Cool, der DynDNS Client von OPNSense nimmt für IPv6 die fe80:: Adresse. Genau mein Humor.
Posts by perryflynn
-
-
Mit Blick auf die Zukunft eigentlich eine schlechte Entscheidung.
Es hindert mich ja niemand daran, dass irgendwann fortzuführen. Bin schon happy das v6 in eine Richtung endlich funktioniert. In die andere baue ich wenns entweder unterstützt wird oder wenn ich dazu gezwungen bin.
-
Ich glaub ich breche das ganze einfach ab. Ist mir zu doof. Für Clients okay, für Services bleibts bei v4-only. So ein gefrickel tu ich mir ohne besonderen Grund nicht an. Danke euch für die Ausführungen.
-
Ist die OpenSense Firewall nicht letztlich iptables basiert?
Nope, FreeBSD. Ist ein Fork von pfSense. Kein iptables.
Da bei iptables die Reihenfolge der Regeln ja wichtig ist, würde ich jetzt erwarten, dass der Router einmal den kompletten Regelsatz löscht und alle Regeln neu anlegt und dabei das neue Prefix beachtet.
Genau das fehlt da noch. Offenes Issue auf GitHub, soweit ich sehe. Hatte gehofft dass es da was eleganteres gibt. Weil kann ja eigentlich nicht sein, dass sowas essentielles zurecht gehackt werden muss.
kann man sich auch auf Basis eines Scriptes selber was bauen.
Wenns gar nicht anders geht muss ich das wohl... Baue dann einfach nen Hook in meinen DynDNS Update Mechanismus rein, der auch das entsprechende IPSet in der Firewall aktualisiert...
Die komplette IP Vergabe kann automatisch ablaufen. Aber für die Firewall muss sich wieder jeder Router Hersteller was eigenes ausdenken. Absurd.
-
eigentlich sollte heutzutage jede firewall ipv6 koennen
Kann die Firewall ja auch. Nur das absolut dynamische Zuweisen von IPs verwirrt mich. Ich verstehe halt nicht wie ich damit Firewall Regeln für einen einzelnen Client machen soll, ohne den in ein separates VLAN zu stecken.
Das mein DNS auch die AAAA Records vom DHCP mitgeteilt bekommt lässt sich bestimmt auch einstellen, nicht das Problem. Hilft aber bei den Firewall Regeln nicht wirklich.
-
für Clients sollte man parallel SLAAC (-> Router Advertisments in pfSense/opnsense, type assisted) und DHCPv6 für das gleiche Subnetz einrichten
Schau ich mir mal an, aber so wie es aussieht können alle Clients auf die es ankommt DHCPv6, von daher wird es wahrscheinlich nicht notwendig sein.
sprich du kannst intern die ULA (Unique Local Adressen) vergeben, und nach außen hin auf den dynamischen Prefix mappen
Das klingt ziemlich abgedreht. Und irgendwie nach NAT.
ULAs selbst werde ich mir mal anschauen, um lokal ein fixes Prefix zu haben. Aber das mappen auf dynamische Prefixes scheint noch nicht von OPNSense (sie bitten um helfende Hände beim implementieren des Features) unterstützt zu sein. Und es ist NAT, was unsexy ist.
das kann ja heute schon jede Fritzbox
Auf Interface-Level kann OPNSense das auch. Nur gibt es halt keine Möglichkeit die Firewall Regeln für eine einzelne IPv6 Adresse zu aktualisieren, wenn sich der Prefix ändert.
Bin fast versucht das ganze über die OPNSense/DynDNS API abzufackeln und bei einem Prefix Change via Script die Firewall Regeln/Aliases und die DNS Einträge zu aktualisieren. Denn in meinem Fall geht es um einen einzelnen Reverse Proxy, der die Dienste nach außen exposed.
Oder ich lass es einfach ganz, mache IPv6 nur für Clients und der Rest bleibt v4-only.
-
Moin!
Nach 2-3 fehlgeschlagenen Versuchen meinem Router an einem Deutsche Telekom Anschluss IPv6 beizubringen habe ich das Thema vor ein paar Jahren in die Ecke geschmissen, es mit Benzin überschüttet und angezündet. Heute habe ich es noch mal Versucht und mit folgender Anleitung klappte es auf Anhieb. Schon fast zu einfach. Bin jetzt also auch im Club der IPv6 na(t)?ives.
Jetzt stellt sich mir eine Frage:
Ich habe hier Zuhause diverse VLANs und einen Server der auch Dienste fürs Internet bereit stellt.
Wenn alles via DHCPv6 dynamisch konfiguriert wird, wie konfiguriere ich das in der Firewall? Regeln auf Interface Level würden ja alle Clients im VLAN betreffen, und einzelne IPv6 Adressen funktionieren ja nicht, da dynamisch.
Ich habe einen DNS Primary welcher auch DynDNS kann und eine Firewall die mit DNS Names statt IPs arbeiten kann. Ist das die einzige Option?
Finde das irgendwie gruselig...
-
Es wird Zeit das endlich ein großer Dienst auf IPv6-only umstellt, sodass der Rest des Internets gezwungen ist umzustellen.
-
Wie würde man DNSSEC eigentlich korrekt wieder "zurückbauen"?
Jap, wie Du schreibst. Keys aus den Root Servern raus nehmen, abwarten und danach kann man die Signierung ausknipsen.
-
https://www.heise.de/news/IP-A…Pv4-Reserven-6271935.html
So ein Quatsch! Da wird mehr kaputt gehen als es bringt.
Es wird Zeit das endlich ein großer Dienst auf IPv6-only umstellt, sodass der Rest des Internets gezwungen ist umzustellen.
-
-
Es kann auch helfen Delays einzuprogrammieren. Ansonsten kann der Anfang des Passworts verloren gehen, wenn KVM/VNC beim Wechsel vom einem zum anderen mal 100ms länger braucht.
-
Hatte ähnliche Probleme auch vor einiger Zeit. Mein Lösungsansatz sah so aus:
-
Stellte sich raus - es war perryflynn, der uns den Tag gerettet hat. Danke! :3
-
xattr write lock auf die shadow?
-
Schon absurd, wenn man überlegt, dass ich woanders einen Tarif seit 10 Jahren habe und der immer schön auf aktuellem Stand gehalten wird. Preislich vergleichbar mit dem Webhosting 8000.
Ich kaufe mir ein Webhosting weil ich eben nicht alle zwei Jahre alles neu machen will.
-
-
Javsscript als Closed Source halt ich irgendwie f. sehr seltsam;
-
Ich verstehs auch nicht. Hast Du da nen Affiliate?
Es gibt mindestens drei Open Source Libraries die das gleiche können. -
Das SubjectAltName die einzige source of truth bei Web TLS ist, ist ja schon einige Jahre so.
