Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 2 subscribers
  • Views 23310 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

howto route ipv6 traffic?

xzibiz
Hi, i'm new with Astaro Security Gateway V8.
I've configure eth0 to be wan, and eth1 to local.
eth0 has public ip and nativ 2001:***:***X:XX:XX::10/80 ipv6 from my isp.
eth1 has 10.0.0.1 ipv4 address and 2001:***:***X:XX:XX::100/64] ipv6 address.
Ipv6 is connected: Native over eth0: 2001:***:***X:XX:XX::10/80

I configured an Prefix Advertisements on eth1. with the ipv6 address on eth1 and google's ipv6 dns server.
Under Firewall i made a new rule: Any ipv6 -> internett (ipv6)

On a client connected on eth1, i can ping ipv4 addresses, but no ipv6 addresses. Not even eth1 on ASG.

Whatt did i do wrong ?


This thread was automatically locked due to age.
Parents
  • 0
    I'm going to keep adding to this thread for now as I figure stuff out regarding setting up various offices with v6 on their Sophos UTM (Astaro ASG) devices...

    There are a few big problems that I've noticed so far with the way these UTMs handle v6 advertisement/auto-configuration/allocation:
    [LIST=1]
    • Prefix Advertisement doesn't hand out DNS servers. I think this is pretty much expected with PA used on its own, but I was unable to find a single device (Windows, Mac, Linux, Mobile) that picked up a DNS server from the UTM's implementation of PA.
    • "Other config" (formally known as "AdvOtherConfigFlag" (O flag) per RFC 4861) when checked under the /Interfaces & Routing/IPv6/Prefix Advertisement section definitely changes the radvd.conf file to "AdvOtherConfigFlag = on" but DHCPv6 under this configuration doesn't seem to hand out DNS servers either.
    • AdvManagedFlag (M flag) is the radvd.conf flag that is needed to either have a fully functioning DHCPv6 server on the UTM or on a separate DHCPv6 server (for most people this will be a (stateful) Windows DHCPv6 server. Insanely, there is no checkbox for this option as there should be in the /Interfaces & Routing/IPv6/Prefix Advertisement section. So the only way to enable the 'M flag' in radvd.conf is to go under /Network Services/DHCP/Servers/ and create a "New DHCP server..." with just 2x addresses advailable for lease with the box checked for "Clients with static mappings only". This will essentially disable the UTM's DHCPv6 server for that subnet while enabling the 'M flag' in radvd.conf so that another DHCPv6 server can function properly. If your subnet is something like aaaa:bbbb:cccc:1::/64 then use a range (start/end) like aaaa:bbbb:cccc:1::fffd-ffff. With this set, you should now be able to have a working Windows DHCPv6 server.
    [/LIST]
    I want to finish this post by saying that the Sophos UTM group needs to get their act together and clean up the IPv6 advertisement configuration. Its a mess in its current form and took me an obscene amount of hours to resolve. Additonally, I've now been waiting over 72 hours for Sophos support to return my call (I'm a Sophos partner, reseller, and premium support customer); uncalled for.
Reply
  • 0
    I'm going to keep adding to this thread for now as I figure stuff out regarding setting up various offices with v6 on their Sophos UTM (Astaro ASG) devices...

    There are a few big problems that I've noticed so far with the way these UTMs handle v6 advertisement/auto-configuration/allocation:
    [LIST=1]
    • Prefix Advertisement doesn't hand out DNS servers. I think this is pretty much expected with PA used on its own, but I was unable to find a single device (Windows, Mac, Linux, Mobile) that picked up a DNS server from the UTM's implementation of PA.
    • "Other config" (formally known as "AdvOtherConfigFlag" (O flag) per RFC 4861) when checked under the /Interfaces & Routing/IPv6/Prefix Advertisement section definitely changes the radvd.conf file to "AdvOtherConfigFlag = on" but DHCPv6 under this configuration doesn't seem to hand out DNS servers either.
    • AdvManagedFlag (M flag) is the radvd.conf flag that is needed to either have a fully functioning DHCPv6 server on the UTM or on a separate DHCPv6 server (for most people this will be a (stateful) Windows DHCPv6 server. Insanely, there is no checkbox for this option as there should be in the /Interfaces & Routing/IPv6/Prefix Advertisement section. So the only way to enable the 'M flag' in radvd.conf is to go under /Network Services/DHCP/Servers/ and create a "New DHCP server..." with just 2x addresses advailable for lease with the box checked for "Clients with static mappings only". This will essentially disable the UTM's DHCPv6 server for that subnet while enabling the 'M flag' in radvd.conf so that another DHCPv6 server can function properly. If your subnet is something like aaaa:bbbb:cccc:1::/64 then use a range (start/end) like aaaa:bbbb:cccc:1::fffd-ffff. With this set, you should now be able to have a working Windows DHCPv6 server.
    [/LIST]
    I want to finish this post by saying that the Sophos UTM group needs to get their act together and clean up the IPv6 advertisement configuration. Its a mess in its current form and took me an obscene amount of hours to resolve. Additonally, I've now been waiting over 72 hours for Sophos support to return my call (I'm a Sophos partner, reseller, and premium support customer); uncalled for.
Children
No Data