Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 41 replies
  • Subscribers 0 subscribers
  • Views 22857 views
  • Users 0 members are here
Options
Suggested

[8.920][BUG] IPv6 connection issues (was: Proxy does not handle dual stack servers!)

sjorge
Since swapping my ASG v8 with v9 beta I'm having problems accessing dual-stack enabled servers.

Servers like my own (blackdot.be) or even astaro.org time out when using the HTTP Proxy. If I disable the IPv6 DNS entry it works fine. So I know it is IPv6 related.

2012:04:10-23:12:16 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2850" request="0x841e5c8" url="http://www.astaro.com/sites/all/themes/yaml/layouts/yaml_astaro/images/en-int/myastaro.png" exceptions="" error="Connection to server timed out"
2012:04:10-23:12:16 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2746" request="0x836ccf0" url="http://www.astaro.com/elqNow/elqCfg.js" exceptions="" error="Connection to server timed out"
2012:04:10-23:12:16 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2746" request="0x836cb88" url="http://www.astaro.com/elqNow/elqImg.js" exceptions="" error="Connection to server timed out"
2012:04:10-23:12:33 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2836" request="0xbcd35198" url="http://www.astaro.com/sites/all/themes/yaml/layouts/yaml_astaro/css/navigations.css" exceptions="" error="Connection to server timed out"
2012:04:10-23:12:33 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2742" request="0xbcd06768" url="http://www.astaro.com/misc/jquery.js" exceptions="" error="Connection to server timed out"
2012:04:10-23:12:33 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2850" request="0x830fb68" url="http://www.astaro.com/sites/all/themes/yaml/layouts/yaml_astaro/images/en-int/myastaro.png" exceptions="" error="Connection to server timed out"
2012:04:10-23:12:34 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2746" request="0x834f060" url="http://www.astaro.com/elqNow/elqCfg.js" exceptions="" error="Connection to server timed out"
2012:04:10-23:12:34 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2746" request="0x830fe38" url="http://www.astaro.com/elqNow/elqImg.js" exceptions="" error="Connection to server timed out"
2012:04:10-23:13:34 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2742" request="0x830fb68" url="http://www.astaro.com/misc/jquery.js" exceptions="" error="Connection to server timed out"
2012:04:10-23:14:14 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2001:1938:81:164::2" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2708" request="0x834f768" url="http://blackdot.be/" exceptions="" error="Connection to server timed out"
2012:04:10-23:14:35 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2746" request="0x834f060" url="http://www.astaro.com/elqNow/elqCfg.js" exceptions="" error="Connection to server timed out"
2012:04:10-23:14:35 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="2001:6f8:1480:15:11a8:c2f0:eb92[:D]869" dstip="2a02:788:12:38::5" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2850" request="0x830fb68" url="http://www.astaro.com/sites/all/themes/yaml/layouts/yaml_astaro/images/en-int/myastaro.png" exceptions="" error="Connection to server timed out"
2012:04:10-23:14:43 inertia httpproxy[10369]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="172.16.15.111" dstip="2001:1938:81:164::2" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2708" request="0x83a3300" url="http://www.blackdot.be/" exceptions="" error="Connection to server timed out" 
Parents
  • 0
    Ok good to hear that this was not on our side [:)]

    Was caused by the following snort configuration options:
    -# Inline packet normalization. For more information, see README.normalize
    -# Does nothing in IDS mode
    -preprocessor normalize_ip4
    -preprocessor normalize_tcp: ips ecn stream
    -preprocessor normalize_icmp4
    -preprocessor normalize_ip6
    -preprocessor normalize_icmp6

    Snort sees IPv6 Tunnel Broker packets twice (once as IPv6 and once as IPv4 encapsulated). You Sixxs encapsulation mode was 6in4, so snort was able to process the encapsulated IPv6 packet a second time. Above configuration dropped duplicated packages.

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    I'm still seeing some odd IPv6 stops working at times.
    I suspect this is related to virtualbox, will migrate back to ESXi this weeken.

    Will keep updating this.
Reply Children
  • 0 in reply to sjorge
    VBox isn't the issue.

    After a while ipv6, stops working.
    Tunnel is still online, but all ipv6 stuff fails [:(] 

    tauron ~ # ping6 ipv6.google.com 

    PING ipv6.google.com(par08s09-in-x12.1e100.net) 56 data bytes

    From 2001:6f8:1480:30:225:22ff:fe1e:41dc icmp_seq=2 Destination unreachable: Address unreachable



    2012:05:06-00:40:10 inertia ipv6_watchdog[4188]: Starting IPv6 address watchdog

    2012:05:06-00:40:13 inertia aiccu[4463]: AICCU running as PID 4463

    2012:05:06-00:40:13 inertia aiccu[4463]: Couldn't resolve host tic.sixxs.net, service 3874

    2012:05:06-00:40:40 inertia aiccu[4463]: Couldn't resolve host tic.sixxs.net, service 3874

    2012:05:06-00:40:41 inertia radvd[5716]: version 1.8.3 started

    2012:05:06-00:40:56 inertia aiccu[4463]: Succesfully retrieved tunnel information for T22838

    2012:05:06-00:40:57 inertia radvd[5717]: attempting to reread config file

    2012:05:06-00:40:57 inertia radvd[5717]: resuming normal operation

    ...

    2012:05:06-16:42:29 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:29 inertia radvd[5717]: resetting ipv6-allrouters membership on eth3

    2012:05:06-16:42:29 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:29 inertia radvd[5717]: resetting ipv6-allrouters membership on eth4

    2012:05:06-16:42:29 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:29 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:29 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:29 inertia radvd[5717]: resetting ipv6-allrouters membership on eth4

    2012:05:06-16:42:29 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:29 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:29 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:29 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:29 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:29 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:29 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:30 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth3

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:30 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth3

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth4

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:30 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth3

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth2

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth4

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:30 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth3

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth2

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth4

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:30 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:30 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth3

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth2

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resetting ipv6-allrouters membership on eth4

    2012:05:06-16:42:30 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:30 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:33 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:33 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:33 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:33 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:33 inertia radvd[5717]: resetting ipv6-allrouters membership on eth3

    2012:05:06-16:42:33 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:33 inertia radvd[5717]: resetting ipv6-allrouters membership on eth2

    2012:05:06-16:42:33 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:33 inertia radvd[5717]: resetting ipv6-allrouters membership on eth4

    2012:05:06-16:42:33 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:33 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:33 inertia radvd[5717]: attempting to reread config file

    2012:05:06-16:42:33 inertia radvd[5717]: no linklocal address configured for eth4

    2012:05:06-16:42:33 inertia radvd[5717]: no linklocal address configured for eth2

    2012:05:06-16:42:33 inertia radvd[5717]: no linklocal address configured for eth3

    2012:05:06-16:42:33 inertia radvd[5717]: resetting ipv6-allrouters membership on eth3

    2012:05:06-16:42:33 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:33 inertia radvd[5717]: resetting ipv6-allrouters membership on eth2

    2012:05:06-16:42:33 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:33 inertia radvd[5717]: resetting ipv6-allrouters membership on eth4

    2012:05:06-16:42:33 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:33 inertia radvd[5717]: resuming normal operation

    2012:05:06-16:42:33 inertia radvd[5717]: poll error: Interrupted system call

    2012:05:06-16:42:33 inertia radvd[5717]: Exiting, sigterm or sigint received.

    2012:05:06-16:42:33 inertia radvd[5717]: resetting ipv6-allrouters membership on eth3

    2012:05:06-16:42:33 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:33 inertia radvd[5717]: resetting ipv6-allrouters membership on eth2

    2012:05:06-16:42:33 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:33 inertia radvd[5717]: resetting ipv6-allrouters membership on eth4

    2012:05:06-16:42:33 inertia radvd[5717]: sendmsg: Network is unreachable

    2012:05:06-16:42:44 inertia aiccu[2775]: AICCU running as PID 2775

    2012:05:06-16:42:45 inertia radvd[2834]: version 1.8.3 started

    2012:05:06-16:42:48 inertia aiccu[2775]: Succesfully retrieved tunnel information for T22838

    2012:05:06-16:42:48 inertia radvd[2836]: attempting to reread config file

    2012:05:06-16:42:48 inertia radvd[2836]: resuming normal operation

    ...

    2012:05:06-16:42:49 inertia radvd[2836]: attempting to reread config file

    2012:05:06-16:42:49 inertia radvd[2836]: resuming normal operation
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?