Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 26 subscribers
  • Views 2839 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPv6 Privacy Extensions und Firewall Rules

DennyFischer
Guten Abend,

ich spiele gerade ein wenig mit IPv6 herum. Habe auf der UTM einen SIXXS Tunnel mit Präfix 64 eingerichtet und Prefix Advertisement konfiguriert sowie externe IPv6-DNS Server hinterlegt. Meine internen Clients bekommen eine IPv4 Adresse vom internen DHCP-Server und eine Global Unicast IPv6-Adresse von der UTM (inkl. IPv6 Gateway und internen IPv6-DNS Server).

Auf den Windows 7/8/8.1 Geräten ist standardmäßig Privacy Extensions aktiviert und die Clients bekommen stehts 2 Global Unicast IPv6-Adressen zugewiesen (IPv6-Adresse und Temporäre IPv6-Adresse). Die Temporäre IPv6-Adresse wechselt ja in regelmäßigen Abständen und wird im Windows benutzt für Zugriffe auf Ressourcen z.B. das IPv6-Internet. Leider wird auch die Temporäre IPv6-Adresse nicht im internen DNS-Server registriert, sondern lediglich die andere Adresse.

Nun überlege ich gerade wie es anstellen kann Firewall Rules für ein bestimmten Client zu erstellen. DNS löst die temporäre IPv6-Adresse nicht auf so das diese Zuordnung nicht möglich ist. Fest hinterlegen macht keinen Sinn da die Adresse ständig wechselt. Clients statisch konfigurieren ist zu hoher Aufwand. Nun habe ich den Sophos Authentification Agent versucht, dieser scheint aber leider auch nicht die temporäre IPv6-Adresse weiterzugeben.

Bleibt mir noch eine weitere Möglichkeit außer Privacy Extension auf den Clients zu deaktivieren?

MfG Denny


This thread was automatically locked due to age.
Parents
  • 0
    Das habe ich alles sowohl auf den DCs als auch auf der UTM konfiguriert. Und über den transparenten HTTP/s Proxy funktioniert auch alles ohne Probleme mit IPv6 und Privacy Extension. Mir geht es eher um nicht HTTP/s Dienste. Wie legt man dafür Firewall Rules an ohne auf Privacy Extension verzichten zu müssen?

    Ich hatte gehofft das Sophos Authentification Agent einfach alle IP-Adressen des Client ausliest und diese mit dem User-Object auf der UTM verknüpft, dann hätte man das Problem auch nicht.

    Ich frage mich auch warum Windows nicht eine einzige "dynamische" IPv6-Adresse anlegt und diese im internen DNS registriert.

    Privacy Extension lässt sich leider auf Clients nicht "einfach" über GPO deaktivieren.
Reply
  • 0
    Das habe ich alles sowohl auf den DCs als auch auf der UTM konfiguriert. Und über den transparenten HTTP/s Proxy funktioniert auch alles ohne Probleme mit IPv6 und Privacy Extension. Mir geht es eher um nicht HTTP/s Dienste. Wie legt man dafür Firewall Rules an ohne auf Privacy Extension verzichten zu müssen?

    Ich hatte gehofft das Sophos Authentification Agent einfach alle IP-Adressen des Client ausliest und diese mit dem User-Object auf der UTM verknüpft, dann hätte man das Problem auch nicht.

    Ich frage mich auch warum Windows nicht eine einzige "dynamische" IPv6-Adresse anlegt und diese im internen DNS registriert.

    Privacy Extension lässt sich leider auf Clients nicht "einfach" über GPO deaktivieren.
Children
No Data