Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 2065 views
  • Users 0 members are here
Options
Suggested

IPv6 Howtos & Tricks

kbr
Please don't post questions to this thread, only howtos, tips and documentation.
Parents
  • 0
    We noticed some of you have problems configuring IPv6 and need some instructions in how to set it up with ASG v8. Therefore we decided to write a little howto that you can use to get IPv6 internet access up and running even without the need for a native IPv6 provider.

    First of all: Windows Vista and Windows 7 are IPv6 enabled by default. These OSes are preconfigured for the Teredo Tunnel Broker, so you should already have a public IPv6 address if the system has IPv4 internet access and DST Port UDP 3544 can passthrough. You get an address from the Teredo Subnet (2001:0000::/32). This behaviour can be overridden simply by providing "Prefix Advertisements" at the ASG. For auto-assigning DNS within Windows, you also have to make use of DHCPv6!

    Second: With IPv6, each enabled interface has a so-called "link-local" address (subnet FE80::/10) which is not routeable (Similar to private IPv4 addresses) and is auto-assigned via zeroconfig (Similar to IPv4 APIPA). So, for IPv6 inter-connectivity, you have to assign an additional and "public" or "site-local" address.

    Third: With IPv6, the IP auto-configuration has changed significantly. It is now split into "Prefix Advertisements" and "DHCPv6" instead of DHCP only. The prefix advertisements are used for assigning IP addresses whereas DHCPv6 is for additional configuration like DNS. The exact behaviour depends on the OS, though.

    ASG v8 offers two options for IPv4 users that want to additionally use IPv6:


    • 6to4 (/48 subnet, needs static public IPv4 address)
    • Tunnel Broker (subnet size depends on broker, works behind NAT, possible to register your own IPv6 range)


    Both options provide you a complete IPv6 subnet that you can use to assign addresses to your clients behind the ASG.

    6to4
    6to4 maps each IPv4 address to a /48 IPv6 subnet. That means with a single IPv4 address, you can have *many* IPv6 hosts behind the gateway.

    Make sure you have internet access via a static public IPv4 address at the ASG. Enable the IPv6 feature. Enable the 6to4 feature for the interface with the static public IPv4 address.

    Please also read *common* steps described below.

    Tunnel Broker
    Register at one of the two supported Tunnel Brokers and apply for a personal IPv6 subnet. Wait for the registration process to complete. This can take several days, depending on the broker (gogo6 is fastest and less complicated).

    Make sure the ASG has IPv4 internet access (can reside behind a NAT). Enable the IPv6 feature. Enable the "Tunnel Broker" feature with user authentication and the chosen broker together with the credentials.

    Please also read *common* steps described below.

    Common
    - Configure the internal interface for IPv6 (take an IP-Address from the assigned IPv6 range displayed at the IPv6 "Global" tab) using a /64 subnet mask (this is important!).
    - Enable the IPv6 "Prefix Advertisements" feature for the internal interface. The "Other config" checkbox additionally enables DHCPv6 in one step.
    - Define your IPv6 packet filters.
    - Bring up your clients with enabled IPv6 protocol and auto-configuration enabled. Besides the preconfigured link-local address, they should get an additional address from the IPv6 /64 subnet and now be able to natively use IPv6.
Reply
  • 0
    We noticed some of you have problems configuring IPv6 and need some instructions in how to set it up with ASG v8. Therefore we decided to write a little howto that you can use to get IPv6 internet access up and running even without the need for a native IPv6 provider.

    First of all: Windows Vista and Windows 7 are IPv6 enabled by default. These OSes are preconfigured for the Teredo Tunnel Broker, so you should already have a public IPv6 address if the system has IPv4 internet access and DST Port UDP 3544 can passthrough. You get an address from the Teredo Subnet (2001:0000::/32). This behaviour can be overridden simply by providing "Prefix Advertisements" at the ASG. For auto-assigning DNS within Windows, you also have to make use of DHCPv6!

    Second: With IPv6, each enabled interface has a so-called "link-local" address (subnet FE80::/10) which is not routeable (Similar to private IPv4 addresses) and is auto-assigned via zeroconfig (Similar to IPv4 APIPA). So, for IPv6 inter-connectivity, you have to assign an additional and "public" or "site-local" address.

    Third: With IPv6, the IP auto-configuration has changed significantly. It is now split into "Prefix Advertisements" and "DHCPv6" instead of DHCP only. The prefix advertisements are used for assigning IP addresses whereas DHCPv6 is for additional configuration like DNS. The exact behaviour depends on the OS, though.

    ASG v8 offers two options for IPv4 users that want to additionally use IPv6:


    • 6to4 (/48 subnet, needs static public IPv4 address)
    • Tunnel Broker (subnet size depends on broker, works behind NAT, possible to register your own IPv6 range)


    Both options provide you a complete IPv6 subnet that you can use to assign addresses to your clients behind the ASG.

    6to4
    6to4 maps each IPv4 address to a /48 IPv6 subnet. That means with a single IPv4 address, you can have *many* IPv6 hosts behind the gateway.

    Make sure you have internet access via a static public IPv4 address at the ASG. Enable the IPv6 feature. Enable the 6to4 feature for the interface with the static public IPv4 address.

    Please also read *common* steps described below.

    Tunnel Broker
    Register at one of the two supported Tunnel Brokers and apply for a personal IPv6 subnet. Wait for the registration process to complete. This can take several days, depending on the broker (gogo6 is fastest and less complicated).

    Make sure the ASG has IPv4 internet access (can reside behind a NAT). Enable the IPv6 feature. Enable the "Tunnel Broker" feature with user authentication and the chosen broker together with the credentials.

    Please also read *common* steps described below.

    Common
    - Configure the internal interface for IPv6 (take an IP-Address from the assigned IPv6 range displayed at the IPv6 "Global" tab) using a /64 subnet mask (this is important!).
    - Enable the IPv6 "Prefix Advertisements" feature for the internal interface. The "Other config" checkbox additionally enables DHCPv6 in one step.
    - Define your IPv6 packet filters.
    - Bring up your clients with enabled IPv6 protocol and auto-configuration enabled. Besides the preconfigured link-local address, they should get an additional address from the IPv6 /64 subnet and now be able to natively use IPv6.
Children
  • 0 in reply to trollvottel
    This is a small how to on how I configured freenet6 for ipv6 tunnel broker on astaro. You will either need 6to4 or a tunnel broker. 6to4 works with live internet addresses on the WAN side and I have a dynamic IP so tunnel broker seemed easier to accomplish. I am new to IPv6 stuff and am testing as I am writing so any corrections are welcome. A few comments and observations are added in the posts below.

    1. Go to freenet six registeration page and register. Freenet6 website was giving me error for verification code on the website but worked when i left the verification text blank. It might work for you or not, its just an FYI just in case. You wiill shortly get an email with your username and password that you chose during registeration. For our needs, we will need to register otherwise the setup won't work with anonymous access. The difference between anonymous and registered access is that for anonymous you only get one IP and with registered, you get a whole /56 subnet. Very nice.

    2. Go to ipv6-->tunnel broker and change authentication to user, this will let you put in your username and password and click apply. You will connect to freenet6 shortly, be patient.

    3. Goto ipv6-->Global and you will see that you are connected with information about your tunnel broker and the subnet assigned to you. All you are interested in is this subnet.. The subnet will be like 2001:ABCD:ABCD:ABCD::/56 This means that you can add any number from 1 to FFFF after the :: as your IP address(this is for simplicity otherwise a /64 network can have 18,446,744,073,709,551,616 IP address). Screenshot 1 shows the IP subnet assignment.

    4. Now go to astaro interfaces tab and edit the internal interface and add the IPv6 IP address. I like assigning the first IP to my routers etc so in this case the astaro IPv6 IP would be 2001:ABCD:ABCD:ABCD::1 Make sure you leave the netmask as 64. Screenshot 2 shows the IP assigned.

    5. You have 2 options at this point, you can either edit your DHCPv6 and let it assign the IPs or manually assign the IP yourself. DHCP and windows ipv6 screenshot 3 and 4. 

    EDIT: Since I first wrote this, astaro folks were kind enough to automatically add your tunnel broker IPs to DHCP server. So basically under network services-->dhcp, add a new dhcp server and select address type as IPv6 on internal interface and all the correct fields will automatically populate. Nice!!

    6. Add a packet filter rule for ipv6. I added an allow all rule for testing but I have nothing behind this firewall but my laptop so its ok. DO NOT DO THIS for a production firewall. Screenshot 5

    Thats it, you should be surfing now using ipv6. IPv6 internet at this time reminds me of the internet in windows 3.1 days. Hardly anything to see so you will run IPv4 and IPv6 together. Therefore do not disable ipv4 on your  client otherwise you won't be able to browse the ipv4 sites. You will also loose connectivity to your astaro box if you don't have it defined in the dns and are using 192.168.***.*** IP address to access it if you disable ipv4. So don't disable it.

     Good luck and have fun!
  • 0 in reply to Billybob
    This was posted by Ulrich (da_merlin) and I found it really helpful. I have added a screenshot of my configuration. This will work for google.com and www. youtube.com
    Hi all,

    google enabled IPv6 for youtube. Finally there is some IPv6 content available 

    However the google DNS server will not answer the AAAA request from anyone. Only certain ISP providers will get the AAAA records.
    One public available DNS server is 74.82.42.42.

    Either configure 74.82.42.42 as the only DNS forwarder in Network Services >> DNS >> Forwarders or configure "Request Routing"
    In the second case, create two DNS Request Routes, one for youtube.com and one for google.com, both pointing to 74.82.42.42.

    This should enable IPv6 for youtube and most other google services...

    Best regards
    Ulrich
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?