howto route ipv6 traffic?

@RFCat_vk, I looked and there is no way to create a masquerade rule for just "any 4". This is a really minor issue though compared to the following...

The bigger issue that I don't think is clear anywhere in this thread, is how to take my subnet, let's call it: aaaa:bbbb:cccc::/48, and split it into multiple /64 networks.

It sounds to me from this thread like I should be doing the following with my /48:
[LIST=1]

• NOTE: We are assuming that the subnet I have received from my ISP is aaaa:bbbb:cccc::/48 with GW of aaaa:bbbb:cccc::1 for the sake of this example.
  
• aaaa:bbbb:cccc:1::1/64 on eth0 (LAN)
  
• aaaa:bbbb:cccc::2/64 on eth1 (WAN) with a GW of aaaa:bbbb:cccc::1
  
• IPv6 is enabled under the "Interfaces & Routing" section.
  
• Prefix Assignment is enabled under IPv6 for eth0. DNS and Domains are filled out but I unchecked "Other Config" because I have a Windows Server 2012 R2 DHCPv6 server.
  
• I have a packet filter rule created that allows "eth0 net" to any over any.
  

[/LIST]

Results:

• aaaa:bbbb:cccc::2 is reachable from the internet going inwards (I have native IPv6 fully working home through the residential subsidiary of my ISP and using an Airport Extreme)
  
• None of the devices on my internal LAN subnet of aaaa:bbbb:cccc:1::1/64 are able to reach the internet.
  
• Devices on my internal LAN subnet of aaaa:bbbb:cccc:1::1/64 are able to reach the internet if I create a masquerade rule but I don't want to use NAT for IPv6 since I know I shouldn't have to. 
  
• NOTE: I have created eth0 (LAN) as a separate interface from the IPv4 LAN interface because as far as I can tell there is no way to separate the two otherwise when masquerading.
  

What am I missing? Do I need to do something different like create static routes, set up a bridge interface, etc to divide up the /48 subnet and use it across different interfaces?

Please post a screen shot of your IPv6 tab.

What you are missing is, the /48 is for you to use internally eg aaaa:bbbb:cccc::0/48
Your ISP provides either a /64 or /128 for your external interface using DHCP, they also proved a default gateway.

You assign an IPv6 address to your internal interface 0 eg aaaa:bbbb:cccc:cafe::1/64
Internal interface 1 eg aaaa:bbbb:cccc[:D]eed::1/64
Then you can setup the DHCP servers with a sensible range eg
internal interface 0 aaaa:bbbb:cccc:cafe::beef to aaaa:bbbb:cccc:cafe::beff
You don't tick the gateway because you already have a gateway on the external interface.

You get the idea.

Then your interfaces and rules that refer to those interfaces will (4 6) against them. You will have a selection of any(4), any (6) or any (4 6).

Ian

What you are missing is, the /48 is for you to use internally eg aaaa:bbbb:cccc::0/48
Your ISP provides either a /64 or /128 for your external interface using DHCP, they also proved a default gateway.

Are you saying that my ISP should be providing me with two subnets? I thought the whole point of IPv6 was that your ISP was supposed to just be able to provide you with a single aaaa:bbbb:cccc::/48 subnet that you could break up into as many aaaa:bbbb:cccc:1::/64 - aaaa:bbbb:cccc:ffff::/64 subnets as you want. 

Why is it necessary for me to get a second (separate?) /64 or /128 from my ISP when they've already given me an entire /48 with a default gateway to point at. 

Could you give me an example of entire ideal configuration because my ISP will give me whatever I need? This isn't a residential link; its a redundant gigabit commercial link.

Thank you!

Thank you for the screen shot.
That shows what I was explaining, your ISP has assigned you for your external interface an IPv6 /64 and a gateway.

Sorry my terminology is going to be wrong here, but basically your ISP has not or does not use the IPv6 delegation process that the UTM expects.

If you use the /48 assigned to you and break it down into subnets for your internal interfaces as you said your packet filter rules should allow the IPv6 traffic out with or without a NAT rule.
One thing though you did mention this is a redundant link, does your main link have IPv6 enabled and do you have uplink balancing enabled.

If you want to use this link for IPv6 traffic you will have to add multi-path rules.

Ian

Thank you for the screen shot.
That shows what I was explaining, your ISP has assigned you for your external interface an IPv6 /64 and a gateway.

Sorry my terminology is going to be wrong here, but basically your ISP has not or does not use the IPv6 delegation process that the UTM expects.

If you use the /48 assigned to you and break it down into subnets for your internal interfaces as you said your packet filter rules should allow the IPv6 traffic out with or without a NAT rule.
One thing though you did mention this is a redundant link, does your main link have IPv6 enabled and do you have uplink balancing enabled.

If you want to use this link for IPv6 traffic you will have to add multi-path rules.

Ian

If you use the /48 assigned to you and break it down into subnets for your internal interfaces as you said your packet filter rules should allow the IPv6 traffic out with or without a NAT rule.

One thing that I forgot to mention in my last post is what you say above about breaking up the /48. Is there anything that I actually need to do on the UTM to break up the /48 or can I just assume that I can break it up without needing to do anything special other than creating different /64 interfaces with a /64 as their mask.

Hi,
sorry, it has taken awhile to get here. My Ipv6 skills are very  limited.

Your /48 is only for use on your internal network, you can break it up anyway you like as long as the subnets are smaller than /48 as your example shows.

You have identified the issue, your ISP has not provided you with an IPv6 address for your link or a default gateway.

Ian

your ISP has not provided you with an IPv6 address for your link or a default gateway.

What makes you say that my ISP hasn't done what you mention above and why can't I just use the /48 for everything? 

According to my ISP, the /48's default gateway is aaaa:bbbb:cccc::1 and my subnet is aaa:bbbb:cccc::/48. If I in fact need another subnet outside of that one, could you please explain to me why so I can understand and then communicate that to my ISP?

Thank you.

Hi,
this is taken from an earlier post in this thread.
Would also pay to read Ulrich's other posts on this subject in this thread.

                               
                                                

You need two different prefixes. As I wrote, its the same as with IPv4.

IPv4: eth0 1.1.1.2/24, eth1 1.1.2.1/24
ISP installs a route for 1.1.2.0/24 via 1.1.1.2 (your eth0 IP)

IPv6: eth0 2000:aaaa::2/64 eth1 2000:bbbb::1/64
ISP installs a route for 2000:bbbb::/64 via 2000:aaaa::2 (your eth0 IP)

Alternately your ISP can also split your /64, but than again your ISP must install a route:
eth0 2000:aaaa:bbbb:cccc::2/80 eth1 2000:aaaa:bbbb:cccc:1::1/80
ISP installs a route for 2000:aaaa:bbbb:cccc::/64 via 2000:aaaa:bbbb:cccc::2

Cheers
 Ulrich