5
Dynamisches IPV6 Objekt in der Firewall
Hi,
ich beschäftige mich heute zum ersten Mal mit IPV6 und habe Verständnisprobleme wie ich meine Anforderungen umsetzen kann. Ich hoffe das ihr mir da weiterhelfen könnt
Anforderungen:
Ich möchte mein Reverse Proxy Server der bereits per IPV4 aus dem Internet erreichbar ist nun auch mit IPV6 ausstatten.
Rahmenbedingungen:
Meine Anforderungen beschränken sich auf meine private Umgebung. Über meinen Dienstleister in der Fa. habe ich eine Fortigate 40F günstig erhalten und habe meine virtualisierte Sophos XG abgelöst. Auf der Sophos XG waren meine Anforderungen noch nicht umgesetzt (Konnte kein IPV6 PD über PPPOE).
Was ich bereits umgesetzt hatte:
Über die Telekom erhalte ich per PPPOE eine IPV6 Netwerk Präfix von /56 Maske. Dieser Präfix ist leider Dynamisch und nicht statisch. Per Präfix Delegation segmentiere ich diese pro Interface/VLAN auf eine /64 Maske. Die Clients z. B. der Reverse Proxy bilden dann per Slaac Ihre IPV6 Adresse.
Damit erhält der Reverse Proxy 3x IPV6 Adressen:
- Globale
- Temporäre aufgrund des Privacy Extension Flag
- Link-Lokale
Auf dem Reverse Proxy ist für mein vorhaben ja die Globale IPV6 Adresse relevant. Diese Adresse registriere ich per DDNS Client bei meinen DDNS Provider. Auf der Fortigate habe ich entsprechend eine Firewall Policy gebaut, der eingehende Anfragen per HTTP und HTTPS erlauben. Der Zugriff von außen funktioniert auch problemlos.
Nun stelle ich mir aber die Frage, wie das IP Objekt auf der Firewall abgebildet wird, da der Präfix vom Provider dynamisch verteilt wird. Auf diesen habe ich leider keinen Einfluss. Beim nächsten Einwahl z. B. durch einen Neustart der Firewall kann sich die IP-Adresse vom Client verändern. Im Gegensatz zu IPV4, route ich direkt zum Server und kann die Interface Adresse der Firewall nicht als Destination Objekt nutzen.
Zurzeit sehe ich zwei Möglichkeiten, die mir beide aber nicht gefallen.
1. Ich füge der Firewall eine weitere IPV6 Adresse auf dem Interface hinzu und Natte auf den Server. Damit untergrabe ich jedoch die Konzepte von IPV6 nach meinen Verständnis. :D
2. Als Destination Objekte trage ich in der Firewall die FQDN vom DDNS ein und erhalte damit die aktuelle Adresse. Ein Dynamisches Objekt als Destination im Regelwerk habe ich jedoch etwas Bauchweh. :D
Config:
WAN Interface:
DMZ Interface:
Firewall Policy (Die Fortigate habe ich im NGFW Mode laufen. Daher kann ich das Regelwerk auf Applikationen und deren Default Port beschränken):
Evtl. waren das auch zu viele Informationen. Jedoch wird die Frage ggf. für euch etwas greifbarer. Falls die Informationen nicht ausreichen sollte, liefere ich gerne etwas nach
Vielen Dank für eure Unterstützung
ich beschäftige mich heute zum ersten Mal mit IPV6 und habe Verständnisprobleme wie ich meine Anforderungen umsetzen kann. Ich hoffe das ihr mir da weiterhelfen könnt
Anforderungen:
Ich möchte mein Reverse Proxy Server der bereits per IPV4 aus dem Internet erreichbar ist nun auch mit IPV6 ausstatten.
Rahmenbedingungen:
Meine Anforderungen beschränken sich auf meine private Umgebung. Über meinen Dienstleister in der Fa. habe ich eine Fortigate 40F günstig erhalten und habe meine virtualisierte Sophos XG abgelöst. Auf der Sophos XG waren meine Anforderungen noch nicht umgesetzt (Konnte kein IPV6 PD über PPPOE).
Was ich bereits umgesetzt hatte:
Über die Telekom erhalte ich per PPPOE eine IPV6 Netwerk Präfix von /56 Maske. Dieser Präfix ist leider Dynamisch und nicht statisch. Per Präfix Delegation segmentiere ich diese pro Interface/VLAN auf eine /64 Maske. Die Clients z. B. der Reverse Proxy bilden dann per Slaac Ihre IPV6 Adresse.
Damit erhält der Reverse Proxy 3x IPV6 Adressen:
- Globale
- Temporäre aufgrund des Privacy Extension Flag
- Link-Lokale
Auf dem Reverse Proxy ist für mein vorhaben ja die Globale IPV6 Adresse relevant. Diese Adresse registriere ich per DDNS Client bei meinen DDNS Provider. Auf der Fortigate habe ich entsprechend eine Firewall Policy gebaut, der eingehende Anfragen per HTTP und HTTPS erlauben. Der Zugriff von außen funktioniert auch problemlos.
Nun stelle ich mir aber die Frage, wie das IP Objekt auf der Firewall abgebildet wird, da der Präfix vom Provider dynamisch verteilt wird. Auf diesen habe ich leider keinen Einfluss. Beim nächsten Einwahl z. B. durch einen Neustart der Firewall kann sich die IP-Adresse vom Client verändern. Im Gegensatz zu IPV4, route ich direkt zum Server und kann die Interface Adresse der Firewall nicht als Destination Objekt nutzen.
Zurzeit sehe ich zwei Möglichkeiten, die mir beide aber nicht gefallen.
1. Ich füge der Firewall eine weitere IPV6 Adresse auf dem Interface hinzu und Natte auf den Server. Damit untergrabe ich jedoch die Konzepte von IPV6 nach meinen Verständnis. :D
2. Als Destination Objekte trage ich in der Firewall die FQDN vom DDNS ein und erhalte damit die aktuelle Adresse. Ein Dynamisches Objekt als Destination im Regelwerk habe ich jedoch etwas Bauchweh. :D
Config:
WAN Interface:
config system interface
edit "wan"
set vdom "root"
set mode pppoe
set type physical
set role wan
set snmp-index 1
config ipv6
set ip6-mode pppoe
set dhcp6-prefix-delegation enable
set autoconf enable
config dhcp6-iapd-list
edit 1
set prefix-hint ::/56
set prefix-hint-plt 0
set prefix-hint-vlt 0
next
end
end
set username $username
set password $password
next
endDMZ Interface:
config system interface
edit "VLAN 80"
set vdom "root"
set ip 10.1.80.254 255.255.255.0
set allowaccess ping
set alias "DMZ-1 Webserver"
set device-identification enable
set role dmz
set snmp-index 15
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping
set ip6-send-adv enable
set ip6-other-flag enable
set ip6-upstream-interface "wan"
set ip6-delegated-prefix-iaid 1
set ip6-subnet ::50:0:0:0:1/64
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan"
set delegated-prefix-iaid 1
set subnet 0:0:0:50::/64
next
end
end
set interface "lan1"
set vlanid 80
next
endFirewall Policy (Die Fortigate habe ich im NGFW Mode laufen. Daher kann ich das Regelwerk auf Applikationen und deren Default Port beschränken):
config firewall security-policy
edit 86
set uuid a2cdl2öc-143f-21de-a315-a01c31c942de
set name "Untrust -> Reverse Proxy App IPV6"
set srcintf "Untrust"
set dstintf "DMZ"
set srcaddr6 "Germany IPV6"
set dstaddr6 "Globale IPV6 Adresse des Reverse Proxy"
set action accept
set schedule "always"
set logtraffic all
set ips-sensor "default"
set application 15893 40568 41540 47013 || HTTP.BROWSER HTTPS.BROWSER SSL_TLSv1.2 SSL_TLSv1.3
next
endEvtl. waren das auch zu viele Informationen. Jedoch wird die Frage ggf. für euch etwas greifbarer. Falls die Informationen nicht ausreichen sollte, liefere ich gerne etwas nach
Vielen Dank für eure Unterstützung
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5841007771
Url: https://administrator.de/contentid/5841007771
Printed on: April 28, 2024 at 12:04 o'clock
5 Comments
Latest comment
Hallo,
ich weiß jetzt nicht, wie das genau bei FortiGate läuft, aber kannst Du statt eines „IP-Objektes“ nicht ein „FQDN-Objekt“ mit dem DynDNS-Namen verwenden. Die Firewall müsste doch auch mit FQDNs umgehen können und diese aktualisieren?
Ansonsten müsste es doch per API geändert werden können. https://docs.fortinet.com/document/fortimail/6.0.4/rest-api-reference
Grüße
lcer
ich weiß jetzt nicht, wie das genau bei FortiGate läuft, aber kannst Du statt eines „IP-Objektes“ nicht ein „FQDN-Objekt“ mit dem DynDNS-Namen verwenden. Die Firewall müsste doch auch mit FQDNs umgehen können und diese aktualisieren?
Ansonsten müsste es doch per API geändert werden können. https://docs.fortinet.com/document/fortimail/6.0.4/rest-api-reference
Grüße
lcer
Hallo Icer,
vielen Dank für dein Vorschlag. Dasselbe hatte ich mir auch überlegt, jedoch sehe ich hier die Gefahr, dass mein DDNS Provider bzw. wer Zugriff auf die Administrationsebene des DDNS hat meine Firewallregel in gewisser Weise beeinflussen kann. Er kann theoretisch eine andere IP aus dem Subnetz im AAAA-Record hinterlegen. Damit könnte es passieren, dass meine anderen Clients auf einmal im Internet erreichbar sind. Da die Regeln auf Zonen basieren, wird dieser zumindest aber andere Zonen wie dem Internen Netz nicht erreichen können. Evtl. sehe ich das daher auch etwas zu kritisch :D
Habe gedacht, dass es für sowas Konzepte/RFC-Standards oder so gibt wie die Adresse dargestellt werden kann und ich diese bisher noch nicht gefunden habe :D -> (Nur eine Überlegung - z. B. [VariablePräfixInterface:50:A2:10:F2:D] oder so :D)
Bin für weitere Vorschläge oder gegen Argumentation offen
vielen Dank für dein Vorschlag. Dasselbe hatte ich mir auch überlegt, jedoch sehe ich hier die Gefahr, dass mein DDNS Provider bzw. wer Zugriff auf die Administrationsebene des DDNS hat meine Firewallregel in gewisser Weise beeinflussen kann. Er kann theoretisch eine andere IP aus dem Subnetz im AAAA-Record hinterlegen. Damit könnte es passieren, dass meine anderen Clients auf einmal im Internet erreichbar sind. Da die Regeln auf Zonen basieren, wird dieser zumindest aber andere Zonen wie dem Internen Netz nicht erreichen können. Evtl. sehe ich das daher auch etwas zu kritisch :D
Habe gedacht, dass es für sowas Konzepte/RFC-Standards oder so gibt wie die Adresse dargestellt werden kann und ich diese bisher noch nicht gefunden habe :D -> (Nur eine Überlegung - z. B. [VariablePräfixInterface:50:A2:10:F2:D] oder so :D)
Bin für weitere Vorschläge oder gegen Argumentation offen
Hallo,
dann verwende deinen eigenen DDNS-Dienst z.B. https://www.tech-island.com/tutorials/webserver/eigener-dynamicdns-ddns- ...
Grüße
lcer
dann verwende deinen eigenen DDNS-Dienst z.B. https://www.tech-island.com/tutorials/webserver/eigener-dynamicdns-ddns- ...
Grüße
lcer
Denkbar wäre auch lokale ULA Adressen (fd:...) für die Absender IP des Proxies und der Server zusätzlich zu verwenden. So hätte zumindestens der Proxy und die Server immer feste statische v6 Adressen mit denen sie sich lokal erreichen können
Hallo Ihr beiden,
Danke für eure Vorschläge. Ich schaue mir das am Wochenende mal wie ich das praktikabel umsetzen kann. 😊
Danke für eure Vorschläge. Ich schaue mir das am Wochenende mal wie ich das praktikabel umsetzen kann. 😊
