Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 20 replies
  • Subscribers 0 subscribers
  • Views 7096 views
  • Users 0 members are here
Options
Suggested

[8.960][BUG] IPv6 with Sixxs Tunnelbroker not working - wrong gateway

ChrisW28
Hi,

i don't know if that is a bug or a configuration issue, so i didn't tag that thread.

basically, i have a working sixxs tunnel, my clients are getting an ipv6 address, but with the wrong gateway. i followed the instructions from here (+ next post) to setup the tunnelbroker.

tunnel is up, but i can't get IPv6 Websites, DNS, pings, and so on from the clients or the UTM self. 

that is what my client gets:  


IPv6-Adress: 2001:6f8:RANDOM-IP

Temporary IPv6-Adress: 2001:6f8:RANDOM-IP

Local IPv6-Adress: fe80::ecbb:c7df:f138:2aee%12

IPv6-Standardgateway: fe80::7271:b1ff:fe08:af35%12

IPv6-DNS-Server: 2001:6f8:IP-OF-THE-UTM


Gateway looks like the WAN-Interface of UTM, which has no IPv6 assigned, only the internal interface as described in the instructions above.  


utm:/home/login # ip -6 route show default

default via fe80::1 dev eth1  proto kernel  metric 1024  expires 118sec

utm:/home/login # ip -6  neigh

fe80::7271:b1ff:fe08:af35 dev eth0 lladdr 20:71:bc:08:af:35 router STALE

fe80::1 dev eth1 lladdr 00:02:7d:5f:3d:39 router STALE


latest UTM beta with IPv6-Fix.

any ideas ?
  • 0
    Do you have an IPv6 gateway enabled on eth1?
    If yes, please disable them.

    You have sixxs running, so you should see a ipv6 gateway route via the aiccu device.

    Cheers
     Ulrich
  • 0
    Hi,

    i don't know if that is a bug or a configuration issue, so i didn't tag that thread.

    basically, i have a working sixxs tunnel, my clients are getting an ipv6 address, but with the wrong gateway. i followed the instructions from here (+ next post) to setup the tunnelbroker.

    tunnel is up, but i can't get IPv6 Websites, DNS, pings, and so on from the clients or the UTM self. 

    that is what my client gets:  


    IPv6-Adress: 2001:6f8:RANDOM-IP

    Temporary IPv6-Adress: 2001:6f8:RANDOM-IP

    Local IPv6-Adress: fe80::ecbb:c7df:f138:2aee%12

    IPv6-Standardgateway: fe80::7271:b1ff:fe08:af35%12

    IPv6-DNS-Server: 2001:6f8:IP-OF-THE-UTM


    Gateway looks like the WAN-Interface of UTM, which has no IPv6 assigned, only the internal interface as described in the instructions above.  


    utm:/home/login # ip -6 route show default

    default via fe80::1 dev eth1  proto kernel  metric 1024  expires 118sec

    utm:/home/login # ip -6  neigh

    fe80::7271:b1ff:fe08:af35 dev eth0 lladdr 20:71:bc:08:af:35 router STALE

    fe80::1 dev eth1 lladdr 00:02:7d:5f:3d:39 router STALE


    latest UTM beta with IPv6-Fix.

    any ideas ?


    This is not a Sophos UTM specific thing, nearly all appliance or custom setups using radvd will use link-local address of the gw, even if it has a valid non link-local IP.

    I think it is more a 'issue' with spec rather than Sophos UTM, then again all my server boxes are static and I just force it to use a non link-local route.
  • 0 in reply to sjorge
    Hi,

    eth1 has no IPv6 address assigned, it is the the gateway for IPv4 to WAN. IPv4 via DHCP from cable modem. it had a local fe80::0 IPv6 address before, i think from setup, i deleted this address. 
    eth0 is the internal device, it has a static IPv4 address, and a static IPv6 address (which is in the tunnelbroker subnet).
    the aiccu device is up and has link. 

    packet filter rules for IPv6 are set, nothing blocked in the logs. from the UTM shell i can ping: clients, wlan-ap, both tunnel endpoints. Same from the clients. I can't ping: any IPv6 adresses in the internet. 

    I think, somehow the packets get lost at the UTM, because of a routing problem.

    There were no configuration changes at my network, i only did a fresh install of UTM 9 beta - it was ASG 8.303 before. With 8.3 IPv6 tunnel worked like a charm for 400+ days. Something is terribly wrong here, but i can't just figure it out at the moment [;)]

    EDIT: tried a tcpdump of the aiccu device at the UTM


    tcpdump: WARNING: aiccu: no IPv4 address assigned
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on aiccu, link-type RAW (Raw IP), capture size 96 bytes
    13:23:53.525895 IP6 IPV6-OF-TUNNEL-ENDPOINT > utm: ICMP6, echo request, seq
    13:23:53.526169 IP6 utm > IPV6-OF-TUNNEL-ENDPOINT: ICMP6, echo reply, seq 7
    13:24:26.907442 IP6 IPV6-OF-WORKSTATION > IPV6-OF-TUNNEL-ENDPOINT: ICMP6, echo request, seq 116, length 40
    13:24:26.947946 IP6 IPV6-OF-TUNNEL-ENDPOINT > IPV6-OF-WORKSTATION: ICMP6, echo reply, seq 116, length 40
    13:24:53.532089 IP6 IPV6-OF-TUNNEL-ENDPOINT > utm: ICMP6, echo request, seq 7348, length 988
    13:24:53.532311 IP6 utm > IPV6-OF-TUNNEL-ENDPOINT: ICMP6, echo reply, seq 7348, length 988


    I can see packets from the tunnelbroker, who checks if the tunnel is alive (first and last pair). the middle request&replay is myself pinging the tunnel endpoint at the tunnelbroker. between, i tried to ping ipv6.google.com. while dns resolution works, the ping itself gives a timeout and is not visible for the tcpdump. that seems really to be a routing problem...
  • 0
    Can you please enter "rdisc eth1" on the console and post the output?
  • 0 in reply to da_merlin 

    utm:/home/login # rdisc6 eth1

    Soliciting ff02::2 (ff02::2) on eth1...

    

    Hop limit                 :           64 (      0x40)

    Stateful address conf.    :          Yes

    Stateful other conf.      :          Yes

    Router preference         :       medium

    Router lifetime           :          120 (0x00000078) seconds

    Reachable time            :  unspecified (0x00000000)

    Retransmit time           :  unspecified (0x00000000)

     Source link-layer address: 00:01:7D:2F:3D[:D]9

     MTU                      :         1500 bytes (valid)

     from fe80::1
  • 0
    Seems your ISP is announcing itself as IPv6 Default Gateway without providing an IPv6 prefix.
    Please disable the IPv6 Default Gateway checkbox on your eth1 interface and contact your ISP about their misconfiguration...

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    Hi Ulrich,

    IPv6 Default Gateway is disabled on eth1 (i disabled it a few days ago and rebooted the UTM) 


    thor:/home/login # ifconfig eth1

    eth1      Link encap:Ethernet  HWaddr 00:1B:21:62:28:CD

              inet addr:178.27.********  Bcast:178.27.***.255  Mask:255.255.248.0

              inet6 addr: fe80::21b:21ff:fe62:28cd/64 Scope:Link

              UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

              RX packets:5115440 errors:0 dropped:0 overruns:0 frame:0

              TX packets:2461207 errors:0 dropped:0 overruns:0 carrier:0

              collisions:0 txqueuelen:1000

              RX bytes:4657357403 (4441.6 Mb)  TX bytes:373020486 (355.7 Mb)


    Any ideas ? Provider is Kabel Deutschland.

    Chris
  • 0
    What do you get if you enter "ip -6 route show default" ?
  • 0 in reply to da_merlin 

    utm:/home/login # ip -6 route show default

    default via fe80::1 dev eth1  proto kernel  metric 1024  expires 117sec


    [:S]
  • 0
    Ah damnit, the IPv6 default route is installed by kernel.

    Ok will open an ID for that, to set net.ipv6.conf.eth0.accept_ra_defrtr=0
    if the default ipv6 gateway flag is not set.

    Thanks for spotting this one [[:)]]

    Neverthenless, please tell Kabel Deutschland to fix their IPv6 Router Advertisement [[:)]]

    Cheers
     Ulrich
Unfiltered HTML