Omdat de Connectbox in DS-Lite functioneerde en ik een eigen mail- en VPN server draai, heb ik gevraagd om bridge modus. Hierbij zou volgens de theorie mijn achterliggende apparaat het publieke IP adres moeten krijgen zonder dat NAT nodig is op de Connectbox. Helaas blijkt het anders te gaan: de Connectbox geeft nog steeds een IP adres uit de 192.168.178.0/24 reeks uit aan de WAN poort van de firewall die op poort 1 is aangesloten, en er moet poorttranslatie gebruikt worden om binnenkomend verkeer toe te staan, waarbij poort 25 helaas niet gebruikt mag worden. In de originele modus werd er door de Connectbox ook een "subnet delegation" gedaan voor IPv6, in de zogenaamde bridge modus is IPv6 verdwenen. Wel heeft de Connectbox een publiek IPv4 adres gekregen.
Is er iets mogelijk om iets aan deze beperkingen te doen?
Opgelost! Ga naar oplossing.
Jij bent de IT-hulplijn in je straat, de verlichting werkt thuis op commando en je groet de pakketbezorger met de slimme deurbel. Herkenbaar? Dan zijn de Community events echt iets voor jou! Doe mee en sluit je aan.
@hebak Het lijkt erop dat je nu een IPv4 only profiel op je box hebt. In het verleden was dat een tussenstap die nodig was om van DS-Lite naar Bridge modus te gaan. Ik zou de helpdesk nog een keer bellen om bridge modus alsnog te activeren. Dan krijg je ook IPv6 wel weer terug waarschijnlijk.
@efok Bedankt voor je reactie, dat lijkt een logische verklaring voor het gemelde gedrag. Ik ga ermee aan de slag.
@Erik P Bedankt. De theorie klopt inderdaad 🙂
Mijn firewall krijgt netjes een publiek IPv4 adres (/23) en een bijpassende gateway voor dat netwerk. Hiermee kan ik mail ontvangen en een SSL-VPN opbouwen. IPv6 lijkt nog niet helemaal goed te gaan. In de community heb ik gelezen dat hierbij een /56 subnet wordt gedelegeerd terwijl de firewall een /60 zegt te ontvangen. Nou is een /60 ruim voldoende voor drie thuissubnetten, dus dat is het probleem niet. Wel krijgt de WAN interface een /128 adres, maar helaas geen default gateway voor IPv6. Hierdoor kan ik met IPv6 nog geen uitgaande verbindingen maken. Een reboot van de firewall en de ConnectBox hebben hierin geen verandering gebracht.
@hebakIn Bridge moet je router idd om een /56 prefix vragen. Daarnaast krijgt je router een eigen IPv6 adres op de WAN interface. In mijn geval is dat 2001:1c01:3000:0:xxx:xxx:c09d:2267/128 met gateway 2001-1c01-3000-0000-0000-0000-0000-0001.cable.dynamic.v6.ziggo.nl Redelijk voorspelbaar dus. Dit krijg ik automatisch van Ziggo.
De /56 prefix is 2001:1c01:30c7:bf01 voor mij. Dit is dus anders dan het voor het WAN adres van de router. Met de prefix kun je aan de LAN zijde een hele reeks /64 netwerken uitdelen.
Wat voor router/firewal heb je, en hoe heb je die geconfigureerd voor IPv6?
@efok Bedankt voor je antwoord. Mijn firewall is een Sophos UTM9, waarvoor weinig nodig is om deze te configureren voor IPv6. Ten eerste IPv6 globaal aanzetten:
En dan op de WAN interface twee extra vinkjes aanzetten:
Nu verschijnt het volgende bij de interface status:
Bij mijn vorige provider verscheen de IPv6 gateway achter de IPv4 gateway, waar nu alleen :: staat.
Door het vinkje bij dynamic IP uit te zetten en het verkregen IPv6 adres op de interface te configureren kon ik ook de default gateway handmatig configureren. Naar aanleiding van jouw bericht had ik daar 2001:1c02:1c00::1 van gemaakt. Helaas kreeg ik met een ping6 naar google de melding dat die gateway geen route had. Nu ik er weer mee bezig ben denk ik dat er wat anders aan de hand is: als ik via ssh een ifconfig of een ip a geef, zie ik geen ipv6 adres staan op de WAN interface, zelfs geen link local fe80:: adres. Deze interface was eerst een pppoe interface (DSL), misschien is er wat blijven hangen na het omzetten naar een ethernet interface.
@efok Eindelijk aan de praat. Het bleek dat de MTU van de wan interface op de firewall was gereduceerd naar 576, onvoldoende voor IPv6! In het screenshot van mijn vorige bericht is te zien dat de browserinterface denkt dat deze 1500 is, maar met ifconfig eth1 werd de 576 zichtbaar. Oplossing hiervoor gevonden in dit artikel: https://martinsblog.dk/sophos-utm-how-to-fix-the-mtu-576-issue/ Kort gezegd de mtu autodiscovery uitzetten op de wan interface.
Hierna kreeg ik een default gateway toegewezen, deze is wel een link-local adres, maar dit functioneert prima. De subnet delegatie is nu ook in orde door het volgende toe te passen: https://community.sophos.com/utm-firewall/f/management-networking-logging-and-reporting/73820/ipv6-d... Hierdoor vraagt de firewall een nieuwe reeks aan met een prefix hint. Nu dezelfde screenshots met de werkende situatie:
Vul de belangrijkste trefwoorden in en vind het topic die past bij je vraag. Onze community zit boordevol kennis.
Start je eigen topic en krijg hulp van anderen. Op de community helpen ervaren klanten je graag op weg.