pfSense ipv6 noise - Gerät finden?

[AgentHawk]

Hey

ich habe seit einiger Zeit ein Gerät im Netzwerk, welches mir in pfSense die Logs mit ipv6 Block rules zu Spamt. Nun würde ich ungern die ipv6 Logs abstellen und eher das Gerät finden.

Meine nicht so elegante Idee und auch recht Zeitaufwendig "Alle Geräte raus und Räume einzeln wieder zuschalten".
Da es aber sehr wahrscheinlich ein Wlan Gerät sein wird - bringt mir das nur bedingt was.

Habt ihr eine Idee oder Programm mit dem ich die v4 der v6 Adresse bekomme?


Grüße

 

[Helge01]

Zufällig ein Vigor 130 / 165 als Modem im Einsatz?

 

[AgentHawk]

Nein - TC4400

 

[Muffknutscher]

Kannst du mal eine Auszug aus dem Log Posten?

Am einfachsten wird wohl sein, das Netz mit nmap zu scannen. Da bekommst du die MAC als auch die IP4/IP6 der im Netz befindlichen Geräte angezeigt.

 

[Helge01]

Schau mal bei der pfSense unter Diagnose / NDP-Tabelle, vielleicht erkennst du dort das Gerät. Zumindest wirst du dort die MAC Adresse erhalten. Damit kannst du hier den Hersteller eingrenzen.

 

[Muffknutscher]

@Helge01 Meinst du vielleicht die ARP Table? In der NDP sollten nur die verwendeten Interfaces sein.

 

[Helge01]

Bei IPv6 ist es statt ARP die NDP Table. Bei der pfSense findest du unter der ARP Table nur IPv4 Adressen und unter NDP die ganzen IPv6 Adressen. Steht auch so als Info im Fenster unter ARP.

 

[Muffknutscher]

Ah, ok. Wir haben kein IPv6 daher stehen da auch nur die lokalen Interfaces der PFSense drin.

 

[AgentHawk]

Unter NDP hab ich nur die Interfaces. Und im ARP sind nur v4 Adressen.

Ich Scan mal mit nmap die Geräte welche ich mir vorstellen könnte.

 

[Helge01]

Unter NDP müsste das Interface, IPv6 und MAC Adresse stehen.

 

[Muffknutscher]

Äh... Waddema... Das schlägt auf dem WAN Interface auf? Was hängt denn am WAN bei dir dran? WAN ist bei mir das Inet..

 

[Helge01]

... vermutlich doch das Modem

Mit einem Vigor 130 / 165 hat man das gleiche und lässt sich bei "Broadcast DSL status to router in LAN" abstellen. Vielleicht gibt es sowas ähnliches auch in dem Kabelmodem.

Das Modem wird auch nicht in der NDP Tabelle auftauchen.

 

[Muffknutscher]

Wahrscheinlich versucht das Modem IPv6 requests nach intern zu schicken. Aber IPv6 ist geblockt. Provider mit IPv4/6 IP? Am Modem mal IPv6 deaktivieren und nur eine v4 Adresse beziehen. Möglich der der Spuk dann ein Ende hat.

 

[AgentHawk]

Kurz mal im Modem eingeloggt. Und JA - es ist die ipv6

Problem ist nur, das ich da wohl nix einstellen kann. Habe eine Kabel Leitung und da ist dieses Modem schon Top Notch - da keine wirkliche Auswahl außer die Fritten vom Hersteller, an denen aber pfSense nicht läuft etc.

Ich denke dann kann ich nur eine extra Rule erstellen und für dieses Gerät die Logs deaktivieren.
Spamt dann halt weiter :/

 

[Bob.Dig]

Klinke mich mal mit ein, hab hier folgendes:

Spoiler

Kann ich das irgendwie abstellen?
Keine Ahnung was es bedeutet.

 

[Helge01]

Hi @Bob.Dig, meinst du die blockierten ICMPv6 Pakete?

Du nutzt kein IPv6, sperrst aber per Firewall Regel alles was mit IPv6 zu tun hat . Das wäre in diesem Fall nicht notwendig und erzeugt den Spam im Logfile. Die Link-Local IPv6 Adressen verlassen nicht dein privates Netz und sind auch nicht routbar. Sie werden von jedem Netzwerkadapter der IPv6 kann automatisch erstellt (vergleichbar mit dem 169.254.0.0/16 IPv4 Adressen). Diese Link-Local IPv6 Adressen versuchen über SLAAC (nutzt ICMPv6) automatisch "richtige" IPv6-Adressen für den jeweiligen Netzwerkadapter zu konfigurieren. Das funktioniert aber nur, wenn dein Internet-Provider IPv6 anbietet und du das entsprechend so konfiguriert hast.

IPv6 zu blockieren macht keinen Sinn, wenn es wie in deinem Fall sowieso nicht verfügbar und funktionsfähig ist. Selbst wenn bei dir IPv6 mal ein Thema sein sollte, darf ICMPv6 nicht per Firewall (eingehend/ausgehend) gesperrt werden. ICMPv6 ist für eine korrekte Funktion von IPv6 zwingend notwendig. Vielen alten IPv4 Firewall Admins treibt allein diese Vorstellung Schweißperlen auf die Stirn .

 

[up.whatever]

Ganz absurde Idee: Warum nicht einfach IPv6 ordentlich konfigurieren statt auf gut Glück legitimen Traffic zu blockieren und sich dann über Logeinträge zu beschweren?

 

[Bob.Dig]

Guten Morgen @Helge01 und @up.whatever.
Also ich kann nicht ganz folgen, bin ja der Laie hier, der pfSense als seinen Home-Router betreibt, weil der alter Asus keine Firmwareunterstützung mehr erhält. 😉

Ich habe IPv6 anliegen (ISP), aber die entsprechende Option in pfSense nicht gesetzt, welche IPv6 durch die Firewall erlauben würde. Somit bekomme ich wohl effektiv auch keine IPv6 Adresse zugewiesen. Sonst habe ich, zumindest meiner Erinnerung nach, nichts eingestellt oder verändert was IPv6 betrifft.

Wenn ich euch jetzt richtig verstanden habe handelt es sich bei dem traffic in der Firewall um z.B. SLAAC oder ähnliches, welches für die Konfiguration von IPv6 zuständig wäre? Danke dafür!
Ich vermute aber, ich kann diesen traffic selbst nicht abschalten, wird er doch automatisch durch den ISP generiert?

Was mich jetzt noch brennend interessieren würde, kann ich pfSense so einstellen, dass ich nur eine einzige IPv6 Adresse bekomme und diese quasi wie NAT benutzen kann?
Grund, warum ich kein vollständiges IPv6 haben möchte, ist insbesondere die Privacy, so nutze ich z.B. einen VPN-Anbieter, auch in pfSense, der kein IPv6 unterstützt und ausdrücklich empfiehlt, IPv6 nicht gleichzeitig zu nutzen.

Spoiler

 

[Helge01]

Guten Morgen @Bob.Dig

Ich habe IPv6 anliegen (ISP), aber die entsprechende Option in pfSense nicht gesetzt, welche IPv6 durch die Firewall erlauben würde.

Wenn man IPv6 nutzen möchte, muss dieses in der pfSense konfiguriert werden. Ohne dieser Konfiguration funktioniert IPv6 wie in deinem Fall nicht und es macht dadurch auch keinen Sinn, das zu blocken. Man hat sonst nur diese unnötigen Einträge im Logfile.

Wenn ich euch jetzt richtig verstanden habe handelt es sich bei dem traffic in der Firewall um z.B. SLAAC oder ähnliches, welches für die Konfiguration von IPv6 zuständig wäre?

Ja.

Ich vermute aber, ich kann diesen traffic selbst nicht abschalten, wird er doch automatisch durch den ISP generiert?

Abschalten kannst du das nicht.

Was mich jetzt noch brennend interessieren würde, kann ich pfSense so einstellen, dass ich nur eine einzige IPv6 Adresse bekomme und diese quasi wie NAT benutzen kann?

Das ist bei IPv6 ausgeschlossen. Jedes Gerät bekommt eine eigene IPv6 Adresse. Es gibt bei IPv6 kein NAT oder ähnliches.

 

[Bob.Dig]

Wenn man IPv6 nutzen möchte, muss dieses in der pfSense konfiguriert werden. Ohne dieser Konfiguration funktioniert IPv6 wie in deinem Fall nicht und es macht dadurch auch keinen Sinn, das zu blocken. Man hat sonst nur diese unnötigen Einträge im Logfile.

Also ich habe mal den Haken gesetzt und damit IPv6 erlaubt. Es war aber immer noch recht noisy, auch wenn die SLAAC-Sachen nicht mehr auftauchten. Habe dann bei LAN IPv6 geblockt deaktiviert, jetzt scheint richtig Ruhe einzukehren oder ich hab was kaputt gemacht.

Spoiler