Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3154 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPv6 setup problems

IngoPohlschneider
Hello folks,
I try to make my home network IPv6 ready (just for the fun of it and to get some hands-on with v6).

I implemented the following:

Fritzbox with SiXXs-Tunnel, Handing out ULAs (which are not used...but anyway..)

Fritzbox internal v6 IP e.g. fd01::... -> External ASG IP fd01::...2
Internal network setup with DHCPv6, an internal fc00::x address and the default GW on the External ASG-interface pointing to the Fritzbox.

Internal ping between LAN hosts works fine, ASG and Fritzbox are pingable. The external IP of the SiXXs tunnel is pingable.

But nothing else in the ipv6 world (e.g. ipv6.google.de)
DNSv6 seems to be working since the url is resolved.

Is this an ASG issue? Am I thinking wrong somewhere? Or is the Fritzbox messing it up?

Thanks for any help [[:)]] Just getting started with the v6 stuff [[:)]]


This thread was automatically locked due to age.
  • 0
    Hi, do you need the Fritzbox (or can you bridge it)?

    You should be able to set up an IPv6 tunnel on the UTM itself.

    Barry
  • 0
    Hello
    I do need the Fritzbox [:(]
    I also need the setup to work in that order since I will receive a second (IPv6-based) ISP-connection in the next weeks and I want my external NIC to point to one router for IPv4 and the other for IPv6 (lack of another hardware-NIC in my server machine hosting the firewall)

    Technically the setup should work I guess...ULA behind ASG and between ASG and Fritzbox isn't the problem right?
    I would only need a public IPv6 address on the network devices right? 
    It should be enough on the router (with masquerading/NAT)?

    Best regards
  • 0
    Not sure, but you actually have 2 subnets behind your fritzbox, the first is the subnet to your external UTM nic, the second is your Internal network behind the fritzbox.
    In IPv6 a usual subnet has a /64 but if you only have a /64 from sixxs then this might be part of the problem. Also your computers would need to have a public IPv6 address. Now you have fc00::/7 addresses (Unique Local Addresses) which are non-routable, these are exclusively for private use. You would then need some sort of NAT for IPv6, but you really shouldn't want to use NAT in v6.....
  • 0 in reply to apijnappels
    Don't understand the requirement for the fritz box, you haven't spelt that out?

    But your issues appears to be that you are trying to use your sixxs tunnel as your network. Sixxs handout /64 for your connecting tunnel and /48 for your local networks. Please check your sixxs home page for details. If you have joined sixxs recently you might not have sufficient points to create a /48 network.
    I have a/64 for my tunnel and a /48 for my local networks from sixxs.

    Ian
  • 0
    You could also sign up with Hurricane Electric, it's no problem to get a /48 there. HE is also supported on the UTM.
    You could also try Freenet6, I believe you get a /56, which is also sufficiënt to make 128 /64 subnets and is also supported on UTM. Don't know however how this is going to cooperate with the Fritzbox....
  • 0
    Hello everyone.
    First of all my ASG-device has only two NICs and the network between the ASG and the Fritzbox(FB) is my DMZ if you will...also the FB is used as telephony server and fallback Internet device if the server running the ASG is on maintenance or something.
    So lets just say I dont want to get ride of it [[;)]] (knowing that it comes with some pain)

    Wouldn't I want to have ULA+ global addresses on the external as well as internal networks?

    PS: Off course configuring the SiXXs Tunnel directly in the UTM and assigning on IPv6-address of the subnet to the internal network + adding the default prefix advertisements works. But thats not the setup I'd like to have [[;)]]
    I have a question to this particular setup as well: Is traffic from the ipv6-internet comming through the tunnel filtered by the firewall etc. if the subnet is assign to the internal interface?
  • 0
    Hello everyone [[[:)]]]
    After quite some time I made it [[[:)]]]

    For everyone interested I'd like to describe my setup (any remarks or errors/security risks just let me know)

    1) Fritzbox
    --------------------------------------------------------------------------------------
    - set the tunnel (in my case SiXXs, but properbly other configs will work as well including native IPv6)
    - the DHCPv6 server can be configured (e.g. if you use a pseudo DMZ like me this might be required/nice)
    - I enabled the Fritzbox to deply ULAs but I guess thats not required as well
    --------------------------------------------------------------------------------------

    2) UTM
    --------------------------------------------------------------------------------------
    - enable IPv6 globally
    - set the external interface to an address of the IPv6 subnet you've got
    - enable v6 Default gateway and point it to the fe80::/64 address of your Fritzbox (just exchange the fd00:: you find in the ULA-configuration area with fe80, its generated from the MAC-address of your Fritzbox)
    - set an internal ULA-address (e.g. fc00::1/64)
    - deploy internal v6-addresses (static / via prefix advertisements on the internal interface / via DHCPv6 server on the internal interface)
    - create appropriate firewall rules (mine worked fine since all objects are equipped with v4 and v6 addresses)
    --------------------------------------------------------------------------------------

    test your config by ping around or tracerouting e.g. to ipv6.google.com or any other v6 address thats up.
    I can also recommend test-ipv6.com which does several checks to make sure you forgot nothing [[[:)]]]

    If I see it right with this config all internal hosts are masked behind the external v6-address (which is baaad i know...) and all firewall rules etc. should apply the same as in a v4-setup

    best regards

    PS: a last question: Does automatic uplink monitorin check via IPv6 hosts as well or only v4?