Unifi UCG/u IPv6 Firewall Regel

Hallo zusammen, / „Hallo Welt“

Ich habe vor kurzem ein UCG Ultra in unser Netzwerk integriert und konnte auch dank
der super Videos von Dennis – Danke Dennis ! – die Einstellungen hierfür konfigurieren.
(Randnotiz: ich bin kein gelernte ITler, deswegen hat es auch eine Woche in Anspruch genommen)

Ich habe einen DS Lite-Anschluss und möchte über IPv6 eine Verbindung zu meinem Container im Proxmox Server im Subnetz herstellen, die Geräte haben alle eine IPv6 Adresse. Die Router IPv6 Adresse/Präfix wird übermittelt und ist bei ipv64.net
gehostet und wird automatisch aktuell gehalten.

Was mir aufgefallen ist, dass im UCG keine Möglichkeit besteht, Suffixe (der Host-ID Teil) in den Einstellungen der IPv6-Firewall-Regeln, funktionsfähig -versteht sich-,
zu vergeben.

Denn: Wenn ich eine FW Regel >Internet IPv6 IN accept all< manuell vergebe, funktioniert der externe Zugriff auch von überall. → schön, aber blöd.
Ich möchte ja nicht die Firewall komplett freigeben.

Kann mir jemand erklären, warum das so ist? Gibt es vielleicht eine spezielle Konfiguration oder einen Workaround, um dieses Problem zu umgehen?

Laut https://community.ui.com/questions/Ipv6-add-firewall-rule-to-match-ip-address-only-don-t-match-prefix/3dfe700d-b4a8-4658-9634-501898b4af38
haben auch andere das Problem.

Es soll wohl per SSH auf UCG möglich sein bzw.

andere Möglichkeit: → ein VLAN (mit den dedizierten Servern) speziell für IPv6 komplett öffnen.

Vielen Dank im Voraus für eure Hilfe!

Beste Grüße Jörg

Netzwerk:

NW1419×628 100 KB

unifi_forum11295×893 63.1 KB

die Standardregeln, was von innen kommt ist erlaubt, von aussen nicht.
So ist es ja auch sicher.

die 3 weisen1034×135 52.4 KB

Hast du mal mit einem TCPdump geschaut, ob und was auf dem Host hintendran ankommt?

Ich würde mal den Doppelpunkt davor wegnehmen. Denn du hast bereits dann alle 8 Segmente der v6-Addresse voll.

Man muss bei IPv6 Firewall Regeln ein wenig umdenken. Man packt immer Geräte die das selbe Schicksal leiden in eine Zone.
Z.B. Webserver in die Zone WEB. Und diese Zone wird auf Port 443 / 80 in der Firewall freigegeben. Dann sind alle „unbekannte“ IPs in dieser Zone offen und erreichbar.

Man muss leider bei v6 1x komplett umdenken.
Scheinbar kann man bei UniFi keine fixen Static v6 IPs vergeben. Nutze es dafür selber zu wenig.

Das klingt aber sehr unsicher gestaltet von Ubiquiti

Leider falsch. Das ist NORMAL. Das kommt eben mit IPv6 so. Das ist kein UniFi Ding, das ist generell so.

Das stimmt nicht, bei der pfSense kann man auch auf einzelne Addressen freigeben und nicht alles.

Aber auch da können die sich ändern… Prefix ändert sich… Auch da wieder in Zonen denken

Aber da gebe ich trotzdem nicht alle in einem /64 befindlichen Addressen frei.

Gut, angenommen ich erstelle ein weiteres VLAN mit „Webserver“.
Ich bin aber dann auch wieder der Unifi Konfigurationseigenheit ausgeliefert.
Wie sagte Nr.5 ? Brauche Input!

Ich habe recherchiert.

Zitat:

"Das zonenbasierte Firewalling (ZBF) von UniFi vereinfacht die Firewall-Verwaltung, indem es Ihnen ermöglicht, Netzwerkschnittstellen – wie VLANs, WANs oder VPNs – in Zonen zu gruppieren. Mit diesem Ansatz können Sie effizient Richtlinien definieren und durchsetzen, die steuern, wie der Datenverkehr zwischen diesen Zonen fließt, und so die Verwaltung der Netzwerksicherheit und -segmentierung vereinfachen. "

In der WEB UI steht auch:

ZBF641×102 23 KB

Also bei der pfsense kann man auch dann einzelne IPv6 freigeben deren Präfix sich ändert (in meinem Fall sogar täglich, weil o2 das so will) wenn man unter Firewall → Aliases einen Aliasnamen anlegt und diesen auf den DynDNS-FQDN des Servers zeigen lässt, für den die Regel gelten soll.

Unter Firewall → Rules → WAN wird dann als Destination der Aliasname eingetragen.

Kann sein, dass es noch andere Lösungen gibt, aber das ist die, die ich nutze.