Hurcane Electric tunnel config

Are you trying to host a service over IPv6 through the tunnel or are you saying that you can't use IPv6 outbound?

im trying to provide ipv6 internet and app support on my network just as if it was ipv4 same functionality ... i had it working on my ddwrt router previously but its dead now so im trying to figure out how to direct all out bound and inbound ipv6 trafic through the he tunnel currently i think im missing somthing i asigned a ipv6 address to my internal interface but if i put that address in my clients gateway box it dont respond so im thinking maby i need to add a masc or dnat entry or full nat but im not sure how to proced with routing the ipv6 trafic through the firewall in to the he tunnel im terrably sorry for not explaining this well


the asg box is running on a dual obertron box 4g of ecc ddr2 mb is a tyan thunder server board with 3 on board nics

I should have asked what version of Astaro you are running but didn't(add it to your forum signature line, as it makes helping people so much easier).  Awhile back, somebody posted how to use HE configured as a 6to4, but I personally found it to not work very well.  You want to get onto Astaro 8.201 (then apply the 8.202 soft-release to fix some proxy bugs), where HE is officially supported as a tunnel broker.  After you do that, here's the steps that you take:

1)  Go to he.net or tunnelbroker.net to create an account and a tunnel.
2)  In WebAdmin, go to Interfaces & Routing>>IPv6.  On the Global Tab, enable IPv6.  On the Tunnel Broker Tab, set the authentication type as User, the Broker as Hurricane Electric, and enter your HE username and password, then click apply.  Once connected, on the Global Tab, it will show your tunnel broker address and your assigned /48 network.  In my case, I've further subnetted the /48 into multiple /64.  As an example, let's say that you've been assigned 

Tunnel Broker: 2001:470:2F01:55A::2 and Subnet: 2001:470[[[[[:D]]]]]64C::/48

3)  Now go to  Interfaces & Routing>>Interfaces.  Edit your Internal Lan Interface.  Add the IPv6 address of 

2001:470[[[[[:D]]]]]64C:2::1

 with a Netmask of 64.
4)  On the assumption that you are using Astaro for DNS, go to Network Services>>DNS>>Forwarders Tab and add DNS servers that can resolve AAAA records.  Most do not at this point.  I use three.  The two google DNS servers (8.8.8.8 | 2001:4860:4860::8888 and 8.8.4.4 | 2001:4860:4860::8844) and the HE DNS server (74.82.42.42 | 2001:470:20::2).
5)  On the assumption that you are using Astaro for DHCP, go to Network Services>>DHCP.  Create a new DHCP server for IPv6 for your clients on the internal LAN interface with a range from 

2001:470[[[[[:D]]]]]64C:2::2-2001:470[[[[[:D]]]]]64C:2::FFFF

 and DNS set to 

2001:470[[[[[:D]]]]]64C:2::1

 (the IPv6 address of the internal LAN interface).

Once DHCPv6 client enabled devices on your LAN get an address (Vista, Win7, IOS devices, Macs, and linux can do this by default.  XP doesn't support DHCPv6 naively, so you'll need to find a 3rd party client or manually configure.), you'll be good to go for surfing.  

Your Astaro will automatically create the route to send IPv6 traffic over the tunnel.  No MASQ or DNAT is needed for outbound IPv6 traffic.  You don't necessarily need to even subnet the /48, but that would be a massive waste of addresses, or you can even use the separate /64 which HE assigns, but isn't shown by Astaro (you can find this at HE in the tunnel account section).  There's a million ways to do the addressing, I'm just giving you a best practice example.

For inbound traffic, just create a firewall rule (see the attached screenshot).  Make certain that your internal host definition on the Astaro has the IPv6 address in it.

Sorry about all of the boxes, but vBulletin wants to see parts of IPv6 addresses as emoticons unless wrapped in a code tag.

Firmware version: 8.201
Pattern version: 23045
Last check: 5 minutes ago

Sorry should have posted this

Im using server 2008r2 for dns and dhcp ... going to update my sig

my new sig 2