- Anzeige -

ungefiltertes IPv6?

In diesem Forum geht es um die Router für Kabel Internet FRITZ!Box 6320, FRITZ!Box 6340, FRITZ!Box 6360 und FRITZ!Box 6490 der Firma AVM.

ungefiltertes IPv6?

Beitragvon jbredereck » 19.07.2014, 19:00

Hallo,

wir nutzen in unserer Firma einen Internet-Anschluss von KabelBW mit der Fritzbox 6360. In unserem Firmen-Netzwerk befinden sich eine ganze Reihe von Geräten, die über eine IPv6-Adresse von aussen erreichbar sein sollen. Bisher hatten wir das über einen IPv6-Tunnel realisiert, doch nachdem KabelBW jetzt auch native IPv6-Anschlüsse anbietet, haben wir auf einen entsprechenden Tarif mit der besagten FritzBox umgestellt.

Jetzt sieht es aber danach aus, als ob die FritzBox standardmässig eingehenden IPV6-Verkehr blockieren würde. Es gibt zwar die Möglichkeit einzelne Geräte (Mac-Adressen) über die "Exposed Hosts"-Funktion freizuschalten, aber das genügt in unserem Fall nicht. Wir benötigen einen absolut ungefilterten IPv6-Zugang für das gesamte IPv6-Netz.

Kann mir jemand sagen, wo ich das in der Fritzbox einstellen kann?

Viele Grüße,
Jörn Bredereck
jbredereck
Kabelneuling
 
Beiträge: 3
Registriert: 19.07.2014, 18:50

Re: ungefiltertes IPv6?

Beitragvon johnripper » 19.07.2014, 19:58

Office & Internet 150 @ Fritz!Box 6490, OS 6.50
johnripper
Übergeordneter Verstärkerpunkt
 
Beiträge: 834
Registriert: 06.02.2014, 20:29
Wohnort: Kabelbw-Land

Re: ungefiltertes IPv6?

Beitragvon SpaceRat » 20.07.2014, 13:13

jbredereck hat geschrieben:Jetzt sieht es aber danach aus, als ob die FritzBox standardmässig eingehenden IPV6-Verkehr blockieren würde.

Ja, ist ja auch sinnvoll.

jbredereck hat geschrieben:Es gibt zwar die Möglichkeit einzelne Geräte (Mac-Adressen) über die "Exposed Hosts"-Funktion freizuschalten, aber das genügt in unserem Fall nicht. Wir benötigen einen absolut ungefilterten IPv6-Zugang für das gesamte IPv6-Netz.
Kann mir jemand sagen, wo ich das in der Fritzbox einstellen kann?

Es gibt in der Fritz!Box-Konfiguration einige Einträge
no_firewall = no;
und
security = [value];
die das komplette Abschalten der (IPv6-)Firewall möglich machen könnten.
Die kann man aber nur innerhalb der exportierten Konfigurationsdatei ändern (Danach ist ihre Prüfsumme zu korrigieren) und m.W. übersteuert UM/KBW derartige Einstellungen sofort wieder.

Mir fällt im Moment kein Nutzungs-Szenario ein, in dem man das bräuchte. In welchem Netz gibt es denn wirklich nur Rechner, die mit dem nackten Schw4nz in der Hand im Netz stehen sollen und keinen einzigen, der vor Zugriff von außen zumindest teilweise geschützt werden soll?
Ein Testnetz für Firewalls? ;)

Ihr könnt Euer Ziel aber durchaus erreichen, indem Ihr Euch auf einen Tarif mit Technicolor TC7200 umstellen laßt (Jeder Privatkundentarif ohne Telefon Komfort, außer 3play). Das Teil hat genau die (für jeden anderen unbrauchbare) Funktionalität der IPv6-Firewall, die ihr wollt, die kann man nämlich nur ganz aus- oder ganz einschalten.

Aber:
Habt Ihr bei der angedachten Nutzung denn auch bedacht, daß Ihr bei UM/KBW dynamische Präfixe bekommt?
Euer komplett von außen erreichbares Netz ändert also alle paar Stunden die ersten 4 Tupel der Adressen.
Der von Euch vorher verwendete Tunnel hatte mit einiger Sicherheit anständige IPv6-Adressen, also statische.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: ungefiltertes IPv6?

Beitragvon jbredereck » 20.07.2014, 16:54

SpaceRat hat geschrieben:
jbredereck hat geschrieben:Jetzt sieht es aber danach aus, als ob die FritzBox standardmässig eingehenden IPV6-Verkehr blockieren würde.

Ja, ist ja auch sinnvoll.


Für den typischen Privatkunden ist das schon sinnvoll. Wir nutzen das IPv6-Netz hauptsächlich um eigene Server aus dem Internet erreichbar zu machen. Die Server laufen unter FreeBSD und Linux und sind natürlich selbst entsprechend geschützt.

SpaceRat hat geschrieben:Es gibt in der Fritz!Box-Konfiguration einige Einträge
no_firewall = no;
und
security = [value];
die das komplette Abschalten der (IPv6-)Firewall möglich machen könnten.
Die kann man aber nur innerhalb der exportierten Konfigurationsdatei ändern (Danach ist ihre Prüfsumme zu korrigieren) und m.W. übersteuert UM/KBW derartige Einstellungen sofort wieder.


ok, dann ist das native IPv6-Netz von KabelBW natürlich für unseren UseCase wieder gestorben und wir müssen wohl oder übel wieder Netze aus dem RZ tunneln. Schade, ich hätte natives IPv6 bevorzugt.

SpaceRat hat geschrieben:Mir fällt im Moment kein Nutzungs-Szenario ein, in dem man das bräuchte. In welchem Netz gibt es denn wirklich nur Rechner, die mit dem nackten Schw4nz in der Hand im Netz stehen sollen und keinen einzigen, der vor Zugriff von außen zumindest teilweise geschützt werden soll?
Ein Testnetz für Firewalls? ;)


In unserem RZ betreiben wir derzeit etwa 200 Server (etwa 25 /64er-Netze) die alle mit statischen IPv6-Adressen im Netz stehen. Bis jetzt haben wir uns Netze aus dem RZ ins Büro getunnelt. Funktioniert seit Jahren problemlos aber jetzt wollten wir mal natives IPv6 von KabelBW ausprobieren. Scheint aber wirklich nicht das richtige für uns zu sein. Mit diesem Consumer-Kunden-Mist kommen wir nicht weit. :-(

Ihr könnt Euer Ziel aber durchaus erreichen, indem Ihr Euch auf einen Tarif mit Technicolor TC7200 umstellen laßt (Jeder Privatkundentarif ohne Telefon Komfort, außer 3play). Das Teil hat genau die (für jeden anderen unbrauchbare) Funktionalität der IPv6-Firewall, die ihr wollt, die kann man nämlich nur ganz aus- oder ganz einschalten.

Aber:
Habt Ihr bei der angedachten Nutzung denn auch bedacht, daß Ihr bei UM/KBW dynamische Präfixe bekommt?
Euer komplett von außen erreichbares Netz ändert also alle paar Stunden die ersten 4 Tupel der Adressen.


Uns wurden die nativen IPv6-Adressen als statische Adressen verkauft. Und dass sich alle paar Stunden der Präfix ändert kann ich auch nicht bestätigen. Seit der Inbetriebnahme der Box vor 3 Tagen hat sich der Präfix nicht geändert. Wenn die Adressen wirklich nur dynamisch sind, ist das natürlich erst recht unbrauchbar für uns. Also wieder zurück zum OpenVPN-Tunnel. :-(

Der von Euch vorher verwendete Tunnel hatte mit einiger Sicherheit anständige IPv6-Adressen, also statische.


ja, natürlich. Mich würde mal interessieren, warum KabelBW keine statischen IPv6-Adressen anbietet? Das Argument der IP-Knappheit wie bei IPv4 kann's ja nicht sein...
jbredereck
Kabelneuling
 
Beiträge: 3
Registriert: 19.07.2014, 18:50

Re: ungefiltertes IPv6?

Beitragvon SpaceRat » 20.07.2014, 19:07

jbredereck hat geschrieben:Für den typischen Privatkunden ist das schon sinnvoll. Wir nutzen das IPv6-Netz hauptsächlich um eigene Server aus dem Internet erreichbar zu machen. Die Server laufen unter FreeBSD und Linux und sind natürlich selbst entsprechend geschützt.

Ich sehe trotzdem den Sinn in einem Verzicht auf eine Firewall vor dem Gesamtnetz nicht.
Wenn Du gesagt hättest, daß Du sie abschalten willst, weil Ihr eine bessere Lösung a la SonicWall, ZyWall, ... im Einsatz habt ...

jbredereck hat geschrieben:Uns wurden die nativen IPv6-Adressen als statische Adressen verkauft. Und dass sich alle paar Stunden der Präfix ändert kann ich auch nicht bestätigen. Seit der Inbetriebnahme der Box vor 3 Tagen hat sich der Präfix nicht geändert.

Ich kann es nicht beschwören, weil es die Fritz!Box 6360 sowohl für Privat- als auch für Firmenkunden gibt, das läßt also keinen Rückschluß auf den Tarif zu.
An sich gibt es aber DS-lite, was Ihr ja wohl anscheinend habt, nur mit Privatkundentarifen und dann wäre das Präfix dynamisch.
Bei Firmenkundenanschlüssen gibt es an sich auch nur IPv4-only.
Zwischenzeitlich gab es wohl mal echten Dual Stack bei Businessanschlüssen von KBW, allerdings war auch da das Präfix dynamisch (Zumindest laut Aussage eines solchen Kunden, dem ich bei der Einrichtung der ZyWall geholfen habe) und außerdem gibt es wohl inzwischen dieses Profil auch gar nicht mehr.

Also habt Ihr entweder einen Spezialtarif, einen Alttarif von KBW oder aber ein dynamisches Präfix.

jbredereck hat geschrieben:ja, natürlich. Mich würde mal interessieren, warum KabelBW keine statischen IPv6-Adressen anbietet? Das Argument der IP-Knappheit wie bei IPv4 kann's ja nicht sein...

Es gibt keinen brauchbaren Grund für dynamische Präfixe, weder für Privat- noch für Geschäftskunden.

Irgendeine Sauerei mußte aber durch den Bundestag, also wurden die Datenschützer damit beauftragt, irgendeine Nebelkerze zu zünden, damit die doofen Deutschen das nicht mitbekommen.
Die Nebelkerze hieß dann "IPv6 gefährdet die [nicht vorhandene] Privatsphäre", weil sich nicht verändernde Adressen für das selbe Gerät angeblich den Benutzer gläsern machen würde, ganz so, als ob er das nicht schon sei.
Unsere lieben Provider haben das natürlich begeistert aufgegriffen und dynamische Präfixe als Lösung vorgeschlagen. Die Privatsphäre ist jetzt zwar immer noch genauso am 4rsch wie vorher, aber immerhin werden so Serverdienste weiterhin erschwert.

Wieso KBW das allerdings auch bei den "Business"-Anschlüssen - die ja für Serverdienste freigegeben sind - so übernommen hat, weiß der Kuckuck. Vielleicht war es auch deshalb auf eine Versuchsphase beschränkt.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2614
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: ungefiltertes IPv6?

Beitragvon jbredereck » 20.07.2014, 20:30

SpaceRat hat geschrieben:
jbredereck hat geschrieben:Für den typischen Privatkunden ist das schon sinnvoll. Wir nutzen das IPv6-Netz hauptsächlich um eigene Server aus dem Internet erreichbar zu machen. Die Server laufen unter FreeBSD und Linux und sind natürlich selbst entsprechend geschützt.

Ich sehe trotzdem den Sinn in einem Verzicht auf eine Firewall vor dem Gesamtnetz nicht.
Wenn Du gesagt hättest, daß Du sie abschalten willst, weil Ihr eine bessere Lösung a la SonicWall, ZyWall, ... im Einsatz habt ...


Also wir können gerne mal in einem passenden Forum verschiedenen Firewall-Strategien und Konzepte diskutieren, aber ohne unser Setup zu kennen halte ich deine Ferndiagnose zumindest für sehr gewagt. ;-)

Nur soviel: eine Firewall die nur eingehenden Traffic filtert ist in den allermeisten Fällen sowieso Augenwischerei, denn ohne auch den ausgehenden Traffic zu filtern ist der Gewinn an Sicherheit verschwindend gering und unterm Strich bringt es mehr, die betreffenden Hosts so zu konfigurieren dass sie nicht missbraucht werden können. D.h. entweder richte ich eine _richtige_ Firewall ein, die sowohl ein- als auch ausgehenden Traffic anhand eines klar definierten und dokumentierten Regelwerks filtert (aber damit wäre eine Fritzbox sowieso überfordert), oder ich sichere die Hosts entsprechend ab. Hint: wir verwenden u.a. Virtualisierungs-Lösungen, bei denen die VMs sowieso nur in gesandboxten virtuellen Netzwerken stehen. In diesen Setups brauche ich ungefilterte IP-Connectivity bis zum Hypervisor, die Paket-Filterung erfolgt dann (wenn nötig) auf höherer Ebene hinter einer ganzen Kaskade von virtuellen Bridges (Layer2-Fitering) und Routern, die den Traffic nicht nur zum KabelBW-Uplink routen, sondern auch noch an einem Telekom-Uplink hängen und diverse VPN-Tunnel in diverse RZs, bzw. zu Kunden-Netzen halten. In so einem komplexen Setup will man das Firewalling bestimmt nicht mit einer Fritzbox machen. ;-)

Aber das nur am Rande... wie gesagt: Wir können gerne mal an geeigneter Stelle über Firewall- und Security-Konzepte fachsimpeln. Ich mache das seit 1997 hauptberuflich und traue mir daher schon zu, ein Netz mit einem transparenten Kabel-Uplink-Router sicher zu halten.

Ich kann es nicht beschwören, weil es die Fritz!Box 6360 sowohl für Privat- als auch für Firmenkunden gibt, das läßt also keinen Rückschluß auf den Tarif zu.


Du hast recht... nach einem Neustart der Fritzbox hat sich der Präfix geändert. Damit ist dieser IPv6-Uplink für unsere UseCases sowieso kaum zu gebrauchen. D.h. wir werden dann eben weiter Netze aus dem RZ tunneln.

Die Nebelkerze hieß dann "IPv6 gefährdet die [nicht vorhandene] Privatsphäre", weil sich nicht verändernde Adressen für das selbe Gerät angeblich den Benutzer gläsern machen würde, ganz so, als ob er das nicht schon sei.
Unsere lieben Provider haben das natürlich begeistert aufgegriffen und dynamische Präfixe als Lösung vorgeschlagen. Die Privatsphäre ist jetzt zwar immer noch genauso am 4rsch wie vorher, aber immerhin werden so Serverdienste weiterhin erschwert.


ja, damit könntest du recht haben.
jbredereck
Kabelneuling
 
Beiträge: 3
Registriert: 19.07.2014, 18:50


Zurück zu FRITZ!Box für Kabel Internet

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste