Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1052 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

no ipv6 traffic

Adri Rijnart
Hi,

I have a ipv6 /48 from my isp and assigned the entire range
AAAA:BBBB:CCCC::1/48 to the External nic and
AAAA:BBBB:CCCC:A::1/64 to my Internal nic.

When I ping to an ipv6 aware host I can see (tcpdump) the packet arrive and sent back at that target host.
At the ASG box I can see (tcpdump) the packet go out and the reply come back but not sent to the original requestor. 

However I do see:
"ICMP6, neighbor solicitation, who has AAAA:BBBB:CCCC:A:30d4:faf5:7532:a0e, length 32"

Anyone who can help me with this? What am I missing to solve this.

Adrie


This thread was automatically locked due to age.
  • 0
    Hi,
    I am a little confused as to why you have applied your full range to your external NIC and a a small range to your internal NIC which is not a subset of your /48.

    Your /48 appears to be a subset of your internal /64 or you have made a typing mistake in your post.

    Ian M
  • 0
    Hi Ian,

    /64 is a subset of /48. The /48 is divided in 65K sets of /64's, so I can slice my internal net in 65K parts. (Actually in IPv4 a /24 is larger than eg. /29).

    Anyway, apart from the math ;-) is there any reason why the packets back do not reach the requestor?


    Adrie
  • 0 in reply to Adri Rijnart
    Hi,
    I understand the relationship and you didn't answer the question.

    What packet filter rules do you have in place?

    When you look at the live packet filter rule while the ping is running what do you see?

    Do you have ping allowed enabled on the ASG?

    Ian M
  • 0
    Hi Ian,

    You are right ;-), here's why I chose this setup: I want the entire /48 routed towards ASG and slice it up internally. The AAAA:BBBB:CCCC:A::/64 is a subset isn't it?

    The rules are:
    Rule 1 Service "ping" From LAN(Network)4+6 to PUB(Network)4+6
    Rules2 - 7 Services: DNS, Terminal Applications, IM, VoIP Protocols, EmailMessaging, Web Surfing From LAN(Network)4+6 to PUB(Network)4+6
    Rule 8 Service: Any From LAN(Network)4+6 to PUB(Network)4+6
    Rule 9 Service: Any From LAN(Network)6 to LAN(Network)4+6

    While to ping is running, nothing is reported related to the ipv6 ping.

    In the ICMP tab I have:
    Global: none
    Ping + Traceroute: all enabled

    Adrie
  • 0 in reply to Adri Rijnart
    Hi,
    you are correct with your subnet.

    Your rules area little bit confusing.

    you only need a one rule to achieve outgoing traffic

    internal network -> any (port) -> any (network) -> allow

    I see you are trying to differentiate traffic by stack type, that isn't required, but if you are using IPv4 you will need a MASQ rule.

    If you look at the definitions you will see that they either have little ipv6 or ipv4 or both icons assigned to them.

    If you have an external IPv6 network you don't need to use the 6to4 or the tunnel broker, just the prefix advertisments. I am not confident, but I suspect you only need the IPv6 stuff when you have an external network that is IPv4 only.

    I use the ASG as my DNS and NTP source and block all DNS and NTP traffic from leaving the ASG.

    I hope that helps some what?

    Ian M
  • 0
    Hi,

    You are right about the rules (The service oriented rules are by default enterred by the installer). The masq rule is in place.

    Route-wise everything, definition-wise and filter-wise everything is ok. I can see the ping from my lan pc going out the asg and arriving at the destination. There the reply arrives at the asg and sollitiation for the initial source are send but no advertisement reply.

    This setup (AAAA:BBBB:CCCC::/48 external and a subset internally) is what I want and if you, or anyone, can help me achieve that........

    Adrie
Cookie Information Banner