Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 803 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Native IPv6 configuration ASG v8

kuffer
Hi all,

i am just trying to implement Native IPv6 on our ASG220 with firmware 8.003. 

First of all i try to explain my situation:

Our ISP offers IPv6 and assigned us an /48 IPv6 subnet: 2001:***x:***::/48 with a gateway ip 2001:***x:***::1/48.

So i configured on the external interface the ip 2001:***x:***::2/48 with the gateway 2001:***x:***::1/48

After that i was able to ping the gateway ip from the astaro. I also was able to ping IPv6 Hosts on the internet

Now i configured an IPv6 address on the internal interface: 2001:***x:***:***x::1/64 (i just subneted the assigned IPv6 subnet)
Then i configured IPv6 prefix assignment bounded to the internal interface. After that the internal host got his IPv6 address automatically.
I also added a rule for internal with any service to Internet v6.

Now my problem is i can not connect from any internal host to the internet using IPv6.

From the astaro Firewall  i can ping any IPv6 hosts in the internet. I also can ping the internal IPv6 address of the internal astaro interface. But i can not ping an internal IPv6 host.

On the other hand i can pin from the internal IPv6 host my internal default gateway. I can also ping the external IPv6 address of the astaro. But i can not ping th default IPv6 address of the external interface.

Did i do anything wrong with the IPv6 assignement? Did anyone configure native IPv6 successfully?


This thread was automatically locked due to age.
Parents
  • 0
    Hi kuffer,
    looks okay, except I don't think you need the prefix advertisements, I think that is for when you are using a mix of IPv6 and IPv4 and IPv4 on the external interface with tunnels etc.

    Do you have logging enabled on your pf rule?

    What do the packet filter logs show while you are trying to connect?

    Ian M
  • 0 in reply to RFCat_vk_01
    @kuffer

    your problem is that you don't have a demarcation network.
    if you assing the whole /48 IPv6 range between your isp an you so there are no more IPv6 addresses to use internal!

    your isp has to configure a demarcation net (at least a /126 -> 3 hosts) and route your /48 to your gateway (your asg).  

    kind regards from switzerland
    Alain
  • 0 in reply to akeusen
    Hi all,

    I also added a rule for internal with any service to Internet v6.

    Now my problem is i can not connect from any internal host to the internet using IPv6.

    Did i do anything wrong with the IPv6 assignement? Did anyone configure native IPv6 successfully?


    Your config is right so far, did your FW Rule Aply to the Internal(Address) or the Internal (Network), just to clear this ? 

    @kuffer

    your problem is that you don't have a demarcation network.
    if you assing the whole /48 IPv6 range between your isp an you so there are no more IPv6 addresses to use internal!

    your isp has to configure a demarcation net (at least a /126 -> 3 hosts) and route your /48 to your gateway (your asg).  

    kind regards from switzerland
    Alain


    No, what you describe is when you use the aiccu Client then it is a routed IPv6 network through the AICCU-Client set on a IPv4 Link.
    The Problem is here the Native configuration.

    I just figure out that there might be a problem with the configured default gateway for IPv6.
    If the Astaro can Ping anyhost thats why the ASG have a presence in every v6 LAN. 
    But your ASG doesn't route the internal Lan to the IPv6 GW of your Provider.
Reply
  • 0 in reply to akeusen
    Hi all,

    I also added a rule for internal with any service to Internet v6.

    Now my problem is i can not connect from any internal host to the internet using IPv6.

    Did i do anything wrong with the IPv6 assignement? Did anyone configure native IPv6 successfully?


    Your config is right so far, did your FW Rule Aply to the Internal(Address) or the Internal (Network), just to clear this ? 

    @kuffer

    your problem is that you don't have a demarcation network.
    if you assing the whole /48 IPv6 range between your isp an you so there are no more IPv6 addresses to use internal!

    your isp has to configure a demarcation net (at least a /126 -> 3 hosts) and route your /48 to your gateway (your asg).  

    kind regards from switzerland
    Alain


    No, what you describe is when you use the aiccu Client then it is a routed IPv6 network through the AICCU-Client set on a IPv4 Link.
    The Problem is here the Native configuration.

    I just figure out that there might be a problem with the configured default gateway for IPv6.
    If the Astaro can Ping anyhost thats why the ASG have a presence in every v6 LAN. 
    But your ASG doesn't route the internal Lan to the IPv6 GW of your Provider.
Children
No Data