OpenWrt erlaubt IPv6-Regel für den Zugriff auf einen Server mit globaler IPv6 im lokalen Bereich

OpenWrt erlaubt IPv6-Regel für den Zugriff auf einen Server mit globaler IPv6 im lokalen Bereich

Zunächst einmal habe ich eine Domäne mit DNS konfiguriert, die auf die globale Adresse meines Geräts verweist. Diese ist auf statisch eingestellt und hat als globales Präfix meines Internetdienstanbieters xxxx:xxxx:xxxx:de01::3/64 in dhcpcd.conf.

Ich verwende einen Openwrt-Router als meinen Hauptrouter, der an mein ISP-ONT angeschlossen ist. Ich habe eine funktionierende Internetverbindung in IPv4 und IPv6: Ich kann das Internet pingen oder ping6. Von OpenWRT aus gibt mir mein ISP ein delegiertes Präfix xxxx:xxxx:xxxx:de00/56.

Wenn ich den OpenWRT-Router durch meinen ISP-Router ersetze, weist mein ISP (oder er selbst, ich weiß es nicht) ihm die Adresse xxxx:xxxx:xxxx:de01::1/64 zu.

Mit dem ISP-Router ist mein Server unter der Adresse xxxx:xxxx:xxxx:de01::3 vom Internet aus erreichbar (mein Mobiltelefon in 4G), wenn ich Datenverkehr von der Firewall zulasse, aber da ich das Präfix /56 von meinem ISP sehe, bin ich ein wenig verwirrt.

Ich versuche, die IPv6-Zuweisungslänge auf 64 und den IPv6-Zuweisungshinweis auf der LAN-Schnittstelle auf 1 zu setzen, und jetzt hat mein OpenWRT-Router dieselbe Adresse, die mein ISP dem ursprünglichen Router gegeben hat (xxxx:xxxx:xxxx:de01::1/64 auf LAN1). Also versuche ich, eine Verkehrsregel von WAN 443 zu LAN xxxx:xxxx:xxxx:de01::3 443 auf der Firewall zu konfigurieren, aber mein Server bleibt von meinem Mobiltelefon aus nicht erreichbar.

Wahrscheinlich übersehe ich etwas, weil ich mit IPv6 noch nicht vertraut bin und nicht verstehe, was passiert, da ich viele Konfigurationen teste, ohne das gewünschte Ergebnis zu erzielen.

Kann mir jemand helfen, wirklich zu verstehen, was los ist?

Dies ist meine Konfiguration (OpenWRT 19.07):

Netzwerk:

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fda0:71fe:ea0f::/48'

config interface 'lan'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ifname 'lan1'
        option ip6class 'wan6'
        option ip6assign '64'
        option ip6hint '1'

config interface 'wan'
        option ifname 'lan0'
        option proto 'dhcp'
        option vendorid 'neufbox_NB6V-MAIN-bypassed'

config interface 'wan6'
        option ifname 'lan0'
        option proto 'dhcpv6'
        option reqprefix 'auto'
        option reqaddress 'try'

Firewall:

config defaults
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'REJECT'
        option synflood_protect '1'

config zone
        option name 'lan'
        list network 'lan'
        option input 'ACCEPT'
        option output 'ACCEPT'
        option forward 'ACCEPT'

config zone
        option name 'wan'
        list network 'wan'
        list network 'wan6'
        option output 'ACCEPT'
        option mtu_fix '1'
        option input 'REJECT'
        option forward 'REJECT'
        option masq '1'

config forwarding
        option src 'lan'
        option dest 'wan'
config rule
        option name 'Allow-DHCP-Renew'
        option src 'wan'
        option proto 'udp'
        option dest_port '68'
        option target 'ACCEPT'
        option family 'ipv4'

config rule
        option name 'Allow-Ping'
        option src 'wan'
        option proto 'icmp'
        option icmp_type 'echo-request'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-IGMP'
        option src 'wan'
        option proto 'igmp'
        option family 'ipv4'
        option target 'ACCEPT'

config rule
        option name 'Allow-DHCPv6'
        option src 'wan'
        option proto 'udp'
        option src_ip 'fc00::/6'
        option dest_ip 'fc00::/6'
        option dest_port '546'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-MLD'
        option src 'wan'
        option proto 'icmp'
        option src_ip 'fe80::/10'
        list icmp_type '130/0'
        list icmp_type '131/0'
        list icmp_type '132/0'
        list icmp_type '143/0'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Input'
        option src 'wan'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        list icmp_type 'router-solicitation'
        list icmp_type 'neighbour-solicitation'
        list icmp_type 'router-advertisement'
        list icmp_type 'neighbour-advertisement'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-ICMPv6-Forward'
        option src 'wan'
        option dest '*'
        option proto 'icmp'
        list icmp_type 'echo-request'
        list icmp_type 'echo-reply'
        list icmp_type 'destination-unreachable'
        list icmp_type 'packet-too-big'
        list icmp_type 'time-exceeded'
        list icmp_type 'bad-header'
        list icmp_type 'unknown-header-type'
        option limit '1000/sec'
        option family 'ipv6'
        option target 'ACCEPT'

config rule
        option name 'Allow-IPSec-ESP'
        option src 'wan'
        option dest 'lan'
        option proto 'esp'
        option target 'ACCEPT'

config rule
        option name 'Allow-ISAKMP'
        option src 'wan'
        option dest 'lan'
        option dest_port '500'
        option proto 'udp'
       option target 'ACCEPT'

config rule
        option name 'Support-UDP-Traceroute'
        option src 'wan'
        option dest_port '33434:33689'
        option proto 'udp'
        option family 'ipv4'
        option target 'REJECT'
        option enabled '0'

config include
        option path '/etc/firewall.user'

config rule
        option name 'server_80'
        list proto 'tcp'
        option src 'wan'
        option src_port '80'
        option dest 'lan'
        option dest_port '80'
        option target 'ACCEPT'
        list dest_ip 'xxxx:xxxx:xxxx:de01::3'
        option family 'ipv6'

config rule
        option name 'Server_443'
        list proto 'tcp'
        option src 'wan'
        option src_port '443'
        option dest 'lan'
        option dest_port '443'
        option target 'ACCEPT'
        list dest_ip 'xxxx:xxxx:xxxx:de01::3'
        option family 'ipv6'

Antwort1

Ich bringe es zum Laufen, indem ich benutzerdefinierte Regeln in Firewall.User hinzufüge. Um einen bestimmten Port auf einem bestimmten LAN-Gerät mit globalem IPv6 zu öffnen, gehe ich folgendermaßen vor:

ip6tables -t filter -I FORWARD 1 -p tcp --dport 443 -d xxxx:xxxx:xxxx:de01::3 -j ACCEPT

verwandte Informationen