[8.960][BUG] IPv6 with Sixxs Tunnelbroker not working - wrong gateway

Hi,

i don't know if that is a bug or a configuration issue, so i didn't tag that thread.

basically, i have a working sixxs tunnel, my clients are getting an ipv6 address, but with the wrong gateway. i followed the instructions from here (+ next post) to setup the tunnelbroker.

tunnel is up, but i can't get IPv6 Websites, DNS, pings, and so on from the clients or the UTM self. 

that is what my client gets: 

IPv6-Adress: 2001:6f8:RANDOM-IP

Temporary IPv6-Adress: 2001:6f8:RANDOM-IP

Local IPv6-Adress: fe80::ecbb:c7df:f138:2aee%12

IPv6-Standardgateway: fe80::7271:b1ff:fe08:af35%12

IPv6-DNS-Server: 2001:6f8:IP-OF-THE-UTM

Gateway looks like the WAN-Interface of UTM, which has no IPv6 assigned, only the internal interface as described in the instructions above. 

utm:/home/login # ip -6 route show default

default via fe80::1 dev eth1  proto kernel  metric 1024  expires 118sec

utm:/home/login # ip -6  neigh

fe80::7271:b1ff:fe08:af35 dev eth0 lladdr 20:71:bc:08:af:35 router STALE

fe80::1 dev eth1 lladdr 00:02:7d:5f:3d:39 router STALE

latest UTM beta with IPv6-Fix.

any ideas ?

This is not a Sophos UTM specific thing, nearly all appliance or custom setups using radvd will use link-local address of the gw, even if it has a valid non link-local IP.

I think it is more a 'issue' with spec rather than Sophos UTM, then again all my server boxes are static and I just force it to use a non link-local route.

Hi,

eth1 has no IPv6 address assigned, it is the the gateway for IPv4 to WAN. IPv4 via DHCP from cable modem. it had a local fe80::0 IPv6 address before, i think from setup, i deleted this address. 
eth0 is the internal device, it has a static IPv4 address, and a static IPv6 address (which is in the tunnelbroker subnet).
the aiccu device is up and has link. 

packet filter rules for IPv6 are set, nothing blocked in the logs. from the UTM shell i can ping: clients, wlan-ap, both tunnel endpoints. Same from the clients. I can't ping: any IPv6 adresses in the internet. 

I think, somehow the packets get lost at the UTM, because of a routing problem.

There were no configuration changes at my network, i only did a fresh install of UTM 9 beta - it was ASG 8.303 before. With 8.3 IPv6 tunnel worked like a charm for 400+ days. Something is terribly wrong here, but i can't just figure it out at the moment [;)]

EDIT: tried a tcpdump of the aiccu device at the UTM

tcpdump: WARNING: aiccu: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on aiccu, link-type RAW (Raw IP), capture size 96 bytes
13:23:53.525895 IP6 IPV6-OF-TUNNEL-ENDPOINT > utm: ICMP6, echo request, seq
13:23:53.526169 IP6 utm > IPV6-OF-TUNNEL-ENDPOINT: ICMP6, echo reply, seq 7
13:24:26.907442 IP6 IPV6-OF-WORKSTATION > IPV6-OF-TUNNEL-ENDPOINT: ICMP6, echo request, seq 116, length 40
13:24:26.947946 IP6 IPV6-OF-TUNNEL-ENDPOINT > IPV6-OF-WORKSTATION: ICMP6, echo reply, seq 116, length 40
13:24:53.532089 IP6 IPV6-OF-TUNNEL-ENDPOINT > utm: ICMP6, echo request, seq 7348, length 988
13:24:53.532311 IP6 utm > IPV6-OF-TUNNEL-ENDPOINT: ICMP6, echo reply, seq 7348, length 988

I can see packets from the tunnelbroker, who checks if the tunnel is alive (first and last pair). the middle request&replay is myself pinging the tunnel endpoint at the tunnelbroker. between, i tried to ping ipv6.google.com. while dns resolution works, the ping itself gives a timeout and is not visible for the tcpdump. that seems really to be a routing problem...

Hi,

eth1 has no IPv6 address assigned, it is the the gateway for IPv4 to WAN. IPv4 via DHCP from cable modem. it had a local fe80::0 IPv6 address before, i think from setup, i deleted this address. 
eth0 is the internal device, it has a static IPv4 address, and a static IPv6 address (which is in the tunnelbroker subnet).
the aiccu device is up and has link. 

packet filter rules for IPv6 are set, nothing blocked in the logs. from the UTM shell i can ping: clients, wlan-ap, both tunnel endpoints. Same from the clients. I can't ping: any IPv6 adresses in the internet. 

I think, somehow the packets get lost at the UTM, because of a routing problem.

There were no configuration changes at my network, i only did a fresh install of UTM 9 beta - it was ASG 8.303 before. With 8.3 IPv6 tunnel worked like a charm for 400+ days. Something is terribly wrong here, but i can't just figure it out at the moment [;)]

EDIT: tried a tcpdump of the aiccu device at the UTM

tcpdump: WARNING: aiccu: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on aiccu, link-type RAW (Raw IP), capture size 96 bytes
13:23:53.525895 IP6 IPV6-OF-TUNNEL-ENDPOINT > utm: ICMP6, echo request, seq
13:23:53.526169 IP6 utm > IPV6-OF-TUNNEL-ENDPOINT: ICMP6, echo reply, seq 7
13:24:26.907442 IP6 IPV6-OF-WORKSTATION > IPV6-OF-TUNNEL-ENDPOINT: ICMP6, echo request, seq 116, length 40
13:24:26.947946 IP6 IPV6-OF-TUNNEL-ENDPOINT > IPV6-OF-WORKSTATION: ICMP6, echo reply, seq 116, length 40
13:24:53.532089 IP6 IPV6-OF-TUNNEL-ENDPOINT > utm: ICMP6, echo request, seq 7348, length 988
13:24:53.532311 IP6 utm > IPV6-OF-TUNNEL-ENDPOINT: ICMP6, echo reply, seq 7348, length 988

I can see packets from the tunnelbroker, who checks if the tunnel is alive (first and last pair). the middle request&replay is myself pinging the tunnel endpoint at the tunnelbroker. between, i tried to ping ipv6.google.com. while dns resolution works, the ping itself gives a timeout and is not visible for the tcpdump. that seems really to be a routing problem...