Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4191 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPv6 Router Advertisement Issue

smitheo1
I'm not sure that there is a current post on this, but I am experiencing an IPv6 issue.  I currently have COMCAST as an ISP and finally learned how to set up Native IPv6 with Sophos UTM.  I am now receiving the IPv6 address from the COMCAST provided DHCP to all my internal devices without the use of the tunnel.

The issue:  Every hour or so, I could not connect to SSL sites like Google, Google Plus, Facebook, Twitter for example.  I disabled the Web Filtering and everything now works fine.  I turn the Web Filtering on and after about an hour, the anamoly starts again.  So I was convinced that the Web Filter is the issue.  I then changed the setting from URL Filtering only to Do Not Scan under the HTTPS (SSL) Traffic option in the Global Web Filtering tab.  The websites worked perfectly as I can do a full IPv6 test over the internet.  However, now there is no web filtering (compromise) so I reverted to the original settings as I am determined that Web Filtering is not the issue.

I checked the IPv6 log and noticed that the Preferred Lifetime I set in the IPv6 Prefix on the UTM does not agree with the IPv6 Preferred Lifetime with COMCAST.  I'm using a D-Link Router 865-L and is using IPv6 DHCP SLAAC and Stateless in the Autoconfiguration type from COMCAST.  I have no idea what their Preferred Lifetime is, but I know the Valid Lifetime is 1 day as I do not see the radvd messages in the IPv6 log on the UTM.

2014:11:27-12:49:42 HBPS-UTM radvd[1524]: our AdvPreferredLifetime on eth0 for 2601:a:6580:630:: doesn't agree with fe80::9294:e4ff:fefc:b219


This thread was automatically locked due to age.
  • 0
    I tried to turn off the IPv6 and was somehow locked out or not able to get to the management interface.  So I reloaded the UTM with the latest stable and is still getting this strange SSL behavior when IPv6 is enabled.  What's common is when I disable the Web Filter, everything is working.  I'm installing Wireshark to observe the network traffic.
  • 0
    After observing Wireshark, I read an IPv6 packet with the following:

    ICMPv6 Option (Prefix information : 2601:a:6580:263::/64)
    Valid Lifetime = 86400 seconds or 1 day
    Preferred Lifetime = 14400 seconds or 4 hours

    Either COMCAST set this when they advertised the network to the router (which they said they "certified"), or this is set by the D-Link Router as this option in the router is not available.

    I don't have the option of changing the lifetimes to 4 hours.  Is there a way to add a custom option for time as well as maintain a list for lifetimes in DHCP and IPv6 advertisement prefixes?  I could do this by command line perhaps, but I don't want to tamper with the code there.
  • 0
    I observed a captured packet and noticed this:

    ICMPv6 Option (Prefix information : 2601:a:6580:263::/64)
    Valid Lifetime = 86400 seconds or 1 day
    Preferred Lifetime = 14400 seconds or 4 hours

    This is either set and pushed by COMCAST or the D-Link router as it makes sense now.  Every 4 hours, the lease has to renew like IPv4.  I suspect that the SSL issue will occur again in 4 hours now.  I don't have the option of changing the lifetimes to 4 hours.  Is there a way to add a custom option for time as well as maintaing a list for lifetimes in IPv6 DHCP and IPv6 advertisement prefixes?
  • 0
    So I changed my IPv6 DHCP Preferred lease to 1 day since it's more than 4 hours.  I used all static IP's after the b219 (static router) address.  This seems like a bigger issue than just here as it uses unicast and ULA.  When I turned this on, the UTM never resolved at all.  In regards to the advertisement, I changed the beginning and ending IPv6 addresses to the b219 /64 route instead of any on the route of 2601:a:6580:630::.  When the 4th hour arrived, 12:30 pm for me, the lease renewed on the gateway (Sophos).  Still, there is some strange behavior on the IPv6 network that I'm still reading about.  It also need to support SLAAC or RDNSS because of this particular issue.
  • 0
    It also need to support SLAAC or RDNSS because of this particular issue
    Please post feature requests at UTM (Formerly ASG) Feature Requests: Hot (1873 ideas).  No one from Sophos will see any posted on these forums.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?