Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 1488 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPv6 Whitepaper/Beispiel Info gesucht ...

mipo
Hallo,

ich versuche im Moment meine (Demo) ASL V8.000 für IPv6 flott zu machen. Vor der ASL hängt ein Router der mir ein IPv6 /48er Netz native bereitstellt. An einem Routerinterface habe ich die ASL mit einem /64er Netz hängen.

Beispiel Konfiguration (IP Adressen bisschen verfremdet)

ASL External Interface:  20a2:7c0:10:1::2
                          NM:  64
                          GW:  20a2:7c0:10:1::1           => Router 1::1

ASL Internal Interface:  20a2:7c0:10:2::2
                          NM:  64
                          GW:  ::

Die Arbeitsplätze hängen am Internal Interface 20a2:7c0:10:2::10 + 20a2:7c0:10:2::11

Vom Arbeitsplatz kann ich problemlos das 20a2:7c0:10:2::2 Interface anpingen "ping -6 20a2:7c0:10:1::2 und 20a2:7c0:10:2::2" aber eben nicht 20a2:7c0:10:1::1
Ich komme natürlich auch nicht ins Internet über IPv6 ...

Eine Paket Filter Regel habe ich gesetzt: 
Source:        Any IPv6
Service:       Any
Destination:  Any IPv6
             
Wo mache ich hier wohl einen Denkfehler? NAT gibt es ja bei IPv6 nicht, do wo definiere ich das Routing in die einzelnen Netze?

vG Michael


This thread was automatically locked due to age.
  • 0
    Hi Michael,

    scheint, als hätten Deine Arbeitsplätze keine adäquaten IPv6 Routen gesetzt.
    Tip: distributiere das v6 /64 Netz per Prefix Advertisement, dann sollten Deine Clients ein IPv6 Default Gateway bekommen.

    Ansonsten, kann die ASG denn selbst via IPv6 ins Internet (siehe Support-Tools-Ping)?

    LG
    Christian
  • 0
    Hallo Christian,

    gerade, die automatische Zuteilung per Prefix Advertisement möchte ich eigentlich vermeiden. Ja, die ASG selbst kann (per Kommandozeile) ins IPv6 Internet.

    Von den Arbeitsplätzen heraus kann ich die External ASG 1::2 und Internal ASG 2::2 anpingen, aber nicht das Router Interface 1::1

    Ja, aus Richtung Firewall komme ich problemlos ins IPv6 Internet. Was offensichtlich nicht funktioniert, ist das Routing zwischen Extern und Intern Interface der ASG.

    Eine Idee?

    vG Michael
  • 0
    Hallo Michael,

    wie sieht denn Deine Routing Table für IPv6 auf Deinen Clients aus? Was sagt das Paketfilter-Log der ASG?

    Liebe Grüße
    Christian
  • 0
    Hallo Christian,

    ich habe beim Client die 2::2 = Intern Interface der ASL als Gateway angegeben. Müsste
    doch stimmen. In der Paket Filte Rule schlägt ein "grünes" Paket Typ 58 auf. Wird auf die 1:1 weitergeleitet, denke aber er bekommt keine Antwort.

    Frage wie sieht das Routin eigentlich aus? Muss hier noch etwas "von Hand" gemacht werden?

    vG Michael
  • 0
    Zusatz:

    Aus dem Internet (VServer der IP v6 "kann") erreiche ich das ASL 1::2 Interface per ping6, aber nicht das 2::2 Interface. Benötige ich in der ASL noch eine Static Route? Vom Router erreiche ich das 2::2 Interface auch nicht ...

    vG Michael
  • 0
    Hi Michael,

    sieht so aus als würde der Router vor der ASG nicht die Pakete an die ASG weiterleiten.
    Hast du eine Route für das Prefix auf dem Router zur ASG installiert?

    Schöne Grüße
     Ulrich
  • 0
    Hallo da_merlin,

    hm. eigentlich schon ...

    Auf dem Router ...
    /sbin/ip -6 addr add 20a2:7c0:10:1::2/64 dev eth1
    /sbin/ip -6 addr add 20a2:7c0:10:2::2/64 dev eth1

    Mit obiger Route komme ich wenigstens schon einmal auf das 2::2 Interface. Doch
    im Endeffekt möchte ich ja ganze Netze routen, nicht jede Adresse einzeln ...

    /sbin/ip -6 addr add 20a2:7c0:10:1::/64 dev eth1
    /sbin/ip -6 addr add 20a2:7c0:10:2::/64 dev eth1

    Das scheint logisch zu sein, funktioniert aber nicht ...

    Noch eine Idee?

    vG Michael
  • 0
    Hallo Michael,

    du hast hier "ip -6 route" mit "ip -6 addr" verwechselt.
    Der richtige Aufruf muss heissen: "ip -6 route add 20a2:7c0:10:2::/64 via 20a2:7c0:10:1::2"

    Schöne Grüße
     Ulrich
  • 0
    Hallo Ulrich,

    danke Dir für den hilfreichen Tip! Funktioniert jetzt tadellos!!


    Nochmals zum Verständnis:
    Ich gehe doch Recht in der Annahme, dass ich je Interface in der Astaro ein IPv6 Netz
    abbilden kann/muss. Also Interface eth0 = 1::2, eth1 = 2::2 usw. Der Paketfilter greift
    nur zwischen den Netzen. Also analog der IPv4 Geschichte. Es spricht in meiner Logik
    dagegen, dass ich ja einen gewaltigen Adressraum je /64er Netz habe. Da macht es
    keinen Sinn, diesen nur an ein Interface zu binden.

    vG Michael
  • 0
    Hallo Ulrich,

    kann die Astaro auch über den http Proxy mit IPv6 "umgehen"? 

    vG Michael