OPNsense IPv6: Unterschied zwischen den Versionen

Aktuelle Version vom 30. April 2025, 05:03 Uhr

ICMPv6 in OPNsense: Standardverhalten und empfohlene Konfiguration

Standardverhalten

OPNsense implementiert standardmäßig interne Regeln, die bestimmte ICMPv6-Typen zulassen, um die grundlegende IPv6-Funktionalität sicherzustellen. Diese beinhalten:

Typ 1 – Destination Unreachable
Typ 2 – Packet Too Big
Typ 3 – Time Exceeded
Typ 4 – Parameter Problem
Typ 133 – Router Solicitation
Typ 134 – Router Advertisement
Typ 135 – Neighbor Solicitation
Typ 136 – Neighbor Advertisement

Diese Regeln sind in der Regel nicht direkt in der Benutzeroberfläche sichtbar, können jedoch über die CLI mit dem Befehl pfctl -s rules eingesehen werden.

ICMPv6 Echo Request (Ping)

ICMPv6 Echo Request (Typ 128) und Echo Reply (Typ 129), die für Ping-Operationen verwendet werden, sind standardmäßig nicht erlaubt. Um Ping-Anfragen an die WAN-Schnittstelle zu ermöglichen, muss eine explizite Firewall-Regel erstellt werden.

Konfiguration einer ICMPv6-Ping-Regel

Um ICMPv6-Ping-Anfragen zuzulassen:

Navigiere zu Firewall → Regeln → WAN.
Klicke auf "Hinzufügen", um eine neue Regel zu erstellen.
Konfiguriere die Regel wie folgt:

 * Aktion: Zulassen
 * Interface: WAN
 * TCP/IP-Version: IPv6
 * Protokoll: ICMP
 * ICMP-Typ: Echo Request
 * Quelle: beliebig
 * Ziel: WAN-Adresse
 * Beschreibung: Erlaube ICMPv6 Echo Request

Speichere die Regel und wende die Änderungen an.

Mit dieser Konfiguration wird dein OPNsense-System auf eingehende IPv6-Ping-Anfragen reagieren.

Sicherheitshinweis

Das Zulassen von ICMPv6 kann für die Netzwerkdiagnose und -funktionalität hilfreich sein, birgt jedoch auch potenzielle Sicherheitsrisiken. Stelle sicher, dass du nur die notwendigen ICMPv6-Typen zulässt und regelmäßig deine Firewall-Regeln überprüfst.

@@ Zeile 1: / Zeile 1: @@
-== IPv6-Firewall-Konfiguration in OPNsense: Umgang mit ICMPv6 und NDP ==
+== ICMPv6 in OPNsense: Standardverhalten und empfohlene Konfiguration ==
-=== Einführung ===
+=== Standardverhalten ===
-OPNsense unterstützt IPv6 umfassend und implementiert standardmäßig automatische Regeln, um essenzielle ICMPv6-Nachrichten zuzulassen. Diese Regeln sind entscheidend für die ordnungsgemäße Funktion von IPv6, insbesondere für das Neighbor Discovery Protocol (NDP), das für die automatische Adresskonfiguration und die Erkennung von Nachbarn im Netzwerk verantwortlich ist.
+OPNsense implementiert standardmäßig interne Regeln, die bestimmte ICMPv6-Typen zulassen, um die grundlegende IPv6-Funktionalität sicherzustellen. Diese beinhalten:
-=== Automatisch generierte ICMPv6-Regeln ===
-OPNsense erstellt intern Regeln, die bestimmte ICMPv6-Typen zulassen, um die Funktionalität von IPv6 sicherzustellen. Diese beinhalten:
 * '''Typ 1''' – Destination Unreachable
@@ Zeile 11: / Zeile 8: @@
 * '''Typ 3''' – Time Exceeded
 * '''Typ 4''' – Parameter Problem
-* '''Typ 128''' – Echo Request
-* '''Typ 129''' – Echo Reply
 * '''Typ 133''' – Router Solicitation
 * '''Typ 134''' – Router Advertisement
@@ Zeile 20: / Zeile 15: @@
 Diese Regeln sind in der Regel nicht direkt in der Benutzeroberfläche sichtbar, können jedoch über die CLI mit dem Befehl <code>pfctl -s rules</code> eingesehen werden.
-=== Einfluss der Option "Block bogon networks" ===
+=== ICMPv6 Echo Request (Ping) ===
-Die Aktivierung der Option '''"Block bogon networks"''' auf dem WAN-Interface kann dazu führen, dass legitime ICMPv6-Nachrichten, insbesondere von Link-Local-Adressen (z. B. <code>fe80::/10</code>), blockiert werden. Dies kann die Funktionalität von NDP beeinträchtigen.
+ICMPv6 Echo Request (Typ 128) und Echo Reply (Typ 129), die für Ping-Operationen verwendet werden, sind standardmäßig nicht erlaubt. Um Ping-Anfragen an die WAN-Schnittstelle zu ermöglichen, muss eine explizite Firewall-Regel erstellt werden.
-=== Empfehlungen ===
+=== Konfiguration einer ICMPv6-Ping-Regel ===
-* Überprüfe deine Firewall-Regeln unter '''Firewall → Regeln → WAN''', um sicherzustellen, dass keine Regeln vorhanden sind, die legitime ICMPv6-Nachrichten blockieren.
+Um ICMPv6-Ping-Anfragen zuzulassen:
-* Wenn du die Option "Block bogon networks" aktiviert hast und feststellst, dass legitime ICMPv6-Nachrichten blockiert werden, erwäge, diese Option zu deaktivieren oder entsprechende Ausnahmen hinzuzufügen, um den notwendigen ICMPv6-Verkehr zuzulassen.
+# Navigiere zu '''Firewall → Regeln → WAN'''.
+# Klicke auf "Hinzufügen", um eine neue Regel zu erstellen.
+# Konfiguriere die Regel wie folgt:
+  * '''Aktion''': Zulassen
+  * '''Interface''': WAN
+  * '''TCP/IP-Version''': IPv6
+  * '''Protokoll''': ICMP
+  * '''ICMP-Typ''': Echo Request
+  * '''Quelle''': beliebig
+  * '''Ziel''': WAN-Adresse
+  * '''Beschreibung''': Erlaube ICMPv6 Echo Request
+# Speichere die Regel und wende die Änderungen an.
-* Stelle sicher, dass die automatisch generierten ICMPv6-Regeln aktiv sind und nicht durch andere Regeln überschrieben oder blockiert werden.
+Mit dieser Konfiguration wird dein OPNsense-System auf eingehende IPv6-Ping-Anfragen reagieren.
-Durch die sorgfältige Konfiguration deiner Firewall-Regeln kannst du sicherstellen, dass notwendige ICMPv6-Nachrichten für IPv6 ordnungsgemäß funktionieren, während unerwünschter Verkehr weiterhin blockiert wird.
+=== Sicherheitshinweis ===
+Das Zulassen von ICMPv6 kann für die Netzwerkdiagnose und -funktionalität hilfreich sein, birgt jedoch auch potenzielle Sicherheitsrisiken. Stelle sicher, dass du nur die notwendigen ICMPv6-Typen zulässt und regelmäßig deine Firewall-Regeln überprüfst.