Unitymedia Router kaskadieren mit FB 6490 Cable und Sophos UTM

[SnecxXx]

Hallo

Ich möchte hinter der Fritzbox meine Sophos UTM betreiben. Dabei stoße ich jetzt auf ein Problem mit ipv6.
Ich habe viel hier im Forum und auch auf anderen Webseiten gelesen. Dabei habe ich widersprüchliche Aussagen gefunden.

Es soll gehen oder auch nicht. Ich möchte das bestimmte ipv6 Adressen im LAN aus dem Internet direkt erreichbar sind.
Wenn ich diese IPs aus dem Internet mit ipv6 anpinge, bekomme ich nur "administratively prohibited"
Ich habe gelesen, dass das an der Fritzbox liegt da diese wohl nur die Prefixe durchläßt, die von ihr delegiert worden sind.
Ich lese aber auch das das nur bis bestimmten Fritz OS Versionen der Fall war. Daher bin ich jetzt vollkommen verwirrt was nun stimmt.

Hier mein Aufbau

(Provider Unitymedia echtes DUAL STACK)--(Fritzbox 6490 Cable von Unitymedia mit OS 6.88) -- Sophos UTM 9 -- Server

Unitymedia vergibt mir ein /59 Prefix. In der Sophos habe ich Dyn ipv6 eingeschaltet und in der Fritzbox lasse ich den DNSv6 und den Prefix vergeben.
Nachdem dann die Sophos einen Prefix bekommen hat, erschien auch in der Fritzbox die Sophos. Ich habe dann eine Freigabe bzw. einen exposed host
mit ipv4 und ipv6 auf die Sophos gemacht, sowie PING6 zugelassen.

Ich habe dann mit einem ipv6 subnet calculator mir die übrigen /64 Subnetz errechnen lassen und ein Subnet dann auf das LAN Interface der Sophos gebunden.
Testweise habe ich dann einen Linuxserver aufgesetzt Firewall ausgeschaltet und eine IPv6 aus dem LAN subnet vergeben.
Wenn ich jetzt einen Ping6 auf eine IPv6 Adresse im Internet mache, funktioniert alles Problemlos.

Wenn ich jetzt aber vom Internet einen Ping6 auf die Linux Serveradresse mache, dann bekomme ich nur "administratively prohibited"
Ping ich jetzt die ipv6 von der Sophos an (WAN) Interface, dann kommt der Ping durch, da diese ja im delegierten Subnet der Fritzbox liegt.
Mache ich noch was falsch oder liegt es tatsächlich an der Fritzbox und den delegierten Prefixen?

 

[Andreas1969]

Warum aktivierst Du in der Fritzbox nicht einfach den Bridge Modus und hängst die Sophos UTM an den Bridge Port :kratz:

 

[addicted]

Wenn ich diese IPs aus dem Internet mit ipv6 anpinge, bekomme ich nur "administratively prohibited"
Ich habe gelesen, dass das an der Fritzbox liegt da diese wohl nur die Prefixe durchläßt, die von ihr delegiert worden sind.
Ich lese aber auch das das nur bis bestimmten Fritz OS Versionen der Fall war. Daher bin ich jetzt vollkommen verwirrt was nun stimmt.

Erstmal stimmt das soweit, AVM hatte das ursprünglich nicht eingebaut, die Firewall für delegierte Präfixe durchlässig zu machen.
Ich weiß leider nicht ab welcher FW-Version es gehen soll, und ob man z.B. noch eine extra Einstellung dafür setzen muss.
Du kannst versuchen, die FB in den Bridge-Mode zu bringen, das hing damals aber davon ab ob du v4 oder DSLite hattest. IPv4 als Anschlussart hast Du ja schonmal nicht.
Mittlerweile gibt's ja auch noch DS, ich weiß aber nicht, ob es damit auch ginge.

Wenn Du eine Sophos hast, würde ich mir persönlich eher ein Modem holen, als irgendwas mit der FB zu basteln.

 

[Andreas1969]

bringen, das hing damals aber davon ab ob du v4 oder DSLite hattest. IPv4 als Anschlussart hast Du ja schonmal nicht.
Mittlerweile gibt's ja auch noch DS, ich weiß aber nicht, ob es damit auch ginge.

Seit geraumer Zeit läuft der Bridge Modus mit allen Anschlussarten, also
DSLITE, IPV4 und Dual Stack :winken:

 

[addicted]

Ja dann

 

[SnecxXx]

Hallo

Danke für die Antworten. Ich habe ja DUAL Stack. Somit habe ich eine "echte" routebare ipv4 und auch eine ivp6. So wie ich gelesen habe geht mir die ipv4 flöten wenn ich den bridge Modus aktiviere, weil die Fritzbox sich wohl die ipv4 zieht trotz bridge Modus. Stimmt das? Sie wird wohl benötigt für die Dienste
auf der Box. Oder wird die öffentliche ipv4 tatsächlich an meine Sophos "durchgereicht" und die Fritzbox ist nur ein dummes Modem? Ich benötige die ipv4 für mein VPN und mein selbst entwickeltes Home Automation System. Daher wäre der bridge Modus nur etwas, wenn die ipv4 die ich von Unitymedia bekomme
auch tatsächlich an meiner Sophos anliegt.

Ich nutze die Fritzbox im Moment für Telefon. Wenn ich die Fritzbox in den bridge Modus versetze, dann habe ich doch die SIP Funktionalität nicht mehr und ich müßte das wieder anders lösen z.B. mit einer Asterisk oder funktioniert das weiterhin? WLAN und alles andere der Fritzbox nutze ich nicht. Das kann die Sophos mit den dedizierten Access Points besser.

 

[Andreas1969]

So wie ich gelesen habe geht mir die ipv4 flöten wenn ich den bridge Modus aktiviere, weil die Fritzbox sich wohl die ipv4 zieht trotz bridge Modus.

Nein, bei der Providerbox bekommst Du 2 IP4 Adressen :winken:

Ich nutze die Fritzbox im Moment für Telefon. Wenn ich die Fritzbox in den bridge Modus versetze, dann habe ich doch die SIP Funktionalität nicht mehr und ich müßte das wieder anders lösen

Nein, Telefonie läuft weiter :smile:

 

[boba]

Es gibt doch in der gestellten Fritzbox 6490 zumindest bei der mir vorliegenden Firmware 6.88 die Möglichkeit delegierte Prefixe mit freizugeben.
Dazu benutzt man in der Fritzbox die Freigabeeinstellungen für den Router, an den delegiert wurde.
Gehe in der Fritzbox auf Internet->Freigaben->Portfreigaben und wähle den Router aus, bzw. fügt ihn über "Gerät für Freigaben hinzufügen" (Button ganz unten) hinzu. Als Interface- und mac Adresse muss hier der Router eingetragen sein.
Dort gibt es auch den Punkt "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen". Das aktivieren, und dann sollte das Subnet meinem Verständnis nach komplett frei werden, das dieser Router anfordert.

Zitat aus der AVM Doku dazu:

Firewall für delegierte IPv6-Präfixe dieses Geräts öffnen.
Diese Option ist für folgendes Szenario vorgesehen:

- Das Gerät ist selbst ein Router, zum Beispiel eine zweite FRITZ!Box, und hat ein eigenes lokales Netzwerk aufgespannt.
- Die FRITZ!Box hat eine native IPv6-Verbindung und erhält ihre Präfixe per Prefix Delegation vom Internetanbieter.
- Das Gerät erhält seine Präfixe per Prefix Delegation von der FRITZ!Box.
- In dem lokalen Netzwerk des Geräts gibt es Netzwerkgeräte, die aus dem Internet erreichbar sein sollen. In dem Gerät sind Portfreigaben für diese Netzwerkgeräte eingerichtet.

Wenn diese Option aktiviert ist, dann sind die Netzwerkgeräte für Anfragen aus dem Internet erreichbar. Die FRITZ!Box routet die Anfragen an das Gerät weiter.

Wenn die Option nicht aktiviert ist, dann blockt die FRITZ!Box die Anfragen, weil ihr die Portfreigaben für die Netzwerkgeräte im nachgelagerten Netzwerk nicht bekannt sind.

 

[addicted]

Dort gibt es auch den Punkt "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen". Das aktivieren, und dann sollte das Subnet meinem Verständnis nach komplett frei werden, das dieser Router anfordert.

Jupp, der sollte es sein.

 

[SnecxXx]

Mann, Ihr seid super

Das war der Tip der gefehlt hat. Ich hatte ja dem Host auf "exposed" gestellt und damit angenommen alles ist frei. Das scheint aber nicht so zu sein. Es muss zusätzlich noch der Haken "Open firewall for delegated IPv6 prefixes of this device." angeklickt werden. Erst dann werden wohl alle Subnets weitergeleitet.
Hätte ich aber auch selber drauf kommen können. Die Optionen bei ipv6 sind keine radio buttons die sich gegenseitig ausschließen. Also klickt man das eine an wird die andere Option deaktiviert, sondern es sind ja Haken die alle gleichzeitig gesetzt werden können. Somit wird wohl mit der einen Option die Weiterleitung der
Prefixe aktiviert und mit der anderen die Ports geöffnet. Da ich exposed gesetzt habe, sind eben alle auf und ich regel das in der Sophos.
Eines gilt aber noch zu beachten. Das Subnet welches "freigegeben" wird ist ein anderes als ich zuerst konfiguriert hatte. Deswegen hatte es auch nicht geklappt als ich die IP wie oben beschrieben vergeben hatte. Hier mal ein Beispiel wie es dann funktioniert. (Die IPs sind nicht meine, sondern verändert)

Unitymedia vergibt z.B. folgenden Prefix 2a02:908:1c1:1380::/59
Damit lassen sich dann 32 Subnetzwerke mit /64 bilden. Auf meiner Sophos habe ich dyn IP v6 aktiviert und von der Fritz eine ipv6 vergeben lassen. Das war die IP 2a02:908:1c1:1380:120c:19ff:1e1c:1ffb/64
Daraufhin habe ich mir eines dieser 32 Subnetzwerke geschnappt und auf das LAN Interface auf der Sophos gebunden. z.B. 2a02:908:1c1:1381::/64. Die LAN IP war dann 2a02:908:1c1:1381::1/64
Einem Server im LAN habe ich dann die IP 2a02:908:1c1:1381::250/64 vergeben. Jetzt konnte ich vom Server in das Internet pingen und auch Webseiten aufrufen. Ich dachte so ist das richtig.

Nach Eurem Tip mit dem Haken habe ich es wieder probiert von außen zu Pingen. Das hat aber wieder nicht geklappt. Also bewirkt der Haken etwas anderes oder es funktioniert in der Fritze was nicht oder ich mache etwas mit den Subnetzen falsch.
Es war das letzte Ich habe dann auf der Fritzbox weiter gesucht und dann eine Übersicht gefunden was wirklich "offen" bzw "weitergeleitet" wird.
Dazu in der Fritzbox auf "Diagnostics" und "Security" und den Test laufen lassen. Unter "Port Sharing to Home Network Devices" steht dann aufgelistet was dann wirklich freigegeben ist.

Es tauchte dort die ipv6 auf die an die sophos weiter delegiert wurde (2a02:908:1c1:1380:120c:19ff:1e1c:1ffb/64) aber auch ein Prefix den ich noch nicht kannte. z.B. 2a02:908:1c1:a39c::/62
Das scheint also "nur" der Prefix zu sein der nach dem Haken setzten weitergeleitet wird. Mit diesem Prefix lassen sich dann noch 4 Subnetzwerke mit /64 bilden. Dann habe ich mir eines dieser Subnetzwerke genommen und auf das LAN Interface gebunden z.B 2a02:908:1c1:a39c::1/64.
Auf dem Server dann 2a02:908:1c1:a39c::250/64. Jetzt wieder ein Ping Test vom Server in das Internet und siehe da das klappt auch. Dann der Ping Test vom Internet auf die Server IP 2a02:908:1c1:a39c::250/64 und auch dies klappte diesemal.
Somit ist der Server jetzt aus dem Internet hinter der Router Kaskade direkt erreichbar. So wie ich es wollte.

Ich bin mir fast sicher das ich bei der Überlegung der Aufteilung der Subnetzwerke irgendwo vorher einen Fehler gemacht habe und evtl. das Subneting nicht richtig verstanden habe. Ich werde das nochmals durchgehen.

Vielleicht hilft diese Beschreibung jemanden der auch eine Kaskade aufbauen möchte. Ein Problem gibt es noch und zwar wenn Unity den Prefix wechselt. Dann stimmen die Prefixe auf der Firewall nicht mehr und die Verbindungen funktionieren nicht mehr.
Da mache ich mir später dann Gedanken zu.

Ich danke Euch für das mitlesen und den Hilreichen Tips.

 

[addicted]

Ich meine, die Sophos-Teile könnten bei Präfixwechsel automatisch alle Zuweisungen und Regeln aktualisieren.

 

[SnecxXx]

Ja, dafür gibt es einen Menüpunkt. Das muss ich jetzt mal beobachten was der genau macht, bei einem Prefixwechsel. An dem WAN Interface liegt ja aus dem Beispiel oben der Prefix 2a02:908:1c1:1380 an. Die Fritzbox delgiert aber den Prefix 2a02:908:1c1:a39c. Diesen Prefix musste ich dann aber manuell auf das LAN Interface binden. Wenn jetzt der Prefix sich vom Provider ändert, dann nehme ich an bekommt die Sophos den Wechsel auf dem WAN Interface mit, da diese per Router advertisement der Sophos mitgeteilt wird. Auf dem LAN Interface ist die ipv6 aber manuell von mir gebunden worden.
Ich nehme an, das diese dann nicht automatisch geändert wird.
Das ist ja das komische, dass die Fritz nur eine Teilemenge aus dem vergebenen Providerprefix delegiert. Welche das dann nach dem Prefixwechsel ist, das kann ich berechnen, da das dann wohl immer die 4 letzten Teilnetze /64 aus dem Providervergebenen /59 Netz sind.
Diesen Prefix kann die Sophos aber nicht mitbekommen. Deswegen vermute ich, dass der automatische Wechsel nicht funktionieren wird.
Ein Bekannter von mir macht grad eine Sophus Schulung von der Arbeit aus. Er soll mal nachfragen was da genau passiert.

 

[boba]

Warum hast du das manuell ans LAN Interface gebunden? Wenn du alle Adressen automatisch, also via SLAAC, zuweisen lässt, dann sollte sich auch das LAN Interface selbst eine passende Adresse aus delegiertem Prefix und lokaler Host-ID im passenden delegierten Subnetz zuweisen. Und so würde ich erwarten, wird die Adresse beim Prefixwechsel mitgewechselt.

 

[addicted]

Man muss schon ein Präfix festlegen – die Sophos bekommt ein /62, die kann ja nicht raten, was man davon wie auf welchem Interface haben will.
Nach meinen Informationen (zugegeben, vermutlich so 1-2 Jahre alt) erkennt die Sophos das aber richtig. Ein Bekannter hat(te) genau so ein Konstrukt wie Du an einem Telekom-Anschluss mit DS im Einsatz.

Wegen der Präfixe, stell es Dir so vor: Die FB bekommt vom ISP eine v6-Adresse. Diese ist nur für den "Transport" gedacht, also damit die FB mit dem Uplink-Router reden kann.
Auf die Transport-Adresse der FB wird nun ein Präfix geroutet, welches von der drunterliegenden IP unabhängig ist. Dieses Präfix kann die FB verwenden.
Die FB nimmt darauf ein /64 und legt es auf "LAN". Alle an der FB angeschlossenen Geräte bekommen eine Adresse aus diesem /64, z.B. per SLAAC.
Wenn jetzt ein an die FB angeschlossenes Gerät ein eigenes Präfix haben will, dann nimmt die FB wiederum aus dem Ihr zugewiesenen Präfix ein Subnetz heraus und weist es dem nachgelagerten Router zu. Das heißt, auch hier hat der Router nun eine Adresse aus dem FB-/64er und ein davon abweichendes Präfix. Beides aber noch innerhalb des zur Fritzbox gerouteten Präfixes.
Der Router macht nun wieder das gleiche, er benutzt die ip im FB-/64er nur zum Transport der Pakete, alle Gerät im "LAN" des Router bekommen Adressen aus einem /64 des dem Router zugewiesenen Präfix.

Wenn man das nicht sofort checkt, einfach mal versuchen aufzumalen, dann müsste es recht offensichtlich sein.

 

[Andreas1969]

Wenn man das nicht sofort checkt, einfach mal versuchen aufzumalen, dann müsste es recht offensichtlich sein.

Recht gut erklärt :super:
Sollte jeder verstehen :zwinker:

 

[SnecxXx]

Ok. Das ist verstanden. Ich werde das beobachten. Ich glaube auch die Sophos hat alles mitbekommen. In einer Übersichtsseite steht das Subnet und auch das delegierte Prefix.

Wenn Ihr aller grad so gut draufseit Danke nochmals und noch eine kleine Frage. Wenn ich eine Webseite mit IPv6 aufrufe, dann steht als IP die ipv6 Addresse des Routers (der Sophos) und nicht die IP des Rechners der die Seite aufgerufen hat.
Bei IPv4 war mir das klar. Dort waren intern Class C Adressen die mittels masquerading auf die öffentliche Übersetzt wurden.
Bei ipv6 ist das doch nicht mehr nötig. Die Adressen sind doch komplett routebar und müssen nicht mehr maskiert werden. Daher meine Frage warum sieht die Webseite "nur" die ipv6 des Routers und nicht die ip des anfragenen PCs im LAN?
Lässt sich das abstellen das die Webseite die "wahre" ipv6 sieht?

 

[Torsten1973]

Wenn ich das richtig verstanden habe, ist das unseren obersten Datenschützern zu verdanken, genau wie die dynamischen IPv6-Adressen. Das ist also alles so gewollt.

 

[SnecxXx]

Ich war mal wieder ein wenig zu schnell. Ich habe es einfach ausprobiert. Im Standard sind bei der Sophos in den Regeln beide ipv4 und ipv6 in den Netzwerk Definitionen enthalten. Dadurch ist auch in der schon vorhandenen ipv4 Masquerading Regel die ipv6 Adressen drin.
Da ich die ja für ipv4 brauche, ist diese auch für ipv6 aktiv. Somit maskiert der Router auch die Adressen LAN --> WAN egal ob bei ipv4 oder ipv6. Ich habe neue Definitionen nur für ipv4 hinzugefügt und diese dann in das Masquerading eingesetzt und ipv6 rausghelassen.
Jetzt routet die Sophos die ipv6 nur und maskiert nicht mehr. Im Test sehen jetzt die Webseiten auch die IPv6 im LAN.

Erst testen dann Fragen Danke, Ihr habt mir wirklich geholfen.