[8.162][NOTABUG][CLOSED] Host Definition with interface IP

Hi Sven,

where do you want use the IPv4 address only, if the Interface has an IPv6 address too?

ALl configuration parts should handle host definitions where IPv4 and IPv6 addresses are set.

Cheers
 Ulrich

Lets say I want a VPN tunnel only for the ipv4 Interface IP. This is not posible when using the interface Object, because it has a IPV4 and IPV6 adress.

Doing it via a Network Definition is no option, because there are some fields (NAT) where I am not allowed to use a Network Object.

Currently IPv6 is only for IPSec Side to Side VPN available.

If you have an interface with IPv4/IPv6 you can use an IPv4 Host definition
as remote side to use IPv4 for that tunnel. In case you have an IPv4/IPv6 as
remote side, IPv4 is currently preferred over IPv6 (see cc get ipv6->prefer).

I see no point in allowing to specify IPv4 only host definitions if you have
both address types configured on an interface. For listening services there
is no point in enforcing IPv4 only, if there is IPv6 available too...

Cheers
 Ulrich

Ok lets have another case.

I want to have a Packet Filter for an Interface IP, but only ipv4. This is not possible. So please make it possible to have a definition with the Interface ip. Or having a DNAT. 

When I use a ipv4/ipv6 Definition for Side to Side VPN, I have to setup both Networks on each side. Otherwise I have errors showing in IPSec log, and on the IPSec Dashboard.

Sven

Honestly, this is not really an issue either... There is no need for such packet filter rules.

OK lets assume you want to want to SSH out from the ASG to the internet,
I have such a rule too [:)]
Where is the point in allowing SSH via IPv4 out but drop SSH via IPv6 ?!

About the IPSec stuff I cant follow you. If there is an issue with IPv4/IPv6 IPSec Tunnels,
then this is an bug. Please create another thread so this can be addressed...

Cheers
 Ulrich

I think a definition with an Interface ip must be possible.
And I don not get why it is not possible.

with your ssh example I have to use two rules. With an Interface ip Definition I could have only one.

In WebAdmin you have to configure only one rule. If the system creates one or two rules
makes no difference on performance, you dont have to care.

Layer3 is should be transparent, regardless if IPv4 or IPv6 is uses.

Our backend handles interface host definitions and user created host definitions different,
thats the reason we reject duplicate host definitions with addresses from interfaces...

Cheers
 Ulrich

Hm,

when I want to setup ssh from my internal interface to do only ipv4 ssh (when ipv6 is enabled, I have to setup 2 rules. One Allowing ssh from interface to destination and one rule to drop the ipv6 traffic. So I have to have 2 rules and make sure they are in the right place. 

When I am able to have a definition with an Interface IP, I have only one rule.

I don not get the reason why it is not possible to have such definition. 
Please explain the technical way, maybe I switch my mind afterwards. For know there is no reason.

Sven

If you REALLY only want to allow ssh from the ASG via IPv4 then create
a rule and set ANY IPv4 as destination if that is what you want, thats one rule.

But again, whats the point in allowing SSH out via IPv4 and drop IPV6,
there is just no good reason to do so...

Once again: IPv4 and IPv6 can be substituted. If a host has a IPv4 and IPv6 address,
it makes no difference if you connect via IPv4 or IPv6.