Unitymedia [Hilfe] IPv6 Firefall Konfiguration bei Cisco EPC3208G

[timmey49]

Hallo zusammen,

ausgelöst durch die Nichterreichbarkeit meines NAS aus dem Internet, habe ich mich nun auch mit dem Thema IPv6 auseinandergesetzt
und bin seit heute erfolgreich von IPv4 auf IPv6 "umgestiegen" und kann mein NAS nun aus dem Netz erreichen.
Nun habe ich ein paar Bedenken, zu denen ich von euch Tipps und/oder Erklärungen suche.

Vorab: Ich habe im Forum + Google gesucht, aber keine passende Antwort entdeckt, die genau zu meinem Setup passt.
Ich möchte auch betonen, dass ich eine zukunfsorientierte Lösung suche und somit nicht mehr auf IPv4 wechseln möchte (einfach wär doch gelacht!).

Infos zur Ausgangssituation:
- Kunde bei UM (DS-Lite Modus)
- Cisco EPC3208G als Modem und Router (sprich: DHCP an)
- Fritz Box 7270 v3 im Client Modus
- Alle Geräte beziehen erfolgreich eine IPv6 Adresse und einige lassen sich von extern anpingen

Nun meine Fragen, die auf deren Antworten ich mich sehr freuen würde:
1. In diesem:http://www.unitymediakabelbwforum.de/viewtopic.php?f=53&t=25148&p=262320#p262320 Fred habe ich gelesen,
dass das Modem "Cisco EPC3208G" keine Firewall hat und somit völlig unsicher im Netz hängt. Im Menü gibt es allerdings die Option "Firewall IPv6 ein/aus".
Nun die Frage: Hat der Kollege nun recht und diese Option ist somit gar keine echte Firewall sondern ein - wie soll man es beschreiben - "minderwertiger Schutz"?
Fakt ist, dass ich mein NAS MIT Einschalten dieser Option anpingen kann, jedoch die Appl.-Oberfläche nicht erreiche, mit Ausschalten der Optione ebenfalls die Appl.-Oberfläche erreiche.

2. Wenn dies nun eine "ausreichende" Firewall ist, wie kann ich nun einzelne Geräte erreichbar machen oder gibt es mit dieser Hardware nur eine "alles oder nichts"-Option?

3. Ist mit Einführung von IPv6 nun jedes Geräte "automatisch" aus dem Netz erreichbar und man muss nun dafür Sorge tragen, dass die Geräte,
die nicht zu erreichen sein sollen, einzeln abgeschirmt werden, somit bewusster Geräte in sein Heimnetzwerk anschließen?
Vorher war es ja "zufällig" so, dass man ein wenig sicherer war und durch explizite Freigaben die Geräte für das Internet "enabled" hat - sprich: Ist dies nun umgekehrt?

4. Welche Sicherheitsvorkehrungen kann ich nun möglichst ohne großes Einarbeiten in VPN etc. treffen? Ich möchte nur Gerät A aus dem Internet erreichbar machen,
jedoch alle anderen Geräte weiterhin in meinem Heimnetzwerk lassen.
Bsp: Gerät B soll weder auf das WWW zugreifen können, noch von außen erreichbar sein aber
Gerät C soll auf das WWW zugreifen können, jedoch ebenfalls restriktiv/gar nicht von außen erreichbar sein (oder ist das Humbug weil Kommunikation im Netz immer beidseitig voraussetzt)?

5. Achtung, bitte nicht aufregen: Welchen Sinn machen nach IPv6 überhaupt noch Ports? Mein NAS kriegt beim Zugriff aus dem Netz weiterhin einen Port angehangen: "[2a0a: ....]:76765"
und diese lässt sich natürlich in der Konfiguration auch noch bestimmen - da habe ich leider eine große Wissenslücke. Die eindeutige IPv6 muss doch eigentlich reichen.

Sorry für die ggf. eine oder andere dumme Frage, die aufgrund von Unkenntnis oder zu wenig Einarbeitung in die Themen entstanden ist - hoffe ich bekomme dennoch Antworten auf meine Fragen.

Viele Grüße,
Tim

 

[Leseratte10]

1. Das Teil hat ne Firewall, die kann aber nur "komplett zu für alle Geräte" oder "komplett auf für alle Geräte"

2. Einzelne Geräte geht damit meines Wissens nicht, dafür müsstest du "Telefon Komfort" für 5 € monatlich buchen, dann bekommst du ne Fritzbox, die kann das.

3. Nur, wenn die Firewall offen ist. Wenn sie offen ist, hängen alle Geräte, die nicht extra abgesichert sind, komplett offen im Internet.

4. Wahrscheinlich einzige Möglichkeit: Telefon-Komfort buchen und Fritzbox bekommen.

5. Auf einem Gerät können mehrere Dienste laufen - z. B. ein Webserver für ne Webseite auf Port 80, ein FTP-Server für Dateiaustausch auf Port 21, ein SSH-Server für Fernzugriff auf Port 22, uvm.

 

[timmey49]

Perfekt, danke!!!

Gibt's die spezielle (Kabel-)Fritzbox auch im freien Handel oder werden die nur als Mietgeräte vertrieben?
Weil Tarifänderung bedingt bestimmt wieder Laufzeitverlängerung und dann müsste ich rechnen: Restmonate * 5€ im Vergleich zu Kaufpreis (+ danach gehört das Gerät mir).

Danke und Gruß,
Tim

*EDIT* Dumme Frage... "FRITZ!Box 6490 Cable" wäre doch so ein Modell ne?

 

[timmey49]

Gibt es vielleicht eine Konfiguration / ein Setup, so dass ich quasi die Firewall im Modem ausmache und die Fritz Box 7270, über die sich ja alle Geräte in erster Linie verbinden, dazu missbrauche?

Mir ist kein Setup bekannt, aber das muss ja nichts heißen... Vielleicht kann ich diese ja als Durchleiter nutzen und weitere Gerätezugriffe aus dem Netz einschränken?

Gruß,
Tim

 

[SpaceRat]

Zur tatsächlichen Nutzung von IPv6 ist bei Unitymedia nur eine Fritz!Box 63x0 geeignet:
Die 6490 gibt's noch nicht bei Unitymedia und die 6320 und 6340 hängen bei Bestandskunden rum, die tendenziell eh IPv4 haben dürften ... bleibt also nur die 6360, die's nur mit der Option "Telefon Komfort" (oder einem Business-Anschluß mit Telefon) gibt.

TC7200 und Cisco EPC3208G haben beide das Problem, ihre IPv6-Firewall nur "ganz auf" oder "ganz zu" machen zu können, damit ist der Praxiseinsatz unmöglich (Es sei denn, man würde sich eine Hardware-Firewall dahinter hängen, die kommen aber meist eher schlecht als recht mit den wechselnden Präfixen zurecht, die eigentlich widersinnig, aber in Deutschland bei Privatkunden leider üblich sind).

Selber beschaffte Kabel-Modems/Kabel-Router läßt Unitymedia nicht ins Netz, Du mußt das nehmen, was es zum Tarif dazu gibt.


Der Betrieb eines eigenen Routers hinter einem TC7200 oder Cisco EPC3208G scheitert daran, daß weder das TC7200 noch das Cisco EPC3208G "Präfix Delegation" beherrschen, was nötig wäre, damit der nachgeschaltete Router ein eigenes Präfix zur Nutzung bekommt. Das einzige Routermodell im Unitymedia-Sortiment, welches Präfix Delegation beherrscht wäre wiederum eine Fritz!Box 63x0 ... aber wenn man die sowieso hat, wäre es widersinnig, ein Präfix an einen nachgeschalteten Router zu delegieren, denn im Consumer-Bereich gibt es keinen einzigen Router, der besser mit IPv6 klarkommt als eine Fritz!Box.
Darüber hinaus hat die Präfix Delegation der Fritz!Box zumindest bis Firmware 6.03 eine Macke: Sie delegiert zwar ein Präfix, mit dem der nachgeschaltete Router arbeiten kann, aber die Firewall bleibt dicht.

Mit einem *-Wrt-Router oder einem kleinen Linux-Rechner mit zwei Netzwerk-Schnittstellen könnte man eventuell noch was tricksen (Faktisch eine Billig-Hardware-Firewall konstruieren), aber das ist nix für jemanden, der nicht einmal weiß, wofür die Ports gut sind (Nicht übel nehmen, aber so ist es nun einmal).

 

[timmey49]

Danke, mehr als perfekte Antwort!!

Ja du meinst wahrscheinlich mit dem raspberry pi Dingen oder wie er hieß - ich denke auch das könnte ich mit eurer Hilfe hinbekommen, ist mir allerdings zu sehr Workaround und immer wieder frickelig...
Ja ich befürchtete, dass ich mir die Peinlichkeit mit den Ports durch google etc. hätte ersparen können,
aber macht ja nichts - hab auch Null Plan davon

Danke euch allen - top hier!