This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ipv6 prefix delegation over pppoe

Hi,

I'm trying to get ipv6 working.
The dutch provider xs4all gives each end-user a /48 prefix ip addres space.
When I connect to this provider with a Linux box or fritzbox , it seems that I get a /64 prefix delegated for the lan.

However , with UTM , I can't get it working.

I tried with two recent versions of the software appliance

asg-9.109-1.1
asg-9.200-11.1

They're currently running on a esxi5.1 platform.

When using asg-9.109-1.1 , I get sometimes a /48 prefix delegated (visible in the ipv6 menu) but nothing is delegated to the lan interface , even I enter :: in it, or another address in the delegated subnet.

When using asg-9.200-11.1 , i'm getting no delegation at all. 

Of course the automatic renumbering is active in both cases.

In all tests i've taken the time to timeout the previous delegation of the provider.

In all tests i've tested with two different wan setups. With or without VDSL active (just with or without vlan tag).
The behaviour is the same both are working fine with ip4v , and not with ipv6 pd.

I'm able to provide required logging whenever needed.

Kind regards,

Roel


This thread was automatically locked due to age.
  • i had a sophos engineer in contact with me with the problem (for my unpaid licence) but kind of stuck right now on that.

    if you have any bug id or ticket # please pm me and i can raise a ticket aswell with our paid work licence.

    adhodgson: my understanding is that the prefix delegation with sophos can only be automatic as you cannot manually enter it anywhere (or?)

    aside from that, when using another ipv6 capable router (with working ipv6 and delegation) in front of the sophos you can use dynamic and have no problem.

    We have a static ipv6 at work now (including a static ipv6 prefix) and i cannot use that prefix. I might raise a ticket for that aswell.
  • Hi,

    Ticket number is 5332491.

    I got it to work by doing the following:

    - Turn on IPV6 in interfaces and routing;
    - Assign the internal interface an IPV6 address from my /64 using a /64 subnet;
    - Create the RA automatic IP assignment using default settings, this also created a DHCPV6 pool as well;
    - Ticked the IPV6 default gateway box in the external interface.

    Once I ticked the default GW on the external interface I could see the delegation on the IPV6 page in interfaces and routing.  I don't know if that was all I needed to do to get it working, or whether the previous steps were also required.  I don't really want to flatten the UTM to try it out since Sophos have remote access to it now.

    Andrew.general IPV5 page in the

  • Once I ticked the default GW on the external interface I could see the delegation on the IPV6 page in interfaces and routing.  I don't know if that was all I needed to do to get it working, or whether the previous steps were also required.  I don't really want to flatten the UTM to try it out since Sophos have remote access to it now.


    are you using IPv6 over PPPoE? sounds odd having to assign a /64 to a network interface to have the IPv6 Tab show any info.

    I ordered a Lancom Router yesterday to serve as a 1st device in front of everything else (including the utm) because Ipv6 just works on those devices and i am tired of having to deal with these problems trying to get it fixed.

    EDIT: To Clarify: In the Lancom Router i can assign parts of the delegated prefix to other Routers/Firewall (such as the Sophos) so i won't be needing PPPoE with the sophos just regular DHCP/DHCPv6 and IA PD to assign a prefix.
  • Hi,

    Ok, here is my experience of getting IPV6 working on the Sophos UTM over PPPOE.  I am with Aaisp in the UK if that helps anyone.

    I am starting from a new configuration on a factory reimaged unit.

    First go through the wizard as normal and set up the PPPOE to your ISP.  Make any changes you want to, then when ready to set up IPV6, do the following:

    On Interfaces and Routing | IPV6, enable IPV6 support on the UTM.  It will show no advertised subnets.

    In Interfaces and Routing | Interfaces, go to your External interface and tick the box to ensure it is the default gateway for IPV6.

    Now go back to Interfaces and Routing | IPV6, and you should see the subnets you have been allocated.

    You now need to assign a static address to the UTM.  I picked the first address in my subnet (a /64), and went to Interfaces and Routing | Interfaces | Internal, and set up the IP address with a /64 subnet.  You will be told if you make a mistake at this point.

    Now go to Interfaces and Routing | IPV6 | Prefix Advertisements and create a new advertisement.  You will be asked for DNS servers, I chose the IPV6 address of the internal interface as my DNS server.  I left all options as default.  This will create a DHCPV6 scope as well but will be hidden.  This means that clients using DHCPV6 will work.

    At this point I rebooted my PC and got IPV6 straight away.  The only issue I found with this was I was being NATted due to the NAT rule which is set up to NAT traffic coming from the internal network and use the WAN address.  This is fine for IPV4 but not IPV6.  I therefore created a network called Internal (IPV4 Network) and assigned the addresses 192.168.0.0/24 to it.  I then amended the NAT rule to use this network and not the default internal network which also included the IPV6 subnet.  At this point HTTP traffic is still coming from the WAN address, but this is due to the web proxy running on the UTM.  If you disable web protection, the system works as advertised.  Also, if you use SSH or other traffic, the correct IP is used.

    I don’t believe IPV6 is broken on the UTM over PPPOE, you just need to configure it as the default gateway.  Furthermore it would be good if the system wouldn’t automatically NAT IPV6 traffic.

    Hope this helps,
    Andrew.
  • adhodgson: sorry not helpful, what you describe is a complete workaround of a not working prefix delegation. When you use Masquarading you can basicly put on whatever prefix you would like.

    this is how it supposed to look: (assigned a /54 from my /48 through my Lancom) - UTM does not do PPPoE for me anymore.

  • Hi,

    That is how my system looks actually, will send a screenshot later today or tomorrow.  I agree the masquerading shouldn't be necessary because we don't need NAT through IPV6.

    How does your setup work now in respect of IPV4, is the Lancom doing the routing now and the UTM feeds off that?  Do you have multiple public IPV4 addresses, or using double NAT for the IPV4? I want to avoid double NAT if possible which is why I want to stick with the PPPOE bridge.

    I did have a very strange issue yesterday in that I wasn't getting IPV6 connectivity, but was getting handed out IPV6 DNS servers.  Strangely the only thing to cure this was rebooting the AP100 - something I have to do now and again anyway for another strange reason which is under investigation separately.

    Thanks.
    Andrew.
  • i am actually in the process of replacing my UTM at home in favor of a hardware Router of a german manufactor. I only kept the UTM running at home because i use it heavily at work, but since stuff like IPv6 is getting more important i'd like to be able to use it properly without double NAT. Also the Hardware Router has a smaller power consumption and for those few PCs and devices at my home its perfectly suitable.

    One thing about that Prefix: You might have old values there from a previous connected Router to that port! The Sophos UTM doesn't phase out those old values until new ones get imported or the interface is deleted and recreated.
  • Same problem here. Did anyone find a solution for this IPV6 issue?
  • i put a mikrotik router in front of the sophos utm, now i got perfect IPv6 since the Sophos does not establish the PPPoE Connection anymore.

    ---

    Sophos UTM 9.3 Certified Engineer

  • +1
    My ISP (Signet) is providing IPv6 for several years and native ipv6 is working with PPPoE is working with FRITZ!Box 7360 and Cisco 867VAE. Now I am connected via a Vigor130 (in pppoe transparent mode).

    Hope sophos is able to resolve this soon.

    Gr. Adrie