Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 2 subscribers
  • Views 23276 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

howto route ipv6 traffic?

xzibiz
Hi, i'm new with Astaro Security Gateway V8.
I've configure eth0 to be wan, and eth1 to local.
eth0 has public ip and nativ 2001:***:***X:XX:XX::10/80 ipv6 from my isp.
eth1 has 10.0.0.1 ipv4 address and 2001:***:***X:XX:XX::100/64] ipv6 address.
Ipv6 is connected: Native over eth0: 2001:***:***X:XX:XX::10/80

I configured an Prefix Advertisements on eth1. with the ipv6 address on eth1 and google's ipv6 dns server.
Under Firewall i made a new rule: Any ipv6 -> internett (ipv6)

On a client connected on eth1, i can ping ipv4 addresses, but no ipv6 addresses. Not even eth1 on ASG.

Whatt did i do wrong ?


This thread was automatically locked due to age.
  • 0 in reply to xzibiz
    Hi,
    please explain what you are trying to achieve.

    Is the /64 assigned by your ISP to your ASG?
    If it is you will have to subnet it to /68 for each of your interfaces, external and 2 internal interfaces.

    Ian
  • 0 in reply to RFCat_vk_01
    Whatt i'm trying to do is getting my servers behind my ASG firewall/router to get ipv6 up and running.

    Now I've assigned 2001:67C:206C:XX:XX::10/64 to eth0, with 2001:67C:206C:XX:XX::1/64 as gateway.
    On eth1 I have: 2001:67C:206C:XX:XX::1/68, and configured dhcp to give out ipv6 addresses on eth1. The server behind ASG can ping 2001:67C:206C:XX:XX::1/68 og ASG's eth1. But nothing more.

    The X'es is the same on /64 and /68.
  • 0 in reply to xzibiz
    You will need to subnet the /64 on all your interfaces so the external will have a /68 as well as your internal interfaces.

    Try substituting IPv4 addresses in your thinking then replace them with your IPv6 addresses. That might help think about the routing required in simpler terms eg your ISP assigns you a /28 subnet what would you put on the external interface, probably a /32 and use the remainder internally as 2 /30s.

    Make sense?

    Ian
  • 0
    You need two different prefixes. As I wrote, its the same as with IPv4.

    IPv4: eth0 1.1.1.2/24, eth1 1.1.2.1/24
    ISP installs a route for 1.1.2.0/24 via 1.1.1.2 (your eth0 IP)

    IPv6: eth0 2000:aaaa::2/64 eth1 2000:bbbb::1/64
    ISP installs a route for 2000:bbbb::/64 via 2000:aaaa::2 (your eth0 IP)

    Alternately your ISP can also split your /64, but than again your ISP must install a route:
    eth0 2000:aaaa:bbbb:cccc::2/80 eth1 2000:aaaa:bbbb:cccc:1::1/80
    ISP installs a route for 2000:aaaa:bbbb:cccc::/64 via 2000:aaaa:bbbb:cccc::2

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    Hi Ulrich,
    so what you are saying is that I have the wrong take on the subnetting/routing configuration? That I can't subnet a larger net on the external interface and use the subnets internally?

    Ian
  • 0
    As I wrote in one of the first messages. This is also related to the Uplink Type.

    If you have a PPP uplink, you received packets for the whole range. So you can
    split the range as you like for your internal networks.

    If you have an Ethernet Uplink, you rely on the route configuration of your ISP.
    If your ISP only has the Interface /64 route on eth0, ARP/Neighbor discovery
    will be performed for every IP address within that range (IPv4 or IPv6, doesn't matter).

    For IPv4 you could enabled ARP Proxy to get this running, but we have currently no
    Neighbor Discovery proxy for IPv6.

    Cheers
     Ulrich
  • 0 in reply to da_merlin
    thx for good answers.
    But i'm cind of stuck.

    eth0: 2001:67C:***X:C3::2/64
    eth1: 2001:67C:***X:C4::1/64

    eth0 has 2001:67C:***X:C3::1/64 as default ipv6 gateway.
    And Prefix Advertisements on eth1.
    Tested with DHCP too, with no luck.

    With ipv4 I have masq enabled from eth1 to eth0.
    But this does not support ipv6 yet. 

    I've been testing with static route, policy route, and some more...
    But the servers on eth1 cant ping outside the ASG.

    Can someone please make me a walk true, how to make it work ?
    ASG+ipv6+routing how-to for idiots ? [:P]
  • 0
    You are sure your ISP routes 2001:67C:***X:C4::/64 to eth0: 2001:67C:***X:C3::2 ?

    There is no need for custom static/policy routes. Enabled IPv6 Default Gateway should be sufficient and packet filter rules allowing traffic.

    You can traceroute any internal IPv6 address via online tools and check if you see 2001:67C:***X:C3::2 as hop. E.g. here:
    http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-traceroute.php
  • 0
    Did this ever get resolved? 

    I'm having the exact same problem. My ISP assigned me a /48 though.

    It works if I leave ipv6 for the internal interface on the same interface as the ipv4 subnet but the problem with that configuration is that it gets grouped into the masquerade rule with the ipv4 subnet. This is different for me compared to the op because I'm running the latest 9.1 which wasn't available back when this thread was started. I'm going for a non-nat setup here though since ipv6 shouldn't/doesn't need nat.
  • 0 in reply to Aarodynamics
    Hi,
    your IPv6 tab should show you your /48, your link to your ISP.

    You can subnet the /48 to /64 for each network and assign them using dhcp.

    If you don't want to use nat for IPv6 select the any (4) for your network in masq settings.

    Ian