Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 11 replies
  • Subscribers 0 subscribers
  • Views 3465 views
  • Users 0 members are here
Options
Suggested

[8.170][QUESTION][ANSWERED] Hurricane Electric tunnel broker

Scott_Klassen
Are there any configuration changes necessary that are different from Sixx or Freenet6 for using the new HE tunnel?

I can't get it to work so far.  Here's what I've done (which has worked with the other tunnel brokers in the past):

1)  Enabled HE and entered my username and password.
2)  Tunnel broker and subnet information populates in Astaro.  It's a little different with HE as a full /48 is assigned, like 2001:***:***X::/48.  I subnetted this down and decided to use 2001:***:***X:1::/64 for this test.
3)  Added 2001:***:***X:1::3/64 to the internal interface on my astaro.
4)  Configured DHCPv6 on Astaro to hand out addresses on the internal interface with scope being 2001:***:***X:1::10-2001:***:***X:1::FFFF and DNS being 2001:***:***X:1::3.
5)  On an internal client, I did ipconfig /release 6, then ipconfig /renew6 and verified that it got an DHCPv6 address from Astaro.

With the exception of needing to subnet the /64 block (the others hand out /56), this same config was working with the other brokers.

Any ideas?
Parents
  • 0
    I believe that I may have found at least part of the problem.  Should be very simple to replicate.

    From the HE tunnel broker FAQ:
    1. Your IPv4 endpoint address must be reachable via ICMP (Internet Control Message Protocol).
    2. If you are using a NAT (Network Address Translation) appliance, please make sure it allows and forwards protocol 41.

    One thing that stood out for me is that I could see in the PF live log that protocol 41 packets from my external IPv4 address to HE IPv4 Server address were being default dropped.  Creation of a manual PF rule, ordered to the top (rule 1), allowing Any-->IP Protocol 41-->Any (quick ultra-permissive rule for testing only) had no effect on this behavior and protocol 41 packets were still default dropped.  

    PF rules allowing ICMP and Protocol 41 packets NEED to be configured automatically if HE is chosen as the tunnel broker.

    For those who are experiencing the bad username/password error, I would suggest a few things:  1)  Go to the hurricane website and reset your password.  2)  When entering the info into Astaro, both password and username are case sensitive.  3)  The Server address should be "tunnelbroker.net" (without quotes) and Tunnel ID should be left blank (this is configured automatically during tunnel initiation).


    UPDATE:  I figured out the fix (100 points for me!!!  ;P)  It was the FAQ items listed above.  I had to make a more granular PF rule than Any/Any for it to work.  My external IP-->IP Protocol 41-->HE Server IPv4 Address.  What should happen when an Astaro admin chooses HE as the tunnel broker is that when authentication information is sent to HE to initialize the tunnel, Astaro needs to query HE for the IPv4 server address (HE side of the tunnel, determined by tunnel server chosen during tunnel creation process at tunnelbroker.net) and use that to create an automatic PF rule.  Also, an automatic rule for ICMP needs to be created if not already enabled.

    Also, unlike the other Tunnel Broker services, HE can provide multiple routable subnets for clients.  A /64 and a /48.  Currently Astaro only shows the /48 on the IPv6 Global Tab and it should show both.  I only tried the /64 to test the fix above for simplicity sake.  I'll play with subnetting the /48 later, unless somebody beats me to it.   

    Send it out to the Devs and QA Kai.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Reply
  • 0
    I believe that I may have found at least part of the problem.  Should be very simple to replicate.

    From the HE tunnel broker FAQ:
    1. Your IPv4 endpoint address must be reachable via ICMP (Internet Control Message Protocol).
    2. If you are using a NAT (Network Address Translation) appliance, please make sure it allows and forwards protocol 41.

    One thing that stood out for me is that I could see in the PF live log that protocol 41 packets from my external IPv4 address to HE IPv4 Server address were being default dropped.  Creation of a manual PF rule, ordered to the top (rule 1), allowing Any-->IP Protocol 41-->Any (quick ultra-permissive rule for testing only) had no effect on this behavior and protocol 41 packets were still default dropped.  

    PF rules allowing ICMP and Protocol 41 packets NEED to be configured automatically if HE is chosen as the tunnel broker.

    For those who are experiencing the bad username/password error, I would suggest a few things:  1)  Go to the hurricane website and reset your password.  2)  When entering the info into Astaro, both password and username are case sensitive.  3)  The Server address should be "tunnelbroker.net" (without quotes) and Tunnel ID should be left blank (this is configured automatically during tunnel initiation).


    UPDATE:  I figured out the fix (100 points for me!!!  ;P)  It was the FAQ items listed above.  I had to make a more granular PF rule than Any/Any for it to work.  My external IP-->IP Protocol 41-->HE Server IPv4 Address.  What should happen when an Astaro admin chooses HE as the tunnel broker is that when authentication information is sent to HE to initialize the tunnel, Astaro needs to query HE for the IPv4 server address (HE side of the tunnel, determined by tunnel server chosen during tunnel creation process at tunnelbroker.net) and use that to create an automatic PF rule.  Also, an automatic rule for ICMP needs to be created if not already enabled.

    Also, unlike the other Tunnel Broker services, HE can provide multiple routable subnets for clients.  A /64 and a /48.  Currently Astaro only shows the /48 on the IPv6 Global Tab and it should show both.  I only tried the /64 to test the fix above for simplicity sake.  I'll play with subnetting the /48 later, unless somebody beats me to it.   

    Send it out to the Devs and QA Kai.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?