Zugriff/Ping auf Domain (IPv6) nicht möglich.

    Halli hallo.

    Ich habe bei mir folgendes Problemchen.

    Undzwar bin ich bei der Deutschen Glasfaser und die setzt ja bekanntlicherweise IPv6 ein. Ich habe bei mir eine OPNsense als Router und Firewall im Einsatz. Ich habe bei mir einen Server aufgesetzt auf dem Nextcloud läuft. Installiert habe ich Nextcloud indem ich bei der Installation von Ubuntu Server, Nextcloud angehakt habe. Intern kann ich auf meinen Server zugreifen und das auch mit der Domain. Die Ports sind auch freigegeben.

    Mit einem v6 online Portscanner wurde mir auch angezeigt das die Ports geöffnet sind und die richtige Ipv6 wurde mir auch angezeigt. Wenn ich die Domain jetzt anpingen möchte geht das nicht und ich erhalte 100% packet loss.

    Ich habe gesehen das ich ICMPv6 aktivieren soll, nur leider weiß ich nicht wie ich das bei OPNsense mache.

    Kennt sich vielleicht jemand damit aus und kann mir weiterhelfen?

    Wäre die Frage im OpenSense Forum nicht besser aufgehoben?

    Aber blöde Frage: Der eigentliche Dienst läuft, warum dann noch Ping? Im Grunde öffnest du nur ein weiteres Einfallstor. Hast du einen konkreten Anwendungsfall dafür? Sonst würde ich es weglassen. Es ist nicht ohne Grund standardmäßig im Nextcloud gesperrt.

    Sowohl OPNSense als auch der Server selbst können ICMP filtern. Kannst du die "Domain" (also den Server) intern anpingen und von extern nicht? Dann filtert die OPNSense und nicht der Server. Wenn Pings auch intern nicht gehen, ist es der Server.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von frank_m

    Hast du einen konkreten Anwendungsfall dafür? Sonst würde ich es weglassen

    Ich möchte meinen privaten Server den ich zuhause stehen habe nutzen um dort Sachen drauf zu speichern, wie Verträge oder Daten für ein Festivale. Diese daten möchte ich ungern in einer Cloud veröffendlichen und die auf einem USB Stick rumzuschleppen ist auch doof.

    Zitat von alfalfa

    Kannst du die "Domain" (also den Server) intern anpingen und von extern nicht?

    Intern kann ich die Domain anpingen und auch auf das Webinterface zugreifen. Wenn ich das jetzt aber über den Handyhotspot versuche ist das ganze nicht mehr möglich und mir wird gesagt die Domain ist nicht verfügbar. Ich muss mal ausprobieren wie es an dem PC von jemand anderem aussieht, der auch bei der Deutschen Glasfaser ist, bzw eine IPv6 hat.

    Moment, vielleicht verstehe ich dein Problem nicht. Die Nextcloud läuft und ist intern wie extern problemlos erreichbar. Nur der Ping funktioniert nicht. Da ist die Frage: Warum brauchst du den Ping, wenn alles andere läuft?

    Eine kurze Suche im Internet sagt, dass die normale Konfiguration der OPNSense Firewall von außen kommende IPv6 Pings nicht reinlässt. Du müsstest also eine Regel hinzufügen, die IPv6 ICMP Echo Requests durchlässt, wenn deine Geräte von außen anpingbar sein sollen. Vielleicht hilft dir das beim Debugging, aber für die Funktion der Dienste ist das i.d.R. nicht notwendig. Die Antworten brauchst du nicht extra freizugeben, weil die Firewall stateful ist und die Antwort automatisch durchlässt.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von frank_m

    Moment, vielleicht verstehe ich dein Problem nicht. Die Nextcloud läuft und ist intern wie extern problemlos erreichbar. Nur der Ping funktioniert nicht. Da ist die Frage: Warum brauchst du den Ping, wenn alles andere läuft?

    Ich habe nur versucht ob ich den Server anpingen kann. Aber das geht nur Intern und nicht extern. habe bei https://ipv6-test.com/ nachgesehen und da stand das halt mit ICMP. Habe gedacht das das vielleicht ein Problem sein könnte.

    Da muss man jetzt differenzieren.

    Bei IPv6 wird sehr viel Signalisierung über ICMP Nachrichten gemacht, das sind aber keine Pings. Deshalb ist es wichtig, dass ICMP Nachrichten bei IPv6 fließen können, um den vollen Funktionsumfang zu haben (ein schönes Suchbeispiel bei Google ist "mss clamping"): Fehlendes ICMPv6 kann viel Ärger bereiten.

    Das heißt aber nicht, dass man Pings von außen zulassen muss. Das kann man machen, dramatisch ist die Sicherheitslücke nach heutigem Wissensstand nicht, aber sowas kann sich schnell ändern.

    Deshalb: Wenn dein Service wie vorgesehen funktioniert, würde ich Pings von außen nur zulassen, wenn du es wirklich brauchst. Einfach für Spaß eher nicht. Testweise kannst du es natürlich immer mal freischalten. Wie alfala geschrieben hat, braucht es dafür eine entsprechende Firewall-Regel.

    Es gehört (eigentlich) seit 41 Jahren zum guten Standard, ICMP bzw. Ping zuzulassen und durchzulassen. Darum antwortet ja auch (fast) jeder Router auf dem Weg durch das Internet auf ICMP-Anfragen.

    In besonders sicherheitsbewussten Einrichtungen wird man dann evtl. noch NG-Firewalls einsetzen, die das ICMP- Datenfeld analysieren bzw nullen um ICMP-Tunneling zu verhindern.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.