Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 12460 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPv6 enabled, not able to access IPv6 sites

PabloDiablo
Hi all,
I just received my (native) IPv6-range and configured the WAN interface with the IPv6 and the default gateway (IPv4 was already assigned).
{Enabled IPv6 in Intefaces & Rotuing > IPv6}
I enabled Web Protection . When I go to https://ipv6.google.com/ the page won't be loaded, how come?
Is there any more configuration necessary to use IPv6? The WAN interface has both, IPv4 and IPv6, both default gateways configured.

TIA,

Fobe


This thread was automatically locked due to age.
Parents
  • 0
    You would want to add DNS servers that support IPv6 resolution to the list of forwarders.  Check if the opendns servers support this and if they have IPv6 addresses.

    For Google DNS (ipv4 and ipv6 addresses):
    8.8.8.8/2001:4860:4860::8888
    8.8.4.4/2001:4860:4860::8844
  • 0 in reply to Scott_Klassen
    fobe, did you get it working? I got ipv6 working using a 6in4 tunnel from HE. After everything was done, it's actually pretty easy to get working.

    I used the *:*:*:*::1 address for the gateway on the internal interface. I also used that address for the dns. (I don't have a dns server.) I used *:*:*:*::1:f000 and *:*:*:*::1:ffff for the start and end dhcp range. I set up google a, google b and tunnelbroker dns forwarders.

    If you are using pcs running windows 7, you may need to disable the teredo and isatap interfaces.
  • 0 in reply to bimmerdriver
    We are using IPv6 (native) since V8 routed and Web-Security without any issues.

    Can you please SSH into you box an post the output of "traceroute6 ipv6.google.com"


    The output should something like this: 


    # traceroute6 ipv6.google.com

    traceroute to ipv6.google.com (2a00:1450:4008:c01::93), 30 hops max, 40 byte packets using UDP

     1  *:*:13::1 (*:*:13::1)  6.991 ms   5.752 ms   4.510 ms

     2  2003:0:3a00:403::1 (2003:0:3a00:403::1)  17.598 ms   16.409 ms   15.197 ms

     3  2003:0:1804:4000::1 (2003:0:1804:4000::1)  20.124 ms   22.011 ms   20.675 ms

     4  2001:4860:1:1:0:cf8:0:1 (2001:4860:1:1:0:cf8:0:1)  31.202 ms   30.127 ms   28.978 ms

     5  2001:4860::1:0:336d (2001:4860::1:0:336d)  20.739 ms   20.213 ms 2001:4860::1:0:336c (2001:4860::1:0:336c)  19.093 ms

     6  2001:4860::8:0:3098 (2001:4860::8:0:3098)  29.656 ms 2001:4860::8:0:3097 (2001:4860::8:0:3097)  41.354 ms 2001:4860::8:0:3098 (2001:4860::8:0:3098)  27.461 ms

     7  2001:4860::2:0:612 (2001:4860::2:0:612)  26.326 ms   28.098 ms   26.925 ms

     8  * * *

     9  bk-in-x93.1e100.net (2a00:1450:4008:c01::93)  27.818 ms   27.872 ms   28.837 ms
  • 0 in reply to rsc
    ssh-ed to the UTM and ran traceroute:
    traceroute to ipv6.google.com (2a00:1450:400b:c02::69), 30 hops max, 40 byte packets using UDP
     1  * * *
     2  * * *
     3  * * *
     4  * * *
     5  * * *
     6  * * *
     7  * * *
     8  * * *
     9  * * *
    10  * * *
    11  * * *
    12  * * *
    13  * * *
    14  * * *
    15  * * *
    16  * * *
    17  * * *
    18  * * *

    So there's a misconfiguration [:(]
  • 0 in reply to PabloDiablo
    Yes, looks like something's wrong.

    Check the address of your IPv6 gateway and if the checkbox "IPv6 Gateway" on the interface is enabled.
Reply Children
  • 0 in reply to rsc
    I configured that but it seems that the gateway is incorrect or something else.
    I'll check with my provider...
  • 0 in reply to PabloDiablo
    I configured that but it seems that the gateway is incorrect or something else.
    I'll check with my provider...
    I'm using a tunnel, so it's not exactly the same situation as you, but ipv6.google.com is 7 hops away.

    Describe how you set your system up. I did the following:

    Tunnel - n/a for you)

    Interface - added gateway and netmask, did you try selecting the default gateway?

    DHCP server - start and end range, dns server is utm, since I don't have a dns server

    DNS forwarders - google a & b

    disabled teredo and isatap on pcs

    what does test-iv6.com say?
  • 0 in reply to bimmerdriver
    This is really odd!
    I made a Windows VM and configured with IPv6 only with IP & Gateway on the same vswitch as the WAN interface of the UTM.
    Now I'm able to ping/traceroute over IPv6! So the (ESX) host is capable of handling IPv6 traffic. The traceroutes goes perfectly to ipv6.google.com & ipv6-test.com on the 2nd VM
    When I configure the UTM with the same IP & GW (other VM is off), I can't ping and do a traceroute :S
    What goes wrong or what am I doing wrong?
    Do I have to make an extra route or firewall or NAT/Masquerade rule?
    Must the Internal Interface also have an IPv6 IP?
    See screenshot... and screenshot ipv6-test.com
  • 0 in reply to PabloDiablo
    It's getting weirder everytime.
    Now I can ping Google's IPv6 DNS (and get a reply) but tracepath6 ipv6.google.com timeouts.
    SSH (on UTM):

    root # ping6 2001:4860:4860::8888
    PING 2001:4860:4860::8888(2001:4860:4860::8888) 56 data bytes
    64 bytes from 2001:4860:4860::8888: icmp_seq=1 ttl=57 time=27.5 ms
    64 bytes from 2001:4860:4860::8888: icmp_seq=2 ttl=57 time=28.0 ms
    64 bytes from 2001:4860:4860::8888: icmp_seq=3 ttl=57 time=27.5 ms
    64 bytes from 2001:4860:4860::8888: icmp_seq=4 ttl=57 time=27.9 ms
    64 bytes from 2001:4860:4860::8888: icmp_seq=5 ttl=57 time=27.5 ms

    root # tracepath6 2001:4860:4860::8888
     1?: [LOCALHOST]                      pmtu 1500
     1:  no reply
     2:  no reply
     3:  no reply
     4:  no reply

    ?????
  • 0 in reply to PabloDiablo
    This is really odd!
    I made a Windows VM and configured with IPv6 only with IP & Gateway on the same vswitch as the WAN interface of the UTM.
    Now I'm able to ping/traceroute over IPv6! So the (ESX) host is capable of handling IPv6 traffic. The traceroutes goes perfectly to ipv6.google.com & ipv6-test.com on the 2nd VM
    When I configure the UTM with the same IP & GW (other VM is off), I can't ping and do a traceroute :S
    What goes wrong or what am I doing wrong?
    Do I have to make an extra route or firewall or NAT/Masquerade rule?
    Must the Internal Interface also have an IPv6 IP?
    See screenshot... and screenshot ipv6-test.com
    Is the default gateway provided by the isp? It appears to be in different subnet from your subnet. If the gateway is in another subnet, I think you will have to provide a route to it. The address of utm and dhcp ranges should be in your subnet. How do you have the DNS set up?

    FYI, I noticed on my network that Test your IPv6. is passing, but IPv6 test - IPv6/4 connectivity and speed test is not passing. It was passing before. There may be a problem with that site, as there appear to be no other problems.
  • 0 in reply to bimmerdriver
    Is the default gateway provided by the isp? -> Yes
    It appears to be in different subnet from your subnet. If the gateway is in another subnet, I think you will have to provide a route to it.? -> How do I accomplish this?
    How do you have the DNS set up?-> Forwarders to Google's DNS IPv4 & IPv6 addresses.

    As mentioned earlier,now I have made a Centos VM with a IPv6 address and the same default gateway as on the UTM (on the same vswitch) and that works perfectly,
    that's why I have no clue what's wrong or missing....
  • 0 in reply to PabloDiablo
    Is the default gateway provided by the isp? -> Yes
    It appears to be in different subnet from your subnet. If the gateway is in another subnet, I think you will have to provide a route to it.? -> How do I accomplish this?
    How do you have the DNS set up?-> Forwarders to Google's DNS IPv4 & IPv6 addresses.

    As mentioned earlier,now I have made a Centos VM with a IPv6 address and the same default gateway as on the UTM (on the same vswitch) and that works perfectly,
    that's why I have no clue what's wrong or missing....
    I'm just guessing, because I have not tried this and have no way or need to try it, but you can create a gateway route from your network to your gateway.

    Before you do that, are you sure that you have specified the address of your utm in your subnet and the computers in your subnet are correctly being allocated addresses in your subnet? Can you ping -6 utm from your computers? If all of that works, then try creating a gateway route.
  • 0 in reply to bimmerdriver
    I'm not a network-guru but how is it possible, if the gateway is incorrect, that it replies to a ping?
    From another VPS I did a ping6 & tracepath6 tot the IPv6 IP of the UTM, it replies and tracepath shows a path.
    If the gateway is wrong or not working, how could it be replying?
    Also, if a VM is connected to the same vSwitch, IPv6 is working perfectly...
  • 0 in reply to PabloDiablo
    I'm not a network-guru but how is it possible, if the gateway is incorrect, that it replies to a ping?
    From another VPS I did a ping6 & tracepath6 tot the IPv6 IP of the UTM, it replies and tracepath shows a path.
    If the gateway is wrong or not working, how could it be replying?
    Also, if a VM is connected to the same vSwitch, IPv6 is working perfectly...
    I'm not a network guru either, but if the gateway is in a different subnet, a route is required. Either it gets created automatically or you must do it manually. Perhaps for your centos system the route is being created automatically. The configuration isn't the same when you put utm between your network the computer. Unless someone else has another idea, try creating the route and see what happens. The worst thing that can happen is that it makes no difference, in which case, you can remove it.