Sophos UTM 9 - IPv6 über Tunnelbroker

Share

IPv6 über einen Tunnelbroker bei Internetzugang mit fester IPv4

IPv6 ist so konzipiert, dass jeder Host des Netzwerkes eine Global-Unicast-Adresse bekommt,
also eine öffentliche IP-Adresse. Bei IPv6 gibt es also kein NAT/Masquerading

mehr, sondern jeder Host ist "im Internet" (bei IPv4 war das so ursprünglich vorgesehen, es wurde aber auf Grund der Adressknappheit schon bald anderes verfahren). Es Bedarf also eines Sicherheitskonzeptes, wechles diesem Umstand gerecht wird. Die Sophos UTM Astaro bietet solche Features im Form von Proxys (auf deutsch:  Stellvertreter) für Web und Mail und einer sicheren Next-Gen-Firewall. Der Aufbau von IPv6  ist in diesem Artikel erklärt.

Wenn einer Sophos UTM Astaro "nur" ein Fest-IPv4 Anschluss zur Verfügung steht, kann man IPv6 über einen Tunnel Broker
(z.B. von Hurricane Electric http://www.tunnelbroker.net/) realisiert.

Bisher habe ich alle IPv6 Implementierungen  über SixXS gemacht, aber nur einem! Supportfall kann ich nur sagen: Finger weg!
Habe alle Installationen auf Hurricane Electric geswitch. Die Anleitung sollte aber auch genau so für Hurricane Electric funktionieren. Bei HE muss die Freischaltung von Port 25 per Mail an [email protected] beantragt werden.
Natives IPv6 durch den Internetprovider ist auf jeden Fall zu bevorzugen.
.

 

Eine IPv6 Umsetzung sollte vollständig und in einem Zug durchgeführt werden.
Nur Subnetzen oder einzelnen Host/Servern IPv6 Adressen zu geben, führt idR. zum Ausfall von Diensten oder des Internetzugangs

 

IPv6 über Tunnelbroker

Beispiel Sixxs.net IPv6 Tunnelbroker:
Dazu muss man sich auf der Seite registrieren und bekommt dann Userlogin, Passwort und einen IPv6 /64 Kreis zugeordnet. Wenn der Tunnelbroker eine Zeitlang aktiv ist, sammelt man dadurch Credits und kann einen IPv6 /48 Kreis anfordern. Bei einer festen IPv4 ist der Tunneltyp 6in4-static, IPv4 address. Die feste eigen IPv4 wird bei Sixxs in der Tunnelbroker Einrichtung hinterlegt:

SixXS IPv6 TunnelBroker Tunnel information

 

Wenn man eine Sophos UTM 9 mit nur einem IPv4 Netzwerk hat, ist die Einrichtung simpel und schnell, ansonsten sollte man sich überlegen, wie man IPv4 <-> IPv6 einrichtet. Dieses als Vorschlag:

Das VLAN Tag und das IPv6 Netzwerk kann “analog” dem IPv4 Netzwerk vergeben werden, um auf einen Blick erkennen zu können,
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt
Beispiel
IP Netz
VLANBeispiel IPv6 /64 Subnet-
x10.10.x.XXXXXXX10.0.125.0/2401252001:4hh0:fbd5:0125: :/64es geht nur 0 und 4 (bis 4095)
1172.016.XXX1XXX172.16.040.0/2410402001:4hh0:fbd5:1040:: /64eigentlich Class B, hier immer Class C
2192.168.XXX2XXX192.168.140.0/2421402001:4hh0:fbd5:2140:: /64

.
.

Einrichtung und Aktiverung des Tunnelbroker

Interfaces & Routing -> IPv6 |Gobal| aktiviert man IPv6 und gibt dann unter dem Reiter |Tunnel Broker| die Zugangsdaten von Sixxs.net ein

sixxs net IPv6 Tunnel Broker Sophos UTM 9 Astaro

 

Nach dem Aufbau des Tunnels findet man sein IPv6 Netz unter |Global|
sixxs net IPv6 subnet Tunnel Broker Sophos UTM 9 Astaro

Nun ist die Sophos UTM Astaro auch über IPv6 mit dem Internet verbunden.

.
.

Das Subnet ist das nutzbare IPv6 Netz /64 (hier im Screenshot schon ein /48), die Tunnelbroker bzw. "Interface" IPv6 der Sophos UTM Astaro ist die Adresse hinter "Tunnel Broker:". Diese Adresse ist z.B. für einen Webserver nutzbar (Webserver Protection). Der Tunnelbroker wird als quasi-Netzwerk- Interface behandelt und kann auch so verwendet werden.

.

Dem Internen Interface bzw jeden Interface der Sophos UTM Astaro muss nun eine feste IPv6 Adresse aus dem nutzbaren Subnet zusätzlich zu der festen IPv4 Adresse gegeben werden, grundsätzlich sollte man noch Jahre IPv4 und IPv6 zusammenlaufen lassen, also Dual Stack betreiben. Wenn mehrere Interfaces/Netzwerke eingerichtet sind, sollte man ein /48 IPv6 Netz nutzen, um jedem IPv4 Netz ein IPv6 Netz zuordnen zu können.

.
Interfaces & Routing -> Interfaces |Interfaces| "Edit"

Interfaces Internal IPv6 Sophos UTM 9

Bei festen IPv6 Adressen vergebe ich immer analog IPv4, also in diesem Fall auch die 1 .
.
.

 

 Grundsätzliches vor der Aktivierung von IPv6

Bei IPv6 werden Adressen über Prefix Advertisement verteilt. Bekannt gegeben werden das Netzwerk (also die ersten 4 Blöcke), das Standardgateway und DNS-Server. Die IPv6 Host-Adresse des Clienten ist immer die gleiche, diese wird aus der MAC Adresse des Hostes berechnet. Egal in welchen Netzwerk der Host ist, die letzten 4 Blöcke der IPv6 Adresse sind gleich.
Feste IPv6 Adressen zu vergeben ist schwierig, da sich jeder Host (auch Windows Server) zu der festen IPv6 immer auch die aus der MAC Adresse berechnete IPv6 Adresse zusätzlich nimmt. Da sich der Host ja immer die selber IPv6 Adresse nimmt, sind die Adressen damit ja "fest". Bei Servern sollte man feste IP Adressen aber in benutzten.

Dazu gibt es 5 Lösungsansätze:

1)     Kein Prefix Advertisement aktivieren, jede IPv6 Adresse (Client, Server, Drucker etc.) manuell vergeben //nicht praktikabel
2)    Eigenes Netzwerk ohne Prefix Advertisement für Server erstellen und dort die IPv6 Adressen manuell vergeben //erfordert weiteres physikalisches Interfaces in der UTM & ein /48 Netz
3)    Prefix Advertisement nutzen, keine IPv6 Adressen manuell vergeben //schnell und einfach
4)    Prefix Advertisement nutzen und nur den Servern die selbst erstelle IPv6 Adresse als feste geben //praktikabel
5)    Prefix Advertisement nutzen und nur den Servern eine feste IPv6 Adresse analog IPv4 geben, damit hat der Server dann 2 IPv6 Adressen

zu 1)
Scheidet aus, nicht Standard Konform, zu zeitaufwendig

zu 2)
Erhöht die Sicherheit im Netzwerk, da die Server in einem abgeschotteten Netzwerk stehen (eigener IPv4 und IPv6 Kreis) und man den Zugriff sehr dediziert auf Port (Firewall) und Applikationsebene (Application Control) steuern kann. Zusätzlich werden alle Zugriffe auf die Server noch durch die Intrusion Prevention untersucht. Man kann IPv6 Adressen fest mit der gleichen Endnummer wie die festen IPv4 Adressen vergeben. Jeder Server muss mit IPv4 und IPv6 Adresse in der Sophos UTM Astaro als Host angelegt werden. Erstellen eines Konzeptes notwendig, Umsetzung mit Aufwand verbunden, aber dennoch von mir favorisiert, vor allem in grösserne Umgebungen.

zu 3)
Lauffähig und entspricht dem Standard. Nur wichtige Server (Mail, DNS, Web) als Host in der UTM anlegen. Für kleine Installationen sicher sinnvoll.

zu 4)
Genau wie 3, aber wer dann doch feste IP Adressen für seine Server will. Man kann die berechnete IPv6 Adresse zB zur Verwaltung und für die Dienste auf dem Server weitere, feste mit eigenem DNS Namen nutzen.

zu 5)
Dienste müssen dann wenn möglich an eine IPv6 Adresse gebunden werden (Siehe Exchange 2013 & IPv6)

 

.
.
Prefix Advertisment wird unter
Interfaces & Routing -> IPv6 |Prefix Advertisements| "New Prefix"

New-Prefix-Advertisment-IPv6-Sophos-UTM-9

Als 1. und 2. DNS sollte die IPv6 des DC/DNS-Server(s) angegeben werden, sobald dieser sich eine IPv6 gegeben hat. Wenn es nur einen Windows DNS Server gibt, als 2. DNS die IPv6 des Interfaces der Sophos UTM Astaro angeben. Solange IPv6 im Testbetrieb läuft, sollte man die Lifetime sehr kurz setzten.

.
.

balken-oben

 Umbedingt DNS IPv6 konfigurieren:
Sophos UTM DNS

balken-unten

.
.

 

Test der IPv6 Einrichtung

Jetzt kann man am Clienten die Konfiguration überprüfen:
Start -> Ausführen "cmd" ipconfig /all

Ethernet-Adapter Lan-MeineDomain.local:

Verbindungsspezifisches DNS-Suffix: MeineDomain.local
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : 00-18-F3-78-F9-EC
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:4dd0:fff5:2040:df1:af6e:18d5:4972 (Bevorzugt)
Temporäre IPv6-Adresse. : 2001:4dd0:fbd5:2040:6cbb:9ce0:7f19:67ad (Bevorzugt)
Verbindungslokale IPv6-Adresse  . : fe80::df1:af6e:18d5:4972%17 (Bevorzugt)
IPv4-Adresse  . . . . . . . . . . : 192.168.40.20 (Bevorzugt)
Subnetzmaske  . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Sonntag, 10. November 2013 20:43:11
Lease läuft ab. . . . . . . . . . . : Montag, 11. November 2013 20:43:12
Standardgateway . . . . . . . : fe80::12bf:48ff:fe78:6631%17 192.168.40.1
DHCP-Server . . . . . . . . . .  : 172.16.40.20
DHCPv6-IAID . . . . . . . . .  : 335550707
DHCPv6-Client-DUID. . .  : 00-01-00-01-19-30-B9-B5-00-18-F3-78-F9-EC
DNS-Server  . . . . . . . . . . . : 2001:4dd0:fff5:1040::20 | 2001:4dd0:fff5:2040::1172.16.40.20 | 192.168.40.1
Primärer WINS-Server. .  : 172.16.40.20
NetBIOS über TCP/IP . . . : Aktiviert    Suchliste für verbindungsspezifische DNS-Suffixe: MeineDomain.local

Die temporäre IPv6-Adresse wird von den Clienten (Windows 7/8) für den Internetzugriff genutzt (privacy extension), bei  Server 2008 / 2012 ist das nicht der Fall.

.
.

Wenn Sie jetzt auf youtube.com ein Video ansehen,
wird der Traffic über den Tunnelbroker geleitet,  siehe Dashboard :

IPv6 Dashboard Tunnelbroker Sophos UTM Astaro

 

 

.
.

Abfrage IPv6 Details mit netsh unter Windows 8
BefehlAusgabe
netsh interface ipv6 show siteprefixaller prefix advertisments des Netzes
netsh interface ipv6 show dnsserversaller IPv6 DNS-Server an
netsh interface ipv6 show privacyder Parameter für temporäre Adressen
netsh Interface ipv6 show neighborsalle anderen link-local Adressen
netsh interface ipv6 show destinationcacheZuordnung link-local Adresse MAC Adresse
netsh interface ipv6 show joinsaller link-local Multicast Adressen
netsh interface ipv6 set teredo disable Terodo Interface deaktvieren (empfohlen)

.
.

Eine Site to Site VPN IPsec Verbindung zur Standortvernetzung sollte Sie nicht über einen IPv6 Tunnelbroker aufbauen, es sei denn die Gegenstelle kann nur IPv6.

 

Münster AD 2013

Share

Leave a Reply