Mailcow NAT oder direkt im Internet

pleibling

Hallo zusammen,
ich erreiche schon beim Test mit internet.nl gute 87% - würde aber gerne die 100% schaffen. Deshalb wollte ich gerne meinen Server mit IPv6 anbinden - leider ist das aber mit meinem Anbieter nicht so einfach. Derzeit setze ich meine Mailcow hinter einer OPNsense mit IPv4 und NAT.

Jetzt habe ich ein /56 Subnetz bekommen und versuche alles einzurichten - nun bekomme ich den Hinweis vom RZ Anbieter, das es einfach bei den anders einzurichten ist. Als ich nachgefragt habe wie die das machen oder andere Kunden, sagten die einfach nur das die die Server direkt im Internet stehen haben.

Deswegen würde ich gerne mal wissen, wie ihr das macht? Nutzt ihr auch IPv6 oder nur IPv4? Betreibt ihr die direkt im Internet oder nur mit NAT? Sichert ihr diese auch noch zusätzlich mit CrowdSec ab oder so?

Danke für eure Unterstützung 🙂.

KaiserN

Du kannst deiner opn das /56 am WAN geben, dein LAN bzw. vlan lässt du dann das WAN tracken für die ipv6 bzw. ab hier dann weiter mit /64.

pleibling

@KaiserN : Klingt interessant - zur Konfig: Server steht in einem RZ, IPv4 ist alles fein. Habe ein /64 IPv6 Netz und darauf ein /56 geroutet bekommen - dieses habe ich wieder subnetiert in einzelne /64 Netze und eins dann an “LAN” angelegt, in dem auch die Mailcow steht. Wenn das so funktionieren würde, dann wäre mir das am allerliebsten - mein Anbieter meinte nur lapidar, das die die Server direkt im Internet stehen haben, da es sonst “sehr schwierig” wäre.

Würde die von dir oben angesprochene Lösung funktionieren?

Danke dir für deine Unterstützung 🙂.

KaiserN

Du machst aus deinem /56 mehrere /64 oder halt nur eins, wenn du nur eins brauchst. Gängige Praxis.

Deine ISP hat da nicht ganz unrecht, IPv6 sollte man nativ betreiben. Klassisches NAT gibt es hier nicht. Was nicht heißt das man es machen könnte, ich halte davon nichts bzw. es macht wie du bzw. deine ISP sagt mehr Probleme als Sinn (z.B. NDP). Lokale Firewall (firewalld/iptables) klärt 😉

pleibling

@KaiserN: Ich wollte auch nicht NAT machen, sondern eben Routen - am liebsten hinter einer Firewall, da die OPNsense einige Benefiz bietet wie z.B. Wazuh Agent (SIEM mit MISP integration - meldet verdächtige Dinge im SIRP), Surricata Integration, CrowdSec und auch natürlich noch die Firewall. Aber im Prinzip kann man alles auch einzeln drauf machen und integrieren.

Somit bist du die Fraktion, direkt im Internet mit IPv6 betreiben.

Dann werde ich mir mal die Integration der einzelnen dinge anschauen und dann auch vielleicht das erst mal mal direkt beim Wazuh “Active Response” probieren (z.B. wenn eine “böse” IP versucht auf den Server zuzugreifen und die IP bzw. als IoC bekannt ist durch MISP - dann blocken für eine Stunde durch lokale Firewall. Im Prinzip so wie CrowdSec, aber MISP hat jede Menge Liste, die man verwenden kann - z.B. Tor Nodes, CnC Server usw.

Danke für deine Unterstützung 🙂.

KaiserN

ebenfalls möglich. Nutze das so nur nicht für z.B. Mailservices. Heißt ja nicht das du es auch so machen musst :-)