Ubee Firewall IPv6

In dieses Forum kommen Themen über Unitymedia hinein, die nicht in andere Foren passen.

Ubee Firewall IPv6

Beitragvon ervau » 27.12.2016, 17:31

Hallo,
beim Ubee kann ich die unter "Advanced" - "Firewall" die Option "IPv6 Firewall Protection" anwählen.
Setze ich keinen Haken, bekommt mein PC offensichtlich eine öffentliche IPv6 (2a02: ...) und kann z.B. six.heise.de erfolgreich anpingen.
Setze ich den Haken, bekomme ich zwar eine IPv6, kann aber offensichtlich keine IPv6-Server anpingen.
Was macht da Sinn hinsichtlich "IPv6 Firewall Protecion"?
Vielen Dank für Eure Meinungen.
Gruß ervau
ervau
Kabelexperte
 
Beiträge: 146
Registriert: 01.11.2014, 11:11
Wohnort: KabelBW-Land

Re: Ubee Firewall IPv6

Beitragvon tq1199 » 27.12.2016, 18:21

ervau hat geschrieben:Setze ich den Haken, bekomme ich zwar eine IPv6, kann aber offensichtlich keine IPv6-Server anpingen.


Teste mal, ob Du mit dieser Konfiguration, den TCP-Port 80 eines IPv6-Servers, erreichen kannst. Z. B.:
Code: Alles auswählen
:~ $ nc -zv -6 six.heise.de 80
Connection to six.heise.de 80 port [tcp/http] succeeded!

(oder gleichwertig).
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1287
Registriert: 07.02.2014, 10:05

Re: Ubee Firewall IPv6

Beitragvon ervau » 27.12.2016, 19:31

Hallo tq1199,

mein Debian-Notebook bekommt nur eine interne (fe80: ...) v6 IP und meldet bei "-6" "invalid option"; das tut also irgendwie nicht. Hab' ich nicht weiterverfolgt.
Hab's deshalb unter WIN7 mit 'pping "server" 80' mit "server" (Stichprobe) aus der liste von http://test-ipv6.com/ kommt bei manchen "open", bei manchen "closed" unabhängig, ob "IPv6 Firewall Protection" aktiv ist oder nicht.

Kannst Du mit diesen Infos was anfangen?
Gruß ervau
ervau
Kabelexperte
 
Beiträge: 146
Registriert: 01.11.2014, 11:11
Wohnort: KabelBW-Land

Re: Ubee Firewall IPv6

Beitragvon MartinDJR » 27.12.2016, 19:40

ervau hat geschrieben:Hallo,
Vielen Dank für Eure Meinungen.

Auch wenn Wissen besser wäre als Meinungen, hier meine Vermutung:

ervau hat geschrieben:Was macht da Sinn hinsichtlich "IPv6 Firewall Protecion"?

Typischerweise steht hinter solchen Haken eine "Stateful Firewall":

Dabei merkt sich die Firewall welche Pakete "gesendet" wurden (also vom lokalen Netz ins Internet geroutet wurden) und welche Pakete entsprechend "in die Gegenrichtung" erwartet werden.

Pakete, die nicht erwartet werden, werden nicht vom Internet ins lokale Netzwerk geroutet. Dadurch werden Angriffe von Außen abgeblockt.

Wie genau so eine Firewall funktioniert, kann von Hersteller zu Hersteller unterschiedlich sein. Im simpelsten Fall merkt sich die Firewall nur, welche TCP-Verbindungen gerade offen sind. Dann würde die Firewall alle eingehenden TCP-Verbindungen und allen non-TCP-Traffic (also auch ICMP und somit "ping") blocken. Ich vermute, die meisten Hersteller würden auch noch UDP-Support einbauen...

Wenn du den Haken rausnimmst, werden die Pakete alle geroutet.

ervau hat geschrieben:Setze ich den Haken, bekomme ich zwar eine IPv6, kann aber offensichtlich keine IPv6-Server anpingen.

Wenn du aber nur ausgehenden TCP-Traffic hast (also keinen IPv6-Server betreibst) und auch keine non-TCP-Services verwendest, wäre die einzige Einschränkung, die du hast, dass "ping" nicht funktioniert.

Um zu sehen, ob IPv6 funktioniert, solltest du im Browser eine IPv6-only-Webseite aufrufen...

ervau hat geschrieben:mein Debian-Notebook bekommt nur eine interne (fe80: ...) v6 IP

Da stimmt irgend etwas nicht...

ervau hat geschrieben:und meldet bei "-6" "invalid option"

Laut "manpage" gibt es bei Linux die Option "-6" nicht. Stattdessen gibt es einen extra-Befehl: "ping6" anstatt "ping"...
MartinDJR
Übergabepunkt
 
Beiträge: 495
Registriert: 22.12.2015, 16:53

Re: Ubee Firewall IPv6

Beitragvon ervau » 27.12.2016, 20:21

Hallo MartinDJR,
zuerst mal herzlichen Dank für Deine ausführliche Meinungs-, Wissens- Vermutungsäußerungen.

Mit aktivierter "IPv6 Firewall Protection" kann ich alle möglichen Sites aus der Liste http://test-ipv6.com/ ohne Probleme aufrufen.
Scheint also zu funktionieren.
Die Linux-Kiste ist mittlerweile 20 Jahre alt -deshalb läuft darauf auch Linux- und dient nur zu Testzwecken; ist also nicht maßgebend.

Bei den Settings der Ubee hat mich eben verunsichert, daß es eine "IPv6 Firewall Protection" gibt und unter "IPv6 Firewall" eine "IPv6 Firewall Allow List" definiert werden kann. Für mich klang das so, als würde bei aktivierter Firewall alles blockiert, was nicht über die Allow-List erlaubt ist.
Eine Hilfe gibt es leider für die aktuelle FW EVW3226_2.07b nicht.

Nochmals vielen Dank und Gruß
ervau
ervau
Kabelexperte
 
Beiträge: 146
Registriert: 01.11.2014, 11:11
Wohnort: KabelBW-Land

Re: Ubee Firewall IPv6

Beitragvon tq1199 » 27.12.2016, 20:32

MartinDJR hat geschrieben:
ervau hat geschrieben:und meldet bei "-6" "invalid option"

Laut "manpage" gibt es bei Linux die Option "-6" nicht.


Welche manpage meinst Du? Denn lt. manpage für nc, sieht es mit "-6" (in Linux) so aus:
Code: Alles auswählen
-6      Forces nc to use IPv6 addresses only.
Office Internet & Phone 50, AVM FRITZ!Box 6360 Cable (kbw) - FRITZ!OS 06.52 - , an Arris-CMTS, zusätzlich eine feste (statische, nicht per DHCP) IPv4-Adresse für meinen Server, am Bridge-Anschluss (kein Bridge-Modus, FB6360-cable wird ohne feste IPv4-Adresse als Router verwendet.)
Konfigurationsdatei der FritzBox: b2b-staticip1_50000_5000_ipv4_sip_wifi-on.bin
NTP_Provider_Interface_Spec_Unitymedia

AVM - IPv6 technical note
tq1199
Glasfaserstrecke
 
Beiträge: 1287
Registriert: 07.02.2014, 10:05

Re: Ubee Firewall IPv6

Beitragvon MartinDJR » 27.12.2016, 22:58

tq1199 hat geschrieben:Welche manpage meinst Du? Denn lt. manpage für nc, sieht es mit "-6" (in Linux) so aus: ...

Ich hatte verstanden, dass "ervau" den Befehl "ping" und nicht den Befehl "nc" verwendet hat.

ervau hat geschrieben:IPv6 Firewall Allow List

Beim UBee? Wahnsinn.

Der angeblich hochwertigere TC 7200 hat das soviel ich weiß nicht!

Eine Allow List benötigt man typischerweise für eingehende Verbindungen, also wenn man einen IPv6-Server betreiben will. Man teilt der Firewall dann mit, dass Pakete zum Server durchgeroutet werden müssen, obwohl der Server zuvor noch kein Paket nach außen geschickt hat (was bei einem Server logischerweise der Fall ist, da der ja von einem Rechner im Internet aus kontaktiert wird).
MartinDJR
Übergabepunkt
 
Beiträge: 495
Registriert: 22.12.2015, 16:53

Re: Ubee Firewall IPv6

Beitragvon ervau » 28.12.2016, 15:25

Hallo,
zur Klarstellung:
Ich hatte zuerst den Vorschlag von tq1199, der wohl Linux betrifft, versucht auf meinem Notebook. Da das nicht funktioniert hat, habe ich mit meinem Win7-PC weitergemacht. Der einfache ping-Befehl von der Konsole aus geht aber nicht in Verbindung mit einer Port-Abfrage (Vorschlag von tq1199). Also habe ich es mit pping (man beachte den kleinen Unterschied, kein Tippfehler) mit Portabfrage versucht. Beim einfachen ping ist der Schalter -6 so gut wie six.heise.de aufzurufen; das führt gleich zu deren IPv6-Server.

Die neuen Optionen beim Ubee habe ich seit dem FW-update auf EVW3226_2.07b entdeckt. Hier lassen sich auch z.B. feste Leases verwalten; unter Options gibt es auch mehr. Das macht das Ding mittlerweile in meinen Augen "fast" zu einem richtigen Gateway/ Router.
ervau
Kabelexperte
 
Beiträge: 146
Registriert: 01.11.2014, 11:11
Wohnort: KabelBW-Land


Zurück zu Unitymedia allgemein

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 17 Gäste