Toon posts:

ipv6 guest vlan

Pagina: 1
Acties:

Onderwerpen

Ipv6 Vlan

Vraag

vrijdag 24 februari 2023 21:07

Acties:
  • 0 Henk 'm!
  • gwabber
  • Registratie: September 2020
  • Laatst online: 11:46

gwabber

Topicstarter
Medetweakers :)

Op dit moment heb ik een Pfsense firewall draaien. Werkt allemaal lekker en mijn vlans zijn allemaal voorzien van IPv6, via mijn ziggo verbinding. Daarnaast hebben ze ook allemaal VIP ULA's om mijn interne routing te doen.

Daarnaast heb ik een gastenvlan. Deze heeft alleen ipv4 en blokkeert toegang tot alle RFC1918 netwerken. De gastenvlan gaat naar buiten via de gateway van mijn VPN provider. Gasten kunnen dus geen gekke dingen doen op mijn prive netwerken en als ze wat geks doen, gaat dat via het IP van mijn VPN provider :).

In het kader van "niet omdat het moet, maar omdat het kan", wil ik IPv6 toevoegen aan mijn gastennetwerk. Dit wil ik net als het IPv4 netwerk blokkeren van mijn andere subnets en naar buiten laten gaan via mijn vpn provider (deze geeft mij een /128 IPv6 adres). Om nu toch mijn gastnetwerk van IPv6 te voorzien, NAT ik alles middels ULA's naar de V6 gateway van mijn VPN provider.

Dan nu het probleem:
Hoe zorg ik ervoor dat ook via IPv6 de gasten geen toegang hebben tot mijn andere subnets? Volgens mijn theorie moet ik alle ULA's blokkeren, maar ook alle GUA's. Dat is een hoop werk ten opzichte van alleen de RFC1918 netwerken. Mis hier hierbij iets? Kan het simpeler?

Alvast bedankt :D

Alle reacties

zaterdag 25 februari 2023 01:43

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Je hoeft op zich alleen maar de subnetten die jij gebruikt te blokkeren. Als je alle GUA's blokkeert kunnen je gasten niet bij het internet.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 25 februari 2023 07:37

Acties:
  • 0 Henk 'm!
  • gwabber
  • Registratie: September 2020
  • Laatst online: 11:46

gwabber

Topicstarter
CyBeR schreef op zaterdag 25 februari 2023 @ 01:43:
Je hoeft op zich alleen maar de subnetten die jij gebruikt te blokkeren. Als je alle GUA's blokkeert kunnen je gasten niet bij het internet.
Bedankt voor je reactie!
Ik bedoelde inderdaad alleen het blokkeren van de prefix die ik van Ziggo krijg, voor de rest laat ik alles open.

Is het dan het handigst om gewoon rules per subnet aan te maken (ik heb er 4 plus nog een site2site vpn), dus IPv6 block LAN NET etc, of is er een makkelijkere manier om alles dicht te zetten?

:)

zaterdag 25 februari 2023 08:03

Acties:
  • +1 Henk 'm!
  • Evos
  • Registratie: Januari 2002
  • Laatst online: 11:19

Evos

Voor wat betreft het blokkeren op prefix is er volgens mij kans dat je van Ziggo een andere prefix krijgt. Het meest veilige is dan om dit te blokkeren op Zone of iets anders wat dynamisch je prefix van dat moment bepaalt.

zaterdag 25 februari 2023 10:16

Acties:
  • 0 Henk 'm!
  • mash_man02
  • Registratie: April 2014
  • Laatst online: 13-09 09:01

mash_man02

Kun je niet zone/interface based blokkeren met pfsense ? Dan is het gewoon al het ipv6 vanuit guest naar inside wat je kunt blokkeren.

Asus X570-E AMD ryzen 5800x3D 64Gb Sapphire 7900xtx X-vapor nitro+

zaterdag 25 februari 2023 11:46

Acties:
  • 0 Henk 'm!
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

gwabber schreef op zaterdag 25 februari 2023 @ 07:37:
[...]


Bedankt voor je reactie!
Ik bedoelde inderdaad alleen het blokkeren van de prefix die ik van Ziggo krijg, voor de rest laat ik alles open.

Is het dan het handigst om gewoon rules per subnet aan te maken (ik heb er 4 plus nog een site2site vpn), dus IPv6 block LAN NET etc, of is er een makkelijkere manier om alles dicht te zetten?

:)
Je wilt aannemelijkerwijs verkeer blokkeren van je gast-vlan naar de hele rest van je netwerk. Dus stel je prefix is 2001:1111:2222::/48 (ziggo geeft /48s toch?) dan blokkeer je gewoon verkeer van 2001:1111:2222:gast::/64 naar 2001:1111:2222::/48.

Wat men hierboven zegt is overigens wel een goed punt: als je van ziggo een nieuwe prefix zou krijgen klopt je configuratie niet meer, dus 't is eigenlijk beter om dat te doen op basis van zones of interfaces, of als dat kan een dynamische configuratie te gebruiken. Maar in de basis (als je prefix niet verandert) voldoet bovenstaand.

Een andere optie is trouwens om mensen die je niet vertrouwt gewoon niet op je wifi te laten.

[ Voor 23% gewijzigd door CyBeR op 25-02-2023 11:48 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 25 februari 2023 12:31

Acties:
  • 0 Henk 'm!
  • Bertus
  • Registratie: Augustus 2003
  • Niet online

Bertus

Je kunt toch ook gewoon per interface blokkeren? Of beter, omgekeerd blokkeren. Dus alleen toegang tot de Ziggo GW.

Heeft ook een computer!

zaterdag 25 februari 2023 13:34

Acties:
  • 0 Henk 'm!
  • gwabber
  • Registratie: September 2020
  • Laatst online: 11:46

gwabber

Topicstarter
Dank voor alle antwoorden!

Ik kan volgens mij inderdaad per interface blokkeren, dus dat ga ik proberen! Daarnaast wil ik wel het verkeer routeren over mijn vpn gateway, dus dat maakt het volgens mij makkelijker met zaken blokkeren:)

Ziggo geeft idd een dynamische prefix van /56, dat maakt het werken zonder interface blokkade wel lastig indien het wijzigt

zaterdag 25 februari 2023 17:01

Acties:
  • 0 Henk 'm!
  • mash_man02
  • Registratie: April 2014
  • Laatst online: 13-09 09:01

mash_man02

Ik heb zelf een ziggo delegated prefix /56 opgedeeld naar meerdere /64's die ik vanwege privacy evengoed standaard nat over het verkregen ipv6 wan adres.

Er bestaat in mijn firewall simpelweg geen policy die van guest naar iets anders dan de in dit geval SD-wan interface wijst.

Asus X570-E AMD ryzen 5800x3D 64Gb Sapphire 7900xtx X-vapor nitro+

zaterdag 25 februari 2023 19:09

Acties:
  • 0 Henk 'm!
  • dion_b
  • Registratie: September 2000
  • Laatst online: 11:20

dion_b

Moderator Harde Waren

say Baah

Ziggo geeft /56 of /57. Lijkt me zo simpel als eigen LAN uit een /64 hierbinnen te pakken en gasten een andere /64, dat is dan een enkele rule inderdaad.

Mbt dynamic prefix: dat zou geen probleem moeten zijn zolang je je suffixes constant houdt, dan kun je met een mask werken zoals hier (Ubiquiti syntax, maar zal met Pfsense ook mogelijk zijn vermoed ik):
set firewall ipv6-name IPv6-In rule 4 destination address ::0023:a92f:d91f:fec4:70dd/::00ff:ffff:ffff:ffff:ffff
(dit voorbeeld voor enkele host, maar kan dus ook voor een heel subnet gelden)

Oslik blyat! Oslik!

zaterdag 25 februari 2023 19:38

Acties:
  • 0 Henk 'm!
  • gwabber
  • Registratie: September 2020
  • Laatst online: 11:46

gwabber

Topicstarter
Maar hoe kan ik, als ik mijn guest een /64 van ziggo geef, dit via de gateway van mijn VPN provider laten sturen?

Met een ULA en NAT snap ik dat wel…

zaterdag 25 februari 2023 21:30

Acties:
  • 0 Henk 'm!
  • jadjong
  • Registratie: Juli 2001
  • Niet online

jadjong

https://docs.netgate.com/...ecipes/multiwan-ipv6.html

zondag 26 februari 2023 15:44

Acties:
  • 0 Henk 'm!
  • gwabber
  • Registratie: September 2020
  • Laatst online: 11:46

gwabber

Topicstarter
Ik ga dat artikel eens lezen en kijken hoe ver ik kom :)

vrijdag 3 maart 2023 19:32

Acties:
  • +1 Henk 'm!
  • gwabber
  • Registratie: September 2020
  • Laatst online: 11:46

gwabber

Topicstarter
Ik heb het werkend! Dank jullie voor de hulp!

Ik heb inderdaad zoveel mogelijk op interface geblokkeerd en daarnaast nog wat losse subnets. Draait als een trein :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq