Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 2237 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent web proxy problem with Google (possibly IPv6 related)

gilester
Hello,

I've been using my ASG (8.300, home license) for a few weeks with the transparent web proxy enabled. The web filtering functions are what led me to the ASG in the first place. So far I've liked what I've seen.

I have run into a funny problem with the web proxy and IPv6.

Until today the ASG had no IPv6 connectivity, I had it configured on a static IPv4 address from my ISP (behind the ISP-supplied PPPoE router). Today I reconfigured the ASG so it establishes the PPPoE connection to my ISP directly. This is neater, avoids the ISP-supplied PPPoE router, and has the benefit that the ASG now has native IPv6 connectivity (I have a modern ISP who supports such things).

I'm still running an IPv4 network behind the ASG.

I started to notice some websites would work and some, notably Google, wouldn't. After the usual sort of LAN and DNS checks I tried disabling the transparent web proxy - and then Google worked.

This led me to look in the log for the web proxy, and I saw the line:

2012:02:26-11:34:24 naira httpproxy[10024]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="172.16.1.6" dstip="2a00:1450:400c:c01::67" user="" statuscode="502" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="4878" request="0x8cca5e8" url="www.google.com/search



This immediately looks suspicious - the srcip is the local, IPv4 address of my PC - "172.16.1.6". The dstip however is an IPv6 address - "2a00:1450:400c:c01::67", which is one of the resolutions of Google.

It looks to me like the ASG proxy is intercepting the request, looking Google up itself, choosing an IPv6 version, and then things break. Sites that have no IPv6 returned in their DNS records work fine.

I'm not sure if this is the proxy at fault or my configuration, hence I'm posting here. I would have thought that if the request comes from an IPv4 machine, then the proxy should access the IPv4 version of the target website. That doesn't seem to be happening.

Has anyone else seen this? Anyone got a fix and/or workaround? Even if I roll out IPv6 to my LAN (which I eventually will), not all devices support it and nor should they need to - legacy IPv4 devices should continue to work fine even if the websites I'm visiting have IPv6 versions.

Thanks,
Giles.


This thread was automatically locked due to age.
  • 0
    I have made some progress:

    Turns out IPv6 connectivity wasn't working from my ASG. My ISP routes traffic to a static IPv6 address that, for some reason, the PPPoE daemon didn't pick up (the PPPoE connection had a link-local address, but not the global address assigned by my ISP). I added it as an "additional address" on the WAN link interface and presto, IPv6 connectivity.

    Now that the ASG has IPv6 connectivity, I can get to Google through the web proxy. From the look of it, the web proxy is connecting to the IPv6 versions of websites where it can, but seems able to return the traffic to my IPv4 machine. I guess that makes sense; the proxy is doing 4to6 conversion for me. 

    I am not scanning SSL content, so I guess secure websites will be accessed through legacy IPv4. 

    I also assume the transparent web proxy is bypassing the NAT rule for my IPv4 network. That makes sense to me; the connection from my browser to the proxy is across the LAN, then proxy to remote website across the Internet - no direct connection needed.

    I think that the proxy should still access IPv4 versions of websites if the client requests it, but for the moment I'm running again so I'll live with it and will see what happens.

    Thanks,
    Giles.
  • 0
    I have just upgraded to 8.301 and this still happens. Not that I expected it to be fixed, but I was hoping..

    The problem comes when a website returns an IPv6 address in its DNS but for some reason that address is invalid. Perhaps they're testing, or their provider has allocated them an address yet the IP routing has not been implemented. In this case the transparent proxy's attempt to access the site with IPv6 fails and I get the Astaro error page.

    Is there any way to adjust the configuration of the transparent proxy? Ideally it should access the same version of the website as the client requests, allowing the client to select IPv4 or IPv6.

    Thanks,
    Giles.
  • 0
    Looks like the same issue that was discussed briefly here. There was no resolution.

    Giles.
Unfiltered HTML