OPNsense IPv6

Aus Xinux Wiki
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

ICMPv6 in OPNsense: Standardverhalten und empfohlene Konfiguration

Standardverhalten

OPNsense implementiert standardmäßig interne Regeln, die bestimmte ICMPv6-Typen zulassen, um die grundlegende IPv6-Funktionalität sicherzustellen. Diese beinhalten:

  • Typ 1 – Destination Unreachable
  • Typ 2 – Packet Too Big
  • Typ 3 – Time Exceeded
  • Typ 4 – Parameter Problem
  • Typ 133 – Router Solicitation
  • Typ 134 – Router Advertisement
  • Typ 135 – Neighbor Solicitation
  • Typ 136 – Neighbor Advertisement

Diese Regeln sind in der Regel nicht direkt in der Benutzeroberfläche sichtbar, können jedoch über die CLI mit dem Befehl pfctl -s rules eingesehen werden.

ICMPv6 Echo Request (Ping)

ICMPv6 Echo Request (Typ 128) und Echo Reply (Typ 129), die für Ping-Operationen verwendet werden, sind standardmäßig nicht erlaubt. Um Ping-Anfragen an die WAN-Schnittstelle zu ermöglichen, muss eine explizite Firewall-Regel erstellt werden.

Konfiguration einer ICMPv6-Ping-Regel

Um ICMPv6-Ping-Anfragen zuzulassen:

  1. Navigiere zu Firewall → Regeln → WAN.
  2. Klicke auf "Hinzufügen", um eine neue Regel zu erstellen.
  3. Konfiguriere die Regel wie folgt:
 * Aktion: Zulassen
 * Interface: WAN
 * TCP/IP-Version: IPv6
 * Protokoll: ICMP
 * ICMP-Typ: Echo Request
 * Quelle: beliebig
 * Ziel: WAN-Adresse
 * Beschreibung: Erlaube ICMPv6 Echo Request
  1. Speichere die Regel und wende die Änderungen an.

Mit dieser Konfiguration wird dein OPNsense-System auf eingehende IPv6-Ping-Anfragen reagieren.

Sicherheitshinweis

Das Zulassen von ICMPv6 kann für die Netzwerkdiagnose und -funktionalität hilfreich sein, birgt jedoch auch potenzielle Sicherheitsrisiken. Stelle sicher, dass du nur die notwendigen ICMPv6-Typen zulässt und regelmäßig deine Firewall-Regeln überprüfst.

Abgerufen von „http://wiki.ixheim.de/index.php?title=OPNsense_IPv6&oldid=62375