[8.920][BUG] IPv6 connection issues (was: Proxy does not handle dual stack servers!)

Hi sjorge,

do you run the HTTP Proxy in Full Transparent Mode?

Cheers,
Cristof

Hi cziel,

I'm running in 'Transparent Mode' I can't use 'Full Transparent Mode', the later is disabled.

kr

Hi sjorge,

first we need to check whether a TCP/IP can be established on the destinations port 80. Therefore please set the following commands via CLI on your UTM:

telnet  80
nc -v  80

and post the respective output.

Thanks,
Cristof

Here is the info you asked for and a bit more.

This is on a IPv6 dualstacked server:

sjorge@procyon ~ $ netstat -tpln
(No info could be read for "-p": geteuid()=1000 but you should be root.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name                                      
tcp        0      0 0.0.0.0:80            0.0.0.0:*               LISTEN      -                                     
...               
tcp6       0      0 :::80                   :::*                    LISTEN      -                                  
sjorge@procyon ~ $ ping6 ipv6.google.com
PING ipv6.google.com(bud01s08-in-x13.1e100.net) 56 data bytes
64 bytes from bud01s08-in-x13.1e100.net: icmp_seq=1 ttl=48 time=288 ms
64 bytes from bud01s08-in-x13.1e100.net: icmp_seq=2 ttl=48 time=285 ms
64 bytes from bud01s08-in-x13.1e100.net: icmp_seq=3 ttl=48 time=291 ms

As you can see IPv6 connectivity is working and httpd is listening on port 80.

Client machine behind the gateway:

sjorge@saxion ~ $ dig -t AAAA blackdot.be +short
2001:1938:81:164::2
sjorge@saxion ~ $ ping6 2001:1938:81:164::2
PING 2001:1938:81:164::2(2001:1938:81:164::2) 56 data bytes
64 bytes from 2001:1938:81:164::2: icmp_seq=1 ttl=52 time=368 ms
64 bytes from 2001:1938:81:164::2: icmp_seq=2 ttl=52 time=386 ms
64 bytes from 2001:1938:81:164::2: icmp_seq=3 ttl=52 time=409 ms
^C
--- 2001:1938:81:164::2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2002ms
rtt min/avg/max/mdev = 368.940/388.109/409.140/16.472 ms

Ok so we know that we have the correct IPv6 address and that at least basic IPv6 is working. So far so good!

Now here is where it gets weird. I did the telnet and nc with web filtering set to standard and transparent mode... but the results were the same! [:O]

So i'm no longer sure it is a web filtering issue or a general IPv6 issue!

sjorge@saxion ~ $ ping6 2001:1938:81:164::2
PING 2001:1938:81:164::2(2001:1938:81:164::2) 56 data bytes
64 bytes from 2001:1938:81:164::2: icmp_seq=1 ttl=52 time=368 ms
64 bytes from 2001:1938:81:164::2: icmp_seq=2 ttl=52 time=386 ms
64 bytes from 2001:1938:81:164::2: icmp_seq=3 ttl=52 time=409 ms
^C
--- 2001:1938:81:164::2 ping statistics ---
sjorge@saxion ~ $ telnet 2001:1938:81:164::2 80
Trying 2001:1938:81:164::2...
telnet: Unable to connect to remote host: Connection timed out
sjorge@saxion ~ $ nc -v 2001:1938:81:164::2 80
Error: Couldn't resolve host "2001:1938:81:164::2"
sjorge@saxion ~ $ nc6 -v 2001:1938:81:164::2 80
nc6: timeout while connecting to cl-357.phx-01.us.sixxs.net (2001:1938:81:164::2) 80 [http]
nc6: unable to connect to address 2001:1938:81:164::2, service 80

I see the exact same thing with web filtering in standard or transparent mode.

Ruling out the server it self:

eth0@sakura:~$ ping6 2001:1938:81:164::2
PING 2001:1938:81:164::2(2001:1938:81:164::2) 56 data bytes
64 bytes from 2001:1938:81:164::2: icmp_seq=1 ttl=52 time=227 ms
64 bytes from 2001:1938:81:164::2: icmp_seq=2 ttl=52 time=224 ms
64 bytes from 2001:1938:81:164::2: icmp_seq=3 ttl=52 time=224 ms
^C
--- 2001:1***:81:164::2 ping statistics ---
3 packets transmitted, 3 received, 0% packet loss, time 2003ms
rtt min/avg/max/mdev = 224.239/225.381/227.492/1.543 ms
eth0@sakura:~$ telnet 2001:1938:81:164::2 80
Trying 2001:1938:81:164::2...
Connected to 2001:1938:81:164::2.
Escape character is '^]'.
^C
Connection closed by foreign host.

eth0@sakura:~$ nc -v 2001:1938:81:164::2 80
Connection to 2001:1938:81:164::2 80 port [tcp/http] succeeded!

So the server looks OK.
I no dropped packets in the firewall log window while doing these tests.

Simplified test to check if stuff is being blocked by the FW. Web filtering is still set to standard.

sjorge@saxion ~ $ date

Wed Apr 11 16:06:27 CEST 2012

sjorge@saxion ~ $ nc6 -v 2001:1938:81:164::2 80

nc6: timeout while connecting to cl-357.phx-01.us.sixxs.net (2001:1938:81:164::2) 80 [http]

nc6: unable to connect to address 2001:1938:81:164::2, service 80

sjorge@saxion ~ $ date

Wed Apr 11 16:07:44 CEST 201

15:58:55 	Default DROP 	UDP 	

172.16.15.104 	: 	64207

	→ 	

77.35.128.23 	: 	18497

	

len=46 	ttl=63 	tos=0x00 	srcmac=e8:6:88:a3:4a:30 	dstmac=8:0:27:fd:96:e3

15:59:00 	Default DROP 	UDP 	

172.16.15.104 	: 	64207

	→ 	

77.35.128.23 	: 	18497

	

len=46 	ttl=63 	tos=0x00 	srcmac=e8:6:88:a3:4a:30 	dstmac=8:0:27:fd:96:e3

15:59:05 	Default DROP 	UDP 	

172.16.15.104 	: 	64207

	→ 	

77.35.128.23 	: 	18497

	

len=46 	ttl=63 	tos=0x00 	srcmac=e8:6:88:a3:4a:30 	dstmac=8:0:27:fd:96:e3

16:01:46 	Default DROP 	TCP 	

98.126.52.51 	: 	80

	→ 	

91.176.31.193 	: 	63632

	

[ACK SYN] 	len=44 	ttl=105 	tos=0x00

16:03:19 	Default DROP 	TCP 	

173.230.157.252 	: 	443

	→ 	

91.176.31.193 	: 	64337

	

[ACK FIN] 	len=52 	ttl=54 	tos=0x00

16:03:20 	Default DROP 	TCP 	

173.230.157.252 	: 	443

	→ 	

91.176.31.193 	: 	64337

	

[ACK PSH] 	len=409 	ttl=54 	tos=0x00

16:03:22 	Default DROP 	TCP 	

173.230.157.252 	: 	443

	→ 	

91.176.31.193 	: 	64337

	

[ACK PSH] 	len=409 	ttl=54 	tos=0x00

16:03:27 	Default DROP 	TCP 	

173.230.157.252 	: 	443

	→ 	

91.176.31.193 	: 	64337

	

[ACK PSH] 	len=409 	ttl=54 	tos=0x00

16:03:35 	Default DROP 	TCP 	

173.230.157.252 	: 	443

	→ 	

91.176.31.193 	: 	64337

	

[ACK PSH] 	len=409 	ttl=54 	tos=0x00

16:03:53 	Default DROP 	TCP 	

173.230.157.252 	: 	443

	→ 	

91.176.31.193 	: 	64337

	

[ACK PSH] 	len=409 	ttl=54 	tos=0x00

16:04:27 	Default DROP 	TCP 	

173.230.157.252 	: 	443

	→ 	

91.176.31.193 	: 	64337

	

[ACK PSH] 	len=409 	ttl=54 	tos=0x00

16:06:21 	Default DROP 	TCP 	

172.16.15.112 	: 	51425

	→ 	

69.171.234.48 	: 	9999

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:06:22 	Default DROP 	TCP 	

172.16.15.112 	: 	51426

	→ 	

69.171.234.48 	: 	9999

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:06:24 	Default DROP 	TCP 	

172.16.15.112 	: 	51425

	→ 	

69.171.234.48 	: 	9999

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:06:28 	Default DROP 	TCP 	

172.16.15.112 	: 	51425

	→ 	

69.171.234.48 	: 	9999

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

The facebook.com:9999 was forced by me to show that stuff did get logged even after the nc6 timed out.

Ok lets do it once more shall we? This time with the rule that allows internal -> http -> internet IPv4 + IPv6 set to log!

sjorge@saxion ~ $ date

Wed Apr 11 16:07:44 CEST 2012

sjorge@saxion ~ $ date

Wed Apr 11 16:11:51 CEST 2012

sjorge@saxion ~ $ nc6 -v 2001:1938:81:164::2 80

nc6: timeout while connecting to cl-357.phx-01.us.sixxs.net (2001:1938:81:164::2) 80 [http]

nc6: unable to connect to address 2001:1938:81:164::2, service 80

sjorge@saxion ~ $ date

Wed Apr 11 16:13:29 CEST 2012



16:07:31 	Default DROP 	TCP 	

172.16.15.112 	: 	51432

	→ 	

69.171.234.48 	: 	9999

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:07:39 	Default DROP 	TCP 	

172.16.15.112 	: 	51432

	→ 	

69.171.234.48 	: 	9999

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:07:55 	Default DROP 	TCP 	

172.16.15.112 	: 	51432

	→ 	

69.171.234.48 	: 	9999

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:08:41 	Default DROP 	HTTP 	

91.176.135.102 	: 	64520

	→ 	

91.176.31.193 	: 	80

	

[SYN] 	len=64 	ttl=62 	tos=0x00

16:08:43 	Default DROP 	TCP 	

91.176.135.102 	: 	64522

	→ 	

91.176.31.193 	: 	10424

	

[SYN] 	len=64 	ttl=62 	tos=0x00

16:08:44 	Default DROP 	TCP 	

91.176.135.102 	: 	64522

	→ 	

91.176.31.193 	: 	10424

	

[SYN] 	len=64 	ttl=62 	tos=0x00

16:08:45 	Default DROP 	TCP 	

91.176.135.102 	: 	64522

	→ 	

91.176.31.193 	: 	10424

	

[SYN] 	len=64 	ttl=62 	tos=0x00

16:09:03 	Default DROP 	UDP 	

91.176.135.102 	: 	14527

	→ 	

91.176.31.193 	: 	10424

	

len=192 	ttl=62 	tos=0x00

16:09:07 	Default DROP 	UDP 	

91.176.135.102 	: 	14527

	→ 	

91.176.31.193 	: 	10424

	

len=192 	ttl=62 	tos=0x00

16:09:55 	Packet filter rule #9 	TCP 	

172.16.15.113 	: 	49213

	→ 	

193.41.233.25 	: 	443

	

[ACK] 	len=40 	ttl=127 	tos=0x00 	srcmac=0:26:c7:64:2b:50 	dstmac=8:0:27:fd:96:e3

16:10:15 	Packet filter rule #9 	TCP 	

2001:6f8:1480:15:21a:4dff:fe49:b5d 	: 	56416

	→ 	

2001:1938:81:164::2 	: 	80

	

[SYN] 	len=80 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:10:51 	Packet filter rule #9 	TCP 	

172.16.15.101 	: 	53598

	→ 	

17.158.28.48 	: 	443

	

[SYN] 	len=64 	ttl=63 	tos=0x00 	srcmac=e0:f8:47:99:c2[:D]b 	dstmac=8:0:27:fd:96:e3

16:10:52 	Packet filter rule #9 	TCP 	

172.16.15.101 	: 	53599

	→ 	

17.158.28.48 	: 	443

	

[SYN] 	len=64 	ttl=63 	tos=0x00 	srcmac=e0:f8:47:99:c2[:D]b 	dstmac=8:0:27:fd:96:e3

16:10:53 	Packet filter rule #9 	TCP 	

172.16.15.101 	: 	53600

	→ 	

17.158.28.48 	: 	443

	

[SYN] 	len=64 	ttl=63 	tos=0x00 	srcmac=e0:f8:47:99:c2[:D]b 	dstmac=8:0:27:fd:96:e3

16:10:54 	Packet filter rule #9 	TCP 	

172.16.15.101 	: 	53601

	→ 	

17.158.28.48 	: 	443

	

[SYN] 	len=64 	ttl=63 	tos=0x00 	srcmac=e0:f8:47:99:c2[:D]b 	dstmac=8:0:27:fd:96:e3

16:12:00 	Packet filter rule #9 	TCP 	

172.16.15.112 	: 	34501

	→ 	

74.125.230.117 	: 	443

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:12:04 	Packet filter rule #9 	TCP 	

172.16.15.101 	: 	53601

	→ 	

17.158.28.48 	: 	443

	

[SYN] 	len=48 	ttl=63 	tos=0x00 	srcmac=e0:f8:47:99:c2[:D]b 	dstmac=8:0:27:fd:96:e3

16:12:05 	Packet filter rule #9 	TCP 	

172.16.15.112 	: 	50084

	→ 	

173.194.41.171 	: 	443

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:12:09 	Packet filter rule #9 	TCP 	

172.16.15.112 	: 	34503

	→ 	

74.125.230.117 	: 	443

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:12:13 	Packet filter rule #9 	TCP 	

172.16.15.112 	: 	47595

	→ 	

74.125.230.125 	: 	443

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

16:12:15 	Packet filter rule #9 	TCP 	

172.16.15.112 	: 	54152

	→ 	

74.125.230.97 	: 	443

	

[SYN] 	len=60 	ttl=63 	tos=0x00 	srcmac=0:1a:4d:49:b:5d 	dstmac=8:0:27:fd:96:e3

The 2nd logged hit of the rule clearly shows that the connection has passed through the firewall and was accepted.

I'm feeling less and less likely this a web filtering bug, but something is still going wrong [:(]

Hi sjorge,

I can connect to your web server via IPv6 (also have sixxs at home).

Can you run tcpdump on your ASG (e.g. tcpdump -v -n -i aiccu) and
verify the tcp SYN in send and SYN,ACK is received?

Cheers
 Ulrich

I don't seem to be getting a SYN,ACK unless I'm reading it wrong:

sjorge@Axion ~ $ date

Wed Apr 11 19:13:17 CEST 2012

sjorge@Axion ~ $ telnet 2001:1938:81:164::2 80

Trying 2001:1938:81:164::2...

telnet: connect to address 2001:1938:81:164::2: Operation timed out

telnet: Unable to connect to remote host

sjorge@Axion ~ $ date

Wed Apr 11 19:14:47 CEST 2012

inertia:/root # tcpdump -v -n -i aiccu

tcpdump: WARNING: aiccu: no IPv4 address assigned

tcpdump: listening on aiccu, link-type RAW (Raw IP), capture size 96 bytes

19:13:20.899533 IP6 (hlim 63, next-header TCP (6) payload length: 44) 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945.50901 > 2001:1938:81:164::2.80: S 268177802:268177802(0) win 65535 

19:13:39.054777 IP6 (hlim 59, next-header UDP (17) payload length: 58) 2001:6f8:1480:30::2.57551 > 2001:4860:4860::8844.53: 36698+ [1au][|domain]

19:13:39.054978 IP6 (hlim 59, next-header UDP (17) payload length: 58) 2001:6f8:1480:30::2.57551 > 2001:4860:4860::8888.53: 36698+ [1au][|domain]

19:13:39.105561 IP6 (hlim 51, next-header UDP (17) payload length: 120) 2001:4860:4860::8888.53 > 2001:6f8:1480:30::2.57551: 36698[|domain]

19:13:39.110757 IP6 (hlim 51, next-header UDP (17) payload length: 120) 2001:4860:4860::8844.53 > 2001:6f8:1480:30::2.57551: 36698[|domain]

19:13:39.114416 IP6 (hlim 254, next-header ICMPv6 (58) payload length: 168) 2001:6f8:1480:30::2 > 2001:4860:4860::8844: ICMP6, destination unreachable, length 168[|icmp6]

19:13:39.129767 IP6 (hlim 254, next-header ICMPv6 (58) payload length: 168) 2001:6f8:1480:30::2 > 2001:4860:4860::8888: ICMP6, destination unreachable, length 168[|icmp6]

19:13:54.522798 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 988) 2001:6f8:202:3e1::1 > 2001:6f8:202:3e1::2: ICMP6, echo request, length 988, seq 12999

19:13:54.525968 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 988) 2001:6f8:202:3e1::2 > 2001:6f8:202:3e1::1: ICMP6, echo reply, length 988, seq 12999

19:14:08.947541 IP6 (hlim 59, next-header UDP (17) payload length: 76) 2001:6f8:1480:30::2.34911 > 2001:4860:4860::8888.53: 54806+ [1au][|domain]

19:14:08.947878 IP6 (hlim 59, next-header UDP (17) payload length: 76) 2001:6f8:1480:30::2.34911 > 2001:4860:4860::8844.53: 54806+ [1au][|domain]

19:14:08.996511 IP6 (hlim 51, next-header UDP (17) payload length: 76) 2001:4860:4860::8888.53 > 2001:6f8:1480:30::2.34911: 54806 NXDomain[|domain]

19:14:08.996559 IP6 (hlim 51, next-header UDP (17) payload length: 76) 2001:4860:4860::8844.53 > 2001:6f8:1480:30::2.34911: 54806 NXDomain[|domain]

19:14:09.003661 IP6 (hlim 254, next-header ICMPv6 (58) payload length: 124) 2001:6f8:1480:30::2 > 2001:4860:4860::8844: ICMP6, destination unreachable, length 124[|icmp6]

19:14:09.004131 IP6 (hlim 254, next-header ICMPv6 (58) payload length: 124) 2001:6f8:1480:30::2 > 2001:4860:4860::8888: ICMP6, destination unreachable, length 124[|icmp6]

19:14:32.808294 IP6 (hlim 9, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 22263

19:14:32.809902 IP6 (hlim 9, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 34594

19:14:32.809943 IP6 (hlim 9, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 55881

19:14:32.810081 IP6 (hlim 8, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 22263

19:14:32.811501 IP6 (hlim 8, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 34594

19:14:32.811546 IP6 (hlim 8, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 55881

19:14:36.069582 IP6 (hlim 9, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 26984

19:14:36.071178 IP6 (hlim 8, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 26984

19:14:38.008360 IP6 (hlim 9, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 33213

19:14:38.009818 IP6 (hlim 8, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 33213

19:14:40.009630 IP6 (hlim 9, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 47626

19:14:40.011075 IP6 (hlim 8, next-header ICMPv6 (58) payload length: 12) 2001:0:5ef5:73b8:2c09:14f0:a44f:2e6f > 2001:6f8:1480::1: [icmp6 sum ok] ICMP6, echo request, length 12, seq 47626

^C

27 packets captured

27 packets received by filter

0 packets dropped by kernel

I do get replies for a ping?!

sjorge@Axion ~ $ date

Wed Apr 11 19:15:50 CEST 2012

sjorge@Axion ~ $ ping6 2001:1938:81:164::2

PING6(56=40+8+8 bytes) 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945 --> 2001:1938:81:164::2

16 bytes from 2001:1938:81:164::2, icmp_seq=0 hlim=52 time=227.562 ms

16 bytes from 2001:1938:81:164::2, icmp_seq=1 hlim=52 time=222.532 ms

16 bytes from 2001:1938:81:164::2, icmp_seq=2 hlim=52 time=233.982 ms

16 bytes from 2001:1938:81:164::2, icmp_seq=3 hlim=52 time=235.219 ms

16 bytes from 2001:1938:81:164::2, icmp_seq=4 hlim=52 time=226.275 ms

16 bytes from 2001:1938:81:164::2, icmp_seq=5 hlim=52 time=226.295 ms

^C

--- 2001:1938:81:164::2 ping6 statistics ---

6 packets transmitted, 6 packets received, 0.0% packet loss

round-trip min/avg/max/std-dev = 222.532/228.644/235.219/4.498 ms



sjorge@Axion ~ $ date

Wed Apr 11 19:16:09 CEST 2012

inertia:/root # tcpdump -v -n -i aiccu

tcpdump: WARNING: aiccu: no IPv4 address assigned

tcpdump: listening on aiccu, link-type RAW (Raw IP), capture size 96 bytes

19:16:02.382561 IP6 (hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945 > 2001:1938:81:164::2: [icmp6 sum ok] ICMP6, echo request, length 16, seq 0

19:16:02.606287 IP6 (hlim 53, next-header ICMPv6 (58) payload length: 16) 2001:1938:81:164::2 > 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945: [icmp6 sum ok] ICMP6, echo reply, length 16, seq 0

19:16:03.382183 IP6 (hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945 > 2001:1938:81:164::2: [icmp6 sum ok] ICMP6, echo request, length 16, seq 1

19:16:03.601843 IP6 (hlim 53, next-header ICMPv6 (58) payload length: 16) 2001:1938:81:164::2 > 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945: [icmp6 sum ok] ICMP6, echo reply, length 16, seq 1

19:16:04.393690 IP6 (hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945 > 2001:1938:81:164::2: [icmp6 sum ok] ICMP6, echo request, length 16, seq 2

19:16:04.612755 IP6 (hlim 53, next-header ICMPv6 (58) payload length: 16) 2001:1938:81:164::2 > 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945: [icmp6 sum ok] ICMP6, echo reply, length 16, seq 2

19:16:05.383017 IP6 (hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945 > 2001:1938:81:164::2: [icmp6 sum ok] ICMP6, echo request, length 16, seq 3

19:16:05.608829 IP6 (hlim 53, next-header ICMPv6 (58) payload length: 16) 2001:1938:81:164::2 > 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945: [icmp6 sum ok] ICMP6, echo reply, length 16, seq 3

19:16:06.382848 IP6 (hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945 > 2001:1938:81:164::2: [icmp6 sum ok] ICMP6, echo request, length 16, seq 4

19:16:06.606160 IP6 (hlim 53, next-header ICMPv6 (58) payload length: 16) 2001:1938:81:164::2 > 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945: [icmp6 sum ok] ICMP6, echo reply, length 16, seq 4

19:16:07.383167 IP6 (hlim 63, next-header ICMPv6 (58) payload length: 16) 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945 > 2001:1938:81:164::2: [icmp6 sum ok] ICMP6, echo request, length 16, seq 5

19:16:07.605714 IP6 (hlim 53, next-header ICMPv6 (58) payload length: 16) 2001:1938:81:164::2 > 2001:6f8:1480:15[:D]0c8:7052:a7ea:4945: [icmp6 sum ok] ICMP6, echo reply, length 16, seq 5

^C

12 packets captured

12 packets received by filter

0 packets dropped by kernel

Hopefully this rings a bell for you guys because I'm still at a loss.

Since this is bugging me I'm doing some further digging.
This is not localized to only my server and HTTP. I don't get SYN,ACKS back for any IPv6 server on any port! (HTTP, HTTPS, SSH, NNTP,DNS)

I ran another nc6 to port 80 on my server. This time capturing both @gateway and @server.

Server

procyon ~ # tcpdump -vn -s0 -isixxs

tcpdump: WARNING: sixxs: no IPv4 address assigned

tcpdump: listening on sixxs, link-type RAW (Raw IP), capture size 65535 bytes

18:16:30.450180 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 988) 2001:1938:81:164::1 > 2001:1938:81:164::2: [icmp6 sum ok] ICMP6, echo request, length 988, seq 22384

18:16:30.450291 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 988) 2001:1938:81:164::2 > 2001:1938:81:164::1: [icmp6 sum ok] ICMP6, echo reply, length 988, seq 22384

^C

2 packets captured

2 packets received by filter

0 packets dropped by kernel

Gateway

inertia:/root # tcpdump -vn -s0 -iaiccu

tcpdump: WARNING: aiccu: no IPv4 address assigned

tcpdump: listening on aiccu, link-type RAW (Raw IP), capture size 65535 bytes

20:16:05.303931 IP6 (hlim 63, next-header TCP (6) payload length: 40) 2001:6f8:1480:15:21a:4dff:fe49:b5d.57120 > 2001:1938:81:164::2.80: S, cksum 0x8407 (correct), 3634183084:3634183084(0) win 14400 

20:16:16.360873 IP6 (hlim 59, next-header UDP (17) payload length: 58) 2001:6f8:1480:30::2.28066 > 2001:4860:4860::8888.53: [udp sum ok] 33539+ [1au] A? all.broker.sophos.com. (50)

20:16:16.360905 IP6 (hlim 59, next-header UDP (17) payload length: 58) 2001:6f8:1480:30::2.28066 > 2001:4860:4860::8844.53: [udp sum ok] 33539+ [1au] A? all.broker.sophos.com. (50)

20:16:16.409376 IP6 (hlim 51, next-header UDP (17) payload length: 122) 2001:4860:4860::8888.53 > 2001:6f8:1480:30::2.28066: [udp sum ok] 33539 4/0/1 all.broker.sophos.com. A 176.34.185.65, all.broker.sophos.com. A 46.137.160.57, all.broker.sophos.com. A 46.137.170.158, all.broker.sophos.com. A 79.125.12.158 (114)

20:16:16.427221 IP6 (hlim 254, next-header ICMPv6 (58) payload length: 170) 2001:6f8:1480:30::2 > 2001:4860:4860::8888: [icmp6 sum ok] ICMP6, destination unreachable, length 170, unreachable port, 2001:6f8:1480:30::2 udp port 28066

20:16:16.480158 IP6 (hlim 51, next-header UDP (17) payload length: 122) 2001:4860:4860::8844.53 > 2001:6f8:1480:30::2.28066: [udp sum ok] 33539 4/0/1 all.broker.sophos.com. A 176.34.185.65, all.broker.sophos.com. A 46.137.160.57, all.broker.sophos.com. A 46.137.170.158, all.broker.sophos.com. A 79.125.12.158 (114)

20:16:16.490620 IP6 (hlim 254, next-header ICMPv6 (58) payload length: 170) 2001:6f8:1480:30::2 > 2001:4860:4860::8844: [icmp6 sum ok] ICMP6, destination unreachable, length 170, unreachable port, 2001:6f8:1480:30::2 udp port 28066

^C

7 packets captured

7 packets received by filter

0 packets dropped by kernel

I can see the original SYN leave the gateway, but it never arrives at my server [:S]

FWIIW The config I'm currently running was imported from my v8 setup I had before upgrading to v9 beta. And it worked fine on v8.

I could provide you with a configuration dump if you like.

I made progress! 

IPS disabled => IPv6 works
IPS enable => IPv6 doesn't work (except ICMPv6)

Same result with 0 or all rules selected :s

2012:04:11-22:03:36 inertia snort[8530]: +++++++++++++++++++++++++++++++++++++++++++++++++++

2012:04:11-22:03:36 inertia snort[8530]: Initializing rule chains...

2012:04:11-22:03:38 inertia snort[8530]: 11509 Snort rules read

2012:04:11-22:03:38 inertia snort[8530]: 11488 detection rules

2012:04:11-22:03:38 inertia snort[8530]: 0 decoder rules

2012:04:11-22:03:38 inertia snort[8530]: 21 preprocessor rules

2012:04:11-22:03:38 inertia snort[8530]: 11509 Option Chains linked into 1025 Chain Headers

2012:04:11-22:03:38 inertia snort[8530]: 0 Dynamic rules

2012:04:11-22:03:38 inertia snort[8530]: +++++++++++++++++++++++++++++++++++++++++++++++++++

2012:04:11-22:03:38 inertia snort[8530]:

2012:04:11-22:03:41 inertia snort[8530]: +-------------------[Rule Port Counts]---------------------------------------

2012:04:11-22:03:41 inertia snort[8530]: | tcp udp icmp ip

2012:04:11-22:03:41 inertia snort[8530]: | src 3900 68 0 0

2012:04:11-22:03:41 inertia snort[8530]: | dst 6044 501 0 0

2012:04:11-22:03:41 inertia snort[8530]: | any 899 121 76 56

2012:04:11-22:03:41 inertia snort[8530]: | nc 330 53 10 12

2012:04:11-22:03:41 inertia snort[8530]: | s+d 13 25 0 0

2012:04:11-22:03:41 inertia snort[8530]: +----------------------------------------------------------------------------

...

2012:04:11-22:03:41 inertia snort[8530]: 512 out of 1024 flowbits in use.

2012:04:11-22:03:57 inertia snort[8530]:

2012:04:11-22:03:57 inertia snort[8530]: [ Port Based Pattern Matching Memory ]

2012:04:11-22:03:57 inertia snort[8530]: +-[AC-BNFA Search Info Summary]------------------------------

2012:04:11-22:03:57 inertia snort[8530]: | Instances : 1722

2012:04:11-22:03:57 inertia snort[8530]: | Patterns : 488765

2012:04:11-22:03:57 inertia snort[8530]: | Pattern Chars : 9495254

2012:04:11-22:03:57 inertia snort[8530]: | Num States : 5342120

2012:04:11-22:03:57 inertia snort[8530]: | Num Match States : 529685

2012:04:11-22:03:57 inertia snort[8530]: | Memory : 113.56Mbytes

2012:04:11-22:03:57 inertia snort[8530]: | Patterns : 20.24M

2012:04:11-22:03:57 inertia snort[8530]: | Match Lists : 30.34M

2012:04:11-22:03:57 inertia snort[8530]: | Transitions : 62.57M

2012:04:11-22:03:57 inertia snort[8530]: +-------------------------------------------------

2012:04:11-22:03:57 inertia snort[8530]: [ Number of null byte prefixed patterns trimmed: 35387 ]

2012:04:11-22:03:57 inertia snort[8530]: nfqmnlmmap DAQ configured to inline.

2012:04:11-22:03:57 inertia snort[8530]: The DAQ version does not support reload.

2012:04:11-22:03:57 inertia snort[8530]: Initializing daemon mode

2012:04:11-22:03:57 inertia snort[8569]: Daemon initialized, signaled parent pid: 8530

2012:04:11-22:03:57 inertia snort[8569]: Reload thread starting...

2012:04:11-22:03:57 inertia snort[8569]: Reload thread started, thread 0xe5befb70 (8569)

2012:04:11-22:03:57 inertia snort[8569]: Checking PID path...

2012:04:11-22:03:57 inertia snort[8569]: PID path stat checked out ok, PID path set to /var/run/

2012:04:11-22:03:57 inertia snort[8569]: Writing PID "8569" to file "/var/run//snort_1.pid"

2012:04:11-22:03:57 inertia snort[8569]: Set gid to 800

2012:04:11-22:03:57 inertia snort[8569]: Set uid to 800

2012:04:11-22:03:57 inertia snort[8569]:

2012:04:11-22:03:57 inertia snort[8569]: --== Initialization Complete ==--

2012:04:11-22:03:57 inertia snort[8569]: Commencing packet processing (pid=8569)

2012:04:11-22:03:57 inertia snort[8569]: Decoding Raw IP4

2012:04:11-22:04:12 inertia snort[8569]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" group="500" srcip="8.8.4.4" dstip="172.16.30.2" proto="17" srcport="53" dstport="14205" sid="19187" class="Attempted User Privilege Gain" priority="1" generator="3" msgid="0" 

2012:04:11-22:03:57 inertia snort[8569]: Decoding Raw IP4


I'm not familier with snort, but some googling gave me this thread.
#633066 - snort: Decoding raw packets assumes IPv4 packet - Debian Bug report logs

I think this is related. Hopefully this is enough information for you guys to fix IPS with IPv6.

For now I'll do with IPS disabled but I would really like to enable it again before 9.000 final [;)]

2012:04:11-21:40:11 firewall httpproxy[32001]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.255.50" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2937" request="0xfa26b90" url="thestir.cafemom.com/.../11yearold_girl_who_gave_birth
2012:04:11-21:40:11 firewall httpproxy[32001]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.255.50" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2599" request="0xfa26b90" url="thestir.cafemom.com/.../Wiki"
2012:04:11-21:40:23 firewall httpproxy[32001]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.255.50" dstip="173.194.73.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="188" request="0xab922600" url="www.google.com/.../search
2012:04:11-21:40:23 firewall httpproxy[32001]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.255.50" dstip="69.60.11.100" user="" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="231" request="0xf97a870" url="cafemom.com/.../html"
2012:04:11-21:40:23 firewall httpproxy[32001]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.255.50" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2569" request="0xf782440" url="www.cafemom.com/" exceptions="" error="Host not found" category="195" reputation="neutral" categoryname="Social Networking"
2012:04:11-21:40:28 firewall httpproxy[32001]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.255.50" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2569" request="0xf782440" url="www.cafemom.com/" exceptions="" error="Host not found" category="195" reputation="neutral" categoryname="Social Networking"
2012:04:11-21:40:32 firewall httpproxy[32001]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.255.50" dstip="173.194.73.147" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="128" request="0xf702758" url="www.google.com/.../search
2012:04:11-21:40:35 firewall httpproxy[32001]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.255.50" dstip="69.60.11.100" user="" statuscode="301" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="231" request="0xf97a870" url="cafemom.com/.../html"
2012:04:11-21:40:35 firewall httpproxy[32001]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.255.50" dstip="" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2569" request="0xf782440" url="www.cafemom.com/" exceptions="" error="Host not found" category="195" reputation="neutral" categoryname="Social Networking"

Only has issues with http proxy on.  turn it off and it works fine.