Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1618 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Oddity with web proxy and IPv6 tunnel broker address

dswartz
So I got my sixxs IPv6 subnet and set it up on my ASG with a prefix advertisement, and lo and behold, my various linux hosts (and my windows 7 workstation) get the expected IPv6 addresses.  I then went to one of the IPv6 testing sites and was surprised to see that the address reported is NOT the host's IPv6 address, but rather, the IPv6 address of my end of the sixxs tunnel.  I am not surprised that the IPv6 address is not the real host address, since it is being proxied by the ASG, I am surprised that the IPv6 address on the ASG is not the one assigned to the internal NIC, but the local end of the sixxs tunnel.  This is not causing any problem - I'm mostly curious why this is happening.  Any thoughts?


This thread was automatically locked due to age.
  • 0
    The end of the tunnel is essentially the gateway address for you to use IPv6 and any IPv6 connunication MUST go through the tunnel, so it really isn't like having true native IPv6.
  • 0
    I don't believe this is an accurate description of the situation.  If I disable web proxy, the remote site correctly reports the IPv6 address of the host running the browser (sorry, I should have mentioned this in the first place...)
  • 0
    I use Freenet6 and that's basically how it works.  
     
    I much prefer the service from Hurricane Electric due to the high level of configurability, but it's not supported by Astaro.  
     
    Sixxs may have their tunnel setup to work differently.  I'd say go to Sixxs and take a look through their Documentation/FAQ/Configuration Options and see if you can find anything.
  • 0
    I guess I am still confused.  Sixxs gave me a routed /48 subnet.  That subnet works fine.  If I disable the http proxy, remote sites see the IPv6 address assigned to the respective hosts.  Exactly how I expect a routed subnet to work.  If I enable the http proxy, the remote site sees the local end of the tunnel broker IPv6 address.  I don't understand how all of that works the way you are saying.  I note that the aiccu interface is the first one, so when one binds to the wildcard for an outbound connection, one will get (as I recall) the first interface.  I noted just now that the tunnel broker IP and the routed one had the same name in /etc/hosts, so I changed the former to a different name, ran 'tcpdump -i aiccu' and then browsed to that site again.  Sure enough, I saw the dummy name in the tcpdump output, so it seems that the http proxy does in fact end up using the tunnel broker IP6 address - I guess this is just how it works [:)]
  • 0
    IPv6 address selection is a complicate issue, there is a whole RFC about it: 3484
    But in general the IP address (regardless if IPv4 or IPv6) of the outgoing interface is used.
    So if the HTTP proxy initiates a connection, the outgoing interface is the aiccu tunnel interface, so the IPv6 address of the tunnel interface is used...

    Cheers
     Ulrich
  • 0
    Thanks, Ulrich.  That was pretty much the conclusion I had come to.