IPv6 Portfreigaben (Dual Stack / DS-Lite)

Confluencer

Active member
Nachdem ich sicherlich nicht der Einzige bin, den das Thema IPv6 Portfreigabe beschäftigt, wollte ich hier mal das gesammelte Wissen niederschreiben.
Die theoretischen Grundlagen habe ich vor langer Ewigkeit mal mit @blurrrr durchdiskutiert und dann vor einigen Monaten problemlos umgesetzt.

Jeder von uns kennt Portfreigaben mit IPv4, dass Buchstäblich ein Portforwarding umsetz. Man kann einen WAN-Port auf eine beliebige interne IP und Ziel-Port mappen.

Bei IPv6 ist die Portfreigabe kein Portforwarding mehr, sondern eine Freischaltung der Firewall für ein Zielgerät und den Ziel-Port am Zielgerät - andere Ports sind aus dem Internet nach wie vor nicht erreichbar.

Welche Konsequenzen hat das?
- die Möglichkeit einen WAN-Port auf einen anderen Port beim Zielgerät zu mappen fällt weg.
- das Zielgerät wird direkt aus dem Internet angesprochen - wobei hierbei nur auf die Ports zugegriffen werden kann, die in der "Portfreigabe" freigeschaltet wurden.
- die IPv6 Adresse der Fritzbox spielt für den Zugriff auf das Zielgerät keine Rolle.
- der Dyndns-Client zur Aktualisierung der IPv6-Adresse muss auf dem Zielgerät laufen (siehe Punkt drüber)
- wenn man einen Dual-Stack hat, dann muss der A-Record für die IPv4 Adresse im DNS nach wie vor auf die Fritzbox WAN-IP auflösen, der AAAA-Record für die IPv6 aber auf die Adresse des Zielgeräts.

So nutze ich die Portfreigaben mit IPv6 und IPv4:
Ich habe bei mir für die IPv6 Adresse meiner OPNsense eine Portfreigabe für die Ports 80 und 443 eingetragen. Als Dyndns-Client verwende ich "Cloudflare (v6) und lasse den AAAA-Record bei Änderung der WAN-IP (sprich die ivp6 die über die Fritzbox freigegeben wurde) aktualisieren. Auf Port 80 und 443 habe ich HA-Proxy laufen, das als Reverse-Proxy die Verbindungen basierend auf Domainnamen/SNI an die Dienste im Backend weiterleitet.

Der IPv4 Record wird von der Fritzbox mit seiner WAN-IP aktualisiert. Die Portfreigabe bei IPv4 leitet ebenfalls auf die OPNsense und Port 80 und 443 weiter.
Bei DS-Lite könnt ihr den vorherigen Satz natürlich ignorieren, da die IPv4 Portfreigaben dann bei euch effektiv wirkungslos sind.
 
Zuletzt bearbeitet:

Confluencer

Active member
IPv6 ist schon gewöhnungsbedürftig und Portfreigaben ohne DDNS extrem unhandlich :)

Wenn man einmal einen klaren Blick auf das Thema hat, und den Sprung von "so macht man es mit WAN <-> NAT <-> LAN" zu "so macht man es Routing", dann ist es gar nicht mehr so schwer.

Dabei ist IPv6 oder IPv4 weniger ausschlaggebend als das Wegfallen des gewohnten NAT bei IPv6 (zumindest in den Consumer-Routern). Kaum ein Heimanwender hat auf dem Schirm, dass es im kommerziellen Umfeld schon immer möglich war ein öffentlich IPv4-Subnet mit mehreren öffentlichen IPv4-Adressens zu buchen. Auch da ist ein Router/Firewall-Gespann das Gateway in das Subnetz und die "hinteren Geräte" müssen über Firewall-Freigaben erreichbar gemacht werden. Vor IPv6 hatten Heimanwender einfach nur keine Berührungspunkte damit.

Für die meisten Anwender sind die IPv6 Besonderheiten vermutlich auch egal. Wer interessiert sich schon dafür, dass ein Gerät plötzliche mehrere IPv6 Adressen hat, die sich nur im Präfix unterscheiden, aber jeweils in unterschiedlichen Anwendungsszenarien zu verwenden sind. Solange man in seinem eigenen Netz noch ipv4 verwenden kann, wird sich da vermutlich kaum einer mit befassen.

Meine HA-Proxy verwendet für die Backend-Kommunikation auch nur IPv4 Adressen. Das kommt halt dabei raus, wenn Bequemlichkeit auf fehlende Notwendigkeit trifft :)
 
Zuletzt bearbeitet:

Barungar

Well-known member
Solange man in seinem eigenen Netz noch ipv4 verwenden kann, wird sich da vermutlich kaum einer mit befassen.

Also ich habe IPv4 bis auf wenige, nervige Legacy-Ausnahmen aus meinem LAN fast vollständig verbannt. Ich habe sogar einige VLANs die zu 100% nur IPv6 machen. In anderen VLANs muss ich, leider aus diversen Gründen noch IPv4 zulassen. Ich habe 2010 damit angefangen konsequent Dual Stack im LAN zu machen, und ab 2016 habe ich angefangen, wo möglich IPv4 zu deaktivieren.

Aber auch das publizieren von Diensten im Internet ist mittels IPv6 besser. Ich selbst betreibe natürlich auch Honey Pots, weil ich wissen möchte, was die "Script Kiddies" gerade so treiben. In den Logs kann ich mit Fug und Recht sagen, dass weit über 99% aller zweifelhaften Zugriffe von IPv4-Adressen kommen. Was in meinen Augen auch verständlich ist, weil die IPs meist durch Scans gefunden werden.

Bei einem /64-Prefix macht der Scan nach einer IPv6 mit potenziell offenen, ungeschützen Ports keinen Spaß. Weil allein dieses eine IPv6-Subnet (/64) schon 4,2 Milliarden mal mehr IPs enthält als das ganze IPv4-Internet zusammen! Zugegeben das fällt nur in die "Security by obscurity" Ebene und ist damit nicht wirklich ein Schutz, aber es macht sich halt heute echt noch kaum einer die Mühe.
 
Zuletzt bearbeitet:

the other

Well-known member
Moinsen @Barungar,
Ich möchte den thread hier nicht entführen, melde aber Interesse an einer Beschreibung deinerseits bzgl IPv6 im Heimnetz. :love:
Vielleicht magst du ja einen Post aufmachen und mal erzählen, wie du das so umgesetzt hast...
Schätzungsweise bin ich nicht der einzige hier, der mit dem Thema immer wieder hadert... :)
 

tiermutter

Well-known member
Ich wäre gespannt und bin mir sicher, dass mir 1000 Fragen dazu einfallen werden... Aber das kennst Du ja :p
 

Confluencer

Active member
Kapert ruhig :)

Ich melde auch Interesse an.

Bei IPv4 verwende ich eine keepalivd failover-ip. Die gibt es zwar auch für IPv6, aber man muss ein ipv6 (inkl. statischem Prefix) fix hinterlegen - mir fehlt die Phantasie wie das im Zusammenspiel mit ständigen wechselnden Provider-Prefixen funktioniert und ich die trotzdem aus dem Internet erreichen kann. Bei Docker verhält es sich ähnlich, auch da muss man einen festen Prefix angeben...
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
956
Beiträge
13.917
Mitglieder
487
Neuestes Mitglied
hendrik2022
Oben