4. Wie schützt man Rechner im LAN mit öffentlicher IPv6 Adresse hinter dem Router?

Wie schützt man Rechner im LAN mit öffentlicher IPv6 Adresse hinter dem Router?

  • ?

    NAT entfällt ja, also macht der Router keine Adress Translation, womit seine eigene Firewall, für Pakete die zuerst an seine IP gehen, nicht wirkt.

    Für IPv6 gibt es nun auch einen privaten IP Adressraum, so weit so gut, die könnte man natürlich nutzen und dementsprechend die Firewallregeln einheitlich über den Router gestalten.

    Der Router empfängt dann die Pakete mit seiner öffentlichen IPv6 Adresse und routet sie dann an die nicht öffentlichen privaten IPv6 Adressen.
    Damit wären die Rechner hinter dem Router im Heimnetz sicher.

    Aber was ist, wenn man den Rechnern im Heimnetz eine öffentliche IPv6 Adresse zuteilen möchte?
    Genau dafür wurde ja IPv6 entwickelt.

    Ich gehe mal davon aus, dass man die Firewallregeln auch für beliebige IPv6 Adressen erweitern könnte, aber von wo weiß der der Router automatisch,
    welche öffentlichen IPv6 Adressen zum Heimnetz gehören?

    Muss man das dem Firewallscript im Router also nicht jedes mal mitteilen?
    Und was ist mit der Autoconfiguration der öffentlichen IPv6 Adresse?
    Wenn eine belegt ist, dann sucht sich ein Rechner im LAN ja eine andere öffentliche IPv6 Adresse heraus und schon wird die nicht mehr von der Firewall im Router berücksichtigt, weil da ja eine andere IPv6 Adresse statisch angegeben wurde.

    Man könnte jetzt natürlich auf jedem Endgerät eine Firewall einrichten, aber das ist ja nicht Sinn der Sache, weil solche Firewalls nie gut funktioniert haben. Siehe Zonealarm.

    Also noch mal zur Eingangsfrage.
    Wie schützt man Rechner im LAN, also hinter dem Router mit der Firewall des Routers, wenn die Rechner eine öffentliche IPv6 Adresse haben und diese sich jederzeit bei einem Adresskonflikt dynamisch ändern könnte?

    0

  • Ich hab' ehrlich gesagt keinen Plan von IPv6 Routing.
    Was allerdings sicher bleibt, ist, dass der Router verschiedene Interfaces hat. Also zumindest ein "WAN" und ein "LAN" Interface. Sonst gäbe es ja nichts zu routen.
    D.h. man kann auf jeden Fall immer auf Basis der Source- und Destination-Interfaces filtern.

    0
  • ?

    Stimmt, das ist auch wieder wahr. Daran habe ich gar nicht mehr gedacht.
    So könnte man das natürlich auch machen.

    Das müsste sogar funktionieren, wenn hinter einem Interface das ganze LAN hängt und öffentliche und nicht öffentliche IPv6 Rechner gemischt darin vorkommen.

    0
  • ?

    IPv6 & Firewall schrieb:

    Der Router empfängt dann die Pakete mit seiner öffentlichen IPv6 Adresse und routet sie dann an die nicht öffentlichen privaten IPv6 Adressen.
    Damit wären die Rechner hinter dem Router im Heimnetz sicher.

    der router sollte keine privaten adressen in's internet routen. zumindest nicht wenn er eine antwort erwartet 🤡
    was du beschreibst erfordert NAT, aber davon will bei IPv6 zurecht keiner was hoeren.
    ansonsten so machen wie hustbaer sagt. router wird in trust/untrust aufgeteilt und man hat funktional das, was ein NATender router frueher war.

    0
Anmelden zum Antworten