Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.
Ich bin gerade am Einrichten eines XGS 2100 Clusters.
Dabei fällt mir auf dass das Regelwerk für ipv4 und ipv6 komplett getrennt angelegt werden muss?
Ist das wirklich so? Das wäre ja eine Katastrope. Warum kann man die Regeln nicht gemeinsam pflegen? Bei der SG war das doch sicher so.
Also z.B. eine Regel Internet -> DMZ Host, Port 80, egal ob über ipv4 oder ipv6 Adresse
Wer pflegt da freiwillig ipv6?
Hi Rene,
ja, das ist leider wirklich so, dass IP4 und IP6 getrennt gepflegt werden. Und wer IP6 möchte, wird/muss das halt so pflegen.
Das GUI der SG wurde von der Community entwickelt (via Punkte-System). Klar, dass dieses mit der Zeit "komfortabel" wurde.
Das Produktmanagement der XG war wahrscheinlich noch nie als Admin tätig und hat außerdem das Punkte-System abgeschafft.
Also wenig Möglichkeiten für die breite Masse Ideen einzubringen oder für Ideen zu voten.
Spricht man heute über "Wünsche" hört man oft ein "wer braucht denn so etwas" oder "habe bei meinen Kunden keinen usecase gefunden".
Dirk
Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Hi Rene,
ja, das ist leider wirklich so, dass IP4 und IP6 getrennt gepflegt werden. Und wer IP6 möchte, wird/muss das halt so pflegen.
Das GUI der SG wurde von der Community entwickelt (via Punkte-System). Klar, dass dieses mit der Zeit "komfortabel" wurde.
Das Produktmanagement der XG war wahrscheinlich noch nie als Admin tätig und hat außerdem das Punkte-System abgeschafft.
Also wenig Möglichkeiten für die breite Masse Ideen einzubringen oder für Ideen zu voten.
Spricht man heute über "Wünsche" hört man oft ein "wer braucht denn so etwas" oder "habe bei meinen Kunden keinen usecase gefunden".
Dirk
Systema Gesellschaft für angewandte Datentechnik mbH // Sophos Platinum Partner
Sophos Solution Partner since 2003
If a post solves your question, click the 'Verify Answer' link at this post.
Oder man muss lang und breit erklären, wofür das Gewünschte denn gut sein soll. Da hat aber leider kein Profi die Zeit dazu. So wird das nix.
Mit freundlichem Gruß, best regards from Germany,
Philipp Rusch
New Vision GmbH, Germany
Sophos Silver-Partner
If a post solves your question please use the 'Verify Answer' button.
Ich möchte das direkt aufgreifen:
IPv6 Regeln sind auf nahezu keinen Firewalls, die ich so kenne, in Verwendung. IPv6 im internen Netzwerk ist ziemlich selten im Einsatz. IPv6 für WAN ist sehr selten als Filter genutzt - Es wird nahezu immer IPv4 genutzt.
Welche Use Cases wären denn Interessant für IPv6 Regeln?
__________________________________________________________________________________________________________________
Ich betreibe etwa 40 Webserver hinter der SG / XG.
Bisher habe ich das Thema IPv6 vernachlässigt.
Der Usecase wäre:
Ich möchte meine Webserver mit zusätzlichen IPv6 Adressen ausstatten.
Ein Grund dafür könnte in der Zukunft sein wenn eine großer Player wie Google z.B. seine Macht ausnutzt und dem IPv6 Thema damit einen Schub geben möchte wenn sie erklären dass Seiten mit IPv6 Servern besser ranken als Seiten mit IPv4 Servern. So etwas ähnliches gab es meine ich auch schon mit SSL, seit es dann noch Let's Encrypt gab machen plötzlich alls SSL.
Im Grunde macht es aber naürlich auch technologisch Sinn wenn mittlerweile die meisten Smartphones (70 % unserer Zugriffe) nativ mit IPv6 versorgt werden dass das dann nicht unbeding alles durch Carrier Grade NAT Services der Mobilfunkprovider muss sondern direkt auf unsere Webhosts fließen kann.
Bei der SG war es eine Selbstverständlichkeit dass man einem Host eine v4 und eine v6 Adresse zuordnen konnte.
So war es möglich eine Regel, mit einem Zielhost zu definieren und fertig. Egal ob dann im Detail eine v4 und / oder eine v6 Adresse zugeordnet war. Das ist die einzig vernünftige Lösung. Wie man auf die Idee kommen konnte das aufzuteilen verstehe ich nicht.
In meinem Usecase kann ich das vermutlich umschiffen indem ich eben möglichst viele Webhosts in eine Gruppe packe und für die dann eine Regel mache die den eingehenden Verkehr erlaubt. Dennoch muss ich alle Hosts doppelt anlegen mit zweierlei Namen "dmz_host1" und "dmz_host1 (v6)".
Solange sich jedoch nichts ändert, wird auch weiterhin IPv6 "in den Startlöchern" bleiben.
Das Feedback, was ich von den meisten Kunden erhalte ist, ist das Feedback deines zweiten Satzes (das gilt für beide Produkte).
Wenn das Thema mehr Fahrt aufnimmt, könnte man es adressieren, jedoch aktuell ist es viel "nice to have" und weniger ein Thema bei Kunden.
Auch der Mobile Use Case ist etwas fiktiv: Du wirst wohl keine "Block Rules aufbauen" für IPv6 Rules - oder? Du erlaubst für Webzugriffe wohl eher "ANY" in DMZ - korrekt?
LAN to WAN und das doppelpflegen von Host Objekten kann durch aus ein Thema sein, jedoch wird das sehr selten gemacht. Die meisten Webstores bieten weiterhin IPv4 an - IPv6 als "Adresse für WAN" ist weiterhin ein unergründetes Thema. Das hat jedoch auch mit Sophos nicht viel zu tun - Du wirst aufgrund von weniger Erfahrung im IT Umfeld, mehr Antworten wie "Warum sollte ich das machen?" usw. keinen wirklichen Aufschwung sehen.
Lediglich die Provider werden im WAN damit arbeiten - aber solang es Dual Stack gibt, wird auch da meiner Meinung nach nichts passieren.
Wenn es fahrt aufnimmt - werden auch die Hersteller eher mitziehen. Auf der UTM konnte ich 15 Jahre beobachten, wie es kaum benutzt wurde (außer WAN via DHCP-PD).
__________________________________________________________________________________________________________________
Auch der Mobile Use Case ist etwas fiktiv: Du wirst wohl keine "Block Rules aufbauen" für IPv6 Rules - oder? Du erlaubst für Webzugriffe wohl eher "ANY" in DMZ - korrekt?
Ich verwende keine "ANY" zu DMZ.
Ich nehme jeden Host der von aussen erreichbar soll in eine Gruppe für HTTP / HTTTPs und die Regel greift dann auf die Gruppe
Ich spreche von WAN - Wenn du einen Webserver hast - Machst du WAN to Webserver oder machst du Host1,Host2, to Webserver?
__________________________________________________________________________________________________________________
Ja das ist korrekt - Wäre dann ein doppeltes Regel Set. Ich bestreite auch nicht, dass es sinnvoll wäre, es in einer Regel zu machen, nur sehe ich diese Art der Anfrage wenn überhaupt nur einmal im Quartal. Um auf das Voting System von oben zurück zu kommen, würde dieses Feature nur wenige Punkte erhalten.
__________________________________________________________________________________________________________________
