die Regel taucht dann als "-A UBIOS_WAN_IN_USER -m set --match-set UBIOS_61f50bf99ad68109199354e9 dst -m set --match-set UBIOS_61f50c139ad68109199354ea dst -m comment --comment 00000001095216664980 -j RETURN" auf. Nun tue ich mich leider etwas schwer mit ip6tables. Im Prinzip möchte ich ja nur UDP+TCP Port 1194 für "::1234:abcd:0011:1234/::ffff:ffff:ffff:ffff" öffnen.

    Die GUI Regeln scheinen ja nur irgendwelche sets aus der db zu matchen, wo dann Ports und IPV6 Adressen vermutlich drin stehen.


    EDIT:


    So ich habe es vermutlich richtig hinbekommen:

    Code
    ip6tables -I UBIOS_WAN_IN_USER 3 -d ::1234:abcd:0011:1234/::ffff:ffff:ffff:ffff -p tcp -m multiport --dport 1194 -j RETURN


    Allerdings ist die Regel natürlich nach jeder Provisionierung der UDM SE wieder weg.


    Wie könnte ich das mit den udm-utilities nun persistieren?

  • dynamische Portfreigabe bei/mit IPv6

    Hi,

    gestern bin ich von einer alten USG-Pro auf eine neue UDM SE umgestiegen und soweit zufrieden, mit Ausnahme von IPv6 Firewall Regeln.


    Bei meiner alten USG-Pro konnte ich in der config.gateway.json Ports für IPv6 freigeben mit Regeln wo das Prefix maskiert wurde, z.B. so:

    Code
    "2500": {
  "action": "accept",
  "description": "OpenVPN",
  "destination": {
  "address": "::1234:abcd:0011:1234/::ffff:ffff:ffff:ffff",
  "port": "1194"
  },
  "log": "enable",
  "protocol": "tcp_udp"
},


    In der UDM SE wird das leider nicht mehr unterstützt. Kann man trotzdem irgendwie so eine Freigabe einrichten?

    Alle 24h wechselt bei mir das von der Telekom vergeben Prefix.


    Via SSH kann ich zumindest mit ip6tables mit die Regeln anschauen und könnte vermutlich auch eine erstellen. Oder gibt es da einen besseren Weg?

    Im GUI kann man die IPv6 Adress Group leider nicht mit der Maske eintragen.