Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 26 subscribers
  • Views 2819 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPv6 Privacy Extensions und Firewall Rules

DennyFischer
Guten Abend,

ich spiele gerade ein wenig mit IPv6 herum. Habe auf der UTM einen SIXXS Tunnel mit Präfix 64 eingerichtet und Prefix Advertisement konfiguriert sowie externe IPv6-DNS Server hinterlegt. Meine internen Clients bekommen eine IPv4 Adresse vom internen DHCP-Server und eine Global Unicast IPv6-Adresse von der UTM (inkl. IPv6 Gateway und internen IPv6-DNS Server).

Auf den Windows 7/8/8.1 Geräten ist standardmäßig Privacy Extensions aktiviert und die Clients bekommen stehts 2 Global Unicast IPv6-Adressen zugewiesen (IPv6-Adresse und Temporäre IPv6-Adresse). Die Temporäre IPv6-Adresse wechselt ja in regelmäßigen Abständen und wird im Windows benutzt für Zugriffe auf Ressourcen z.B. das IPv6-Internet. Leider wird auch die Temporäre IPv6-Adresse nicht im internen DNS-Server registriert, sondern lediglich die andere Adresse.

Nun überlege ich gerade wie es anstellen kann Firewall Rules für ein bestimmten Client zu erstellen. DNS löst die temporäre IPv6-Adresse nicht auf so das diese Zuordnung nicht möglich ist. Fest hinterlegen macht keinen Sinn da die Adresse ständig wechselt. Clients statisch konfigurieren ist zu hoher Aufwand. Nun habe ich den Sophos Authentification Agent versucht, dieser scheint aber leider auch nicht die temporäre IPv6-Adresse weiterzugeben.

Bleibt mir noch eine weitere Möglichkeit außer Privacy Extension auf den Clients zu deaktivieren?

MfG Denny


This thread was automatically locked due to age.
  • 0
    Die UTM ist Proxy und damit braucht man die Privacy Extension nicht aber:
    Es funktioniert in meiner Testumgebung einwandfrei
    Ist DNS konfiguriert:
    Konfiguration DNS IPv4/6 in der Sophos UTM mit Request Routing + arpa

    Viele Grüsse
  • 0
    Das habe ich alles sowohl auf den DCs als auch auf der UTM konfiguriert. Und über den transparenten HTTP/s Proxy funktioniert auch alles ohne Probleme mit IPv6 und Privacy Extension. Mir geht es eher um nicht HTTP/s Dienste. Wie legt man dafür Firewall Rules an ohne auf Privacy Extension verzichten zu müssen?

    Ich hatte gehofft das Sophos Authentification Agent einfach alle IP-Adressen des Client ausliest und diese mit dem User-Object auf der UTM verknüpft, dann hätte man das Problem auch nicht.

    Ich frage mich auch warum Windows nicht eine einzige "dynamische" IPv6-Adresse anlegt und diese im internen DNS registriert.

    Privacy Extension lässt sich leider auf Clients nicht "einfach" über GPO deaktivieren.
  • 0
    Soll die Regel für den Host (PC) gelten oder für den angemeldeten AD User?
    Host geht nicht, da die private IPv6 Adresse nicht erkannt wird, der SAA übergibt den User, nicht den Host, das sollte immer gehen,
  • 0
    Nutzer würde voll und ganz reichen. Leider funktioniert es aber bei mir nicht mit IPv6 (und Privacy Extension). Mit IPv4 funktioniert es auch mit dem SAA.
  • 0
    Gerade getestet, bei meiner UTM ziehen die Regeln f+r einen User mit SAA auch bei Zugriff mit der Temp IPv6. Die Temp IPv6 kann nicht per DNS von der UTM aufgelöst werden, also kommt der Auth über den SAA.
    Welche Firmware hast Du laufen, es gab mal bei 9.xx einen Bug mit der User Auth
  • 0
    Firmware Version: 9.201-25 also aktuellste Version. Ich habe immer mit DNS Anfragen vom IPv6 Client zum Google DNS-Server gestestet (nslookup Google 2001:4860:4860::8888) und eine Regel erstellt "Nutzername (User Network)" -> DNS -> Any (IPv4/IPv6). Mit SAA lässt er IPv4-DNS Anfragen an Google durch und blockt IPv6 DNS-Anfragen.
  • 0
    Gleicher Test bei mir: 
    Geht einwandfrei, die Regal #1 aus (rot) dann an (grün), temp IPv6 meines PCs ist 2001:470:734a:2040:411a:842a:4ad8:3bf9 

    Wird bei IPv4 bei Dir auch korrekt geblocked und dann mit entsprechender Regel durchgelassen? Wie sieht die Regel aus?
  • 0
    Habe es gerade nochmal getestet. Es werden sowohl IPv4 also auch IPv6 DNS Anfragen vom Client ins Internet blockiert wenn die Regel aus ist (wie bei dir auch). Und es wird bei aktivierter Regel lediglich IPv4 DNS-Anfragen zugelassen (grün) und IPv6 blockiert (rot).
  • 0
    Was passiert wenn Du die Privacy Extensions  deaktivierst, geht dann alles mit IPv6 wie gewünscht?
    netsh interface ipv6 set privacy state=disabled
  • 0
    Mit vollständiger Deaktivierung der Privacy Extension funktioniert es, da er dann ja nur eine statische IPv6-Adresse bekommt und diese auch im DNS registriert welches die UTM abfragen kann.

    netsh interface ipv6 set privacy state=disabled store=active
    netsh interface ipv6 set privacy state=disabled store=persistent
    netsh interface ipv6 set global randomizeidentifiers=disabled store=active
    netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent

    Hat schon jemand versucht das auf mehreren Clients automatisiert zu deaktivieren? Eine GPO konnte ich dazu leider nicht finden.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?