Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 11 replies
  • Subscribers 0 subscribers
  • Views 3476 views
  • Users 0 members are here
Options
Suggested

[8.170][QUESTION][ANSWERED] Hurricane Electric tunnel broker

Scott_Klassen
Are there any configuration changes necessary that are different from Sixx or Freenet6 for using the new HE tunnel?

I can't get it to work so far.  Here's what I've done (which has worked with the other tunnel brokers in the past):

1)  Enabled HE and entered my username and password.
2)  Tunnel broker and subnet information populates in Astaro.  It's a little different with HE as a full /48 is assigned, like 2001:***:***X::/48.  I subnetted this down and decided to use 2001:***:***X:1::/64 for this test.
3)  Added 2001:***:***X:1::3/64 to the internal interface on my astaro.
4)  Configured DHCPv6 on Astaro to hand out addresses on the internal interface with scope being 2001:***:***X:1::10-2001:***:***X:1::FFFF and DNS being 2001:***:***X:1::3.
5)  On an internal client, I did ipconfig /release 6, then ipconfig /renew6 and verified that it got an DHCPv6 address from Astaro.

With the exception of needing to subnet the /64 block (the others hand out /56), this same config was working with the other brokers.

Any ideas?
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 8.170

    Type: QUESTION

    State: ANSWERED

    Reporter: Scott_Klassen+

    Contributor: 

    MantisID: 

    Target version: 

    Fixed in version: 

    --------------------------------
  • 0 in reply to Astaro Beta Bot
    Does your tunnel even come up?  Mine doesn't.  In the log it says I have the wrong username/password but I double checked and I know it is right.  Plus, this looks like a bug, the tunnel ID doesn't show after saving it.

    Paul
  • 0
    I had to enter the password and hit apply a couple of times before it said connected and populated the address information (Tunnel Broker and Subnet).  From the Astaro, I can only ping the local end (client) of the tunnel and not the remote end (server), so it looks like no traffic is passing.  I'm seeing the same thing that you are with tunnel ID.  When I enter this information, in the log I see:  "Setting tunnel 50*** to AUTO".  If we're lucky, a dev may take pity on us and respond to this thread.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to PaulHolt
    Does your tunnel even come up?  Mine doesn't.  In the log it says I have the wrong username/password but I double checked and I know it is right.  Plus, this looks like a bug, the tunnel ID doesn't show after saving it.

    Paul


    Exact same thing here Paul, I get a wrong username/password even though I have copied and pasted both.  It's just stuck on connecting....  No tunnel ID either.  What's funny is it looks like it finds it then it says wrong username/password:


    2011:06:16-18:31:42 gateway hurricane[10095]: Found no Tunnels, wrong username/password?
    2011:06:16-18:35:02 gateway hurricane[11138]: Found Tunnel 122083
    2011:06:16-18:35:02 gateway hurricane[11138]: Found no Tunnels, wrong username/password?
    2011:06:16-19:17:33 gateway hurricane[16001]: Found Tunnel 122083
    2011:06:16-19:17:33 gateway hurricane[16001]: Found no Tunnels, wrong username/password?
  • 0
    I rebooted just to see what would happen and now I get a different error:


    2011:06:16-19:28:50 gateway hurricane[6018]: Failed to login: 500 Can't connect to ipv4.tunnelbroker.net:80 (Bad hostname 'ipv4.tunnelbroker.net')


    Could they just be down?  The page works fine in a web browser, I just went there.  I don't know what's up....
  • 0
    Update, I also tried using the routable /64 listed under the tunnel account at HE, but still no lovin'.  For some reason when using HE, with it currently being non-functional, if a given site has both an AAAA and A record, the connection isn't falling back to using IPv4 if IPv6 doesn't work.  This means that I can't access sites like www.astaro.org.  I've dropped back to using Freenet6 until we get more information leading to a resolution, because I can't live without my Astaro boards Kai fix.  ;P
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I've changed this thread to type:  BUG.  I don't believe that it is working properly.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I believe that I may have found at least part of the problem.  Should be very simple to replicate.

    From the HE tunnel broker FAQ:
    1. Your IPv4 endpoint address must be reachable via ICMP (Internet Control Message Protocol).
    2. If you are using a NAT (Network Address Translation) appliance, please make sure it allows and forwards protocol 41.

    One thing that stood out for me is that I could see in the PF live log that protocol 41 packets from my external IPv4 address to HE IPv4 Server address were being default dropped.  Creation of a manual PF rule, ordered to the top (rule 1), allowing Any-->IP Protocol 41-->Any (quick ultra-permissive rule for testing only) had no effect on this behavior and protocol 41 packets were still default dropped.  

    PF rules allowing ICMP and Protocol 41 packets NEED to be configured automatically if HE is chosen as the tunnel broker.

    For those who are experiencing the bad username/password error, I would suggest a few things:  1)  Go to the hurricane website and reset your password.  2)  When entering the info into Astaro, both password and username are case sensitive.  3)  The Server address should be "tunnelbroker.net" (without quotes) and Tunnel ID should be left blank (this is configured automatically during tunnel initiation).


    UPDATE:  I figured out the fix (100 points for me!!!  ;P)  It was the FAQ items listed above.  I had to make a more granular PF rule than Any/Any for it to work.  My external IP-->IP Protocol 41-->HE Server IPv4 Address.  What should happen when an Astaro admin chooses HE as the tunnel broker is that when authentication information is sent to HE to initialize the tunnel, Astaro needs to query HE for the IPv4 server address (HE side of the tunnel, determined by tunnel server chosen during tunnel creation process at tunnelbroker.net) and use that to create an automatic PF rule.  Also, an automatic rule for ICMP needs to be created if not already enabled.

    Also, unlike the other Tunnel Broker services, HE can provide multiple routable subnets for clients.  A /64 and a /48.  Currently Astaro only shows the /48 on the IPv6 Global Tab and it should show both.  I only tried the /64 to test the fix above for simplicity sake.  I'll play with subnetting the /48 later, unless somebody beats me to it.   

    Send it out to the Devs and QA Kai.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Bump so Kai sees the fix.  [:)]
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Hi guys,

    sorry for the immature HE support in 170 and 171. This will be fixed in the next release with 8.172.

    In the meantime to get this running please to the following two steps:

    a) Download ipv6-hurricane-0.5-0.74684090.gb44b138.i686.rpm and install it on your ASG, e.g. "rpm -U --force ipv6-hurricane-0.5-0.74684090.gb44b138.i686.rpm"
    b) Setup two packet filter rules allowing Protocol 41 from your public IPv4 address to ANY and in reverse direction.

    Cheers
     Ulrich
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?