- Anzeige -

Home Server mit Unitymedia IPv6 und Sophos Firewall

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon Raketenforscher » 31.07.2014, 22:22

Hallo, ich bin neu hier

- und habe mal ein Problem für die Netzwerkexperten hier, da ich in Sachen IPv6 noch ein eher ein Noob bin

Ich möchte einen Home Server aufsetzen.

Meine IT sieht folgrendermaßen aus: Der Unitymedia-Router (TC7200) ist zum reinen Gateway degradiert. Firewall aus, DHCP aus, WLAN aus. Dahinter folgt eine Sophos UTM Appliance als Firewall mit zwei Netzwerkschnittstellen. Die externe ist mit dem Gateway verbunden, die interne mit einer Apple Time Capsule - jeweils mit festen IPs und unterschiedlichen IPv4-Subnetzen (extern 192.168.0.0/24, intern 192.168.1.0/24). Die Time Capsule wiedrum fungiert als DHCP Server für die Endgeräte.

Soweit funktioniert alles. Nun habe ich als junger Unitymedia-Kunde bekanntlich keine "eigene" IPv4-Adresse, wohl aber eine (dynamische) IPv6-Adresse. Jetzt versuche ich mich Stück für Stück "von außen" durch meine Geräte zu hangeln. Zunächst lasse ich mal die Time Capsule ganz weg.

Testweise kommt als Home Server ein Linux-System mit Apache2 zum Einsatz. Schließe ich dieses direkt ans Gateway an, bekommt die Linux-Maschine per Router Advertisement ja eine eigene global unicast address mit dem von Unitymedia zugewiesenen /64-Präfix. Den Rechner kann ich von außerhalb auch anpingen und der Port 80 wird als offen erkannt - so weit, so gut (via DynDNS kann ich die Test-HTML-Seite auch aufrufen - natürlich nur mit IPv6, aber immerhin).

Jetzt soll die Firewall dazwischen. Ich könnte das natürlich alles über statische global unicast Adressen machen, aber da mein IPv6-Präfix alle paar Monate (oder so) erneuert wird, ist das keine Option (oder?).

Was hab ich jetzt für Möglichkeiten? Ich habe dann mal DHCP auf dem Gateway aktiviert. Dann bekommt meine externe Firewall-Schnittstelle eine dynamische v6-Adresse mit aktuellem Präfix. Aber wie komm ich dann ins interne IPv4 Netz weiter? Port-Weiterleitungen gibt es bei IPv6 ja nicht mehr. Also denke ich mal, dass NAT notwendig sein wird und habe daher auf der Firewall folgende NAT-Regel definiert:
For traffic from: any v4 and v6 address
Service: HTTP (1:65535 -> 80)
going to: External WAN address
Change Destination to: IP(v4) des Webservers

Das führt allerdings nicht zum Erfolg. Wenn ich die IPv6 der externen Firewall-Schnittstelle über die Seite http://www.subnetonline.com/pages/ipv6- ... canner.php auf Port 80 scanne, erhalte ich den Status "offline".

Wo ist mein Denkfehler? Was hab ich übersehen? Bin ich komplett auf dem Holzweg?

Danke im Voraus
Raketenforscher
Kabelneuling
 
Beiträge: 7
Registriert: 31.07.2014, 21:50

Re: Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon reset » 31.07.2014, 23:41

Das liegt am ipv6 ds lite [1] und wird so nix werden.

Es gibt schon viele Beschwerden darüber : viewtopic.php?f=53&t=23008
Ist ein Mamut Thread, ich weiß....:)

Gruß reset

[1] http://de.wikipedia.org/wiki/IPv6#Dual- ... DS-Lite.29
Benutzeravatar
reset
Glasfaserstrecke
 
Beiträge: 1367
Registriert: 10.09.2009, 11:48
Wohnort: Frankfurt am Main (Höchst)

Re: Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon Raketenforscher » 01.08.2014, 10:07

Joa, den Thread kenn ich, aber durch die 1182 Antworten hab ich mich jetzt noch nicht gewühlt...

Ich hatte gehofft, das irgendwie über IPv6 regeln zu können. Über "reines" IPv6 geht das ja auch, aber dazu muss halt auch der Client IPv6 sprechen.

Verstehe ich das richtig, dass mein NAT64-Ansatz nicht klappt, weil UM die eingekapselten v4-Ports rausfiltert?

WIe sieht es mit Tunnelmechanismen aus? Ließe sich da was bewerkstelligen?

Na ja, vielleicht sollte ich mir doch mal den verlinkten Thread vornehmen... 8)
Raketenforscher
Kabelneuling
 
Beiträge: 7
Registriert: 31.07.2014, 21:50

Re: Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon Knifte » 01.08.2014, 12:46

NAch meinem Verständnis klappt das nur, wenn die Geräte die zugreifen auch IPv6 beherrschen.
Viele Grüße

Knifte
jetzt:Bildvorher:Bild
UM 2play Premium 150.000 mit dem Cisco EPC 3208-Modem - ASUS RT-AC66U-Router - FritzBox 7490 - FritzFon C4
Knifte
Kabelkopfstation
 
Beiträge: 2573
Registriert: 18.04.2009, 21:19
Wohnort: Kreis Kleve

Re: Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon SpaceRat » 01.08.2014, 17:03

Raketenforscher hat geschrieben:Testweise kommt als Home Server ein Linux-System mit Apache2 zum Einsatz. Schließe ich dieses direkt ans Gateway an, bekommt die Linux-Maschine per Router Advertisement ja eine eigene global unicast address mit dem von Unitymedia zugewiesenen /64-Präfix. Den Rechner kann ich von außerhalb auch anpingen und der Port 80 wird als offen erkannt - so weit, so gut (via DynDNS kann ich die Test-HTML-Seite auch aufrufen - natürlich nur mit IPv6, aber immerhin).

Jetzt soll die Firewall dazwischen. Ich könnte das natürlich alles über statische global unicast Adressen machen, aber da mein IPv6-Präfix alle paar Monate (oder so) erneuert wird, ist das keine Option (oder?).
...
Wo ist mein Denkfehler? Was hab ich übersehen? Bin ich komplett auf dem Holzweg?


Das Problem ist, daß das TC7200 immer Router bleibt und zwar ein schlechter.

Laut Deiner Beschreibung hast Du die Sophos Firewall so eingerichtet, daß sich auf jeder Seite ein eigenes Netz befindet und was für IPv4 (Wenn auch nur mit den lokalen IPs) gilt, gilt zuerst einmal auch für IPv6.
Die FW kriegt nun also vom TC7200
- eine private IPv4 (Bzw. Du stellst sie ein)
und
- eine einzige öffentliche IPv6-Adresse

Murks ist das in beiden Fällen, aber bei IPv4 hat man sich ja schon dran gewöhnt und mit NAT einen Murks oben drauf gesetzt, der den ersten Murks wieder ausgleicht, d.h. die Firewall kann, obwohl sie nur eine einzige IPv4 kriegt, ein ganzes Netz dahinter versorgen, das einfach wiederum mit privaten IPv4-Adressen aus einem anderen Netz versorgt wird.

Bei IPv6 ist das aber nicht nötig, weil man massig und genug Adressen hat (Dein Anschluß kriegt nämlich sogar ein /57er oder gar /56er Präfix zugewiesen, das reicht für 128 oder gar 256 Subnetze a /64. Ein nachgeschalteter IPv6-Router kann also vom vorgeschalteten ein oder mehrere komplette Subnetze zur Verfügung gestellt bekommen und genau das erwarten IPv6-Router dann auch.
Murks a la "die eine öffentliche IPv6-Adresse um-NAT-en auf ein privates IPv6-Netz oder gar ein IPv4-Netz" ist i.d.R. nicht vorgesehen, weil eigentlich unnötig.

Das Problem:
Dem TC7200 fehlt hierzu das entscheidende Feature, nämlich die "DHCPv6 Prefix Delegation" (PD).
Mittels PD könnte er der FW sagen: "Hier haste ein /60er Teilnetz aus meinem /57er Präfix, sieh zu, was Du damit machst". Tut das TC7200 aber nicht ...

Kannst Du die Firewall in einen Modus versetzen, in dem sich beide Anschlüsse im selben Netz befinden und die Firewall nur die Pakete inspiziert und ggf. ablehnt oder eben weiterleitet?
Also wirklich reine Firewall ... bei getrennten Netzen je Seite ist es ja fast wieder ein Router ...
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon Raketenforscher » 02.08.2014, 15:42

SpaceRat hat geschrieben:Das Problem:
Dem TC7200 fehlt hierzu das entscheidende Feature, nämlich die "DHCPv6 Prefix Delegation" (PD).
Mittels PD könnte er der FW sagen: "Hier haste ein /60er Teilnetz aus meinem /57er Präfix, sieh zu, was Du damit machst". Tut das TC7200 aber nicht ...


Ist das ein Problem des TC7200? Ein /64-Präfix hab ich ja an der Firewall, aber das ändert sich ja dann und wann.

Kannst Du die Firewall in einen Modus versetzen, in dem sich beide Anschlüsse im selben Netz befinden und die Firewall nur die Pakete inspiziert und ggf. ablehnt oder eben weiterleitet?
Also wirklich reine Firewall ... bei getrennten Netzen je Seite ist es ja fast wieder ein Router ...


Müsste gehen. Ich kann die beiden Schnittstellen zu einer Netzwerkbrücke zusammenfassen. Das müsste doch das doch sein, oder?
Raketenforscher
Kabelneuling
 
Beiträge: 7
Registriert: 31.07.2014, 21:50

Re: Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon SpaceRat » 02.08.2014, 15:57

Raketenforscher hat geschrieben:
SpaceRat hat geschrieben:Dem TC7200 fehlt hierzu das entscheidende Feature, nämlich die "DHCPv6 Prefix Delegation" (PD).

Ist das ein Problem des TC7200? Ein /64-Präfix hab ich ja an der Firewall, aber das ändert sich ja dann und wann.

Daß sich das Präfix ändert ist bei deutschen Providern leider normal.

Bist Du denn sicher, daß es nicht einfach das selbe Präfix ist, das auch das TC7200 nutzt?

Das TC7200 kriegt ein größeres Subnet als nur ein /64er, es kriegt mindestens ein /58er Präfix.
Für sich selber bzw. das Heimnetz benutzt sie davon aber nur das erste /64er, die restlichen könnte es prinzipiell an nachgeschaltete Router weiterdelegieren, tut es aber nicht.

Vergleich die Präfixe mal genau:
2001:db8:affe:c0c0:1234:5678:9abc:def0 und 2001:db8:affe:c0c0:fedc:ba98:7654:3210 sind das selbe Netz,
2001:db8:affe:ff00:1234:5678:9abc:def0 und 2001:db8:affe:ff90:fedc:ba98:7654:3210 hingegen sind unterschiedliche Netze.

Solltest Du - wider erwarten - an der "WAN-Seite" der Sophos Firewall ein anderes Subnet angezeigt bekommen als das TC7200 nutzt, dann könntest Du damit tatsächlich weiterarbeiten und es - firewalled - zur LAN-Seite durchrouten.
Wenn es hingegen - wie ich erwarte - das selbe ist, dann darfst Du an der Firewall nicht in "WAN-Seite" und "LAN-Seite" auftrennen, sonst beziehen die Clients auf der LAN-Seite keine IPv6-Adressen.

Raketenforscher hat geschrieben:
SpaceRat hat geschrieben:Kannst Du die Firewall in einen Modus versetzen, in dem sich beide Anschlüsse im selben Netz befinden und die Firewall nur die Pakete inspiziert und ggf. ablehnt oder eben weiterleitet?
Also wirklich reine Firewall ... bei getrennten Netzen je Seite ist es ja fast wieder ein Router ...

Müsste gehen. Ich kann die beiden Schnittstellen zu einer Netzwerkbrücke zusammenfassen. Das müsste doch das doch sein, oder?

Vom Namen her nicht wirklich, eine "Netzwerkbrücke" (Bridge) wäre volltransparent, würde also eigentlich gar nichts mehr machen.

Kann aber sein, daß das nur eine Unschärfe bei der Bezeichnung ist, denn eine Netzwerkbrücke zwischen zwei RJ45-Anschlüssen würde die Sophos Firewall zu sowas degradieren:
Patchkabelkupplung Cat.6 2xRJ45-Buchse.

Das würde also keinen Sinn ergeben, insofern hoffe ich - für Dich - daß die damit gebaute Bridge eben keine volltransparente Bridge ist, sondern zumindest die Firewall-Funktionalität auf die durchgeleiteten Pakete anwendet.
Wenn's das leistet, wäre es perfekt.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon Raketenforscher » 03.08.2014, 02:37

Solltest Du - wider erwarten - an der "WAN-Seite" der Sophos Firewall ein anderes Subnet angezeigt bekommen als das TC7200 nutzt, dann könntest Du damit tatsächlich weiterarbeiten und es - firewalled - zur LAN-Seite durchrouten.


Nee, das ist schonn das Subnet des TC7200. So weit ist mir das auch schon klar - der WAN-Port der Firewall holt sich halt per router advertisement seine IPv6 mit /64-Präfix der TC7200. Ich hatte halt gehofft, ich könnte dieses Präfix halt auch an die interne Schnittstelle und die anderen Geräte durchreichen. Die haben halt dann alle dasselbe /64-Präfix, nämlich das des TC7200. Spricht meines Erachtens theoretisch nichts dagegen.

Wenn es hingegen - wie ich erwarte - das selbe ist, dann darfst Du an der Firewall nicht in "WAN-Seite" und "LAN-Seite" auftrennen, sonst beziehen die Clients auf der LAN-Seite keine IPv6-Adressen.


Gut, bei IPV6 leuchtet mir das ein, das ist ja NAT. Ich dachte, IPv6 wäre davon unabhängig (s.o.). Das war dann wohl mein entscheidender Denkfehler.

Kann aber sein, daß das nur eine Unschärfe bei der Bezeichnung ist, (...) sondern zumindest die Firewall-Funktionalität auf die durchgeleiteten Pakete anwendet


So ist es. Das ist dann keine physikalische Brücke, sondern eine logische. Die Geräte dahinter sind dann alle im gleichen (v4-)Subnet des TC7200.
Raketenforscher
Kabelneuling
 
Beiträge: 7
Registriert: 31.07.2014, 21:50

Re: Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon Joerg » 03.08.2014, 09:25

Vielleicht solltest Du Dir für 5€/Monat die Telefon-Komfort-Option gönnen, da bekommst Du eine Fritz!Box 6360. Die funktioniert m. W. - anders als das TC7200 - der Spezifikation entsprechend incl. Prefix-Delegation.

Jörg
Joerg
Übergeordneter Verstärkerpunkt
 
Beiträge: 824
Registriert: 22.09.2007, 19:24
Wohnort: NRW

Re: Home Server mit Unitymedia IPv6 und Sophos Firewall

Beitragvon SpaceRat » 03.08.2014, 09:47

Raketenforscher hat geschrieben:
SpaceRat hat geschrieben:Solltest Du - wider erwarten - an der "WAN-Seite" der Sophos Firewall ein anderes Subnet angezeigt bekommen als das TC7200 nutzt,

Nee, das ist schonn das Subnet des TC7200. So weit ist mir das auch schon klar - der WAN-Port der Firewall holt sich halt per router advertisement seine IPv6 mit /64-Präfix der TC7200. Ich hatte halt gehofft, ich könnte dieses Präfix halt auch an die interne Schnittstelle und die anderen Geräte durchreichen. Die haben halt dann alle dasselbe /64-Präfix, nämlich das des TC7200. Spricht meines Erachtens theoretisch nichts dagegen.

Doch, da spricht schon was dagegen: Du hast es selber ausgeschaltet!

Computer - und Deine Firewall ist auch nur ein solcher - sind dumm und machen sturheil das, was Du ihnen sagst.
Als Du ihm gesagt hast: Du hast an den Netzwerkschnittstellen zwei getrennte Netze, hat er Dir das eben geglaubt :)

Und so wie die Telekom keine IP-Adressen aus dem Vodafone-Netz verwenden kann, kann das durch Deine Firewall abgetrennte eigene Netz nicht dieselben Adressen verwenden wie das Netz davor.

Raketenforscher hat geschrieben:
SpaceRat hat geschrieben:Wenn es hingegen - wie ich erwarte - das selbe ist, dann darfst Du an der Firewall nicht in "WAN-Seite" und "LAN-Seite" auftrennen, sonst beziehen die Clients auf der LAN-Seite keine IPv6-Adressen.

Gut, bei IPV6 leuchtet mir das ein, das ist ja NAT. Ich dachte, IPv6 wäre davon unabhängig (s.o.). Das war dann wohl mein entscheidender Denkfehler.

Wie? Was?
Der Denkfehler ist es, zwei getrennte Netze mit denselben Adressen laufen lassen zu wollen, denn dann wäre es doch wieder ein Netz.
Das geht einfach nicht, weder bei IPv4 noch bei IPv6.

Wenn zwei "Müller" im selben Haus wohnen, nutzen getrennte Briefkästen auch nichts, solange sie nicht den Vornamen noch mit draufschreiben um doch wieder unterschiedliche Adressen zu haben.

Raketenforscher hat geschrieben:So ist es. Das ist dann keine physikalische Brücke, sondern eine logische. Die Geräte dahinter sind dann alle im gleichen (v4-)Subnet des TC7200.

Das sollte funktionieren.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Nächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 28 Gäste