Firewall IPv6

[Robbedoes]

Is er een manier om de Firewall voor IPv6 adressen in te stellen?
Ik had verwacht dat IPv6 toch al meer ge-implementeert zou zijn, maar alle nuttige settings zijn voor IPv4.

Ik wil maar enkele specifieke IPv6 adressen toegang laten geven tot de NAS.
NAS komt elders te staan en is ter back-up van een andere NAS, je hebt dan geen VPN tunnel meer nodig.

[Briolet]

Je kunt gewoon IPv6 adressen invullen in de firewall. Ook in de blokkeringslijkst kun je gewoon een IPv6 adres invullen:



Heb jij IPv6 wel aan staan. Onder DSM 4.x was dat volgens mij een apart pakket maar nu is het geïntegreerd, alhoewel een heleboel levels diep verstopt onder de netwerk instellingen.

Als ik mijn nas locaal via de nasnaam oproep, loopt het verkeer ook via zijn IPv6 adres en niet via zijn IPv4 adres. (Even met Witeshark getest. Alhoewel Wireshark voor de meeste pakketten aangeeft dat het 'Malformed' pakketten zijn, maar dat kan ook aan Wireshark's interpretatie van IPv6 liggen.)

Als IPv6 aan staat dan zend hij via Bonjour zowel zijn IPv4 als zijn IPv6 adres uit. Mijn Mac met OSX 10.6 gebruikt nog steeds het IPv4 adres, maar de Mac's die onder OSX 10.9 draaien gaan dan verder met het IPv6 adres.

[Briolet]

Ik had onder DSM 4.3 al eens IPv6 aan gezet, maar Safari deed steeds lastig omdat hij dan niet naar dat adres ging, maar dat IPv6 adres bij Google ging zoeken. Dat krijg je met een URL en zoekveld in 1. Met een van de eerste DSM 5.0 versies gaf Safari nog steeds problemen zodat ik IPv6 eigenlijk steeds uit had staan op de nas.

Vandaag heb ik IPv6 dus weer eens aan gezet en nu loopt alles wel vlot (Kan aan DSM of aan Safari liggen omdat beide updates gehad hebben.)

Vreemd is wel dat de iMac wel inlogt met het IPv6 adres, maar mijn iBook, met exact hetzelfde OSX 10.9 nog steeds het IPv4 adres gebruikt. Zie de bovenste 2 inlogs:



Via Ziggo heb ik alleen IPv4 hoewel ze al twee jaar geleden met de IPv6 uitrol hadden willen beginnen. Stapje voor stapje krijgen hun servers nu ook IPv6 adressen.

[Robbedoes]

briolet, bedankt voor je reactie.

Niet bij stilgestaan dat je in de firewall ook gewoon IPv6 adressen kunt zetten. 

Ik ben nog niet geheel op de hoogte van IPv6, maar is er ook een manier om een heel subnet (spreek je daar nog van bij IPv6?) mee te nemen.
Bijvoorbeeld is bij XS4ALL de eerste helft van je IP adressen 2001:98x:xxxx:1:, waarbij de x-en speciaal voor je verbinding geldt. De 2e helft wordt dus alle bepaald door de apparaten achter je modem.
Alle apparaten hebben dus standaard een vast IPv6 adres, ik meen dat dit door het MAC adres bepaald wordt.
Voor IPv4 kun je 0 invullen voor "alle" IP nummers, is er ook zoiets voor IPv6?

[Briolet]

Een subnet kun je bij IPv4 aangeven met een mask of met een slash achter het IP en daar achter het aantal significante bits.

Bij IPv6 is alleen dat laatste gebruikelijk. bv fe80::9e93:4eff:fe14:3b0b/64

Ik heb het even getest in DSM. Als je in de firewal in het "subnet mask" veld /64 invult wordt dat geaccepteerd als geldige invoer. Een te groot getal niet. Ook vindt tijdens het typen al een controle op geldige karakters plaats. b.v. kun je geen slash in het IP veld typen, maar wel in het mask veld.
Allemaal aanwijzingen dat je /xx in het maskveld mag intypen.

Dat had ik eigenlijk al eerder willen weten omdat ik ook bij IPv4 steeds moeizaam een mask aan het bepalen was terwijl ik ook daar waarschijnlijk gewoon /xx had kunnen gebruiken.

(Ik zal eens kijken wat de helpfile hierover schrijft. EDIT: niets)

[Briolet]

Een poging om bij een IPv4 adres /24 in het mask veld in te vullen mislukt. De slash kun je niet typen als erboven een geldig IPv4 adres staat. Als er een geldig IPv6 adres staat kun je wel een slash intypen.
Dus nu is het mij helemaal duidelijk dat dit opzet is.

[Robbedoes]

2001:98x:xxxx:1:: wordt wel door de firewall geslikt.
De [2001:98x:xxxx:1] is dus mijn oudside netwerk en ik heb even een IPv4 regel aangemaakt om nog wel toegang tot de nas te houden en de instellingen te kunnen doen.
/64 wordt nergens geaccepteerd als toevoeging en ook bij subnet niet. (DS115J)
Wel 64 alleen bij subnet en dan wordt in de firewall regel inderdaad /64 getoond.

Ik wou te testen of de ene PC er lokaal wel bij kan en de andere niet, maar ik krijg alleen niet voor elkaar om een kleiner subnet te nemen, door b.v. het volgende blok van 4 cijfers van de PC toe te voegen en dan /80 te nemen. Dus 2001:98x:xxxx:1:PPPP::/80
Maak ik hier een fout?

Edit: kennelijk wel. Het is mij nog niet duidelijk waarom, maar proefondervindelijk zorgt een /65 ervoor dat de andere lokale PC's er niet meer bij kunnen. Weet iemand hier helderheid in te geven?
Is er ook een goede externe poortscanner die ik kan gebruiken? GRC doet alleen IPv4.

[Robbedoes]

Doel is een afgeschermde verbinding over internet te kunnen hebben zonder VPN te hoeven bouwen om back-ups van de 1e NAS naar een externe 2e NAS te zetten. Natuurlijk moet het data kopiëren ook secure verlopen, maar dat is hierna aan de beurt. Voorlopig alleen https ingesteld.
Wat ik beschrijf is dat de 2e NAS van familie (DS115J) op mijn lokatie staat en de 1e NAS bij de familie.
Omgekeerd is er zo'n gelijke sessie nodig om mijn 2e NAS die extern bij familie staat te kunnen benaderen vanuit mijn 1e NAS.

Met een kennis getest en het blijkt perfect te werken met de volgende instellingen:
(In het oudsite adres 2001:98x:xxxx:1 zijn de cijfers uniek van de provider XS4ALL en de xxxx specifiek voor de betreffende ADSL verbinding.)
In de modem onder IPv6 poort 5001 doorgezet naar het IPv6 adres van de NAS en verder;

Firewall, Maken/Bewerken, Bron-IP;
Denk er wel aan om eerst een regel op te nemen voor je eigen interne IPv4 en IPv6 adres anders kun je er zelf niet meer bij, ik heb gekozen om het hele lokale subnet op IPv4 en IPv6 toegang te geven;

• Specifiek IP: 192.168.0.0
  (Subnet range, maar dan voor meerdere subnetten omdat de subnetten van de lokaties afwijken. Het meenemen van de NAS naar de andere lokatie is dan geen probleem meer.)
• Subnet: 255.255.0.0

en

• Specifiek IP: 2001:98x:yyyy:1:: (mijn eigen oudside IPv6 adres)
• Subnet: 64
• Volgens mij moet als lokaal netwerksegment fe80::/64 ook kunnen, maar dat heb ik nog niet op de NAS aan de praat gekregen

en uiteindelijk de andere locatie waar de 1e NAS staat die toegang moet krijgen om naar de 2e NAS te kunnen back-uppen;

• Specifiek IP: 2001:98x:xxxx:1:: (de oudside IPv6 adres van de locatie die er alleen maar bij mag komen)
• Subnet: 64 (dus zonder /)

Het IP van admin uitsluiten lukt overigens niet met de actieve verbinding, als je dat wilt moet je die omgekeerd via IPv4 of IPv6 instellen.

Hoop dat anderen hier ook wat aan hebben.

[Briolet]

/64 wordt nergens geaccepteerd als toevoeging en ook bij subnet niet. (DS115J)

Mijn fout. Ik had dat gewoon ingetyped, maar blijkbaar niet gecontroleerd of die / er wel degelijk stond. Bij controle zie ik dat die / niet nodig is in het 'mask' veld. Wel mooi dat je het werkend hebt gekregen en terugmeld.
Jammer dat er nog niets over staat in de help file terwijl er toch landen zijn waar IPv6 al goed ingeburgerd is.

[Robbedoes]

Er was wel een dikke dag uitpluizen voor nodig om er achter te komen hoe het nou zit, maar met je hulp hier en de technici bij XS4ALL is het inderdaad gelukt.
Goed om te weten is dat je alleen via de browser een IPv6 verbinding met de NAS maakt als je hem ook via een IPv6 adres aanroept.

Voor een SSL verbinding wordt dit dan bijvoorbeeld met het eerder genoemde prefix van XS4ALL:
https://[2001:981:nnnn:1:aaaa:bbbb:cccc:dddd]:5001/

[Briolet]

https://[2001:981:nnnn:1:aaaa:bbbb:cccc:dddd]:5001/

Met IPv6 wil je niet meer IP's invullen in je browser, maar ga je echt met namen werken.    Ik heb nu mijn netwerk op 10.0.1.x staan en dat levert nog makkelijke adressen op om te onthouden en snel in te tikken.

[Robbedoes]

De naam van de ADSL verbinding als adres heb ik getest maar de DNS resolved naar een IPv4 IP, dus dat schiet niet op.