ubuntuusers.de

Hallo,

ich brauche einen Rat bzgl. IPv6 Aufbau. Wir erweitern unser Firmennetzwerk um das IPv6 Protokoll. Da wir ein ::/48 Präfix bekommen, möchte ich das auch komplett ausnutzen. Ich habe es auf ::/64 Netze aufgeteilt und den einzelnen Firewall Netzwerkkarten zugewiesen. Funktioniert bis jetzt auch super alles. Dualstack Netzwerk und Internet läuft

Die Frage die ich mir jetzt stelle ist die ob ich dem OpenVPN Netz einen ULA oder GUA Adressbereich zuweise.

Das Internet sagt so und so. Bei einem ::/48 Präfix mangelt es ja eh nicht an Adressen. Gib es dafür eine Art Best Pratice? VPN immer ULA oder GUA oder liegt das im persöhnlichen Präferenzbereich? Ich würde GUA bevorzugen, wenn nichts dagegen spricht.

Gruß SirNibo

Nimm GUA und verzichte damit auf NAT. Macht alles einfacher.

VPN ist eine Technik zur Erstellung eines privaten (vertraulichen) Netzes, d.h. hier:

• Die Teilnehmer bleiben unter sich. Externe dürfen nicht hinein und Interne dürfen nicht heraus.

Eine sinnvolle Maßnahme hierfür ist Verwendung privater Adressen aus dem Bereich fd00/8 oder eines Teilbereichs daraus.

Der VPN-Zugangsrechner muss freilich eine im Internet öffentliche IP-Adresse haben.

VPN ist eine Technik zur Erstellung eines privaten (vertraulichen) Netzes, d.h. hier:

Kommt auf das Nutzungsszenario an. Es gibt Szenarien, in denen Traffic ins oder aus dem Internet explizit gewünscht sind. Sowas regelt man aber besser über Firewalls, dann ist man nämlich flexibel.

Eine sinnvolle Maßnahme hierfür ist Verwendung privater Adressen aus dem Bereich fd00/8 oder eines Teilbereichs daraus.

Nur dann, wenn das Netz immer nur intern Verbindungen aufbauen soll, nix ins Internet. Sonst hat man wieder NAT, was man nicht haben WILL. GUA stört hier nicht, wenn man die Firewall sinnvoll konfiguriert.

DJKUhpisse schrieb:

[…] Es gibt Szenarien, in denen Traffic ins oder aus dem Internet explizit gewünscht sind.

Es gibt solche Szenarien, aber das sind keine VPN, sondern man missbraucht VPN-Technik zum Aufbau eines Tunnels.

So etwas kann technisch durchaus sinnvoll sein, aber solche Tunnel verdienen nicht die Bezeichnung VPN, auch wenn umtriebige Unternehmen so etwas gerne unter missbräuchlicher Verwendung dieser Bezeichnung vermarkten.

Mein Ansatz wäre jetzt auch GUA und das ganze über die Firewall dicht zu machen. Ich glaube die Argumentation VPN sollte privat bleiben, hängt ein bisschen. So könnte man auch bei jedem anderem internen Netz argumentieren. Grundsätzlich sind alle Netzte hinter der Firewall Privat.

Der Begriff privat in diese Kontext kann auf die verschiedensten Arten gedeutet werden. Von privat = nicht öffentlich, sondern nur für einen bestimmten Nutzerkreis zugänglich, über Privatsphäre (=verschlüsselter Tunnel) zu privaten Adressen.

Die Frage ist wie gesagt, was damit gemacht werden soll.

Grundsätzlich Firmen Zugang. Aber zusätzlich noch einen Zugang auf eine öffentliche Seite. Normalerweise kommt ein login Fenster mit 2FA aber aus dem Firmentzwerk erscheint er nicht. Der loginlose Zugang ist auf unsere öffentliche IPv4 Adresse und öffentlichen IPv6 Präfix beschränkt. Im VPN wird auch eine Route zu dieser Seite gesetzt.

IPv6 Adressen gibt es ja genug. Je nach VPN Technik kannst du auch mehrere Prefixe Verteilen. Was ich bisher gesehen habe war das die GUA verwendet wurden für alles was ins Internet muss, die ULA haben auf die Unternehmensinternen Services gezeigt. Ein Client nimmt ja eh nur v6 wenn er auch ein v6 Ziel hat. Wenn das Unternehmen also keine Services per v6 anbietet, tut der ganze Kram eh erstmal garnichts.

Warum mehrere Prefixe? Weil du so den Provider (dein /48, kann sich mit Providerwechseln ändern) und dein LAN (dein /48 vom ULA) trennst was Adressen angeht.

Das Privat in VPN meint vor allem das es kein public Netz ist, hat man wegen Shady VPN Providern die Anonymität versprechen nur vergessen. Beachtet auch das ein Netz grundsätzlich nichts ist dem man an sich vertraut. Zero Trust hat einen Grund.

NAT sollte man bei IPv6 aus seinem Wortschatz streichen, selbst wenn es mittlerweile (technisch) möglich ist.