Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 2 subscribers
  • Views 23287 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

howto route ipv6 traffic?

xzibiz
Hi, i'm new with Astaro Security Gateway V8.
I've configure eth0 to be wan, and eth1 to local.
eth0 has public ip and nativ 2001:***:***X:XX:XX::10/80 ipv6 from my isp.
eth1 has 10.0.0.1 ipv4 address and 2001:***:***X:XX:XX::100/64] ipv6 address.
Ipv6 is connected: Native over eth0: 2001:***:***X:XX:XX::10/80

I configured an Prefix Advertisements on eth1. with the ipv6 address on eth1 and google's ipv6 dns server.
Under Firewall i made a new rule: Any ipv6 -> internett (ipv6)

On a client connected on eth1, i can ping ipv4 addresses, but no ipv6 addresses. Not even eth1 on ASG.

Whatt did i do wrong ?


This thread was automatically locked due to age.
Parents
  • 0
    Its the same as with IPv4.

    Lets imagine you have an IPv4 prefix x.x.x.x/24 on eth0. You will get ARP requests for all 254 IP addresses on eth0. If you want to assign public IPv4 addresses on your LAN side, an additional dedicated routed network is needed.

    Same goes for IPv6. For all 2^48-2 addresses Neighbor discovery packets will be sent on eth0.

    Tell your ISP to buy a book about IPv6 [:)]
    RFC 3177 recommends ISPs to give a /48 for customers and /64 for each link.

    Yes, thats a huge waste of IP addresses, but I didn't wrote the RFCs [;)] Also Prefix Advertisement needs a /64, but DHCPv6 also works with smaller netmask.

    Note: You need an additional /64 prefix, which is routed to your 2001:***:***X:XX:XX::10/80 IPv6 address on eth0

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    Ok, now I got an /64 prefix assigned to my server.
    I've used the same ipv6 address on eth0 as before.
    And is wondering if i need to "make" a new /64 prefix for eth1, or just use ::20 insted of ::10 at the end?

    And how do i make the route is ASG? 
    I've done it on an plane debian install before, but this was a bit more difficult.
  • 0 in reply to xzibiz
    Hi,
    please explain what you are trying to achieve.

    Is the /64 assigned by your ISP to your ASG?
    If it is you will have to subnet it to /68 for each of your interfaces, external and 2 internal interfaces.

    Ian
  • 0 in reply to RFCat_vk_01
    Whatt i'm trying to do is getting my servers behind my ASG firewall/router to get ipv6 up and running.

    Now I've assigned 2001:67C:206C:XX:XX::10/64 to eth0, with 2001:67C:206C:XX:XX::1/64 as gateway.
    On eth1 I have: 2001:67C:206C:XX:XX::1/68, and configured dhcp to give out ipv6 addresses on eth1. The server behind ASG can ping 2001:67C:206C:XX:XX::1/68 og ASG's eth1. But nothing more.

    The X'es is the same on /64 and /68.
Reply
  • 0 in reply to RFCat_vk_01
    Whatt i'm trying to do is getting my servers behind my ASG firewall/router to get ipv6 up and running.

    Now I've assigned 2001:67C:206C:XX:XX::10/64 to eth0, with 2001:67C:206C:XX:XX::1/64 as gateway.
    On eth1 I have: 2001:67C:206C:XX:XX::1/68, and configured dhcp to give out ipv6 addresses on eth1. The server behind ASG can ping 2001:67C:206C:XX:XX::1/68 og ASG's eth1. But nothing more.

    The X'es is the same on /64 and /68.
Children
  • 0 in reply to xzibiz
    You will need to subnet the /64 on all your interfaces so the external will have a /68 as well as your internal interfaces.

    Try substituting IPv4 addresses in your thinking then replace them with your IPv6 addresses. That might help think about the routing required in simpler terms eg your ISP assigns you a /28 subnet what would you put on the external interface, probably a /32 and use the remainder internally as 2 /30s.

    Make sense?

    Ian