IPv6 Port Forwarding / Redirect auf LAN

[CoMo]

Hallo,

ich nutze NAT-Regeln auf meiner OPNSense auf dem LAN-Interface, um bestimmte Anfragen abzufangen und umzuleiten.

Konkret aktuell DNS und NTP. Bedeutet, alles was auf dem LAN-Interface reinkommt und als Ziel !LAN hat, wird auf die OPNSense redirected. Das funktioniert soweit einwandfrei.

Das hätte ich gerne auch für IPv6. Wenn ich die Regel analog zu den IPv4-Regeln anlege, findet zwar ein Redirect statt, es kommt aber keine Antwort.

Meine Vermutung ist, dass ich hier noch eine Outbound NAT Regel anlegen muss. Mit Translation / Target: Interface Address hatte ich aber keinen Erfolg.

Wie geht es richtig?

 

[Gamienator]

IPv4 ist nicht gleich IPv6! Das Ziel bie IPv6 war es wieder Point-to-Point zu ermöglichen und eben NAT aus dem Weg zu gehen.

Sprich jeder Netzwerkteilnehmer hat seine eigene IPv6 Adresse, die von außen erreichbar ist. Dafür brauchst du dann kein NAT, sondern musst Firewall Regeln setzen die es dann erlauben.

 

[CoMo]

Ist mir klar, hat aber doch gar nichts mit der Fragestellung zu tun? Ich möchte überhaupt nichts "von außen erreichbar" machen, sondern Traffic innerhalb meines Netzwerks umleiten.

Wie soll ich das mit Firewall-Regeln machen? Was wäre dein Vorschlag, wenn nicht NAT?

Bei den Firewall Regeln gibt es Pass, Block und Reject. Kein Redirect.

 

[KillerCow]

Guck dir den Traffic mit tcpdump an, vielleicht ergibt sich darauf die Lösung deines Probleme.

Mein Gedanke nach einem anstrengenden Tag:
Bei IPv6 reden die Teilnehmer mit ihrer GUA, bei IPv4 in der heutigen Zeit mit einer lokalen Adresse, wenn mit jemandem im Internet gesprochen werden soll.
Beim zurückmappen auf die ursprüngliche IP für die Antwortpakete bei NAT wird bei v6 also auf die GUA des Clients umgeschrieben und ich vermute jetzt einfach mal, die OPNsense oder der Router beim Provider "verschluckt" sich daran, weil das eine IP aus dem eigenen Netz ist bzw. eine IP aus dem Netz, aus dem das Paket kam.
Bei v4 steht da ne lokale IP drin, wobei klar ist, wo die hin muss.

Versuch dein Glück dabei mal mit "NAT hairpinning" oder wie auch immer das bei OPNsense heißt.

 

[redjack1000]

Wie soll ich das mit Firewall-Regeln machen? Was wäre dein Vorschlag, wenn nicht NAT?

NAT gibt es nicht bei IPv6.

Erlaube eingehende und ausgehende Verbindungen, in der Firewall für das entsprechende Gerät.

CU
redjack

 

[CoMo]

Bei IPv6 reden die Teilnehmer mit ihrer GUA, bei IPv4 in der heutigen Zeit mit einer lokalen Adresse, wenn mit jemandem im Internet gesprochen werden soll.
Beim zurückmappen auf die ursprüngliche IP für die Antwortpakete bei NAT wird bei v6 also auf die GUA des Clients umgeschrieben und ich vermute jetzt einfach mal, die OPNsense oder der Router beim Provider "verschluckt" sich daran, weil das eine IP aus dem eigenen Netz ist bzw. eine IP aus dem Netz, aus dem das Paket kam.
Bei v4 steht da ne lokale IP drin, wobei klar ist, wo die hin muss.

Genau, deshalb der Gedanke, dass ich hier noch mit Outbound NAT arbeiten muss.

Das Paket kommt von der GUA des Geräts, hat eine GUA zum Ziel, bekommt aber dann eine Antwort von der ULA der OPNSense. Irgendwo da liegt das Problem.

Der Provider sollte gar nicht involviert sein. Das Paket soll mein Heimnetz ja nicht verlassen.

NAT gibt es nicht bei IPv6.

Erlaube eingehende und ausgehende Verbindungen, in der Firewall für das entsprechende Gerät.

Hä? Im Thread vertan? Oder nicht gelesen, worum es geht? Warum sollte ich irgendwelche eingehenden Verbindungen erlauben?

Und selbstverständlich gibt es NAT auch bei IPv6.

 

[redjack1000]

Und selbstverständlich gibt es NAT auch bei IPv6.

Ok stimmt. Standard ist aus, weil nicht benötigt.

Cu
redjack

 

[CoMo]

NPT ist Network Prefix Translation und wieder was ganz anderes.

Kommentiere doch einfach nicht, wenn du die Frage nicht verstanden hast.

 

[redjack1000]

NPT ist Network Prefix Translation und wieder was ganz anderes.

Ähhhh nö. Lies mal die Dokumentation.

Viel Erfolg beim NAT mit IPv6.

Cu
redjack

 

[Helge01]

NAT gibt es nicht bei IPv6.

Ich NATe schon seit Jahren IPv6 (ULA zu GUA).

 

[CoMo]

Ähhhh nö. Lies mal die Dokumentation.

Ok. https://docs.opnsense.org/manual/nptv6.html

Hab ich gelesen.

 

[redjack1000]

Ich NATe schon seit Jahren IPv6

Na dann, hat @CoMo jemanden an den er sich wenden kann

CU
redjack

 

[Helge01]

Mein Use Case ist nur ein anderer. Bestimmte Netzwerke haben bei mir nur eine ULA IPv6 Adresse, die werden am WAN Interface in die WAN GUA genatet. Dadurch können ULA Adressen auf das Internet zugreifen, das wäre sonst nicht möglich. Ist das gleiche Prinzip wie unter IPv4.

 

[CoMo]

Ja, so kann man das machen. Mein Use Case geht ja aber in die andere Richtung. Ich möchte die GUA des Ziels auf die ULA der OPNSense natten

Der Redirect an sich funktioniert auch. Nur auf dem Weg hakt es irgendwo.

 

[Funfare]

Ich habe das auch mal versucht, aber bei einigen Geräten Probleme gehabt, wenn der antwortende DNS-Server ein anderer ist als der angefragte, da wurden gerne die Antworten verworfen und die Geräte haben irgendwelche anderen komischen Rückfallebenen benutzt oder einfach aufgegeben und konnten nichts mehr auflösen

 

[CoMo]

Also wie gesagt, die IPv4 NAT Regel funktioniert einwandfrei, sowohl für DNS wie auch für NTP.

Ich möchte das einfach nur analog dazu für IPv6 umsetzen. Sauber und ohne NAT Reflection oder sowas.

 

[-=Azrael=-]

Ggf. hilft dir das weiter:
https://forum.opnsense.org/index.php?topic=9245.msg246513#msg246513

 

[Gamienator]

Wer lesen kann ...

Mea culpa! Ich hab die Anfrage komplett falsch verstanden. NPt (also Prefix Delegation) ist da das falsche. Dann bin ich gespannt wie du das löst, das würde mich dann auch interessieren

 

[Helge01]

Was für eine IPv6 Adresse hast du den unter "Redirect target IP" eingetragen (ULA/GUA)? Hört auf dieser IP-Adresse auch der jeweilige Dienst und kann die Abfrage beantworten?

Mit dig kannst du die DNS Abfrage auf der Schnittstelle prüfen:
dig aaaa @IPv6-Adresse-LAN-Interface example.com