Unitymedia IPv6 Port Filter

[ennulat]

Hallo,

ich habe ein anliegen ich möchte meinen Drucker daran hindern ins internet zu lassen. Ich habe seine Mac-Adresse und kann auch diesen ein feste IP4 IP Adresse + Subnetz definieren.
Auf meiner Unity Media Connectbox kann ich sowohl einen filter für Mac Adressen anlegen als auch IPv6 Filter. Nun weiss ich nicht was ich definieren soll.
Wenn ich die MAC adresse blockiere dann gilt dass ja auch intern, was ich nicht möchte!
Ein und Ausgehend kommunizieren soll er allerdings nur im standard heimnetz 255.255.255.0 192.168.0.XXX.

• Sehe ich das richtig, dass ich nur einen ausgehenden filter für das Internet festlegen muss ?
• Wie definiere ich eine IPV6 Adresse ?
• Wie definiere ich eine IPV6 Regel für das Gerät auf dem Router wenn das Drucker selbst nur eine IP4 definition anbietet ?
• Über soll ich nur einen besimmten Port für externe Internet kommunikation blockieren ?

Wenn meine Fragen für Lösungsansätze nicht valide sind dann bitte gerne um alternative Lösungsansätze.

VG Johannes

 

[tq1199]

Wenn ich die MAC adresse blockiere dann gilt dass ja auch intern, was ich nicht möchte!

BTW: Man könnte in einer IPv6-Filterregel, sehr gut die statische Interface-ID (... die aus der MAC-Adresse der NIC generiert wird) des Gerätes benutzen. Dann würde es in der z. Zt. noch andauernden Koexistenzphase von IPv4 und IPv6, keine Konflikte mit IPv4 geben und man ist vom dynamischen IPv6-Präfix nicht abhängig. Aber ich denke, dass ist bei den meisten devs noch nicht angekommen.

 

[ennulat]

BTW: Man könnte in einer IPv6-Filterregel, sehr gut die statische Interface-ID (... die aus der MAC-Adresse der NIC generiert wird) des Gerätes benutzen. Dann würde es in der z. Zt. noch andauernden Koexistenzphase von IPv4 und IPv6, keine Konflikte mit IPv4 geben und man ist vom dynamischen IPv6-Präfix nicht abhängig. Aber ich denke, dass ist bei den meisten devs noch nicht angekommen.

 

[ennulat]

@tq1199 welcher Teil der MAC Adresse definiert die Interface-ID ? bzw. wie gewinne ich die Interface-ID aus der MAC ?
Diesen Teil könnte ich dann als IPV6 Prefix nutzen ?

 

[tq1199]

Diesen Teil könnte ich dann als IPV6 Prefix nutzen ?

Nein, das kannst Du nicht, denn der IPv6-Präfix ist der eine Teil der IPv6-Adresse und die Interface-ID ist der andere Teil der IPv6-Adresse. Als Beispiel: In einer FritzBox kann man mit Hilfe der Interface-ID, die v6-Portfreigabe (in deren rudimentären v6-Firewall) konfigurieren.
Bei der Umwandlung der MAC-Adresse in den EUI-64, wird zwischen dem Hersteller spezifischen Teil und dem Netzkarten spezifischen Teil der MAC-Adresse, "fffe" eingefügt bzw. noch einige Änderungen (ein bit invertiert, ":" weggelassen) gemacht.
Im Internet findet man viele Beispiele bzw. Erklärungen, wie aus der MAC-Adresse, der EUI-64 (Extended Unique Identifier) generiert wird. Such mal im Internet auch nach "mac address to eui-64 calculator" oder nach "mac address to eui-64 converter".

 

[boba]

Zusätzlich zu @tq1199 was ipv6 Adressen generell angeht (das Wissen wird dir allerdings nicht dabei helfen, deinen Drucker von der Außenkommunikation her zu sperren):

Jede ipv6 Adresse ist in zwei gedachte Hälften geteilt. Die linke Hälfte nennt man Prefix, die rechte Hälfte nennt man Interface-ID. Die Grenze zwischen beiden ist nicht zwangsläufig genau die Mitte, sondern sie ergibt sich durch die Prefix-Länge, die als zusätzliche Information immer vorliegt. Der Prefix ist dann so lang wie die Prefix-Länge angibt, und die Interface-ID ist der Rest. Die Prefix-Länge ist höchstens 64.

Die rechten 64 bit (8 Bytes) der Interface-ID ergeben sich aus der 6 Bytes langen Mac Adresse und zwei Füllbytes.
Ist die Prefix-Länge kürzer, werden die zusätzlichen Bits auf 0 gesetzt bzw. können vom Administrator zur Bildung von Subnetzen verwendet werden.

Der Prefix wird immer vom Provider vorgegeben, oder im Fall von nur lokal zu verwenden Adressen, ist er per Definition fc00::/7. Das ist in etwa so zu verstehen wie bei der ipv4 Adressbereich 192.168.x.y. Weil bei ipv6 aber kein NAT gemacht wird, werden diese fc00: Adressen nicht benutzt, außer es besteht keine Internetverbindung und man hat keinen Prefix vom Provider. In dem Fall weist sich das Gerät eine fc00: Adresse selbst zu. Im Moment der Verbindung broadcastet der Router den Prefix über Router Announcement (RA) und jedes Gerät weist sich selbst eine öffentliche Adresse mit Prefix zu und entfernt die fc00: Adresse.

Dein Screenshot oben definiert eine Regel für eingehende Verbindungen. Damit kannst du eher nicht blockieren, dass ein Gerät von innen nach außen kommuniziert.
Soweit ich das Handbuch der Connect Box interpretiere, können ausgehende Verbindungen ins Internet in der Connect Box nicht blockiert werden, außer man blockiert gleich die gesamte Kommunikation via MAC Adressen Filter. Andere Router, wie z.B. die Fritzbox, können das. Da kann man individuell Geräten den Zugriff aufs Internet erlauben oder blockieren, ohne dass die Kommunikation innerhalb des Netzes gleich mitblockiert wird.

Wenn du kein WLAN benutzt, könntest du das Problem aber mit kostengünstiger Hardware erschlagen, wenn du keinen anderen Router willst. Du könntest einen Switch besorgen (Kostenpunkt ab 10 Euro) und den Switch via LAN Kabel an die Connect Box anschließen. In der Connect Box blockierst du die MAC Adresse des Druckers. Den Drucker schließt du an den Switch und nicht direkt an die Connect Box an. Die Geräte, die drucken sollen, schließt du ebenfalls an den Switch und nicht direkt an die Connect Box an. Über den Switch läuft dann die Drucker-Kommunikation. Klappt aber nicht, sobald du das WLAN der Connect Box benutzen willst, da das ja durch den MAC Filter ausgeschlossen ist. Verwendest du einen zusätzlichen Access Point fürs WLAN, dann wiederum geht das, dann schließe den Access Point auch an den Switch an, und dann kann man auch darüber drucken.

Ab einer bestimmten Netzgröße wird es allerdings teurer, die Umgehung der Blockade um die Connect Box herum zu bauen als sich einen besseren Router zu beschaffen.

 

[harv]

Sollte es nicht reichen, dem Drucker eine feste IP zu geben und DNS und Gateway Einträge leer zu lassen, bzw. auf localhost zu stellen, falls der Drucker keine Leereinträge akzeptiert?