USG unifi security gateway ipv6 fähig machen

[Gatzi]

Hallo zusammen,

hier eine kleine Anleitung, wie ihr euren USG mit ipv6 betreiben könnt:

Meine Voraussetzungen

- unifi Controller läuft dauerhaft auf einem Raspberry Pi 3
- Internetanschluss der Deutschen Glasfaser mit ipv6

Und so hat es bei mir funktioniert...

Ihr ruft die Benutzeroberfläche des Controllers auf, geht links auf Netzwerke, dort wählt ihr unter IPV6 Verbindungstyp -> DHCPv6verwenden & -> Präfix-Delegierungsgröße aus, in meinem Fall die 56. Anschließend speichern. Soweit die Einstellungen am USG.

Spoiler: Benutzeroberfläche USG

Du musst Regestriert sein, um das angehängte Bild zusehen.

Als nächsten Schritt legen wir eine neue Textdatei an (habe ich auf einem Windows Rechner gemacht) und fügen folgenden Inhalt in die Textdatei ein:

Spoiler: config.gateway.json

{
        "firewall": {
                "ipv6-name": {
                        "wan_in-6": {
                                "default-action": "drop",
                                "description": "wan_in",
                                "enable-default-log": "''",
                                "rule": {
                                        "1": {
                                                "action": "accept",
                                                "description": "Allow Enabled/Related state",
                                                "state": {
                                                        "established": "enable",
                                                        "related": "enable"
                                                }
                                        },
                                        "2": {
                                                "action": "drop",
                                                "description": "Drop Invalid state",
                                                "log": "enable",
                                                "state": {
                                                        "invalid": "enable"
                                                }
                                        },
                                        "5": {
                                                "action": "accept",
                                                "description": "Allow ICMPv6",
                                                "log": "enable",
                                                "protocol": "icmpv6"
                                        }
                                }
                        },
                        "wan_local-6": {
                                "default-action": "drop",
                                "description": "wan_local",
                                "enable-default-log": "''",
                                "rule": {
                                        "1": {
                                                "action": "accept",
                                                "description": "Allow Enabled/Related state",
                                                "state": {
                                                        "established": "enable",
                                                        "related": "enable"
                                                }
                                        },
                                        "2": {
                                                "action": "drop",
                                                "description": "Drop Invalid state",
                                                "log": "enable",
                                                "state": {
                                                        "invalid": "enable"
                                                }
                                        },
                                        "5": {
                                                "action": "accept",
                                                "description": "Allow ICMPv6",
                                                "log": "enable",
                                                "protocol": "icmpv6"
                                        },
                                        "6": {
                                                "action": "accept",
                                                "description": "DHCPv6",
                                                "destination": {
                                                        "port": "546"
                                                },
                                                "protocol": "udp",
                                                "source": {
                                                        "port": "547"
                                                }
                                        }
                                }
                        }
                }
        },
        "interfaces": {
                "ethernet": {
                        "eth0": {
                                "dhcpv6-pd": {
                                        "pd": {
                                                "0": {
                                                        "interface": {
                                                                "eth1": "''"
                                                        },
                                                        "prefix-length": "64"
                                                }
                                        },
                                        "rapid-commit": "enable"
                                },
                                "firewall": {
                                        "in": {
                                                "ipv6-name": "wan_in-6"
                                        },
                                        "local": {
                                                "ipv6-name": "wan_local-6"
                                        }
                                }
                        },
                        "eth1": {
                                "ipv6": {
                                        "dup-addr-detect-transmits": "1",
                                        "router-advert": {
                                                "cur-hop-limit": "64",
                                                "link-mtu": "0",
                                                "managed-flag": "true",
                                                "max-interval": "600",
                                                "other-config-flag": "false",
                                                "prefix": {
                                                        "::/64": {
                                                                "autonomous-flag": "true",
                                                                "on-link-flag": "true",
                                                                "valid-lifetime": "2592000"
                                                        }
                                                },
                                                "reachable-time": "0",
                                                "retrans-timer": "0",
                                                "send-advert": "true"
                                        }
                                }
                        }
                }
        }
}

Nach dem Speichern der Datei, benennen wir diese wie folgt um: config.gateway.json (hier bitte darauf achten, dass die Dateiendung .json lautet und nicht .txt)

Diese Datei verschieben / kopieren wir jetzt auf den Raspberry in folgendes Verzeichnis: /usr/lib/unifi/sites/default/
Übertragen habe ich die Datei mit dem Programm WinSCP ->SFTP Verbindung ->IP des USG, in der Regel 192.168.1.1 -> Port 22

Jetzt Raspberry (Controller) und USG neu starten und ihr solltet eine ipv6 Adresse erhalten. Überprüfen könnt ihr das auf der Seite wieistmeineip.de

Bei Fragen einfach melden ....
VG Gatzman

 

[hot chili]

Für welche Controller Version ist das?
5.9.29?

 

[Gatzi]

Ja 5.9.29 müsste die aktuelle sein. Im Gegensatz zu den Aussagen in diversen anderen Foren, muss man auch bei der aktuellen Version die Datei einfügen und anpassen.

 

[joopastron]

Es geht auch Ohne die Datei, dazu muss nur die VLAN ID eingetragen werden. Die einfach mal bei DG erfragen. Bei mir war es die 362. Danach ohne Probleme eine IPV6 erhalten.

 

[Gatzi]

Wie lange hat es gedauert bis du eine Antwort von der DG bekommen hast?

Das mit der VLAN ID habe ich leider nirgendwo gelesen und überhaupt scheint keiner mit einem DG Anschluss von aussen auf seinen USG zu zugreifen...

 

[joopastron]

Die VLAN ID habe ich direkt am Telefon bekommen. Einfach sagen bekommst keine ipv6 in der Fritzbox. USG darfst nicht sagen weil können die natürlich nix mit anfangen.

 

[Gatzi]

ich habe gerade aus dem Büro bei der DG angerufen... hatte recht zügig einen Mitarbeiter am Telefon. Für die ID würden Daten vom Router benötigt. Ich soll wieder anrufen, wenn ich zu Hause bin. Welche Daten wollen die wissen?

 

[joopastron]

Das ist Blödsinn, aber so kennt man den Verein dort ja. Die haben leider absolut keinen Plan am Telefon. Einfach noch mal anrufen.

 

[Gatzi]

habe ich mir schon gedacht, rufe heute mittag nochmal an...

Es geht auch Ohne die Datei, dazu muss nur die VLAN ID eingetragen werden. Die einfach mal bei DG erfragen. Bei mir war es die 362. Danach ohne Probleme eine IPV6 erhalten.

hast du auch einen anderen DNS Server eingetragen? Habe die die gleiche VLAN ID bekommen ...:shy-emoji:

 

[joopastron]

Sparsam wie die sind, haben die bestimmt nur eine

Ich nutze die DNS Server von Google. Da hatte ich in der Vergangenheit nie Probleme mit.

 

[Gatzi]

Es gibt bei der DG wohl 2 Vlan Id´s, eine für´s Surfen und die andere für die Telefonie.

Nochmal zu DNS, also nutzt auch bei der Ipv6 Einstellung die DNS von Google?

 

[joopastron]

Ja da habe ich auch die IPV6 DNS von Google drin.

2001:4860:4860::8888
2001:4860:4860::8844

 

[wolkenloser]

Hallo,
ich habe gerade den Threat gefunden.
Ich habe auch einen DS Lite Anschluß bei der DG und ein USG.
Vorweg, mit meiner Fritzbox klappt soweit alles incl Portmapping über IPV6 und komme so auch an mein NAS. Da ich hier alles von UNIFI habe wollte ich das aber gerne mit mit dem USG machen.
Wenn ich das an meine Glasfaser anschließe bekomme ich auch eine IPV6 Adresse bei WIEISTMEINE IP angezeigt. Surfen geht auch, nur die Portfreigabe über die USG IPV6 Firewall funktioniert nicht.
Was mir bei der ganzen Sucherrei aufgefallen war, das ich IPV6 am LAN Interface noch nicht aktiv hatte. Und hier kelmmt das Ganze auch. Ich habe den Eindruck das das USG auch gar kann. Weil das ganze IPV6 Gedöns ist ja noch Beta Status. Jetzt habe ich schon ein paar mal den Hinweis mit der JASON Datei gesehen, kann dem aber nicht so ganz folgen.....
Ich bin mir da auch nicht sicher, ob ich das brauche, weil ich ja auch so eine IPV6 Adresse WAN Seitig bekomme.....

Weiss jemand mehr ?

Gruß
Wolke

 

[Gatzi]

Wenn du eine ipv6 Adresse angezeigt bekommst, brauchst du die Datei nicht. Hast du denn die Portfreigaben eingerichtet? Wenn ja, wie?


Gesendet von iPhone mit Tapatalk

 

[wolkenloser]

Ich habe im USG im Bereich WAN IN IPV6 eine Firewallregel angelegt.
Beim USG muß man dazu ja im TAB Gruppen zwei Einträge machen. Einer Zeigt auf die IPV6 Adresse von meinem NAS, der andere beinhaltet die Ports.
Das kann ich dann bei der Regel unten im Bereich IPV6 angeben.
Wo ich unsicher bin, ist der Teil mit Source und Destination. Das ist nämlich eine Frage der Blickrichtung. Wenn ich aber bei WAN IN bin müsste Source ja mein NAS sein. Nur was muß dann bei Destination rein. Muß ich da auch erste Gruppen anlegen ? Weil die Freigabe soll ja Weltweit funktionieren........

Der TAB sieht ja so ähnlich aus

Du musst Regestriert sein, um das angehängte Bild zusehen.