IPv6 Gerät blockieren ohne Firewall?

[daves11]

Wie blockiert man den IPv6 Zugriff eines Geräts aufs Internet wenn es die Firewall nicht kann?
Leider haben Consumer Router wie die von Ausus bei IPv6 nur eine Firewall wo man eigehende IPv6 Verbindungen frei geben kann. Ausgehend ist da bei IPv6 leider immer alles offen und nichts konfigurierbar?! (Siehe z..B. Asus Router Demo den Menüpunkt: Firewall : General)

Ich habe jetzt bei jemand gelesen, dass z.B. chinesiche IP Kameras gerne mal ungefragt IPv6 Tunnel aufbauen.
Wie verhindere ich das nun, denn auch wir haben immer mehr Kameras?
Ich musste dabei an folgende IPv4 Aussage im Forum denken:
"Wenn alle Stricke reißen, kann man unabhängig vom Router dem Gerät in den Netzwerkeinstellungen auch einfach das Standardgateway wegnehmen oder ggfs auf eine "falsche" IP setzen - zB 0.0.0.0 - wenn das Gerät ein leeres Gateway nicht akzeptiert. Ein Gerät ohne Standardgateway hat auch keine Möglichkeit, ins Internet zu kommen. Spezielle Fähigkeiten der Firewall bzw. der GUI sind in diesem Fall nicht notwendig, weil das Gerät gar nicht erst beim Router ankommt."

Wie könnte man das nun auf IPv6 und z.B. SLAAC übertragen?
Gibt es da üblicherweise auch bei IPv6 Einstellungen einen "Gateway" geben den man absichtlich verstellen kann? Oder wartet die Kamera sobald sie eine link-lokalen IPv6-Adresse hat einfach bis der nächste Router den IPv6 Präfix raus posaunt und ist unaufhaltsam im Internet?

 

[Wasserhuhn]

Ich würde tatsächlich vor dem Endgerät ansetzen und erstmal wissen, wie der Aufbau ist und was für Geräte verwendet werden.

 

[madmax2010]

kannst in deinem internen netz ipv6 aus schalten / zummindest dhcp ausschalten.
mit SLAAC bekommst du nur ein lokales prefix

 

[daves11]

Es geht hier um theoretische Überlegungen, ob man z.B. beim Ausbau mit weiteren Kameras, IoT Geräten den neueren Ausus WLAN Router schmeißen muss, und bei nem anderen Gebäude jetzt erst gar keinen Ausus kauft, weil er IPv6 nicht ausgehend blocken kann.

Und das letzte Posting verstehe ich nicht? DHCPv6 und SLAAC sind doch alternative Techniken und man soll das moderne SLAAC benutzen. Und auch bei SLAAC kommt der Host laut elektronik-kompendium.de auch an den Präfix ran.

 

[chrigu]

Stell im Router die ipv6 Konnektivität ab und hoffe das kein ds-lite/cgn so das Internet komplett abstellt. aprospos China und Misstrauen… es sind 99% aller Chips und leiterbahnen Made in China, also müsstest du auch den Router vom Netz ziehen, damit xiping nicht „tunnelt“!
Ansonsten den einfachsten Weg: alles was du misstraust eine alufolie, ähm räusper, ins Gastnetzwerk stellen und den Zugang nach aussen sperren (kein Gateway eingeben oder Sperre einrichten!

 

[daves11]

Äh IPv6 im Router ganz abschalten, das ist doch das wofür einen die IPv6 Fanatiker hier sonst eher verdammen. Und IPv6 nie und nirgends im LAN nutzen ist wohl auch keine dauerhafte Option. Alle Internetanschlüsse bei uns haben richtiges Dual Stack, ohne Lite.
Ich will nur wissen wie ich einem einzelnen Gerät im LAN den IPv6 Zugriff unterbinde?

 

[Tornhoof]

Eine Firewall kaufen die IPv6 kann

 

[0x7c9aa894]

Idealerweise würde ich alle IP Cams in ein eigenes VLAN packen.
Mit einem richtigen Router und enstsprechenden Switches ist das alles kein Problem.

 

[daves11]

Es geht hierbei um kleine zu Hause LANs, wo statt bestehendem Mesh neue VLAN APs und extra Firewall kaufen, ein Overkill wäre!
Einfach nur eine kleine Firewall davor hängen geht auch nicht, weil man dann entweder Doppel-NAT hätte; oder wenn man den Mesh WLAN Router im AP- statt Router-Modus betreibt, das Gastnetzwerk und andere Features nicht mehr funktionieren.

 

[0x7c9aa894]

Es geht hierbei um kleine zu Hause LANs, wo statt bestehendem Mesh neue VLAN APs und extra Firewall kaufen, ein Overkill wäre!

Ich verstehe was Du meinst, ich glaube aber es wäre kein Overkill.

Du kannst Dir z.B. für ca 35€ einen Mikrotik hexLite holen, und alle IP Cams daran anschließen, und den Uplink an Deinen Asus Router anschließen.

 

[Wasserhuhn]

Wie vermutet liegt das Problem vor dem Rechner.
Bitte mal durchklicken in der Bedienoberfläche.

 

[daves11]

Bitte mal durchklicken in der Bedienoberfläche.

Was meinst du, siehst du irgendwas Nützliches zu IPv6 ausgehend in der Asus Router Demo?

 

[chrigu]

Stell das Zeugs einfach ins Gastnetzwerk. Fast jeder Router hat dies über wlan und lan. Meistens als lan4 konfigurierbar. Danach Zugriff nach aussen verbieten. Gibt bestimmt für deine Asus Kiste ein YouTube filmchen

 

[M-X]

Die vernünftige Lösung wäre wohl einen Router oder Firewall zu kaufen die IPv6 vernünftig implementiert und eben auch ausgehende Verbindungen blocken kann. Alles andere ist nur Bastelei.

Fast jeder Router hat dies über wlan und lan. Meistens als lan4 konfigurierbar.

Mit "meistens" meinst du wohl alle Fritzboxen. Bei anderen Routern ist mir das noch nicht so vorgekommen.

 

[daves11]

Nach Gastnetzwerk habe ich nicht gefragt sondern wie ich den unerwünschten IPv6 Verkehr eines Gerätes komplett blockiere?
Außerdem werden manche Kameras, IoT auch im an verschieden Stellen im LAN statt WLAN hängen, da nützt mir ein WLAN-Gastnetzwerk mit blockiertem Inernetzugriff wenig.

 

[bender_]

Ausgehend ist da bei IPv6 leider immer alles offen und nichts konfigurierbar?!

Das ergibt ja auch Sinn. Willst Du, dass ein Gerät mit der Außenwelt kommuniziert, sollte es mit der Außenwelt kommunizieren können.

Willst Du das nicht, sperrst Du es ein (Subnetz/VLAN ohne Route ins INET), schneidest ihm die Zunge ab (DHCP Client aus, Gateway und DNS leer lassen) oder gaukelst ihm vor, es würde gehört (Proxy, PBR).
Es ist schlichtweg nicht die Aufgabe einer Firewall ausgehende Verbindungen zu blockieren.
Eine Fritze kann das auch nicht: https://avm.de/service/wissensdaten...0/845_IPv6-Freigaben-in-FRITZ-Box-einrichten/

Willst Du einem Gerät den Zugang zur Außenwelt nach Regeln beschränken, macht man das über Policy Based Routing. Eine einfache Ausprägung davon ist zum Beispiel eine Kindersicherung. Basis dafür ist bei ASUS die MAC und nicht die IP Adresse. Zu finden unter AI Protection oder eben Kindersicherung.
https://rt-ac68u-router.asustreiber.de/ParentalControl.asp
https://demoui.asus.com/DE/AiProtection_HomeSecurity.asp

 

[M-X]

Es ist schlichtweg nicht die Aufgabe einer Firewall ausgehende Verbindungen zu blockieren.

Ne Fritzbox ist jetzt irgendwie nicht das maß aller Dinge was Firewall angeht. Zumindest im professionellen Bereicht ist es durchaus üblich eine Firewall auch zum blocken von egress Traffic zu nutzen, warum auch nicht ?

 

[bender_]

Ne Fritzbox ist jetzt irgendwie nicht das maß aller Dinge was Firewall angeht.

Das habe ich auch nicht behauptet. Hier gehts aber um Consumerzeugs. Da finde ich einen Vergleich mit dem Platzhirsch der ja bekanntlich immer alles kann angebracht.
Um in den professionellen Breich zu wechseln, selbst Lancom trennt das Thema: https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/ipv6_firewall_function.html
Reden wir von standalone Firewalls geb ich dir natürlich recht. Ich denke nur, dass ist nicht das was der TE sucht. In Multifunktionsgeräten werden ausgehende Verbindungen halt eher woanders gesteuert.

 

[Bob.Dig]

Leider haben Consumer Router wie die von Ausus bei IPv6 nur eine Firewall wo man eigehende IPv6 Verbindungen frei geben kann. Ausgehend ist da bei IPv6 leider immer alles offen und nichts konfigurierbar?!

Ist das nicht der Standard bei allen Consumer-Routern, egal ob IPv4 oder IPv6?

Du kannst über Ai Protection - Time Sheduling einzelnen Rechnern das Internet sperren.
Oops, wurde ja schon quasi geschrieben.

 

[daves11]

Das...

Bei der Erwähnung von AiProtection und Kindersicherung von Asus musste ich jetzt aber schwer schlucken.
AiProtection ist doch das Datenschutz-bedrohliche "Sicherheitsfeature" bei dem dann alle besuchten URLs an Virenschutz Firma Trend Micro weiter gleitet werden. Auch "verdächtige Datenpakete" können wohl vom Router an Trend Micro gesendet werden.

Die Kindersicherung-Zeitplanung zum MAC sperren ist ja mittlerweile leider unter Menüpunkt AiProtection zu finden.
Ich hoffe mal diese Funktion kann man auch alleine nutzen ohne das ganze AiProtection mit zu aktivieren? !

Fritz!Box haben wir auch, an die habe ich im Vergleich zu Asus selber auch schon gedacht.
Ist bei Fritz!Box eigentlich garantiert, dass in der Kindersicherung bei Profil mit Internetsperre nicht nur IPv4 sondern auch IPv6 Verkehr blockiert wird?

Du kannst über Ai Protection - Time Sheduling einzelnen Rechnern das Internet sperren.