Unitymedia IPv6 und Synology

[CapFloor]

Bei Einsatz vom TC7200 gibt es dann "nur noch" die Personal Firewalls, die auf den einzelnen Geräten laufen. Aber eine zentrale Firewall, wie in Routern üblich, gib's nicht mehr (muss ja vollständig abgeschaltet werden im TC7200). In diesem Scenario sind im Prinzip alle IPv6 Geräte "Exposed Hosts" (in IPv4 Terminologie) und müssen selbst für ihre Sicherheit sorgen.

Deshalb ist ja das, was UM mit DSLite und TC7200 liefert praktisch nichts Verwendbares, falls Du vom Internet auf Deine Heimgeräte zugreifen willst: IPv4 geht wegen CGN nicht, IPv6 ist wegen abgeschalteter Firewall im Router TC7200 hoch gefährlich (und deshalb nicht ratsam).

 

[unity11]

Hatte letztes Jahr nach einer Vertragsumstellung das gleiche Problem.. Konnte nicht mehr auf meine Synology von außen zugreifen. Ich wurde ohne es zu wissen ( Januar 2013) auf IPV6 umgestellt. Damals war das alles noch ganz neu.
Habe wochenlang rumgemacht und es nicht zum laufen bekommen ( gut ich bin kein Experte) aber ich habe mich dann wieder auf IPV4 umstellen lassen und alles lief wieder ohne Probleme. Würde also die Möglichkeit sich auf IPV4 umstellen zu lassen bzw. den Vertrag anzupassen auch in Betracht ziehen..

 

[SpaceRat]

Hatte letztes Jahr nach einer Vertragsumstellung das gleiche Problem.. Konnte nicht mehr auf meine Synology von außen zugreifen. Ich wurde ohne es zu wissen ( Januar 2013) auf IPV6 umgestellt. Damals war das alles noch ganz neu.
Habe wochenlang rumgemacht und es nicht zum laufen bekommen ( gut ich bin kein Experte) aber ich habe mich dann wieder auf IPV4 umstellen lassen und alles lief wieder ohne Probleme. Würde also die Möglichkeit sich auf IPV4 umstellen zu lassen bzw. den Vertrag anzupassen auch in Betracht ziehen..

Man kann's anscheinend nicht oft genug wiederholen:

Die Option, von DS-lite auf IPv4-only (bei KabelBW gelegentlich sogar Dual Stack) umgestellt zu werden, haben bei Unitymedia nur solche Kunden, die als Bestandskunde zuvor bereits IPv4 hatten, wo es also lediglich im Zuge einer Vertragsänderung "verloren" ging.

"Neukunden" (Und "neu" meint fast alle seit ca. September 2012 ...) kriegen aber von Anfang an DS-lite und bleiben dann auch darauf.
Nur bei KabelBW ist es wohl auch für diese nach wie vor auf dem Kulanzwege möglich, auf IPv4 umgestellt zu werden, wenn man dies entsprechend begründet (Zugriff auf die Heizungssteuerung zuhause nicht möglich, VPN in die Firma gestört, o.ä.).
Berichte von Kunden, mit Verweis auf diesen Kulanzweg "aus triftigem Grund" auch bei Unitymedia auf IPv4 umgestellt worden zu sein, sind rein anekdotisch, das habe ich hier im Forum von genau einer Person gelesen.

Die einzige Möglichkeit für einen Neukunden zuverlässig an IPv4 zu kommen ist ein Business-Vertrag.

 

[SpaceRat]

(Das TC7200 hat keine IPv6-Firewall, bzw. Du mußt sie komplett abschalten, sobald Du auf irgendwas zugreifen können willst. Einzelne Geräte oder gar Ports in der IPv6-Firewall freizugeben funktioniert beim TC7200 nicht, es heißt immer "alles oder gar nichts").
Prinzipiell funktioniert es aber auch mit dem TC7200.

Hmmm... und gibt es eine Möglichkeit, die fehlende Firewall dann softwareseitig zu ersetzen? Vermutlich nicht, oder zumindest nicht vernünftig, oder?

Wenn ich's Dir erklären muß: Nein ;-)

Mit dem entsprechenden Hintergrundwissen, der notwendigen Hardware-Ausstattung, etc. pp. kriegt man sicherlich sogar eine Hardware-Firewall bzw. einen MiniPC mit z.B. pfsense als Ersatz eingerichtet.

Sogenannte "Personal Firewalls", welche aus technischer Sicht abzulehnen sind, können die entstandene Lücke zu einem gewissen Teil füllen. So würde man aber nicht seriös arbeiten, also erst eine Lücke zu reißen, um sie dann mehr schlecht als recht zu flicken.

Du mußt im Heimnetz über den Tellerrand hinausdenken, also über den Desktop-PC hinaus:
Da gibt es unzählige Geräte, die auch als Computer durchgehen, z.B. Enigma2-Receiver, Raspberry Pi, NAS, ...
Und viele davon haben - über das, was Du absichtlich nutzt hinaus - noch jede Menge anderer Dienste offen, z.B. ist auf fast jedem E2-Receiver Telnet mit einem primitiven Standardpasswort offen. Diese Geräte waren schon immer dafür konzipiert, nur aus dem Heimnetz vollständig erreichbar zu sein und bestenfalls selektiv ins Internet freigegeben zu werden.

Bist Du nun - wie man das in alten Zeiten mit dem PC direkt am DSL-Modem war (Damals gab's den größten Nachschub an Homemade-Pr0n) - sogar mit jedem verk*ckten Gerät direkt und ungeschützt mit dem Internet verbunden, ist das ein Sicherheitsdesaster. Du müßtest Geräte, die für Direktverbindungen mit dem Internet gar nicht entwickelt wurden, jeweils einzeln durch Firewalls schützen.

Beispiel:
Du hast einen Enigma2-Receiver, über dessen Sicherheit Du Dir bisher nie Gedanken gemacht hast, da er eh nicht aus dem Internet erreichbar ist. Über IPv6 ist er aber Dank der Schrotthardware von UM auf einmal erreichbar, woran Du überhaupt nicht denkst, weil Du an sich einfach nur den HTTPS-Port Deines NAS nach außen öffnen willst, was völlig legitim ist, dabei aber halt eben die Firewall ganz abschalten mußt.

Während Du mit dem NAS bastelst kann sich nun jeder per Telnet mit diesem Receiver verbinden, die wohlbekannten Standardpasswörter wie root:dreambox oder root:HDMU u.ä. durchprobieren und hat nun Zugriff auf die Konsole eines weitgehend vollwertigen Linux-Rechners. Auf diesem installiert er nun OpenSSH, welches standardmäßig das selbe Standard-Passwort nutzen wird. Verwendet der Angreifer jetzt diesen OpenSSH als SOCKSv5-Server, dann hat er danach Vollzugriff auf alle Rechner im Heimnetz, als ob er seinen eigenen Rechner an Deinen TC7200 gesteckt hätte. Wahlweise kann er sich auch ein OpenVPN einrichten ...

Das DK7200 taugt also nur theoretisch. Praktisch kommt man bei Unitymedia/KabelBW um eine Fritz!Box 6360 nicht herum.

 

[SpaceRat]

Ein weiteres Problem von Firewalls an der falschen Stelle ist folgendes:

Normalerweise sitzt eine Firewall an Netzgrenzen, schützt also das gesamte Netz (und verhindert ggf. auch bestimmte Aktivitäten aus dem Netz heraus). Innerhalb des Netzes wiederum gelten ja ganz andere Voraussetzungen.
Bestes Beispiel sind CIFS-Server (Also Fileserver. "Windows-Freigaben" sind CIFS-Server und der Linux-Samba ist ein CIFS-Server-Imitat).
Diese will man nicht aus dem Internet erreichbar haben, aber innerhalb des LAN sehr wohl.

Auch einfache SOHO-Router folgen diesem Prinzip:
Innerhalb des Heimnetzes erlauben sie alles (Genau genommen greifen sie hier gar nicht ein ..), kapseln aber das Heimnetz vom Internet ab, bis man es gezielt freigibt.
Dadurch kann man im heimischen LAN zwischen den Geräten darin ohne Einschränkungen alles mögliche hantieren, inkl. dem eigentlich unsicheren Telnet, und ist trotzdem sicher, da diese Dienste ja eben nur aus dem Heimnetz funktionieren.
Wichtig dabei ist: Ein Angriff von innen heraus kommt im Einsatz-Szenario dieser Router nicht vor. In Firmennetzwerken sieht das anders aus, da wird man auch wollen, daß nicht jede Telefonistin alle Entwicklungsunterlagen einsehen oder den Router umkonfigurieren kann.
Für einen SOHO-Router wie eine Fritz!Box sind aber alle Rechner/Nutzer im LAN vertrauenswürdig, weshalb sie gegen Angriffe von innen kaum geschützt ist, was aber eben keine Lücke ist, sondern einfach eine Einschränkung solcher SOHO-Router. Wer mehr will, muß sich halt einen fetten LANCOM, Juniper, Cisco o.ä. zulegen.

Zum Punkt:
Da die Firewall des Routers an der Netzgrenze liegt, kann ich im Heimnetz arbeiten, ohne an der Firewall rumpfuschen zu müssen. Entferne ich diese Firewall und ersetze sie durch Firewalls an der Netzwerkschnittstelle der einzelnen Geräte, dann muß ich fortan immer zwei Regeln pflegen, nämlich eine, die für Zugriffe aus dem Heimnetz gelten und eine für Zugriffe von außen.
Um besagten CIFS-Server aus dem Internet dicht zu machen, muß ich also bspw. Port 445 komplett sperren, danach aber für die IP-Range meines Heimnetzes freigeben, damit ich vom Heimnetz aus noch drauf komme.

In der Windows-Firewall ist das z.B. in dem standardmäßigen Automatik-Modus gar nicht möglich.
Wenn diese fragt, ob <Neues Programm> das Internet nutzen darf und dabei zwei Checkboxen "in privaten Netzen" und "in öffentlichen Netzen" anbietet, dann meint das eben nicht "aus dem lokalen Subnet" und "andere IP-Bereiche", sondern bezieht sich darauf, wie das Netzwerk von uns eingestuft wurde, mit dem wir verbunden sind.

Das spielt an sich nur auf Notebooks bzw. tragbaren Geräten eine Rolle, denn gemeint ist folgendes:
Unser "Heimnetz" haben wir als privates Netzwerk klassifiziert, in dem nur vertrauenswürdige Rechner/Leute arbeiten. Die erste Regel erlaubt nun <Neuem Programm>, in eben solchen vertrauenswürdigen Netzen erreichbar zu sein.
Nehmen wir das Notebook mit und buchen uns damit an einem WLAN-Hotspot ein, dann befinden wir uns auch innerhalb eines LAN, aber in diesem könnte eben genauso gut der Räuber Hotzenplotz eingeloggt sein. Deshalb ist die zweite Regel - welche <Neues Programm> auch in einem solchen "Fremdnetz" erreichbar machen würde - standardmäßig inaktiv.

Kurz:
Die beiden Standardregeln der Windows-Firewall beziehen sich nicht auf die Quelle des Zugriffs, sondern allein den aktuellen Standort unseres Gerätes, bezogen darauf, ob wir das Netzwerk bei dessen Ersteinrichtung als "privates/eigenes" oder "öffentliches" Netz eingestuft haben.

Bei Verwendung eines TC7200 müßte man nun das eigene Heimnetz trotzdem als öffentliches Netz einstufen, da ohne die Firewall Hinz und Kunz drauf zugreifen kann. Danach müßte man für jeden Dienst, den man im Heimnetz auch weiterhin nutzen will, eine Ausnahmeregel für die eigene IP-Range definieren (Was für IPv6 nahezu unmöglich ist, da sich diese wegen des dynamischen Präfixes ständig ändert, Danke Datenschutzidioten).
Sicher wäre das übrigens immer noch nicht, Stichwort IP-Spoofing.
Gewährleisten kann diese Sicherheit eben nur eine externe Firewall an der Netzgrenze, da diese auch Regeln anhand der Schnittstelle hat und was an der WAN-Schnittstelle ankommt kann eben nie LAN-Traffic sein.

Man kriegt das DK7200 also nur dann wirklich sicher, wenn man einen MiniPC mit zwei Netzwerkschnittstellen und pfSense o.ä. zwischen das DK7200 und das Heimnetz hängt, also
DK7200 -> pfSense -> Switch
und dort dann eine ersatzweise Firewall einrichtet.

 

[atsiz77]

So endlich bin ich seit 2 Tagen glücklicher Syno Besitzer. Habe mir das DS114 zugelegt, der mir für meine Bedürfnisse ersteinmal reicht.

Habe unter Netzwerkeinstellungen, eine Option für Tunneln gefunden über google konnte ich über diese Option leider nichts finden.
Kann dieser Tunneloption vielleicht unser Problem mit dem Dual-Stick beheben.....

 

[SpaceRat]

So endlich bin ich seit 2 Tagen glücklicher Syno Besitzer. Habe mir das DS114 zugelegt, der mir für meine Bedürfnisse ersteinmal reicht.

Habe unter Netzwerkeinstellungen, eine Option für Tunneln gefunden über google konnte ich über diese Option leider nichts finden.
Kann dieser Tunneloption vielleicht unser Problem mit dem Dual-Stick beheben.....

Möchlich.

Ich weiß aber anhand dieses Screenshots nicht einmal, welche Tunnel-Technik sich dahinter verbirgt (OpenVPN, LLTP, IPSec, ...).
Ziemlich sicher ist aber, daß Du einen solchen Tunnel bezahlen müßtest.

 

[atsiz77]

Ja @spacerat, im synologyforum hat man mir geschrieben das es wie du auch geschrieben hast einen 6to4-Tunnel ist.
mit einem SixXS soll es angeblich funktionieren.

Wo kann ich es denn sehen welches Tunnelsystem es benutzt weisst du es ?

 

[SpaceRat]

Ja @spacerat, im synologyforum hat man mir geschrieben das es wie du auch geschrieben hast einen 6to4-Tunnel ist.
mit einem SixXS soll es angeblich funktionieren.

Ah.
Das ist so blöd beschrieben, daß man es 10x lesen muß, bis man kapiert, was worin getunnelt wird.

Nein, dieser Tunnel bringt Dir nichts:
Dieser Tunnel sorgt dafür, daß Du auf einem Gerät an einem IPv4-only-Anschluß auch IPv6 zur Verfügung hast.
Da Du aber schon IPv6 hast, ist dieser Tunnel für Dich überflüssig.

Es ist halt allgemeiner Konsens in Fachkreisen, daß das Problem auf der Verursacherseite zu lösen ist, also bei den IPv4-only-Anschlüssen.

Nicht Dein Anschluß ist der eingeschränkte, denn er läuft bereits mit dem aktuellen Internet-Protokoll IPv6, sondern die IPv4-only-Anschlüsse sind das eigentliche Problem.