2) wenn man einen Cisco Router hat, gehts folgendermaßen:
CBAC definition
Code: Alles auswählen
ipv6 inspect name inspectv6 tcp
ipv6 inspect name inspectv6 udp
ipv6 inspect name inspectv6 icmp
ipv6 inspect name inspectv6 ftp
PPPOE Interface:
Code: Alles auswählen
interface Dialer0
ipv6 mtu 1492
ipv6 enable
ipv6 dhcp client pd NODE-PD rapid-commit
ipv6 inspect inspectv6 out
ipv6 traffic-filter native-ipv6-Firewall in
Access-list configuration
Code: Alles auswählen
ipv6 access-list native-ipv6-Firewall
! icmp blocken sollte man bei ipv6 nicht
permit icmp any any
! Um DHCP Antworten durchzulassen
permit udp FE80::/10 eq 547 FE80::/10
LAN Interface
Code: Alles auswählen
interface Vlan1
! die erste eins definiert das Subnetz - man kann ja mehrere nutzen - man bekommt ein /56er Netz (also 00 - FF)
ipv6 address NODE-PD ::1:0:0:0:1/64
ipv6 enable
Danach sollte ein "sh ipv6 dhcp interface" in etwa folgendes ausgeben
Code: Alles auswählen
Dialer0 is in client mode
Prefix State is OPEN
Renew will be sent in 00:01:33
Address State is IDLE
List of known servers:
Reachable via address: FE80::90:1A00:2A0:EE52
DUID: 000200000A4C4552582D313434302F373435414333334558322F02
Preference: 0
Configuration parameters:
IA PD: IA ID 0x00140001, T1 150, T2 240
Prefix: ***Hier kommt der zugeteilte Prefix zu erscheinen***
preferred lifetime 300, valid lifetime 300
expires at Feb 03 2011 08:35 PM (243 seconds)
DNS server: 2001:A60::53:1
DNS server: 2001:A60::53:2
Information refresh time: 0
Prefix name: NODE-PD
Prefix Rapid-Commit: enabled
Address Rapid-Commit: disabled
Und wenn man dann noch die IPv6 auf dem LAN Interface sieht ists geschafft:
Code: Alles auswählen
sh ipv6 int vlan1
Vlan1 is up, line protocol is up
(...)
Global unicast address(es):
2001:A60:10FF:CC00::1, subnet is 2001:A60:10FF:CC00::/64 [CAL/PRE]
valid lifetime 247 preferred lifetime 247
(...)
Eines sollte man noch beachten. Bis zum aktuellsten IOS (in 15.1(2)T2 getestet) gibt es einen Bug im IPv6 CBAC, der tcp Antworten trotz Inspection nicht durch die Firewall lässt. In 15.1(3)T ist er behoben. Wenn man keinen Zugriff auf ein neues IOS hat, hilt
Code: Alles auswählen
permit tcp any any established
in der Access-List.
Viel Spaß!
Schreibt doch mal wie das so mit Fritzbox&Co läuft (out of the box, hoffentlich?)
P.S: mnet - ihr seid die besten
