PD Subnetz in Firewall freigeben

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
VX500
Beiträge: 40
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

PD Subnetz in Firewall freigeben

Beitrag von VX500 »

Hallo in die Runde,

Hinter meinem Lancom 883 möchte ich einen Lancom 1781EW betreiben. Der 1781 bekommt vom 883 via DHCPv6 ein PD-Präfix (providerbezogen) zugeteilt, aus dem er die IPv6 Adressen seiner Clients verteilt. Das funktioniert perfekt.

Im 883 möchte ich nun in der IPv6 Firewall das PD Präfix für Forwarding (wegen VoIP über IPv6) freigeben. Wie richte das unter "Stations-Objekte" ein?
- die ersten ersten Bits des PD Präfixes können sich ja immer mal ändern
- kann ich generell alle PD Präfixe freigeben?


Grüße
Sascha
失败是成功之母
Beiträge: 18
Registriert: 03 Aug 2020, 14:18

Re: PD Subnetz in Firewall freigeben

Beitrag von 失败是成功之母 »

Die Frage lautet kurz:
Wie muss bei einem dynamischen Präfix die „Station“ für die IPv6-Firewall aussehen – auf dem ersten/vorderen Lancom Business Router?

Gute Frage … ich dachte ich setze mal schnell so eine Router-Kaskade (alternativ auf c’t+) auf und erkläre es Dir dann. Bei AVM heißt dies „Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen“. Pustekuchen. Bei Lancom ist der Knackpunkt:
a) WEBconfig → Konfiguration → Firewall → IPv6 → Stations-Objekte
b) LANconfig → IPv6 → Firewall → Stationen
Wenn ich hier „Netzwerk-Präfix“ oder „IP-Adresse“ nehme, sehe ich mich gezwungen auch den dynamischen Teil des IPv6-Präfix anzugeben. Tue ich das, klappt auch alles – bis ich vom Internet-Anbieter mein nächstes Präfix bekomme. „Host-Identifier“ = EUI-64 klappt perfekt, wenn der Host im ersten/vorderen Netz ist. Ist der Host im zweiten/hinteren Router – im delegierten Subnetz –, dann greift diese Regel nicht. Klar, ich könnte und kann die IPv6-Firewall auf dem vorderen Router ganz ausschalten.

In der Heise Zeitschrift c’t 10/2016 auf Seite 137 2. Spalte oben (alternativ auf Heise+) steht, dass das ginge. Nur wie? Oder bezog sich der Autor jenes Artikels nicht auf dynamische sondern statische Präfixe? Statisch geht, kein Problem.
VX500 hat geschrieben: 27 Mär 2020, 09:37 VoIP … ersten Bits des PD Präfixes können sich ja immer mal ändern
Ich habe keine direkte Antwort auf Deine Frage, sondern „drei“ Nachfragen:
  1. Erhältst Du von Deinem Internet-Provider kein statisches sondern ein dynamisches Prefix? In dem Fall – Zitat aus dem Referenzhandbuch – „kann es passieren, dass der Provider dem Router ein neues Präfix delegiert hat, aber der Client noch eine Adresse aus dem Pool mit dem alten Präfix besitzt.“ Anders formuliert: Du bist bei jedem Präfix-Wechsel bis zum Ablauf der DHCPv6-Lease nicht über IPv6 erreichbar. Daher stellt sich die nächste Nachfrage:
  2. Warum musst/willst Du überhaupt DHCPv6 machen; warum reicht SLAAC nicht aus?
  3. Warum musst/willst Du für VoIP/SIP überhaupt eine Freigabe machen?
    Wenn der SIP-Client nicht ganz schusselig ist, dann schickt er alle paar Minuten ein Keep-Alive, um die Firewall für SIP offen zu halten. Für RTP macht er Hole-Punching. Das sind zwar Techniken, die man Jahre lang NAT (und damit nur IPv4) zugeschrieben hat, aber wegen Firewalls ist das auch in IPv6 akut. Ordentliche SIP-Clients erlauben das daher auch in IPv6.
Welchen SIP-Client bzw. Tisch-Telefon möchtest Du überhaupt nutzen? In einem anderen Thread erwähnst Du ein Snom D345 und Telekom Deutschland. Wenn Du willst, teste ich dieses Szenario mit meinem Snom Tisch-Telefon. Das geht hier mit meinem SIP-Anbieter über IPv6 ganz ohne Freigabe und daher auch mit SLAAC. Welchen SIP-Anbieter nutzt Du genau?

Alternativ könntest Du den SIP-B2BUA in Deinen beiden Lancom Business-Routern nehmen: Du buchst Dein Tisch-Telefon in den Lancom 1781EW ein (All-IP Option nötig). Und Du buchst den Lancom 1781EW in den Lancom 883 ein. Der Lancom 883 bucht sich dann bei Deinem SIP-Anbieter ein.
Benutzeravatar
VX500
Beiträge: 40
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

Re: PD Subnetz in Firewall freigeben

Beitrag von VX500 »

Hallo

In einem anderem Beitrag schrieb ich ja schon dass ich das Szenario durch try-and-error selber hinbekommen hatte.

Die Telekom vergibt hier dynamische IPv6-Präfixe. Dynamisch kann heißen: gibt es keine Leitungsstörung oder einen Reboot des Routers hält die Verbindung durchaus ein paar Wochen.

Das Snom D345 in Verbindung mit dus.net als Telefongesellschaft hatte in der Vergangenheit bei Umstellung auf IPv6 Probleme gemacht. Kommende Erreichbarkeit war Glückssache. Keep-Alive war aktiviert im Snom, brachte aber nichts. Der Support von dus.net sagte es kommt von der IPv6-Adresse, an der das Invite für eine SIP-Session gesendet wird, keine Antwort. Der Lancom hatte alles blockiert. Mit einer Einzelfreigabe in der Firewall klappte es dann. Bis heute. Auch sporadische Halbseitigkeitsverbindungen (RTP nur in gehender Richtung) gehören seit der Firewallfreigabe der Vergangengheit an.

Die stateless Adresszuteilung führt zu unmerkbaren IP-Adressen. Da muss ich erst die Mac-Adresse oder andere Merkmale abgleichen um zu wissen was da im Router aktiv ist. Daher DHCPv6. Das ist also für Wartungszwecke. Bei einem Android im Wireless-LAN kanns auch gern stateless sein.

Inzwischen läuft das Szenario auch alles ganz stabil. Einzig das Snom D345 kann kein Reconf. Das steht aber auch im Snom-Handbuch und scheint allgemein bei Snom so zu sein. Die Accesspoints z.B. handeln reconf aus und melden sich wenn der Lancom ein neues Präfix ankündigt. Das Snom kann sowas nicht. Selbst wenn das Lease abläuft behält Snom beharrlich die jetzt ungültige IPv6-Adresse. Da hilft nur Netzteil ziehen und reboot. Snom scheint IPv6 mit der Kneifzange anzufassen. Grandstream-Telefone haben wohl kein Problem mit reconf.

Mit der PD-Freigabe möchte ich mir das aktualisieren der IPv6-Adresse von den IP-Telefonen in den Firewallregeln bei PD-Präfixänderungen ersparen. Es gibt nicht nur eines davon im LAN. Das klappt aber nicht derzeit. Da schreibt Lancom ja auch, könnte problematisch werden. Man kann halt nicht alles haben.


Viele Grüße und fohe Feiertage
Sascha
失败是成功之母
Beiträge: 18
Registriert: 03 Aug 2020, 14:18

Re: PD Subnetz in Firewall freigeben

Beitrag von 失败是成功之母 »

Seit Donnerstag mit LCOS 10.50 (aktuell als öffentliche Beta-Version über den FTP-Server erhältlich) klappt bei mir nun auch die Freigabe eines delegierten Subnetz bei einem dynamischen IPv6-Präfix: Webconfig → Konfiguration → Firewall → IPv6 → Stations-Objekte → Typ: Delegiertes Präfix. Die „Gegenstelle“ entnimmst Du aus Webconfig → Konfiguration → IPv6 → DHCPv6 → Präfix-Delegierungs-Pools → Präfix beziehen von. Das ist der Schnittstellenname der WAN-Verbindung. Die „Adresse“ errechnet sich aus „Erstes Präfix“ und „Letztes Präfix“. Bei mir ist das, weil ich das Beispiel aus dem obigen Zeitschriften-Artikel übernommen hatte, dann 0:0:0:80::/58.

Anders formuliert: Bei diesem neuen Stations-Typ „Delegiertes Präfix“ ist nicht nur die „Gegenstelle“ sondern auch die „Adresse“ zu setzen. Lässt man die „Adresse“ leer, macht Lancom ANYHOST. Dann wäre die Firewall in IPv6 aus. Eine „Gegenstelle“ ist nötig, um die führenden Nullen 0:0:0 aufzufüllen.
VX500 hat geschrieben: 20 Dez 2020, 23:31 stateless Adresszuteilung führt zu unmerkbaren IP-Adressen […] daher DHCPv6 […] für Wartungszwecke
Du willst ja das Endgerät nicht vom Internet aus sondern nur innerhalb Deines Heimnetz warten. In dem Fall arbeitet man normalerweise nicht über DHCPv6 sondern über ULA. Spricht in Deinem Aufbau irgendwas gegen ULA?
VX500 hat geschrieben: 20 Dez 2020, 23:31 dus.net als VoIP/SIP-Anbieter für Telefonie
dus.net hat inzwischen den Contact-Expires für die re-REGISTER runtergesetzt. Folglich müsstest Du in Deinem Lancom nur das TCP-Aging von 5 auf mindestens 10 Minuten hochsetzen. So müssten nun ankommende Anrufe auch ganz ohne Keep-Alive seitens des VoIP-Telefon oder IPv6-Freigabe seitens des Routers gehen.
VX500 hat geschrieben: 20 Dez 2020, 23:31 Snom D-Series als VoIP/SIP-Telefon […] Keep-Alive war aktiviert […] brachte aber nichts [in IPv6]
Hast Du die aktuelle Firmware 10.1.64.14? Bei mir funktioniert es: Snom Web-Oberfläche → (Einrichtung) Identität x → (Reiter) NAT → Keep-Alive alle 295 Sekunden. Das macht dann kurz vor dem TCP-Aging des Lancom ein CRLF-Refresh. Wichtig ist, dass dort (bei dus.net über IPv6) kein STUN-Server angegeben wird.
VX500 hat geschrieben: 20 Dez 2020, 23:31 Telekom [Deutschland] … [IPv6-Präfix] hält durchaus ein paar Wochen.
Um genau zu sein, bis zu 180 Tage … (erste Quelle) Trotzdem würde ich das Snom nicht direkt mit dus.net verbinden, sondern über den Lancom SIP-B2BUA einbuchen. Oder spricht was dagegen?
backslash
Moderator
Moderator
Beiträge: 6377
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: PD Subnetz in Firewall freigeben

Beitrag von backslash »

Hi 失败是成功之母
Lässt man die „Adresse“ leer, macht Lancom ANYHOST.
das ist so nicht korrekt.... Das Feld heißt nicht umsonst "Address/Prefix", denn hier wird ein (Sub-)Prefix eingegeben, der mit dem delegierten Prefix verodert wird un dessen Prefix-Länge übernommen wird
D.h. wenn du vom Provider z.B. den Prefix 2001:db8:cafe::/48 zugewiesen bekommst und unter "Address/Prefix" 0:0:0:1111::/64 einträgst, dann bildet das Stations-Objekt den Prefix 2001:db8:cafe:1111::/64. Trägst du unter "Asdress/Prefix" 0:0:0:1111::42/128 ein, dann bildet das Stations-Objekt die Adresse 2001:db8:cafe:1111::42/128. Es sind natürlich alle Prefixe dazwischen möglich. Läßt du "Address/Prefix" hingegen leer, dann bildet das Stations-Objekt den kompletten delegierten Prefix ab, also 2001:db8:cafe::/48 - was allerdings alles andere als "ANYHOST" (::/0) ist

Gruß
Backslash
Benutzeravatar
VX500
Beiträge: 40
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

Re: PD Subnetz in Firewall freigeben

Beitrag von VX500 »

Hallo backslash,

das mit der PD-Prefix-Synthax ist eine wertvolle Information!

Leider zeigt sich das Lancom davon ausgeht das man von seiner Telefongesellschaft ein statisches PD-Prefix zugeteilt bekommt. Das ist aber bei den meisten Anschlüssen von Vodafone und Telekom standardmäßig nicht der Fall. Es wird dynamisch vergeben. Wenn auch nicht unbedingt mit nächtlichem Release, sondern durchaus ein paar Wochen bis Monate. Irgendwann kommt aber Tag, wo es zu einer Neuzuteilung kommt. Dann müsste man die Firewallregeln wieder anpassen.


Grüße
Sascha
backslash
Moderator
Moderator
Beiträge: 6377
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: PD Subnetz in Firewall freigeben

Beitrag von backslash »

Hi VX500
Leider zeigt sich das Lancom davon ausgeht das man von seiner Telefongesellschaft ein statisches PD-Prefix zugeteilt bekommt. Das ist aber bei den meisten Anschlüssen von Vodafone und Telekom standardmäßig nicht der Fall. Es wird dynamisch vergeben. Wenn auch nicht unbedingt mit nächtlichem Release, sondern durchaus ein paar Wochen bis Monate. Irgendwann kommt aber Tag, wo es zu einer Neuzuteilung kommt. Dann müsste man die Firewallregeln wieder anpassen.
genau deshalbt gibt es ab der 10.50 das Stations-Objekt "Delegiertes Prefix". Wenn der Provider ein neues Prefix zuweist, wird dieses automatisch übernommen

Gruß
Backslash
失败是成功之母
Beiträge: 18
Registriert: 03 Aug 2020, 14:18

Re: PD Subnetz in Firewall freigeben

Beitrag von 失败是成功之母 »

VX500, Backslash wollte mich lediglich belehren, dass ANYHOST mit der Gegenstelle (Präfix) ver-odert wird. Was ich sagen wollte war, dass man sich ganz leicht zu viel seines Heimnetz exponieren kann, denn ein leeres Feld „Adresse“ im Stations-Objekt entspricht in der Lancom-Welt erstmal ANYHOST. Finde ich nicht schön. Habe ich anfangs nicht verstanden. Hatte der c’t-Autor damals nicht verstanden. Hat auch kein Leser des Zeitschriften-Artikels reklamiert. Leider fand ich bisher noch keine Stelle in WEBconfig oder in LANconfig, um die aktuellen Firewall-Regeln zu überprüfen. Ich fand das erst durch Gegentests heraus.

Eigentlich würde ich erwarten, dass jene Maske bei einer leeren Adresse blockiert – jedenfalls bei den Typen „Präfix“ und „Delegiertes Präfix“. Ich möchte gar nicht wissen, wie viele Lancom-Firewalls da draußen deswegen falsch konfiguriert – zu weit offen sind. Wer als Nutzer sowas wirklich will, sollte doch bitte explizit „::/0“ reinschreiben.

VX500, auf jeden Fall kannst Du mit diesem neuen Stations-Objekt-Typ „delegiertes Präfix“ genau das erreichen, was Du möchtest. Richtig eingestellt, macht es auch das was es soll. Keine Adresse zu wenig und keine Adresse zu weit. Auch dann immer noch nachdem Du ein neues Präfix von Deinem Anbieter erhalten hast. Wobei ich Dir rate, Dein Szenario nochmals durchzugehen, weil wie meinem letzten Post geschrieben, vermutlich in Deinem Szenario vier andere Wege besser sind. Wenn Du willst, gerne in einem neuen Thread.
Benutzeravatar
VX500
Beiträge: 40
Registriert: 23 Feb 2019, 20:41
Wohnort: Celle

Re: PD Subnetz in Firewall freigeben

Beitrag von VX500 »

Hallo 失败是成功之母,

auch dir danke ich für die kurze Rückmeldung und den darin enthaltenen Informationen!

Die besagte Firmware 10.50. scheint für den Lancom 883 bislang nur als Beta-Firmware verfügbar zu sein. Für den 1781 EW war bei 9.24. Schluss mit neuen Firmwarereleases. Beta im Produktivbetrieb gilt es eigentlich zu vermeiden, zumal ich nicht weiß welche (leider schon fast für Lancom typischen) Nebenwirkungen ein neues Firmwarerelease mit sich bringt. Da setze ich lieber auf den Klassiker "never change a running system". Einen neuen Router als Ersatz für den 1781 EW kaufe ich nicht, denn der 1781 EW läuft und macht was er soll (ausgenommen die IPv6 Aspekte).

Ich habe inzwischen alle SIP-Accounts im Snom D345 auf IPv4 umgestellt. Ein Schritt ins Mittelalter zwar, aber es war einfach nervig dass regelmäßig wiederkehrend einer von beiden Lancoms über die Firewall die RTP-Pakete blockierte. Einseitige bis gar keine Gesprächsverständigung macht keinen Spaß. Es ist bis heute schlecht dokumentiert, oder gar falsch dokumentiert, wie man IPv6 Netze einrichten kann. Ich hatte selber zu Genüge miterleben müssen, dass es nie so geklappt hatte, wie es laut irgendwelchen Anleitungen hätte funktionieren sollen. Am Ende blockt mir die Lancom Firwall den Traffic via IPv6 obwohl ich das nicht möchte.

Kann sein, dass mit dem neuen Stationsobjekt nun endlich Abhilfe geschaffen wurde. Ich habe aber keine Lust rauszufinden ob das wirklich funktioniert. Momentan läuft bei mir alles wie es soll, was dem System try-and-error zu verdanken ist und nicht den Anleitungen von Lancom. Und da sage ich nun erneut "never change a running system" und fummel da nicht drann rum. Da ist es mir auch egal, ob es eine neue Firmware gibt.

Grüße,
Sascha
Antworten

Zurück zu „Fragen zum Thema Firewall“