Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 14 replies
  • Subscribers 0 subscribers
  • Views 2794 views
  • Users 0 members are here
Options
Suggested

[8.960][ANSWERED] IPv6 unusable again

sjorge
Hi All,

After updating to 8.960-9, IPv6 is unusable again.
I tried the old trick of turning of IPS and/or web filtering but no effect.
This effects my servers and workstation that had a perfectly OK connect before the upgrade. ( I did reboot one server and the workstation, didn't help either)

According to the firewall log the packets are all being dropped: 
21:05:38 	Default DROP 	TCP 	

2001:6f8:1480:30::25 	: 	60909

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=80 	srcmac=2:8:20:aa:ea:74 	dstmac=0:50:56:ab:52:e8

21:05:39 	Default DROP 	TCP 	

2001:6f8:1480:30::25 	: 	60909

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=80 	srcmac=2:8:20:aa:ea:74 	dstmac=0:50:56:ab:52:e8

21:05:41 	Default DROP 	TCP 	

2001:6f8:1480:30::25 	: 	60909

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=80 	srcmac=2:8:20:aa:ea:74 	dstmac=0:50:56:ab:52:e8

21:05:42 	Default DROP 	TCP 	

2001:6f8:1480:30::25 	: 	42246

	→ 	

2001:6f8:334:0:5054:ff:fec4:ca99 	: 	6667

	

[SYN] 	len=80 	srcmac=2:8:20:aa:ea:74 	dstmac=0:50:56:ab:52:e8

21:05:46 	Default DROP 	TCP 	

2001:6f8:1480:30::25 	: 	60909

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=80 	srcmac=2:8:20:aa:ea:74 	dstmac=0:50:56:ab:52:e8

21:05:48 	Default DROP 	TCP 	

2001:6f8:1480:30::25 	: 	39120

	→ 	

2001:1418:13:1::25 	: 	7000

	

[SYN] 	len=80 	srcmac=2:8:20:aa:ea:74 	dstmac=0:50:56:ab:52:e8

21:05:55 	Default DROP 	TCP 	

2001:6f8:1480:30::25 	: 	60909

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=80 	srcmac=2:8:20:aa:ea:74 	dstmac=0:50:56:ab:52:e8


ssh example from solaris server. 

21:06:56 	Default DROP 	TCP 	

2001:6f8:1480:15:48da:790:350d:15b0 	: 	52854

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=84 	srcmac=e4:ce:8f:a[:D]b:a8 	dstmac=0:50:56:ab:52:ea

21:06:57 	Default DROP 	TCP 	

2001:6f8:1480:15:48da:790:350d:15b0 	: 	52854

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=84 	srcmac=e4:ce:8f:a[:D]b:a8 	dstmac=0:50:56:ab:52:ea

21:06:58 	Default DROP 	TCP 	

2001:6f8:1480:15:48da:790:350d:15b0 	: 	52854

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=84 	srcmac=e4:ce:8f:a[:D]b:a8 	dstmac=0:50:56:ab:52:ea

21:06:59 	Default DROP 	TCP 	

2001:6f8:1480:15:48da:790:350d:15b0 	: 	52854

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=84 	srcmac=e4:ce:8f:a[:D]b:a8 	dstmac=0:50:56:ab:52:ea

21:07:00 	Default DROP 	TCP 	

2001:6f8:1480:15:48da:790:350d:15b0 	: 	52854

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=84 	srcmac=e4:ce:8f:a[:D]b:a8 	dstmac=0:50:56:ab:52:ea

21:07:02 	Default DROP 	TCP 	

2001:6f8:1480:15:48da:790:350d:15b0 	: 	52854

	→ 	

2001:1938:81:164::2 	: 	22

	

[SYN] 	len=84 	srcmac=e4:ce:8f:a[:D]b:a8 	dstmac=0:50:56:ab:52:ea


Same from freshly rebooted workstation.


So it should be allowed.

PS: access for you guys is still enabled.
Parents
  • 0
    @Ian:  Mine is populated, as it should be.  This may be something that is broker specific.

    Poor Ulrich will need to tear some more hair out over this one.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    @Ian:  Mine is populated, as it should be.  This may be something that is broker specific.

    Poor Ulrich will need to tear some more hair out over this one.


    Some more information. I switched to hardware to run Astaro yesterday.
    I redid my config from scratch on 8.960-9 + patches provided.

    Everything worked. Upgrade to the latest, everything broke.
    Reinstalled 8.960-9 and restore config form 8.965-7.... also broke :/
    Restore config from 8.960-9, everything working.

    After some digging I found out the config of 8.965-7 had IPv6 Gataway option ticked on ALL interface that where internet facing. Unchecking them fixes it in 8.960-9. Not sure about 8.965-7, didn't have time to re-upgrade and try.

    Confirmed!
    Same fix works on 8.965-7, I guess if a tunnel is enabled.. the default ipv6 gw checkbox should be cleared and disabled on all other interfaces?
Reply
  • 0 in reply to Scott_Klassen
    @Ian:  Mine is populated, as it should be.  This may be something that is broker specific.

    Poor Ulrich will need to tear some more hair out over this one.


    Some more information. I switched to hardware to run Astaro yesterday.
    I redid my config from scratch on 8.960-9 + patches provided.

    Everything worked. Upgrade to the latest, everything broke.
    Reinstalled 8.960-9 and restore config form 8.965-7.... also broke :/
    Restore config from 8.960-9, everything working.

    After some digging I found out the config of 8.965-7 had IPv6 Gataway option ticked on ALL interface that where internet facing. Unchecking them fixes it in 8.960-9. Not sure about 8.965-7, didn't have time to re-upgrade and try.

    Confirmed!
    Same fix works on 8.965-7, I guess if a tunnel is enabled.. the default ipv6 gw checkbox should be cleared and disabled on all other interfaces?
Children
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?