OPNsense IPv6

Aus Xinux Wiki
Version vom 30. April 2025, 04:57 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „== IPv6-Firewall-Konfiguration in OPNsense: Umgang mit ICMPv6 und NDP == === Einführung === OPNsense unterstützt IPv6 umfassend und implementiert standardm…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

IPv6-Firewall-Konfiguration in OPNsense: Umgang mit ICMPv6 und NDP

Einführung

OPNsense unterstützt IPv6 umfassend und implementiert standardmäßig automatische Regeln, um essenzielle ICMPv6-Nachrichten zuzulassen. Diese Regeln sind entscheidend für die ordnungsgemäße Funktion von IPv6, insbesondere für das Neighbor Discovery Protocol (NDP), das für die automatische Adresskonfiguration und die Erkennung von Nachbarn im Netzwerk verantwortlich ist.

Automatisch generierte ICMPv6-Regeln

OPNsense erstellt intern Regeln, die bestimmte ICMPv6-Typen zulassen, um die Funktionalität von IPv6 sicherzustellen. Diese beinhalten:

  • Typ 1 – Destination Unreachable
  • Typ 2 – Packet Too Big
  • Typ 3 – Time Exceeded
  • Typ 4 – Parameter Problem
  • Typ 128 – Echo Request
  • Typ 129 – Echo Reply
  • Typ 133 – Router Solicitation
  • Typ 134 – Router Advertisement
  • Typ 135 – Neighbor Solicitation
  • Typ 136 – Neighbor Advertisement

Diese Regeln sind in der Regel nicht direkt in der Benutzeroberfläche sichtbar, können jedoch über die CLI mit dem Befehl pfctl -s rules eingesehen werden.

Einfluss der Option "Block bogon networks"

Die Aktivierung der Option "Block bogon networks" auf dem WAN-Interface kann dazu führen, dass legitime ICMPv6-Nachrichten, insbesondere von Link-Local-Adressen (z. B. fe80::/10), blockiert werden. Dies kann die Funktionalität von NDP beeinträchtigen.

Empfehlungen

  • Überprüfe deine Firewall-Regeln unter Firewall → Regeln → WAN, um sicherzustellen, dass keine Regeln vorhanden sind, die legitime ICMPv6-Nachrichten blockieren.
  • Wenn du die Option "Block bogon networks" aktiviert hast und feststellst, dass legitime ICMPv6-Nachrichten blockiert werden, erwäge, diese Option zu deaktivieren oder entsprechende Ausnahmen hinzuzufügen, um den notwendigen ICMPv6-Verkehr zuzulassen.
  • Stelle sicher, dass die automatisch generierten ICMPv6-Regeln aktiv sind und nicht durch andere Regeln überschrieben oder blockiert werden.

Durch die sorgfältige Konfiguration deiner Firewall-Regeln kannst du sicherstellen, dass notwendige ICMPv6-Nachrichten für IPv6 ordnungsgemäß funktionieren, während unerwünschter Verkehr weiterhin blockiert wird.

Abgerufen von „http://wiki.ixheim.de/index.php?title=OPNsense_IPv6&oldid=62374