Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 2 subscribers
  • Views 23299 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

howto route ipv6 traffic?

xzibiz
Hi, i'm new with Astaro Security Gateway V8.
I've configure eth0 to be wan, and eth1 to local.
eth0 has public ip and nativ 2001:***:***X:XX:XX::10/80 ipv6 from my isp.
eth1 has 10.0.0.1 ipv4 address and 2001:***:***X:XX:XX::100/64] ipv6 address.
Ipv6 is connected: Native over eth0: 2001:***:***X:XX:XX::10/80

I configured an Prefix Advertisements on eth1. with the ipv6 address on eth1 and google's ipv6 dns server.
Under Firewall i made a new rule: Any ipv6 -> internett (ipv6)

On a client connected on eth1, i can ping ipv4 addresses, but no ipv6 addresses. Not even eth1 on ASG.

Whatt did i do wrong ?


This thread was automatically locked due to age.
  • 0
    I don't think that I read that post by Ulrich correctly the first time. After reading it again, I just sent off an email to my ISP's NOC requesting that they convert my /48 back over to a /64 as they originally had it and then give me a fresh /48 for my internal use that is statically routed on their end via my UTM's WAN IP. Sound correct?
  • 0 in reply to Aarodynamics
    Sounds good, please let us know how you end up.

    Ian

    a /56 should be a good size, a /48 is huge number of network addresses. a /56 gives you from memory something like 256 subnets of 2^64 or something similar addresses (very big number), more than your UTM can handle anyway.
  • 0
    My ISP assigned me the following once I explained to them what I needed:

    WAN Subnet: 
    aaaa:bbbb:cccc[:D]ddd::/126

    WAN Gateway: 
    aaaa:bbbb:cccc[:D]ddd::1

    WAN UTM Interface: 
    aaaa:bbbb:cccc[:D]ddd::2

    LAN Subnet: 
    aaaa:bbbb:cccc::/48

    LAN Route: 
    aaaa:bbbb:cccc::/48 via aaaa:bbbb:cccc[:D]ddd::2

    Now everything works perfectly. Thank you Ian!
  • 0
    Also noting that I figured out how to create a single LAN interface entry that covers both v4 and v6 while not masquerading v6 when v4 is masq'd. You need to have an additional address configured under interfaces that only has a v4 address listed. Then you bind your masqs to those/that "v4 only" address.
  • 0
    I'm going to keep adding to this thread for now as I figure stuff out regarding setting up various offices with v6 on their Sophos UTM (Astaro ASG) devices...

    There are a few big problems that I've noticed so far with the way these UTMs handle v6 advertisement/auto-configuration/allocation:
    [LIST=1]
    • Prefix Advertisement doesn't hand out DNS servers. I think this is pretty much expected with PA used on its own, but I was unable to find a single device (Windows, Mac, Linux, Mobile) that picked up a DNS server from the UTM's implementation of PA.
    • "Other config" (formally known as "AdvOtherConfigFlag" (O flag) per RFC 4861) when checked under the /Interfaces & Routing/IPv6/Prefix Advertisement section definitely changes the radvd.conf file to "AdvOtherConfigFlag = on" but DHCPv6 under this configuration doesn't seem to hand out DNS servers either.
    • AdvManagedFlag (M flag) is the radvd.conf flag that is needed to either have a fully functioning DHCPv6 server on the UTM or on a separate DHCPv6 server (for most people this will be a (stateful) Windows DHCPv6 server. Insanely, there is no checkbox for this option as there should be in the /Interfaces & Routing/IPv6/Prefix Advertisement section. So the only way to enable the 'M flag' in radvd.conf is to go under /Network Services/DHCP/Servers/ and create a "New DHCP server..." with just 2x addresses advailable for lease with the box checked for "Clients with static mappings only". This will essentially disable the UTM's DHCPv6 server for that subnet while enabling the 'M flag' in radvd.conf so that another DHCPv6 server can function properly. If your subnet is something like aaaa:bbbb:cccc:1::/64 then use a range (start/end) like aaaa:bbbb:cccc:1::fffd-ffff. With this set, you should now be able to have a working Windows DHCPv6 server.
    [/LIST]
    I want to finish this post by saying that the Sophos UTM group needs to get their act together and clean up the IPv6 advertisement configuration. Its a mess in its current form and took me an obscene amount of hours to resolve. Additonally, I've now been waiting over 72 hours for Sophos support to return my call (I'm a Sophos partner, reseller, and premium support customer); uncalled for.
  • 0
    As posted in another thread I started...
    DHCP Relay doesn't function properly for DHCPv6 Relay as it stands right now on the SUTM. This is because turning on DHCPv6 Relay disables the DHCPv6 Router Advertisement on all networks that it is connected to. This doesn't work for all kinds of reasons.

    @Sophos, please fix everything surrounding Advertisement/DHCPv6. It's a mess in its current form on the ASG. This has/should've been an issue for the last few years and should've been fixed a long time ago.

    The only way that DHCPv6 relay will work is if you can turn it on but keep Router and Prefix Advertisement active. This means that you should be able to set an "M Flag" in the radvd.conf by controlling Router Advertisement through the Prefix Advertisement section. Meanwhile, I should then be able to activate DHCP Relay without touching the radvd.conf file. Read more about the crazy manipulation of the SUTM's GUI that is required to enable the M Flag here: http://www.astaro.org/gateway-products/management-networking-logging-reporting/41295-howto-route-ipv6-traffic-4.html#post245877

    In my opinion, DHCPv6 and thus IPv6 are broken in their current form on the Sophos UTM. If it can't work in the majority of enterprise scenarios then it doesn't work; this is inexcusable given the that we're almost into 2014.
  • 0 in reply to Aarodynamics
    Also noting that I figured out how to create a single LAN interface entry that covers both v4 and v6 while not masquerading v6 when v4 is masq'd. You need to have an additional address configured under interfaces that only has a v4 address listed. Then you bind your masqs to those/that "v4 only" address.
    Could you please expand on this?  I'd like to experiment with non-NATed IPv6, too, but I'm not sure I quite understand your instructions.

    I get a /64 prefix delegated from my ISP, and my LAN interface is currently defined as 192.168.0.1/24 | 2605:6000:1007:c08d::1/64.  Are you saying I should remove the IPv4 address from the primary configuration and add it as an additional address, or should I leave the primary configuration as is and add another address in the same /24 as an additional address on the same interface?

    Would assigning only the IPv4 address as the primary, and the IPv6 address as an additional, achieve the same result?
  • 0 in reply to JonEtkins
    Would assigning only the IPv4 address as the primary, and the IPv6 address as an additional, achieve the same result?
    Answering my own question, I did exactly this and it works perfectly. I now have LAN(Network) masq'ed to the WAN, and LAN[IPv6](Network) going out directly.  Remote sites such as test-ipv6.com, now see my PC's IPv6 address, not my UTM's WAN address.  Nice; thanks for the tip.
  • 0
    There's another way: Create an IPv4-only network definition and masquerade only that. More straightforward, less objects and less rules.