Unitymedia Ubee Firewall IPv6

[ervau]

Hallo,
beim Ubee kann ich die unter "Advanced" - "Firewall" die Option "IPv6 Firewall Protection" anwählen.
Setze ich keinen Haken, bekommt mein PC offensichtlich eine öffentliche IPv6 (2a02: ...) und kann z.B. six.heise.de erfolgreich anpingen.
Setze ich den Haken, bekomme ich zwar eine IPv6, kann aber offensichtlich keine IPv6-Server anpingen.
Was macht da Sinn hinsichtlich "IPv6 Firewall Protecion"?
Vielen Dank für Eure Meinungen.
Gruß ervau

 

[tq1199]

Setze ich den Haken, bekomme ich zwar eine IPv6, kann aber offensichtlich keine IPv6-Server anpingen.

Teste mal, ob Du mit dieser Konfiguration, den TCP-Port 80 eines IPv6-Servers, erreichen kannst. Z. B.:

<i>
</i>:~ $ nc -zv -6 six.heise.de 80
Connection to six.heise.de 80 port [tcp/http] succeeded!

(oder gleichwertig).

 

[ervau]

Hallo tq1199,

mein Debian-Notebook bekommt nur eine interne (fe80: ...) v6 IP und meldet bei "-6" "invalid option"; das tut also irgendwie nicht. Hab' ich nicht weiterverfolgt.
Hab's deshalb unter WIN7 mit 'pping "server" 80' mit "server" (Stichprobe) aus der liste von http://test-ipv6.com/ kommt bei manchen "open", bei manchen "closed" unabhängig, ob "IPv6 Firewall Protection" aktiv ist oder nicht.

Kannst Du mit diesen Infos was anfangen?
Gruß ervau

 

[MartinDJR]

Hallo,
Vielen Dank für Eure Meinungen.

Auch wenn Wissen besser wäre als Meinungen, hier meine Vermutung:

Was macht da Sinn hinsichtlich "IPv6 Firewall Protecion"?

Typischerweise steht hinter solchen Haken eine "Stateful Firewall":

Dabei merkt sich die Firewall welche Pakete "gesendet" wurden (also vom lokalen Netz ins Internet geroutet wurden) und welche Pakete entsprechend "in die Gegenrichtung" erwartet werden.

Pakete, die nicht erwartet werden, werden nicht vom Internet ins lokale Netzwerk geroutet. Dadurch werden Angriffe von Außen abgeblockt.

Wie genau so eine Firewall funktioniert, kann von Hersteller zu Hersteller unterschiedlich sein. Im simpelsten Fall merkt sich die Firewall nur, welche TCP-Verbindungen gerade offen sind. Dann würde die Firewall alle eingehenden TCP-Verbindungen und allen non-TCP-Traffic (also auch ICMP und somit "ping") blocken. Ich vermute, die meisten Hersteller würden auch noch UDP-Support einbauen...

Wenn du den Haken rausnimmst, werden die Pakete alle geroutet.

Setze ich den Haken, bekomme ich zwar eine IPv6, kann aber offensichtlich keine IPv6-Server anpingen.

Wenn du aber nur ausgehenden TCP-Traffic hast (also keinen IPv6-Server betreibst) und auch keine non-TCP-Services verwendest, wäre die einzige Einschränkung, die du hast, dass "ping" nicht funktioniert.

Um zu sehen, ob IPv6 funktioniert, solltest du im Browser eine IPv6-only-Webseite aufrufen...

mein Debian-Notebook bekommt nur eine interne (fe80: ...) v6 IP

Da stimmt irgend etwas nicht...

und meldet bei "-6" "invalid option"

Laut "manpage" gibt es bei Linux die Option "-6" nicht. Stattdessen gibt es einen extra-Befehl: "ping6" anstatt "ping"...

 

[ervau]

Hallo MartinDJR,
zuerst mal herzlichen Dank für Deine ausführliche Meinungs-, Wissens- Vermutungsäußerungen.

Mit aktivierter "IPv6 Firewall Protection" kann ich alle möglichen Sites aus der Liste http://test-ipv6.com/ ohne Probleme aufrufen.
Scheint also zu funktionieren.
Die Linux-Kiste ist mittlerweile 20 Jahre alt -deshalb läuft darauf auch Linux- und dient nur zu Testzwecken; ist also nicht maßgebend.

Bei den Settings der Ubee hat mich eben verunsichert, daß es eine "IPv6 Firewall Protection" gibt und unter "IPv6 Firewall" eine "IPv6 Firewall Allow List" definiert werden kann. Für mich klang das so, als würde bei aktivierter Firewall alles blockiert, was nicht über die Allow-List erlaubt ist.
Eine Hilfe gibt es leider für die aktuelle FW EVW3226_2.07b nicht.

Nochmals vielen Dank und Gruß
ervau

 

[tq1199]

und meldet bei "-6" "invalid option"

Laut "manpage" gibt es bei Linux die Option "-6" nicht.

Welche manpage meinst Du? Denn lt. manpage für nc, sieht es mit "-6" (in Linux) so aus:

<i>
</i>-6 Forces nc to use IPv6 addresses only.

 

[MartinDJR]

Welche manpage meinst Du? Denn lt. manpage für nc, sieht es mit "-6" (in Linux) so aus: ...

Ich hatte verstanden, dass "ervau" den Befehl "ping" und nicht den Befehl "nc" verwendet hat.

IPv6 Firewall Allow List

Beim UBee? Wahnsinn.

Der angeblich hochwertigere TC 7200 hat das soviel ich weiß nicht!

Eine Allow List benötigt man typischerweise für eingehende Verbindungen, also wenn man einen IPv6-Server betreiben will. Man teilt der Firewall dann mit, dass Pakete zum Server durchgeroutet werden müssen, obwohl der Server zuvor noch kein Paket nach außen geschickt hat (was bei einem Server logischerweise der Fall ist, da der ja von einem Rechner im Internet aus kontaktiert wird).

 

[ervau]

Hallo,
zur Klarstellung:
Ich hatte zuerst den Vorschlag von tq1199, der wohl Linux betrifft, versucht auf meinem Notebook. Da das nicht funktioniert hat, habe ich mit meinem Win7-PC weitergemacht. Der einfache ping-Befehl von der Konsole aus geht aber nicht in Verbindung mit einer Port-Abfrage (Vorschlag von tq1199). Also habe ich es mit pping (man beachte den kleinen Unterschied, kein Tippfehler) mit Portabfrage versucht. Beim einfachen ping ist der Schalter -6 so gut wie six.heise.de aufzurufen; das führt gleich zu deren IPv6-Server.

Die neuen Optionen beim Ubee habe ich seit dem FW-update auf EVW3226_2.07b entdeckt. Hier lassen sich auch z.B. feste Leases verwalten; unter Options gibt es auch mehr. Das macht das Ding mittlerweile in meinen Augen "fast" zu einem richtigen Gateway/ Router.