Unitymedia Home Server mit Unitymedia IPv6 und Sophos Firewall

[Raketenforscher]

Hallo, ich bin neu hier

- und habe mal ein Problem für die Netzwerkexperten hier, da ich in Sachen IPv6 noch ein eher ein Noob bin

Ich möchte einen Home Server aufsetzen.

Meine IT sieht folgrendermaßen aus: Der Unitymedia-Router (TC7200) ist zum reinen Gateway degradiert. Firewall aus, DHCP aus, WLAN aus. Dahinter folgt eine Sophos UTM Appliance als Firewall mit zwei Netzwerkschnittstellen. Die externe ist mit dem Gateway verbunden, die interne mit einer Apple Time Capsule - jeweils mit festen IPs und unterschiedlichen IPv4-Subnetzen (extern 192.168.0.0/24, intern 192.168.1.0/24). Die Time Capsule wiedrum fungiert als DHCP Server für die Endgeräte.

Soweit funktioniert alles. Nun habe ich als junger Unitymedia-Kunde bekanntlich keine "eigene" IPv4-Adresse, wohl aber eine (dynamische) IPv6-Adresse. Jetzt versuche ich mich Stück für Stück "von außen" durch meine Geräte zu hangeln. Zunächst lasse ich mal die Time Capsule ganz weg.

Testweise kommt als Home Server ein Linux-System mit Apache2 zum Einsatz. Schließe ich dieses direkt ans Gateway an, bekommt die Linux-Maschine per Router Advertisement ja eine eigene global unicast address mit dem von Unitymedia zugewiesenen /64-Präfix. Den Rechner kann ich von außerhalb auch anpingen und der Port 80 wird als offen erkannt - so weit, so gut (via DynDNS kann ich die Test-HTML-Seite auch aufrufen - natürlich nur mit IPv6, aber immerhin).

Jetzt soll die Firewall dazwischen. Ich könnte das natürlich alles über statische global unicast Adressen machen, aber da mein IPv6-Präfix alle paar Monate (oder so) erneuert wird, ist das keine Option (oder?).

Was hab ich jetzt für Möglichkeiten? Ich habe dann mal DHCP auf dem Gateway aktiviert. Dann bekommt meine externe Firewall-Schnittstelle eine dynamische v6-Adresse mit aktuellem Präfix. Aber wie komm ich dann ins interne IPv4 Netz weiter? Port-Weiterleitungen gibt es bei IPv6 ja nicht mehr. Also denke ich mal, dass NAT notwendig sein wird und habe daher auf der Firewall folgende NAT-Regel definiert:
For traffic from: any v4 and v6 address
Service: HTTP (1:65535 -> 80)
going to: External WAN address
Change Destination to: IP(v4) des Webservers

Das führt allerdings nicht zum Erfolg. Wenn ich die IPv6 der externen Firewall-Schnittstelle über die Seite http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-port-scanner.php auf Port 80 scanne, erhalte ich den Status "offline".

Wo ist mein Denkfehler? Was hab ich übersehen? Bin ich komplett auf dem Holzweg?

Danke im Voraus

 

[reset]

Das liegt am ipv6 ds lite [1] und wird so nix werden.

Es gibt schon viele Beschwerden darüber : http://www.unitymediakabelbwforum.de/viewtopic.php?f=53&t=23008
Ist ein Mamut Thread, ich weiß....

Gruß reset

[1] http://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_.28DS-Lite.29

 

[Raketenforscher]

Joa, den Thread kenn ich, aber durch die 1182 Antworten hab ich mich jetzt noch nicht gewühlt...

Ich hatte gehofft, das irgendwie über IPv6 regeln zu können. Über "reines" IPv6 geht das ja auch, aber dazu muss halt auch der Client IPv6 sprechen.

Verstehe ich das richtig, dass mein NAT64-Ansatz nicht klappt, weil UM die eingekapselten v4-Ports rausfiltert?

WIe sieht es mit Tunnelmechanismen aus? Ließe sich da was bewerkstelligen?

Na ja, vielleicht sollte ich mir doch mal den verlinkten Thread vornehmen... 8)

 

[Knifte]

NAch meinem Verständnis klappt das nur, wenn die Geräte die zugreifen auch IPv6 beherrschen.

 

[SpaceRat]

Testweise kommt als Home Server ein Linux-System mit Apache2 zum Einsatz. Schließe ich dieses direkt ans Gateway an, bekommt die Linux-Maschine per Router Advertisement ja eine eigene global unicast address mit dem von Unitymedia zugewiesenen /64-Präfix. Den Rechner kann ich von außerhalb auch anpingen und der Port 80 wird als offen erkannt - so weit, so gut (via DynDNS kann ich die Test-HTML-Seite auch aufrufen - natürlich nur mit IPv6, aber immerhin).

Jetzt soll die Firewall dazwischen. Ich könnte das natürlich alles über statische global unicast Adressen machen, aber da mein IPv6-Präfix alle paar Monate (oder so) erneuert wird, ist das keine Option (oder?).
...
Wo ist mein Denkfehler? Was hab ich übersehen? Bin ich komplett auf dem Holzweg?

Das Problem ist, daß das TC7200 immer Router bleibt und zwar ein schlechter.

Laut Deiner Beschreibung hast Du die Sophos Firewall so eingerichtet, daß sich auf jeder Seite ein eigenes Netz befindet und was für IPv4 (Wenn auch nur mit den lokalen IPs) gilt, gilt zuerst einmal auch für IPv6.
Die FW kriegt nun also vom TC7200
- eine private IPv4 (Bzw. Du stellst sie ein)
und
- eine einzige öffentliche IPv6-Adresse

Murks ist das in beiden Fällen, aber bei IPv4 hat man sich ja schon dran gewöhnt und mit NAT einen Murks oben drauf gesetzt, der den ersten Murks wieder ausgleicht, d.h. die Firewall kann, obwohl sie nur eine einzige IPv4 kriegt, ein ganzes Netz dahinter versorgen, das einfach wiederum mit privaten IPv4-Adressen aus einem anderen Netz versorgt wird.

Bei IPv6 ist das aber nicht nötig, weil man massig und genug Adressen hat (Dein Anschluß kriegt nämlich sogar ein /57er oder gar /56er Präfix zugewiesen, das reicht für 128 oder gar 256 Subnetze a /64. Ein nachgeschalteter IPv6-Router kann also vom vorgeschalteten ein oder mehrere komplette Subnetze zur Verfügung gestellt bekommen und genau das erwarten IPv6-Router dann auch.
Murks a la "die eine öffentliche IPv6-Adresse um-NAT-en auf ein privates IPv6-Netz oder gar ein IPv4-Netz" ist i.d.R. nicht vorgesehen, weil eigentlich unnötig.

Das Problem:
Dem TC7200 fehlt hierzu das entscheidende Feature, nämlich die "DHCPv6 Prefix Delegation" (PD).
Mittels PD könnte er der FW sagen: "Hier haste ein /60er Teilnetz aus meinem /57er Präfix, sieh zu, was Du damit machst". Tut das TC7200 aber nicht ...

Kannst Du die Firewall in einen Modus versetzen, in dem sich beide Anschlüsse im selben Netz befinden und die Firewall nur die Pakete inspiziert und ggf. ablehnt oder eben weiterleitet?
Also wirklich reine Firewall ... bei getrennten Netzen je Seite ist es ja fast wieder ein Router ...

 

[Raketenforscher]

Das Problem:
Dem TC7200 fehlt hierzu das entscheidende Feature, nämlich die "DHCPv6 Prefix Delegation" (PD).
Mittels PD könnte er der FW sagen: "Hier haste ein /60er Teilnetz aus meinem /57er Präfix, sieh zu, was Du damit machst". Tut das TC7200 aber nicht ...

Ist das ein Problem des TC7200? Ein /64-Präfix hab ich ja an der Firewall, aber das ändert sich ja dann und wann.

Kannst Du die Firewall in einen Modus versetzen, in dem sich beide Anschlüsse im selben Netz befinden und die Firewall nur die Pakete inspiziert und ggf. ablehnt oder eben weiterleitet?
Also wirklich reine Firewall ... bei getrennten Netzen je Seite ist es ja fast wieder ein Router ...

Müsste gehen. Ich kann die beiden Schnittstellen zu einer Netzwerkbrücke zusammenfassen. Das müsste doch das doch sein, oder?

 

[SpaceRat]

Dem TC7200 fehlt hierzu das entscheidende Feature, nämlich die "DHCPv6 Prefix Delegation" (PD).

Ist das ein Problem des TC7200? Ein /64-Präfix hab ich ja an der Firewall, aber das ändert sich ja dann und wann.

Daß sich das Präfix ändert ist bei deutschen Providern leider normal.

Bist Du denn sicher, daß es nicht einfach das selbe Präfix ist, das auch das TC7200 nutzt?

Das TC7200 kriegt ein größeres Subnet als nur ein /64er, es kriegt mindestens ein /58er Präfix.
Für sich selber bzw. das Heimnetz benutzt sie davon aber nur das erste /64er, die restlichen könnte es prinzipiell an nachgeschaltete Router weiterdelegieren, tut es aber nicht.

Vergleich die Präfixe mal genau:
2001:db8:affe:c0c0:1234:5678:9abc:def0 und 2001:db8:affe:c0c0:fedc:ba98:7654:3210 sind das selbe Netz,
2001:db8:affe:ff00:1234:5678:9abc:def0 und 2001:db8:affe:ff90:fedc:ba98:7654:3210 hingegen sind unterschiedliche Netze.

Solltest Du - wider erwarten - an der "WAN-Seite" der Sophos Firewall ein anderes Subnet angezeigt bekommen als das TC7200 nutzt, dann könntest Du damit tatsächlich weiterarbeiten und es - firewalled - zur LAN-Seite durchrouten.
Wenn es hingegen - wie ich erwarte - das selbe ist, dann darfst Du an der Firewall nicht in "WAN-Seite" und "LAN-Seite" auftrennen, sonst beziehen die Clients auf der LAN-Seite keine IPv6-Adressen.

Kannst Du die Firewall in einen Modus versetzen, in dem sich beide Anschlüsse im selben Netz befinden und die Firewall nur die Pakete inspiziert und ggf. ablehnt oder eben weiterleitet?
Also wirklich reine Firewall ... bei getrennten Netzen je Seite ist es ja fast wieder ein Router ...

Müsste gehen. Ich kann die beiden Schnittstellen zu einer Netzwerkbrücke zusammenfassen. Das müsste doch das doch sein, oder?

Vom Namen her nicht wirklich, eine "Netzwerkbrücke" (Bridge) wäre volltransparent, würde also eigentlich gar nichts mehr machen.

Kann aber sein, daß das nur eine Unschärfe bei der Bezeichnung ist, denn eine Netzwerkbrücke zwischen zwei RJ45-Anschlüssen würde die Sophos Firewall zu sowas degradieren:
Patchkabelkupplung Cat.6 2xRJ45-Buchse.

Das würde also keinen Sinn ergeben, insofern hoffe ich - für Dich - daß die damit gebaute Bridge eben keine volltransparente Bridge ist, sondern zumindest die Firewall-Funktionalität auf die durchgeleiteten Pakete anwendet.
Wenn's das leistet, wäre es perfekt.

 

[Raketenforscher]

Solltest Du - wider erwarten - an der "WAN-Seite" der Sophos Firewall ein anderes Subnet angezeigt bekommen als das TC7200 nutzt, dann könntest Du damit tatsächlich weiterarbeiten und es - firewalled - zur LAN-Seite durchrouten.

Nee, das ist schonn das Subnet des TC7200. So weit ist mir das auch schon klar - der WAN-Port der Firewall holt sich halt per router advertisement seine IPv6 mit /64-Präfix der TC7200. Ich hatte halt gehofft, ich könnte dieses Präfix halt auch an die interne Schnittstelle und die anderen Geräte durchreichen. Die haben halt dann alle dasselbe /64-Präfix, nämlich das des TC7200. Spricht meines Erachtens theoretisch nichts dagegen.

Wenn es hingegen - wie ich erwarte - das selbe ist, dann darfst Du an der Firewall nicht in "WAN-Seite" und "LAN-Seite" auftrennen, sonst beziehen die Clients auf der LAN-Seite keine IPv6-Adressen.

Gut, bei IPV6 leuchtet mir das ein, das ist ja NAT. Ich dachte, IPv6 wäre davon unabhängig (s.o.). Das war dann wohl mein entscheidender Denkfehler.

Kann aber sein, daß das nur eine Unschärfe bei der Bezeichnung ist, (...) sondern zumindest die Firewall-Funktionalität auf die durchgeleiteten Pakete anwendet

So ist es. Das ist dann keine physikalische Brücke, sondern eine logische. Die Geräte dahinter sind dann alle im gleichen (v4-)Subnet des TC7200.

 

[Joerg]

Vielleicht solltest Du Dir für 5€/Monat die Telefon-Komfort-Option gönnen, da bekommst Du eine Fritz!Box 6360. Die funktioniert m. W. - anders als das TC7200 - der Spezifikation entsprechend incl. Prefix-Delegation.

Jörg

 

[SpaceRat]

Solltest Du - wider erwarten - an der "WAN-Seite" der Sophos Firewall ein anderes Subnet angezeigt bekommen als das TC7200 nutzt,

Nee, das ist schonn das Subnet des TC7200. So weit ist mir das auch schon klar - der WAN-Port der Firewall holt sich halt per router advertisement seine IPv6 mit /64-Präfix der TC7200. Ich hatte halt gehofft, ich könnte dieses Präfix halt auch an die interne Schnittstelle und die anderen Geräte durchreichen. Die haben halt dann alle dasselbe /64-Präfix, nämlich das des TC7200. Spricht meines Erachtens theoretisch nichts dagegen.

Doch, da spricht schon was dagegen: Du hast es selber ausgeschaltet!

Computer - und Deine Firewall ist auch nur ein solcher - sind dumm und machen sturheil das, was Du ihnen sagst.
Als Du ihm gesagt hast: Du hast an den Netzwerkschnittstellen zwei getrennte Netze, hat er Dir das eben geglaubt

Und so wie die Telekom keine IP-Adressen aus dem Vodafone-Netz verwenden kann, kann das durch Deine Firewall abgetrennte eigene Netz nicht dieselben Adressen verwenden wie das Netz davor.

Wenn es hingegen - wie ich erwarte - das selbe ist, dann darfst Du an der Firewall nicht in "WAN-Seite" und "LAN-Seite" auftrennen, sonst beziehen die Clients auf der LAN-Seite keine IPv6-Adressen.

Gut, bei IPV6 leuchtet mir das ein, das ist ja NAT. Ich dachte, IPv6 wäre davon unabhängig (s.o.). Das war dann wohl mein entscheidender Denkfehler.

Wie? Was?
Der Denkfehler ist es, zwei getrennte Netze mit denselben Adressen laufen lassen zu wollen, denn dann wäre es doch wieder ein Netz.
Das geht einfach nicht, weder bei IPv4 noch bei IPv6.

Wenn zwei "Müller" im selben Haus wohnen, nutzen getrennte Briefkästen auch nichts, solange sie nicht den Vornamen noch mit draufschreiben um doch wieder unterschiedliche Adressen zu haben.

So ist es. Das ist dann keine physikalische Brücke, sondern eine logische. Die Geräte dahinter sind dann alle im gleichen (v4-)Subnet des TC7200.

Das sollte funktionieren.

 

[SpaceRat]

Vielleicht solltest Du Dir für 5€/Monat die Telefon-Komfort-Option gönnen, da bekommst Du eine Fritz!Box 6360. Die funktioniert m. W. - anders als das TC7200 - der Spezifikation entsprechend incl. Prefix-Delegation.

Die Prefix Delegation an sich funktioniert zwar, aber eingehender Traffic für das delegierte Prefix wird durch die Firewall der Fritz!Box nicht durchgelassen (Abgesehen von der conntrack-Funktion).

Sprich:
Im delegierten Präfix funktioniert alles genauso wie an einem TC7200 mit aktiver IPv6-Firewall: Surfen und sonstige Client-Nutzung geht, Server hingegen nicht.

Wie weit man mit dem Aufbau des OP kommt interessiert mich schon lange. Im Prinzip sollte das nämlich funktionieren.
Das TC7200 bleibt dabei zwar Router, kriegt aber seine Firewall auf Durchzug gestellt und durch eine nachgeschaltete HW-Firewall ersetzt.

Dieser Aufbau ist insoweit interessant, als auch OpenWRT-Router ab 12.09.1 und 14.x wohl als IPv6-Hardware-Firewall arbeiten können, man braucht also keine Hardware im dreistelligen Preissegment samt Support-Vertrag, sondern es reicht ein Router aus dem Preissegment 50-100 EUR.

 

[Raketenforscher]

Der Denkfehler ist es, zwei getrennte Netze mit denselben Adressen laufen lassen zu wollen, {/quote}

Ja... jein... ich dachte halt, ich könnte trotz getrennter v4-Netze ein gemeinsames v6-Netz haben.

Das sollte funktionieren.

Tut es auch. Ich hab jetzt zumindest schon mal hinter der Firewall an einem Host das korrekte /64-Präfix. Das ist ja schon mal gut.

Jetzt ist der nächste Schritt, die Apple WLAN Basisstation zu integrieren. Bislang war das mein Access Point und DHCP Server im LAN. Dummerweise lässt sich das Ding nur schlecht konfigurieren, und bislang sieht es so aus, dass es mir mit Gewalt eine v6-Umnummerierung aufzwingen will. Na, ich tüftel dann mal weiter...

 

[SpaceRat]

Der Denkfehler ist es, zwei getrennte Netze mit denselben Adressen laufen lassen zu wollen,

Ja... jein... ich dachte halt, ich könnte trotz getrennter v4-Netze ein gemeinsames v6-Netz haben.

OpenWRT kann sowas.
Wirklich sauber ist das nicht, weil das Gerät dann halb Router (Für IPv4) und halb Bridge/reine Firewall (Für IPv6) ist.

Wenn man mit so einem Anschluß wie bei Unitymedia geschlagen ist ist so ein Betriebsmodus natürlich praktisch, allerdings wird man den wohl kaum in Profi-Hardware vorfinden (Weil er eben jenseits der Standard ist).

Jetzt ist der nächste Schritt, die Apple WLAN Basisstation zu integrieren. Bislang war das mein Access Point und DHCP Server im LAN. Dummerweise lässt sich das Ding nur schlecht konfigurieren, und bislang sieht es so aus, dass es mir mit Gewalt eine v6-Umnummerierung aufzwingen will. Na, ich tüftel dann mal weiter...

Örgls, Apple ....

Ich meine aber, daß Apple den Betriebsmodus seiner Router als "Access Point" auch "Bridge" nennt. Mehr kann ich Dir zu deren Kram nicht sagen.

Bevor Du aber damit rumspielst würde ich erst einmal den DHCP-Server im TC7200 abschalten und mal alles im Netzwerk danach power cyclen (Aus- und einschalten). Ich könnte mir vorstellen, daß bei abgeschaltetem DHCP im TC7200 auch andere Dinge nicht mehr gehen ...
Nur wenn die IPv6-Adressvergabe dann noch funktioniert, kannst Du den DHCP-Server des TC7200 tatsächlich ausschalten und durch einen anderen, z.B. auf dem Apple-Teil, ersetzen.

 

[Raketenforscher]

Also, was die Apple-HArdware geht, das Problem scheint geringer zu sein. Wenn ich da alle IPv6-Optionen auf "Automatic" setze, bekomme ich das /64-Präfix vom TC7200 an alle Endegeräte durchdelegiert.

Hingegen hab ich mich bei der Firewall zu früh gefreut. Beim letzten Test hatte ich nämlich "falsch" verkabelt. Mein Test-Linux-System war direkt am TC angeschlossen - und bekam da dann auch seine IPv6-Adresse mit entsprechendem Präfix (DHCP aus). Wenn ich hingegen die Firewall dazwischen schalte, bekomm ich kein Präfix mehr, nur link local.

Soweit ich das verstehe, verhält sich die Firewall im Bridge-Modus quasi wie ein Switch, nur halt mit Firewall-Funktionen. Ich habe eine IPv4-Schnittstelle, diese dient quasi nur zum Zugriff auf die Weboberfläche. IPv6-Mdus ist aktiviert, dennoch scheint er das Präfix noch immer nicht durchzudelegieren.

Was mich auch wundert: Wenn ich in der Weboberfläche der Bridge-Schnittstelle ein IPv6-Gateway zuweisen will (und zwar die link local address des TC7200), erhalte ich die Fehlermelung "unreachable". Wenn ich mich hingegen per ssh auf die Firewall schalte, kann ich von der Bridge-Schnitstelle aus mit ping6 besagte link local des TC7200 anpingen. Möglicherweise will er noch eine IPv6-Adresse von mir für die Bridge-Schnittstelle haben, aber die will ich ja nicht selbst vergeben, die will ich per advertisement zugewiesen bekommen - das ist ja gerade der Knackpunkt.

Zickiges Ding... 8)

 

[Raketenforscher]

Joa, irgendwie krieg ich das mit der Sophos Firewall nicht geregelt. Ist aber auch egal - ich hab den Home Server jetzt direkt ans TC7200 angeschlossen und nutze die Software-Firewall des Servers. Der befindet sich also in einer DMZ und bekommt da seine IPv6, alle anderen nicht.

Danke an SpaceRat (und alle anderen) für die Hilfe!

 

[Opticum]

@Rakenforscher: Bist du derselber Rakenforscher wie im Astaro/Sophos Forum?
Hast du es noch mal über die Sophos UTM hinbekommen? Ich bekomme es zumindest hin wenn ich masq und NAT benutze (von Aussen nach Innen) -


PS: vielleicht können wir uns mal direkt dazu austauschen per Skype oder E-Mail oder wie auch immer.