2 Firewalls hinter einem VDSL Modem, eine für IPv4 und eine für IPv6 ?

[handwerker]

Hi !
Thema: Telekom VDSL2 PPPoE IPv4 und IPv6

Nachdem ich mich gestern wieder geärgert habe, das eine Firewall von Cisco immer noch kein PPPoE über IPv6 kann,
https://networkengineering.stackexchange.com/questions/630/asa5505-and-ipv6-over-a-pppoe-link (Eine neuere Cisco 550x-X kann es auch nicht)
habe ich mir gedacht es müsste doch möglich sein, dass 2 Firewalls nebeneinander ein VDSL Modem gemeinsam nutzen.
Eine Firewall baut die PPPoE Verbindung über IPv4 zur Telekom auf und die zweite Firewall baut die PPPoE über IPv6 auf.

Hat so ein Konstrukt schon jemand ausprobiert ?

 

[midnight]

Mir ist die Frage nicht ganz klar. Eine Firewall baut ja keine Verbindungen auf. Die laesst Pakete durch oder blockt sie. Wenn es darum geht, IPv4-Pakete anders zu routen als IPv6-Pakete, dann brauchst Du auch keine zwei Firewalls. Das kannst Du mit entsprechenden Regeln problemlos mit einer einzigen Firewall machen.

 

[handwerker]

Sorry, vielleicht habe ich das zu kurz dargestellt.

Gegeben ist ein Telekom VDSL2 Business Anschluss mit Dualstack.
Als VDSL2 Modem nutze ich eine Fritzbox 7590. Wichtig: Nur die VDSL2 Modem Funktion der Fritzbox, kein Routing usw.
Man könnte da auch ein anderes "nur VDSL2 Modem" nutzen.

Hinter dem Modem hängt eine Cisco ASA550x-X Firewall.
Die baut über Ethernet die PPPoE Verbindung zur Telekom auf mit den Telekom Anmeldedaten AnschlußkennungZugangsnummer@t-online.de + Passwort

Damit auch IPv6 funktioniert muss auch eine zweite PPPoE Verbindung über IPv6 zur Telekom mit den gleichen Anmeldedaten aufgebaut werden.

Die Cisco kann IPv6, aber kein IPV6 over PPP / IPV6CP / RFC 5072.

Sprich die Cisco erhält nur eine IPv4 Public IP von der Telekom.

Jetzt ist meine Idee: Ich stelle neben die Cisco eine zweite Firewall, die eine IPV6 over PPP / IPV6CP / RFC 5072 Verbindung zur Telekom aufbaut
und dadurch den IPv6 Teil des VDSL Anschlusses nutzt.

Sprich Dualstack aufgeteilt auf zwei getrennte Geräte hinter einem gemeinsamen VDSL2 Modem.
Eine Firewall spricht nur IPv4 und die andere nur IPv6 ...

 

[morromett]

Jetzt ist meine Idee: Ich stelle neben die Cisco eine zweite Firewall, die eine IPV6 over PPP / IPV6CP / RFC 5072 Verbindung zur Telekom aufbaut
und dadurch den IPv6 Teil des VDSL Anschlusses nutzt.

Kannst Du nicht mit der FB7590 den IPv6-Teil benutzen? Denn die FB7590 hat ja schon eine v6-Firewall und anders als bei IPv4, bekommst jedes Gerät das per IPv6 mit der FritzBox verbunden ist, seine eigene öffentliche/externe IPv6-Adresse (und ist somit border device bzw. direkt im Internet). Wenn diese Geräte dann aus dem Internet per IPv6 erreichbar sein sollen, musst Du in der v6-Firewall der FritzBox, lediglich eine Portfreigabe (... keine Portweiterleitung, weil ja kein NAT gemacht wird) konfigurieren.

 

[Andy_m4]

Ich würde den Cisco-Kram direkt entsorgen. Schon allein deshalb, weil da ja gefühlt im Wochentakt irgendwelche Backdo ... ähm Sicherheitslücken bekannt werden. Zwischenzeitlich dachte ich sogar schon CVE steht für Cisco Vulnerabilities and Exposures. ;-)

 

[CommanderZed]

Da wäre die Kernfrage ob sowohl das pppoe protokoll als auch die implemtierung der Technik bei der Telekom es zulässt das man ipv6 und ipv4 von zwei komplett separaten geräten aufbaut, also wirklich "zwei separate Verbindungen".

Für die Telekom sieht das ja uu so auß als würdest du dich 2x mit den gleichen pppoe Benutzerdaten einwählen.

Gefühlt würde ich sagen "nein", ich denke das ist ein so großer Sonderfall das du ums probieren nicht herumkommen wirst.

Alternativ denke ich ist die Idee sonst von @morromett nicht schlecht, also sowohl ipv4/v6 "anderweitig enden zu lassen (Es muss ja nicht die FritzBox sein) und dann ipv4 wenns unbedingt nötig ist irgendwie weiterreichen an den Cisco. (Ich würde aber ehrlich gesagt weder die erste Lösung noch die Zweite nicht mal für mich Privat so lösen, geschweige denn irgendwie beruflich, das wäre mir persönlich zu viel "Gebastel")

 

[handwerker]

Ich glaube ich habe meinen Denkfehler gefunden: RFC4241 oder auch

https://avm.de/fileadmin/user_upload/Global/Service/Schnittstellen/IPv6_Technical_Note_de.pdf

IPv4 und IPv6 werden normalerweise über eine gemeinsame PPP Verbindung ausgehandelt.

D.h. nur wenn der Provider eine mehrfache PPP Einwahl zulässt, könnte man zwei PPP Einwahlen verwenden.
Eine für IPv4 only und die zweite für IPv6 only.

 

[mr44er]

Zed's Aussage unterstreiche ich, eine Doppeleinwahl (die es dann ist) geht schief.

Was du brauchst, ist das ipv6 über ipv4(pppoe) konfigurieren. Siehe Screenshot, das ist OPNSense.

Wenn deine HW das nicht kann, wäre ein Wechsel angebracht.

 

[pooltechniker]

Ich glaube ich habe meinen Denkfehler gefunden: RFC4241 oder auch

https://avm.de/fileadmin/user_upload/Global/Service/Schnittstellen/IPv6_Technical_Note_de.pdf

IPv4 und IPv6 werden normalerweise über eine gemeinsame PPP Verbindung ausgehandelt.

D.h. nur wenn der Provider eine mehrfache PPP Einwahl zulässt, könnte man zwei PPP Einwahlen verwenden.
Eine für IPv4 only und die zweite für IPv6 only.

Genau... bei mir (nicht Telekom, aber ebenfalls PPPOE-Einwahl mittels Edgerouter, IPv6 kommt bei mir mittels DHCPv6PD) sieht das (vereinfacht) so aus:

ethernet eth0 { description "WAN interface" duplex auto speed auto vif 2 { description "VLAN 2 / FTTH" pppoe 0 { default-route auto dhcpv6-pd { no-dns pd 0 { interface eth1 { host-address ::1 no-dns service slaac } prefix-length 64 } rapid-commit enable } } ipv6 { address { autoconf } dup-addr-detect-transmits 1 enable { } } mtu 1492 name-server none password **************** user-id **************** } } }

Interessant, dass Cisco das nicht kann... ein < € 100,- Ubiquiti Edgerouter macht das ohne Probleme!

 

[kaputtnik]

Der wird ja auch noch weiterentwickelt. Die ASA-Reihe war ja schon seit Ewigkeiten auf dem absteigenden Ast und ist nun auch komplett abgekündigt.