Synology Firewall und IPv6

the other

Well-known member
Moinsen,
nachdem ich mich heute bereits an anderer Stelle als temporärer Vollhonk geoutet habe, komme ich gleich mit dem nächsten Phänomen um die Ecke:
setting:
- NAS in Vlan3 mit GUA, ULA und LLA (sowie IPv4, aber das ist hier egal)
-PC in Vlan2, auch mit allen IPv6 Adressarten

Wenn die firewall auf dem NAS aus ist, kann ich das NAS vom PC aus pingen (mit der ULA sowie mit dem hostname). Klar soweit. Erfolgreicher Zugriff mit Browser und ULA...
Wenn die firewall auf dem NAS an ist, kann ich das NAS vom PC aus nicht pingen (weder mit ULA noch mit hostname, ich kann auch jede IP des PC dort freigeben, geht nicht). Kein Zugriff über Browser und ULA Eingabe...

Wenn die firewall auf dem NAS an ist, kann ich mit der GUA sowohl pingen als auch via GUA im Browser auf die login Seite gelangen, selbst ohne in der firewall angegebene IP für den PC.

Ich verstehe ehrlich gesagt gerade nix mehr o_O:
Warum gelingt ein Zugriff mit meinem PC, ohne dass ich dafür in der aktiven Firewall der Synology die Quell IP des PC (wird als GUA angezeigt) erlaube??
Warum gelingt ein Zugriff mit meinem PC und ULA nicht, obwohl dafür die Freigabe in der Firewall vorhanden ist? :unsure:

Bin dumm, brauche Hilfe...:cry:
:)
 

the other

Well-known member
Moinsen,
sorry für den Forums Spam (andererseits hilft es ja vielleicht irgendeine*r Person in Zukunft...).
Der Grund, warum ich nicht per ULA und eingetragener IP (ULA) aufs NAS gekommen bin: der PC nutzt für Ping und Browserzugriff die ULA mit Privacy Extensions. Daher ging es jetzt sofort nach erfolgter Anpassung.
Was ich noch nicht verstehe, ist der Zugang via GUA und Browser...
 

the other

Well-known member
Moinsen,
so, Pause und Reboot tut gut.:coffee:
Nach erneutem Anlegen der Regeln und einem Reboot tut jetzt alles wie es soll und zu erwarten wäre.
NAS wird normal erreicht, die Privacy Extensions hab ich mal deaktiviert (find das eh am falschen Ende angesetzt bei der heutigen Trackinglage).
Auch der Zugang via GUA ist jetzt nicht mehr zulässig und das NAS hat alle wichtigen IPs übernommen für sich:
intern via IPv4 sowie IPv6 pingbar und per Browser erreichbar. Name wird aufgelöst ebenso wie IPs.
Das NAS selbst kommt weiterhin für (Paket-) Updates ins Netz.
Baustelle damit fertig.
Danke für ihre Aufmerksamkeit...🥳
 

Barungar

Well-known member
Moinsen,
sorry für den Forums Spam (andererseits hilft es ja vielleicht irgendeine*r Person in Zukunft...).
Der Grund, warum ich nicht per ULA und eingetragener IP (ULA) aufs NAS gekommen bin: der PC nutzt für Ping und Browserzugriff die ULA mit Privacy Extensions. Daher ging es jetzt sofort nach erfolgter Anpassung.
Was ich noch nicht verstehe, ist der Zugang via GUA und Browser...

Genau, ein wichtiger Hinweis... Geräte die Privacy Extensions verwenden, sind zwar über ihre "vordefinierte IPv6" erreichbar, wenn man sie selbst anspricht. Aber, wenn diese Geräte selbst ein anderes Gerät ansprechen, dann verwenden sie dafür die Pricavy IPv6. Schaltet man dieses Privacy Extemsions aus, dann wird für beide Richtungen die vordefinierte IPv6 verwendet.

Ich sag mal so, Privacy Extensions mögen im Internet hilfereich sein. Aber die Identifikation, die bei IPv4 auf der öffentlichen IP des Routers erfolgt, erfolgt bei IPv6 auf dem öffentlichen Präfix. Damit hat man selbst mit Privacy Extensions die gleiche "Öffentlichkeit" wie mit IPv4. Ohne "Privacy Extensions" jedoch wäre auch jedes Gerät eineindeutig identifizierbar.

Wer sich über sowas allerdings Sorgen macht, der sollte eher ein VPN oder ähnliches verwenden.
 

the other

Well-known member
Moinsen,
das sehe ich ungfähr so ähnlich:
ist ja herzensgut gemeint, aber wenn die Damen und Herren Datentrader und -sammler mal loslegen, dann ist so ne popelige PrivacyExtensions (PE) "Anonymisierung" doch schnell am Ende angelangt. Zum einen ein doch länger wiedererkennbares Präfix, dann die ganzen IP unabhängigen Trackingmethoden...dafür den Hassel mit den sich immer ändernden IPs. Ich sag da mal Danke, aber Danke nein.
BTW:
wer wie ich auch gerade am Spielen mit IPv6 im Heimnetz ist und diese PEs auf seinem Linux deaktivieren will:
1. Die Einstellungen dazu sind in dieser Datei hinterlegt
[B]/etc/sysctl.d/10-ipv6-privacy.conf[/B].

2. Hier mal mit sudao nano reinschauen und bei Bedarf folgenden Wert ändern:
net.ipv6.conf.all.use_tempaddr

Es gibt hierfür drei Werte:
0 = PE aus
1 = PE bereitstellen
2 = PE bereitstellen und aktiv nutzen

Auch kann die lifetime eingestellt werden unter
net.ipv6.conf.all.temp_prefered_lft > wie lange wird die PE anderen Adressen vorgezogen

und
net.ipv6.conf.all.temp_valid_lft > wie lange ist die PE vorhanden.

Danach dann den Dienst einmal neustarten mit sudo sysctl -p /etc/sysctl.d/10-ipv6-privacy.conf
Oder den ganzen PC, wenn gewünscht...


Was mich persönlich zukünftig freuen würde:
wenn die Betriebssysteme und auch Anwendungen wie pfsense und Co noch stärker auf die neuen Eigenschaften von IPv6 eingehen würden...
- zB wahlweises Deaktivieren der PE nur für GUA / ULA /beides
 
Zuletzt bearbeitet:

Barungar

Well-known member
Und wer unter Windows an den Privacy Extensions leidet, der kann diese über die PowerShell abschalten:

Set-NetIPv6Protocol -RandomizeIdentifiers Disabled
Set-NetIPv6Protocol -UseTemporaryAddresses Disabled


Notfalls geht es auch noch über die gute alte CMD und dort mit netsh

netsh interface ipv6 set privacy state=disabled store=persistent
netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent


In beiden Fällen sollte man eine "Windoof"-Büchse danach Rebooten!
 

TiloE

New member
Moinsen,
so, Pause und Reboot tut gut.:coffee:
Nach erneutem Anlegen der Regeln und einem Reboot tut jetzt alles wie es soll und zu erwarten wäre.
NAS wird normal erreicht, die Privacy Extensions hab ich mal deaktiviert (find das eh am falschen Ende angesetzt bei der heutigen Trackinglage).
Auch der Zugang via GUA ist jetzt nicht mehr zulässig und das NAS hat alle wichtigen IPs übernommen für sich:
intern via IPv4 sowie IPv6 pingbar und per Browser erreichbar. Name wird aufgelöst ebenso wie IPs.
Das NAS selbst kommt weiterhin für (Paket-) Updates ins Netz.
Baustelle damit fertig.
Danke für ihre Aufmerksamkeit...🥳
Ich versuche die firewall meines Synology NAS ebenfalls "richtig" einzustellen und die interne DNS Auflösung für IPv6 als auch den Zugriff von außen auf bestimmte Ports (Dienste) zuzulassen.
Könntest du vielleicht beispielhaft mal deine Konfiguration posten - so in der eingetragenen Reihenfolge und der Form: Aktiviert, Ports, Protokoll, Quell-IP, Aktion (bitte gehe insbesondere auf die IP6 Adressen ein) Danke.
 

rednag

Well-known member
Hallo @TiloE und willkommen im Forum.

Ich bin zwar nicht angesprochen, Versuche trotzdem zu helfen.
Die Firewall der Syno arbeitet das Regelwerk von oben nach unten ab. Und mach dem "First Match" Prinzip. Wenn Du an erster Stelle einen Dienst verbietest, an zweiter erlaubst wird trotzdem verboten. Verbot ist höherwertig als Erlauben. An erster Stelle sollte deshalb auch eine Ausnahme für das heimische LAN sein.
 

the other

Well-known member
Moinsen @TiloE und willkommen im Forum,
hier mal ein Screenshot von den ersten Firewallregeln. Das ganze ist unter LAN1 angelegt, da bei mir sowohl IPv4 als auch v6 nebeneinander laufen, sind Einträge für beide Protokolle vorhanden (hier mit ULAs).
Generell: in den Regeln erlaube ich, alles andere wird global geblockt...
Bei Fragen gerne wieder melden!
;)

fw_nas_rules.png
 

Zurzeit aktive Besucher

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
956
Beiträge
13.925
Mitglieder
487
Neuestes Mitglied
hendrik2022
Oben