Kort geleden heb ik mijn OpenVPN configuratie opnieuw ingesteld op mijn Synology NAS. Voor een juiste werking is deze afhankelijk van poort 1194 UDP. Tot mijn verbazing bleek deze echter ook te werken zonder de poort te openen. Bij nader onderzoek bleek de verbinding tot stand te komen over IPv6. Ik heb meerdere testen uitgevoerd en het blijkt alleen op IPv6 verbinding mogelijk, waar IPv4 wel een open poort nodig heeft.
Ik heb dit getest op mijn mobiel internet (ook KPN), waarbij de firewall op ‘laag’ staat ingesteld en zonder enige poort open te hebben staan (zowel IPv4 als IPv6). UPnP staat uit.
Als ik de firewall instel op ‘middel’ blokkeert deze wél de inkomende verbinding, en werkt de VPN niet zonder de poort te openen.
Weet iemand wat hier speelt? Volgens de beschrijving is de firewall alleen voor uitgaand verkeer. Ik weet niet of IPv6 hierin anders functioneert op het gebied van pinholing. Mijn zorg met name is of mijn netwerk nog andere kwetsbaarheden heeft of risico’s loopt op andere poorten? Ik ben gewend dat een en ander altijd een bewuste handeling moet zijn.
ik zit op firmware V12.C.24.05.08.
Alvast hartelijk dank voor de ondersteuning
Bladzijde 1 / 1
100% Bevestigd in V10.C.24.12.10. op Box 10.
De firewall=standaard lijkt een lelijk en onverwacht neveneffect te hebben.
Wat slecht is dit zeg. Dat hadden we moeten weten. Dit had gedocumenteerd moeten zijn.
Ik denk niet dat dit iets is wat gedocumenteerd had moeten zijn, ik denk dat het een serieuze bug is.
Tot iemand het tegendeel beweert ga ik er vanuit dat “standaard” alle uitgaand verkeer openzet en voor IPv6 alle uitgaand plus binnenkomend verkeer, zowel tcp, udp als ICMP. Dat lijkt me dus bepaald niet de bedoeling.
In plaats van “standaard” moet dus voorlopig “aangepast” gebruikt worden, dat lijkt wel te werken.
Voor passive ftp moet dan bij firewall/aangepast ftp opengezet worden plus een blok poorten in het hoge gebied, waarbij “hoog” dan op de server gedefinieerd wordt en niet op te vragen is. Meestal een blok binnen het blok 1024-65535/tcp, wat uiteraard ook gewoon openstaat bij “standaard”.
Als je kiest voor "Aangepast" en dan mode "Alles toelaten". Wat doet dat?
Staat dan IPv6 van buiten naar binnen wel dicht?
Als je kiest voor "Aangepast" en dan mode "Alles toelaten". Wat doet dat?
Staat dan IPv6 van buiten naar binnen wel dicht?
Interessante vraag! Ik heb aangepast op ‘Alles toelaten’ gezet en alle regels verwijderd. Nu blokkeert deze wel de ingaande poort. Dit zou hetzelfde gedrag moeten opleveren als ‘Laag’/standaard maar is dus niet zo. Voor de zekerheid nog even met laatste instelling gecontroleerd en dan is de verbinding weer open. Aangepast lijkt dus veiliger maar zeker weten doen we pas als KPN met een verklaring komt.
Ik heb dit hier met firmware V12.C.24.05.08 na proberen te spelen en ik kom tot de conclusie dat inkomend IPv6 verkeer keurig geblokkeerd wordt.
Ik neem aan dat je vanaf een ander netwerk een verbinding naar jouw Synology NAS opzet en niet vanaf een ander apparaat op jouw thuisnetwerk. Klopt dat?
Ik heb dit hier met firmware V12.C.24.05.08 na proberen te spelen en ik kom tot de conclusie dat inkomend IPv6 verkeer keurig geblokkeerd wordt.
Ik neem aan dat je vanaf een ander netwerk een verbinding naar jouw Synology NAS opzet en niet vanaf een ander apparaat op jouw thuisnetwerk. Klopt dat?
Klopt inderdaad, ik maak via de OpenVPN GUI verbinding vanaf mobiel internet. Bij instelling ‘Laag’ op de firewall staat dan alles open bij mij in tegenstelling tot alle andere opties.
De stand van de firewall heeft niets maar dan ook helemaal niets met inkomende verbindingen te maken, die is alleen op uitgaande verbindingen van invloed. Het maakt niet uit of dat ding op "Standaard'"/"Laag", "Middel" of "Hoog" staat.
Ook ik heb de firewall op "Laag" staan maar van buitenaf zijn apparaten achter mijn V12 niet te benaderen zonder daar pinholing voor in te richten.
De stand van de firewall heeft niets maar dan ook helemaal niets met inkomende verbindingen te maken, die is alleen op uitgaande verbindingen van invloed. Het maakt niet uit of dat ding op "Standaard'"/"Laag", "Middel" of "Hoog" staat.
Ook ik heb de firewall op "Laag" staan maar van buitenaf zijn apparaten achter mijn V12 niet te benaderen zonder daar pinholing voor in te richten.
Zo zou het inderdaad horen, maar het is helaas toch zo. Overigens niet alleen op OpenVPN, ook via de browser kan ik mijn apparaten benaderen over IPv6, geen enkele pinholing of UpNp. Enige verschil is Laag/Standaard of Aangepast (zonder regels op zowel IPv4 en IPv6).
Zojuist ook nog een kennis (ook KPN) dit laten testen, die kan ook door middel van url mijn servers en applicaties bereiken.
Vanaf apparaten op jouw thuisnetwerk is het ook de bedoeling dat je die apparaten op hun IPv6 adres kunt benaderen maar van buitenaf niet.
Wel is het zo dat een IPv6 pinholing actief lijkt te blijven nadat je hem gedeactiveerd hebt of zelfs verwijderd hebt.
Vanaf apparaten op jouw thuisnetwerk is het ook de bedoeling dat je die apparaten op hun IPv6 adres kunt benaderen maar van buitenaf niet.
Wel is het zo dat een IPv6 pinholing actief lijkt te blijven nadat je hem gedeactiveerd hebt of zelfs verwijderd hebt.
Maar dat gebeurt nu toch vanaf buitenaf? Iedereen kan mijn netwerk benaderen over IPv6 als mijn firewall (die daar dus inderdaad niet eens voor is) op laag staat ingesteld. Zie ook mijn aangepaste reactie hierboven. Weet je zeker dat jouw firewall op laag staat en je jouw modem via IPv6 benaderd? Zou je eens via een website kunnen checken of de IPv6 kan worden gedetecteerd?
TomM_ schreef:
Weet je zeker dat jouw firewall op laag staat en je jouw modem via IPv6 benaderd?
Uiteraard weet ik zeker dat mijn firewall op "Laag" ingesteld staat en dat ik dat apparaat via IPv6 van buitenaf benader.
Met IPv6 pinholing:
Zonder IPv6 pinholing:
TomM_ schreef:
Zou je eens via een website kunnen checken of de IPv6 kan worden gedetecteerd?
Natuurlijk wordt er een IPv6 adres gedetecteerd.
Interessant ben benieuwd waarom je het probleem niet kan reproduceren. Ik heb zelf geen andere routers en sowieso getest via kennis (KPN thuisnetwerk) en zelf KPN mobiel. Verder heb ik geen mogelijkheden die over IPv6 beschikken.
Hier mijn instellingen.
Geen toegang buitenaf over IPv6:
Wel toegang buitenaf over IPv6:
Andere instellingen:
Kan je eens een voorbeeld laten zien van het via IPv6 benaderen van jouw Synology NAS vanaf Internet?
Of bijvoorbeeld Home Assistant
Of bijvoorbeeld een andere web app via een subdomein die alleen een AAAA-record heeft
Zou jij jouw V12 eens een herstart willen geven en dan kijken of dit nog steeds gebeurt.
Gedaan, geen verandering. Was het proberen waard in ieder geval
Zelf kan ik het, zoals eerder gezegd, niet reproduceren maar dit zou duiden op een zeer gevaarlijke tekortkoming van de beveiliging van het lokale netwerk van de abonnee en vereist mijns inziens direct aandacht van het modem developmentteam. Dit zou echt niet mogen gebeuren.
Ik vrees dat de combinaties van firewall die alleen voor uitgaand verkeer zou moeten zijn, en IPv6 pinhole goed nagekeken moeten worden.. De suggestie van @Marlon92 om Aangepast/alles doorlaten te gebruiken lijkt met stip de beste workaround.
Tot op heden van KPN nog geen enkele reactie helaas.
Er zijn eerder problemen voorbij gekomen op dit forum gerelateerd aan firewall settings waarbij rare effecten optreden die dan voortkwamen uit scripting die KPN loslaat op de router parameters om de overgang van oude naar nieuwe firmware met behoud van settings mogelijk te maken. Is de desbetreffende router als eens naar factory default geforceerd via het reset gaatje. Als deze dan met die uitgaande firewall instelling op laag alsnog ipv6 inkomend ongehinderd doorlaat dan lijkt er iets niet te kloppen.
Ik ga er vanuit dat die web interface met setting laag alleen een uitgaand verkeers template selecteert voor ipv4 en ipv6 maar inkomend zou alles dan nog nog steeds volledig geblokkeerd moeten staan voor vanuit internet geinitieerd verkeer (ipv4/ipv6).
Mogelijk gebeurt het beschreven effect niet alleen voor ipv6 maar ook voor ipv4 alleen voor ipv4 valt het dan niet op omdat de ipv4 ip address translatie module er nog tussen zit.
@BruisTablet Bedankt voor je reactie. De fabrieksinstellingen reset had ik al geprobeerd zonder effect. Ik heb daarnaast andere apparaten en/of poorten niet eerder open gehad. Interessante invalshoek overigens, dat verklaart wel waarom het probleem zich alleen op IPv6 lijkt voor te doen. Wachten maar op de reactie, officieel geeft KPN aan te reageren binnen 2 werkdagen maar dat is niet gebeurd.
Reageer
De Kennisbank
Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.
Bestand scannen voor virussen
Sorry, we zijn de inhoud van dit bestand nog aan het controleren om er zeker van te zijn dat het veilig is om te downloaden. Probeer het nog een keer over een paar minuten.
