Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 46 replies
  • Subscribers 0 subscribers
  • Views 27974 views
  • Users 0 members are here
Options
Suggested

[8.980][ANSWERED]How to stop IPv6 from being NAT'ed

RFCat_vk_01
Currently my network has a native IPv6 connection.
If I turn MASQ off , the IPv6 still works, good, but IPv4 doesn't, bad.

If I have MASQ on the IPv6 addresses for the internal devices all go out on the same IPv6 address which is the external IPv6 address.

How do I provide IPv4 nat'ing and omit IPv6?

Ian
  • 0
    There are a couple of things here which are unrelated to this topic.
    Please open another thread if there are still issues [:)]

    a) multipath rules are currently NOT working for IPv6. Maybe in v9.1 we get support for IPv6,
    but IF we get this feature running it will ONLY work with MASQUERADING. You can't send IPv6 addresses from Provider A over the link of Provider B, they will be dropped by Provider B...

    b) if you have only one IPv6 provider, you should have only one IPv6 default gateway route and should not need any policy routes for IPv6

    c) please check, that your IPv6 clients have addresses from the range your IPv6 provide gave you and your provider routes this prefix to your ASG

    Cheers
     Ulrich
  • 0
    There are a couple of things here which are unrelated to this topic.
    Please open another thread if there are still issues [:)]

    a) multipath rules are currently NOT working for IPv6. Maybe in v9.1 we get support for IPv6,
    but IF we get this feature running it will ONLY work with MASQUERADING. You can't send IPv6 addresses from Provider A over the link of Provider B, they will be dropped by Provider B...

    b) if you have only one IPv6 provider, you should have only one IPv6 default gateway route and should not need any policy routes for IPv6

    c) please check, that your IPv6 clients have addresses from the range your IPv6 provide gave you and your provider routes this prefix to your ASG

    Cheers
    Ulrich


    So are you saying when ipv6 I's implemented we won't have to use nat if we have one provider?  With ipv6 there's no reason for Nat really..it really is poor security

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    it really is poor security


    That's why have a single, easy button that allows you turn it off completely ;-)

    Cheers,
    Kai
  • 0 in reply to kbr
    Hi Ulrich,
    your answer in a) above contradicts the configuration you sent me in a PM about multi-path and IPv6 and that is what I have been trying to get to work.
    I only have one IPv6 provider and the assigned IPv6 address range works with a NAT in place.

    Ian
  • 0
    Hi Ulrich,
    your answer in a) above contradicts the configuration you sent me in a PM about multi-path and IPv6 and that is what I have been trying to get to work.
    I only have one IPv6 provider and the assigned IPv6 address range works with a NAT in place.

    Ian


    But it doesn't work without NAT correct?

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0 in reply to William Warren
    Hi William,
    if you have one ISP that provides both IPv4 and IPv6 then you do not need a NAT for IPv6.

    Ian.[[[:)]]][[[:)]]][[[:)]]]
  • 0
    If you have TWO IPv6 uplinks you can choose between:
     a) Not NAT'ing and having some clients having IP addresses from Provider A and some from Provier B. But you get not failover once Provider A or Provider B is down. Who wants that ?! Yes you can have ONE Prefix and run BGP, so you get failover. But thats pretty expensive...
     b) same as solution A but NAT to the right prefix once Provider A or Provider B is down
     c) use NAT (1:n or 1:1) all the time and have the possibility with multi path rules to route traffic based much more granular. But again, this is not YET implemented, see 9.1 beta for that.

    @RFCat_vk: Can you post my PM message here or PM they to me again? Can find them in my outbox, maybe I deleted it already.

    @RFCat_vk: Your Provider assigned you a SEPERATE IPv6 Address Prefix range, which you can use for your internal clients? E.g. External 2000::2/64 and Internal 3000::/56?

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    Hi Ulrich,
    my apologies the PM was from Cristof. I have part of the message which I have included below. There is an error in it, but that was originally posted with it.

    Any IPv6 --> Any --> Any IPv6 --> internode (by Destination)
    internode --> Any IPv6 --> Any --> Any IPv6 (by Source)
    Any IPv4 --> Any --> Any IPv4 --> Big Bad World (by Destination)
    Big Bad World --> Any IPv4 --> Any --> Any IPv4 (by Destination)

    My IPv6 provider has assigned me a 2001::/56

    Ian
  • 0
    Ok, as I already stated a couple of times multipath rules will not work for IPv6 yet.
    But since you have only ONE IPv6 uplink you should not need them for IPv6 traffic.

    You wrote that it works with NAT enabled but not with NAT disabled.
    This sounds for me like there is a problem with your assigned /56 prefix.
    Please tcpdump and verify you can receive packets from the /56 prefix from your ISP.

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    I did ask this question in another thread, because if I replace the UTM with a IPv6 aware modem/router the 2001::/56 appears. I can't remember if the 2001::/56 appears when only a single ADSL service is connected, I will try again tomorrow morning when the house internet is asleep.

    Ian
Unfiltered HTML