Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 6334 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPv6 questions

jonf_01
Greetings,

I have read recently that so-called 'World IPv6 Day' has been declared for 8th June this year, and I notice that ASG v8 is meant to support this new standard.  Before I jump on this bandwagon I have a couple of questions:

- If I were to enable IPv6 on my ASG right now, what would happen to my existing IPv4 infrastructure?  Would I have to reassign new IP addresses to all my existing devices with static IPv4 mappings, or can I still run IPv4 devices in parallel?

- I'm assuming the IPv6 implementation in ASG is only for internal devices, correct?  If not how will this affect web browsing?

- How will switching to IPv6 affect VPN connections?  Will the client machine have to be IPv6-enabled to connect and get an IP address from the VPN pool, or will this still function under the existing protocol through some sort of NAT-type functionality?

I guess to sum up, the main question I'm asking is whether IPv6 is backwards compatible with IPv4.

Any help would be appreciated.  Thanks.


Regards,

Jon.


This thread was automatically locked due to age.
  • 0
    1) Your best way of testing is through external port scanners.  Other than that, review your PF rules to minimize usage of very broad entries like Any.  For ping, check settings in Network Security>Packet Filter>ICMP.
     
    2) I'm not certain if the ICMP area of Astaro is IPv6 aware yet, there a few that aren't. If you need to, you can always allow with a Packet Filter rule.
     
    3) Seems to me that the tunnel broker connection can only works over a single WAN interface at a time (it will fail over automatically), so multipath rules probably wouldn't do any good. I could be wrong though.
  • 0
    1) Ping is disabled in ICMP, yet I still appear to be able to ping internal nodes.  I have no "allow" on any external -> internal traffic either.

    2) More specifically, ff02::1 is some sort of multicast address.  What is fe80::1838:80:1d4:1?  I can't find it anywhere.  The nearest I see is :2?


    aiccu     Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
              inet6 addr: fe80::1838:80:1d4:2/64 Scope:Link
              inet6 addr: 2001:1938:80:1d4::2/64 Scope:Global
              UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1280  Metric:1
              RX packets:13597 errors:0 dropped:0 overruns:0 frame:0
              TX packets:6350 errors:0 dropped:0 overruns:0 carrier:0
              collisions:0 txqueuelen:500
              RX bytes:7159912 (6.8 Mb)  TX bytes:887055 (866.2 Kb)


    3)  Question #3 was more long term. I think the tunnel will failover, but haven't tested it yet. But, if there is no NAT and the internal nodes all get their address based on the external prefix, is there anyway for the simple minded failover I am currently using to work?  Seams failover would require new IPv6 addresses for all the internal nodes.
  • 0
    1)  We can try a different tactic.  See what happens if you create a new PF rule to block IPV6 ICMP and place it high in the order.
     
    2)  Any IPv6 address that begins with ff is multicast.  fe80... is going to be a link local address and is most likely a built-in loopback.  Take a look in the Support>Advanced tabs and you'll probably find it.
     
    3)  The tunnel does failover, at least for me.  I'm using Cable and DSL as well.  One of the main driving factors to IPV6 is to give each and every device an internet routable address with no NAT.  Create an IPv6 DHCP server in Astaro to give addresses to your LAN clients from your assigned tunnel broker subnet.  You can assign static DHCP mappings as necessary for your servers.  As far as ease of use goes, the tools will get better as time goes on and eventually we'll all get used to it.  Personally, I can remember my external IPv4 addresses off the top of my head without even thinking about it, but I couldn't tell you the IPv6 addresses without looking...PITA.
  • 0
    I know the feeling on remembering IPv6 addresses.  I have quite a few ipv4 addresses memorized.  Not so good with ipv6.

    I finally figured out that the two ipv6 addresses that are showing up are each side of the tunnel.  The :1 is their side, the :2 is my side.

    So, I thought it might be polite to accept those packets.  I tried adding an "allow" for port 58 for any ipv6 address to any ipv6 address.  They are still showing up as being dropped by "Default DROP".

    Then, I went back to one of the ping web sites.  I could ping one of my internal nodes (at least it thinks I can) and they don't end up in the packet filter log.  I tried adding at the top of the list a "DROP" for port 58 and ping still worked.  Then I added a DROP from Any IPv6 -> Any -> Any IPv6.  Still ping worked from the external website to one of my internal addresses.

    Looking back at the packet filter log again - "58" is in the TYPE field.  Is that the problem?

    Am I missing something?
  • 0
    Hi,

    you probably mean Protocol 58, not port, which is ICMPv6.
    Version 8.200 will add support for ICMPv6 packet filter rules,
    until that you have to create IP protocol filter based on protocol 58.

    Cheers
     Ulrich
  • 0
    Yes - you are right.  My terminology is terrible, totally new to ipv6 and trying to learn. Sorry.

    How do I do that?  Is it possible with current rev of Astaro?
  • 0
    Hi, try creating a new Service Definition for IP protocol 58.

    Barry
  • 0
    Not listed in the "type" field.  I guess I will wait for 8.200 to continue playing...