Onion Information

Page Clicks: 0

First Seen: 03/11/2024

Last Indexed: 10/22/2024

Domain Index Total: 337

Kontakt Einrichten von IPv6 auf pfSense mit Tunnelbroker und Hochverfügbarkeit. Statische IP trotz dynamischer IPv4! (Teil1) Dieser Blog Beitrag ist der erste teil der IPv6 Serie. In dieser Serie wird das Setup von Dual Stack IPv4 und IPv6 Setups unter Verwendung der lizenzkostenfreien Open Source Firewall pfSense beschrieben. Das Basissetup besteht aus zwei, auf der ebenfalls lizenzkostenfreien Proxox Virtualisierungsplattform eingerichteten, pfSense Setups die mit einem Hochverfügbarkeits-Synchronisationssetup im Betrieb sind. Jede der Virtuellen Maschinen ist auf einem anderen Node im Proxmox Cluster mit drei Servern aktiv. Dieses Setup wurde bereits mit WAN, LAN, DMZ, TOR Interfaces, sowie Interfaces für virtuelle Android und LineageOS Mobiltelefone eingerichtet. Die Firewall Rules sind generell so eingerichtet, dass alles verboten ist und jeder Service, jeder Traffic per Source und Destination IP und Port freigeschalten werden muss. Da es sich hier um ein kleines Netz handelt, wurde die 3-stufige Sicherheitssperre, normalerweise bestehend aus Firewall, Application Gateway und Firewall, auf eine Ebene zusammengeführt. Der Squid Proxy Server läuft auf dem Firewall Gateway. Es ist anzumerken, dass, auch wenn BSI für kleinere Netze auch diese Konfiguration, insbesondere aus Kostengründen empfiehlt, dies nur der Einfachheit halber für den Blog Beitrag so ausgeführt wird. Normalerweise arbeite ich mit 3-stufigen Sicherheitslösungen, meist in der Form pfSense->Application Gateway mit Squid->pfSense. Das komplette Setup ist durch die Verwendung von Open Source lizenzkostenfrei, extrem sicher und übermittelt keine Daten an Dritte. Eine aktive Community prüft und pflegt den Code und liefert seit Jahren zuverlässig Updates. Es wird betont, dass ich seit Jahren komplett frei von proprietärer Software bin und hier auch Client-seitig auf Linux verwiesen wird. Das Routing, die IP Zuteilung und andere IPv6 Funktionen sind aber unter MAC und Windows ident. Meist auch die ifconfig, bzw. ipconfig Befehle. Dieses Setup kann also auch mit eine hybriden Systemanordnung im LAN perfekt verwendet werden. Empfohlene Pakete unter Linux: sipcalc CDIR Rechner apt install sipcalc Sipcalc kann Host Hex Address anzeigen und damit können wir die HEX rechnen. Z.B. sipcalc -a 192.168.1.0 zeigt Host address - 192.168.1.0 Host address (decimal) - 3232235776 Host address (hex) - C0A80100 Network address - 192.168.1.0 Network mask - 255.255.255.0 Anbindung über einen Tunnelbroker Als Anbindung wählen wir eine kostenlose Anbindung über einen Tunnelbroker. https://www.tunnelbroker.net/ Wir haben dort in einer Minute einen Account für diesen Blog Beitrag registriert. Alles vollkommen einfach und super schnell. Danach finden sich in der Maske des Tunnels mit der tid des jeweiligen Tunnels: https://tunnelbroker.net/tunnel_detail.php?tid=999999 die Tunnel Details Tunnel ID: 999999 Creation Date:Aug 2, 2023 Description: IPv6 Tunnel Endpoints Server IPv4 Address:1.2.3.4 (MERKEN: Server von Tunnelbroker) Server IPv6 Address:2001:655:6d4a:431::1/64 (Tunnel Serverseitig) Client IPv4 Address:5.5.5.5 (MERKEN: Unsere WAN CARP IP, Dummy!) Client IPv6 Address:2001:655:6d4a:431::2/64 (Tunnel unsere Seite) Routed IPv6 Prefixes Routed /64:2001:655:6d4b:432::/64 (MERKEN: Geroutetes Netz für unser LAN) rDNS Delegations rDNS Delegated NS1: (hier tragen wir unsere public rDNS später ein) rDNS Delegated NS2: rDNS Delegated NS3: rDNS Delegated NS4: Anbindung unseres Netzwerkes an IPv6: Wir starten wir die Anbindung mit Rules auf jedem Interface. Rules: Basis Deny all IPv6 on all Interfaces! Auf jedem Interface der pfSense sollte diese Deny IPv6 Rule gesetzt werden. Damit ist sichergestellt, dass nur erlaubter Traffic sein Ziel erreicht. IPv6-Verkehr auf pfSense zulassen Neuinstallationen der pfSense-Software erlauben standardmäßig IPv6-Verkehr. Konfigurationen, die von älteren Versionen aktualisiert wurden, sind möglicherweise immer noch so eingestellt, dass sie IPv6 blockieren. Um den IPv6-Verkehr zu aktivieren, führen Sie Folgendes auf der Master und Failover pfSense aus: Navigieren Sie auf der Registerkarte Netzwerk zu System > Erweitert Aktivieren Sie IPv6 zulassen , falls nicht bereits aktiviert Klicken Sie auf Speichern Erstellen und weisen Sie die GIF-Schnittstelle zu Wir machen das auf der Master-pfSense über die CARP-Schnittstelle und dasselbe auf der Failover-pfSense. Auch dort sitzt die GIF Schnittstelle am CARP WAN Interface. Als nächstes erstellen Sie die Schnittstelle für den GIF-Tunnel. Füllen Sie die Felder mit den entsprechenden Informationen aus der Zusammenfassung der Tunnel-Broker-Konfiguration aus. Navigieren Sie auf der Registerkarte GIF zu Schnittstellen > Zuweisungen Klicken Sie auf Hinzufügen , um einen neuen Eintrag hinzuzufügen Konfigurieren Sie die Einstellungen wie folgt: Übergeordnete Schnittstelle (Das WAN CARP Interface, wenn einzelne pfSense, das WAN Interface) Das WAN, in dem der Tunnel endet. Dies wäre das Interface, das die **Client-IPv4-Adresse** aus dem Tunnelbroker Dashboard hat. GIF-Remote-Adresse Die **Server-IPv4-Adresse** in der Zusammenfassung. Lokale Adresse des GIF-Tunnels Die **Client-IPv6-Adresse** in der Zusammenfassung. GIF-Tunnel-Remote-Adresse Die **Server-IPv6-Adresse** in der Zusammenfassung, zusammen mit der Präfixlänge (normalerweise „/64“). Beschreibung Text, der den Tunnel beschreibt, z. B. „HE Tunnel Broker“. Lassen Sie die restlichen Optionen leer oder deaktiviert Klicken Sie auf Speichern Hinweis Wenn das WAN, das diesen Tunnel enthält, eine dynamische IP-Adresse verwendet, dann finden Sie weiter unten Informationen dazu, wie Sie die IP-Adresse des Tunnelendpunkts mit HE.net auf dem neuesten Stand halten. Weisen Sie nun den GIF-Tunnel als Schnittstelle zu: Navigieren Sie zu Schnittstellen > Zuweisungen , Registerkarte Schnittstellenzuweisungen Wählen Sie unter Verfügbare Netzwerkports das neu erstellte GIF aus. Klicken Sie auf Hinzufügen , um es als neue Schnittstelle hinzuzufügen Konfigurieren Sie die neue OPT-Schnittstelle Auf die neue Schnittstelle kann unter Schnittstellen > OPTx zugegriffen werden, wobei „x“ eine fortlaufende Nummer ist, die der Schnittstelle zugewiesen ist. Navigieren Sie zur neuen Schnittstellenkonfigurationsseite. ( Schnittstellen > OPTx ) Aktivieren Sie Schnittstelle aktivieren Geben Sie im Feld Beschreibung einen Namen für die Schnittstelle ein, z.B. „WANv6“. Klicken Sie auf Speichern Klicken Sie auf Änderungen übernehmen Hinweis Alle Tätigkeiten müssen auf der Master und der Failover Firewall durchgeführt werden. Das Gif hat ein Interface, auf dem es aufsetzt. Dadurch, dass wir das CARP WAN Interface verwenden, ist das GIF immer nur auf der pfSense aktive, welche der Master ist und die Failover umschaltung funktioniert sauber. Warnung Nach dem Anwenden der Schnittstellenänderungen muss die Firewall möglicherweise neu gestartet werden, bevor die Schnittstellenkonfiguration vollständig betriebsbereit ist. Überprüfen Sie Status > Schnittstellen . Wenn das Feld IPv6-Adresse für die zugewiesene GIF-Schnittstelle fehlt oder leer ist, starten Sie die Firewall neu. Richten Sie das IPv6-Gateway ein Die Firewall erstellt automatisch ein dynamisches IPv6-Gateway für die zugewiesene GIF-Schnittstelle, dieses ist jedoch noch nicht als Standard markiert. Navigieren Sie zu System > Routing Stellen Sie Default Gateway IPv6 auf das dynamische IPv6-Gateway mit demselben Namen wie das oben erstellte IPv6-WAN ein (z. B. „WANV6_TUNNELV6“). Klicken Sie auf Speichern Klicken Sie auf Änderungen übernehmen Navigieren Sie zu Status > Gateways , um den Gateway-Status anzuzeigen. Das Gateway wird als „Online“ angezeigt, wenn der Tunnel betriebsbereit ist, wie in der Abbildung dargestellt. IPv6-DNS einrichten Dine Firewall-DNS-Konfiguration verarbeitet DNS-Abfragen für „AAAA“-Einträge wahrscheinlich bereits ordnungsgemäß. Wenn die Firewall so konfiguriert ist, dass sie den DNS-Resolver im Resolver-Modus verwendet ist keine Aktion notwendig. Wenn die Firewall für die Verwendung des DNS-Resolvers im Weiterleitungsmodus konfiguriert ist oder den DNS-Forwarder verwendet, dann ist die beste Vorgehensweise den Tunnelbroker DNS-Server unter System > Allgemeine Einrichtung hinzuzufügen. Geben Sie wenn möglich auch einen IPv6-DNS-Server ein oder verwenden Sie einen öffentlichen DNS-Dienst wie die öffentlichen IPv6-DNS-Server von Google („2001:4860:4860::8888“, „2001:4860:4860::8844“), Quad9 oder CloudFlare. Zu diesem Zeitpunkt sollte die Firewall selbst über eine voll funktionsfähige IPv6-Konnektivität verfügen. Test-Ping an z.B. Google, um die Konnektivität zu prüfen Nun müssen wir noch die WAN-seitige Erreichbarkeit testen und dazu 2001:655:6d4a:431::2 von außen pingen. Hierbei sind verschiedene Tools hilfreich: Diverse tests https://test-ipv6.com/ https://whatismyipaddress.com/ https://port.tools/port-checker-ipv6/ https://ipv6.systems/ Ping Tests https://dnschecker.org/ping-ipv6.php https://www.ipvoid.com/ipv6-ping-test/ Mit http://ip6only.me/ sieht man, ob man mit der IPv6 Adresse ins Internet kann, genauso wie man mit http://ip4.me/ die IPv4 Adresse sieht. HINWEIS: Wenn auf der pfSense ein Squid Proxy läuft, sollte das ausgehende Interface von der CARP (oder WAN ohne HA) IP auf automatisch gestellt werden, damit der Proxy ins jeweils richtige Netz, IPv4 oder IPv6, geht! Das Squid Log zeigt den Zugriff via IPv6 auch: Das Firewall Rule im GIF Tunnel um ein Pingen der WAN GIF IP zu ermöglichen lautet mit den ICMP Parts so: Echorep Echoreq Neighbor Advertisement Neighbor Solicitation Redirect Router Advertisement Router Solicitation Nun fehlt noch das LAN Setup und die DNS Einrichtung Ich habe selbst drei selbst gehostete, public, DNS Server und lokale Resolver welche mit Pihole auch DNS basierte Sperren im Netzwerk durchführen. Dadurch habe ich die Forward-Zonen meiner Domains und auch die Resersed-Zonen meiner 2 Class-C Netze, mit einer coolen Open-Source Management Software inklusive vollautomatischen Rollout, auf diesen. Für die DNS Einrichtung verwende ich natürlich diese public DNS Server, welche in Zukunft auch noch IPv6 Adressen bekommen werden. Das beschriebene Setup funktioniert aber mit jedem guten DNS Provider. Aktuell sind die DNS Server auf IPv4 und die pfSense verwendet den lokalen DNS Resolver, welcher dann die Requests verschlüsselt mit TLS auf 2 externe Systeme im Ausland, jedoch unter meiner Kontrolle , überträgt. Damit ist DNS Sniffing local und im Inland unmöglich. Die Forward Einrichtung des DNS ist ziemlich einfach. Hier fügen wir einfach für die Hostnamen der Firewall WAN IP einen AAAA Record mit der WAN seitigen GIF Tunnel IP hinzu. Dabei habe ich gesehen, dass ich schon 2004 mit dem IPv6 DNS auf meinen DNS Servern gespielt habe. Damals noch mit der Anbindung über das 6Bone Test Net unter Verwendung von FreeBSD. Der Eintrag -20040529 added e...