Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 11980 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPv6 Prefix Delegation and DHCP

bgiles
My ISP is Comcast, and they now provide IPv6 addresses for my area (native dual stack). I have a compatible  cable modem, and my router is running Sophos 9.106-17.

I thought I had a pretty good handle on how IPv6 works, but there's some things about the Sophos UTM user interface that I'm still a bit confused about. First, when I turn on IPv6, the following information shows up in the IPv6 Global tab:

Native over External (WAN): 2001:558:600c:17:***x:***x:***x:***x
Subnet: NONE
Delegated Prefix: 2601:e:cb80:534::/64

I know the first address, that starts with 2001:558, is the address that Comcast has assigned to my router's WAN interface. And I know it's a /128 address, because if I go to the Interfaces & Routing section, Interfaces, Interfaces tab, I see the /128 at the end of the WAN address.

Going back to the IPv6 Global tab, what is the Delegated Prefix telling me? I *think* it's telling me that Comcast has assigned the address range 2601:e:cb80:534::/64 to me for use on my internal network. Is that correct?

If so, then here's where I really get confused. When I go back to the Interfaces tab, and look at the definition for my Internal interface (for which the comment field says "Auto-created on installation"), I see that it has an IPv6 address already defined, but it's 2002:4422[:D]755::2, with a netmask of 64. Where did that address come from? I'm absolutely certain I never typed it in. Do I need to delete this address and replace it with an address in the Delegated Prefix range? Or was that supposed to happen automatically somehow? Or have I completely misunderstood what the Delegated Prefix is?

Second, I want set up the UTM so that the rest of the devices on my network can get IPv6 addresses. I know I can use either Prefix Advertisement or DHCP. 
If I turn on Prefix Advertisement, all my devices get addresses that start with 2002:4422[:D]755. If instead, I create a DHCP server for IPv6, the default Range Start and Range End addresses start with 2002:4422[:D]755. I assume all of this is because that's the start of the address that's defined in the Internal interface definition.

So to sum it up, I *thought* (perhaps naively) that Prefix Delegation was supposed to automatically configure the UTM for the correct address range, but that's not happening. Can someone get me back on the right track?


This thread was automatically locked due to age.
Parents
  • 0
    bgiles, which version are you running? There've been some recent fixes for UTM, DHCPv6 & Prefix Delegation. You may tryout the v9.200 Beta which fixes the /128 <> /64 misassignment. If DHCP interface, it should always be a /128 address because DHCPv6 contains no prefixlength info as per standard.

    The Delegated Prefix is assigned via DHCPv6 PD. This Prefix (if bigger than /64, like e.g. /56) can be used for further subnetting. If the 'auto renumbering' feature is enabled, all objects using addresses from within the delegated prefix will be renumbered automagically when the delegated prefix changes => UTM fully adapts to new prefix from ISP.

    Sadly the dhclient DHCP implementation we use within the UTM doesn't yet support the required 'PD hint' option to request a larger prefix from the ISP. That's why you only get a /64. We've already filed a feature request at the ISC for support of that in a future DHCP version. Without this feature, it's completely up to the delegating server which prefixlen is provided, obviously only /64 in your Comcast case. In my case at home I get a /62 on my UTM from the KabelBW Fritz!Box which re-delegates a /56 by subnetting.

    With only a /64, you cannot use that prefix for further subnetting. You either need a bridge setup or NAT66 (which the UTM is capable of).
Reply
  • 0
    bgiles, which version are you running? There've been some recent fixes for UTM, DHCPv6 & Prefix Delegation. You may tryout the v9.200 Beta which fixes the /128 <> /64 misassignment. If DHCP interface, it should always be a /128 address because DHCPv6 contains no prefixlength info as per standard.

    The Delegated Prefix is assigned via DHCPv6 PD. This Prefix (if bigger than /64, like e.g. /56) can be used for further subnetting. If the 'auto renumbering' feature is enabled, all objects using addresses from within the delegated prefix will be renumbered automagically when the delegated prefix changes => UTM fully adapts to new prefix from ISP.

    Sadly the dhclient DHCP implementation we use within the UTM doesn't yet support the required 'PD hint' option to request a larger prefix from the ISP. That's why you only get a /64. We've already filed a feature request at the ISC for support of that in a future DHCP version. Without this feature, it's completely up to the delegating server which prefixlen is provided, obviously only /64 in your Comcast case. In my case at home I get a /62 on my UTM from the KabelBW Fritz!Box which re-delegates a /56 by subnetting.

    With only a /64, you cannot use that prefix for further subnetting. You either need a bridge setup or NAT66 (which the UTM is capable of).
Children
  • 0 in reply to trollvottel
    With only a /64, you cannot use that prefix for further subnetting. You either need a bridge setup or NAT66 (which the UTM is capable of).

    So if my ISP "only" gives me a /64 delegation, I can't set my LAN interface to [prefix]:0::1/72 and my Guest interface to [prefix]:1::1/72 ?

    Actually, this is a rhetorical question - I know I can't because I tried it and it didn't work.  What I'm curious about is why I can't subdivide my /64 that way.  Seems like an awful waste of addresses if most /64's are only ever going to be populated by a handful of devices.