7
Cisco ASA 5520 - natives IPv6
Guten Abend,
ich habe mal eine Frage zum nativen IPv6 Betrieb mit einer Cisco ASA 5520.
Ein /48 IPv6 Netz habe ich bekommen - 2001:xxxx:x:0/48
Die ASA hat das erste Netz also 2001:xxxx:x:2/64 auf das Wan Interface sowie eine Static Route zum IPv6 Gateway bekommen und es funktioniert auch alles von der ASA aus.
Wie sieht das jetzt für die Clients in einem bestimmten VLAN hinter der ASA aus ???
Ich habe es mal probiert und dem Interface für diese Clients die 2001:xxxx:x:1:2 gegeben.
Die Clients dahinter nehmen sich auch automatisch eine 2001:xxxx:x:1:xxxx:xxxx Adresse - allerdings scheint keine wirkliche IPv6 Konnektivität nach außen da zu sein. Kein Ping etc... Bei IPv6 Seiten wie z.b. heise braucht der firefox dann ewig bis er wohl auf ipv4 zurückstuft.... auf den Clients funktioniert nämlich die DNS Auflösung für IPv6...
Ich habe auf der ASA eigentlich auch alle IPv6 Regeln gesetzt....
Jemand ne Idee oder nen verständliches Tutorial/Howto ?
Danke
ich habe mal eine Frage zum nativen IPv6 Betrieb mit einer Cisco ASA 5520.
Ein /48 IPv6 Netz habe ich bekommen - 2001:xxxx:x:0/48
Die ASA hat das erste Netz also 2001:xxxx:x:2/64 auf das Wan Interface sowie eine Static Route zum IPv6 Gateway bekommen und es funktioniert auch alles von der ASA aus.
Wie sieht das jetzt für die Clients in einem bestimmten VLAN hinter der ASA aus ???
Ich habe es mal probiert und dem Interface für diese Clients die 2001:xxxx:x:1:2 gegeben.
Die Clients dahinter nehmen sich auch automatisch eine 2001:xxxx:x:1:xxxx:xxxx Adresse - allerdings scheint keine wirkliche IPv6 Konnektivität nach außen da zu sein. Kein Ping etc... Bei IPv6 Seiten wie z.b. heise braucht der firefox dann ewig bis er wohl auf ipv4 zurückstuft.... auf den Clients funktioniert nämlich die DNS Auflösung für IPv6...
Ich habe auf der ASA eigentlich auch alle IPv6 Regeln gesetzt....
Jemand ne Idee oder nen verständliches Tutorial/Howto ?
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 178048
Url: https://administrator.de/contentid/178048
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
7 Kommentare
Neuester Kommentar
OK, bevor man ins eingemachte geht solltest du erstmal strategisch vorgehen:
Kneift es schon beim Ping des Provider v6 Gateways ist deine Firewall oder das Routing falsch konfiguriert, obwohl man beim Routing mit einer simplen Default Route nicht viel falsch machen kann...?!
Ein Posting hier der anonymisierten v6 Konfig wäre zudem ggf. auch hilfreich.
- IPv6 Adressierung genau überprüfen
- In der ASA ICMPv6 freigeben, damit ein v6 Ping möglich ist zum Troubleshooten.
- Von der ASA dann zuerst die v6 Gateway IP des Providers anpingen um die v6 Connectivity zu verifizieren. Das muss klappen.
- Dann von einem v6 Client am LAN Interface 1.) das LAN Interface der ASA pingen, 2.) das WAN Interface der ASA pingen und zuletzt das v6 Interface des Provider Gateways.
Kneift es schon beim Ping des Provider v6 Gateways ist deine Firewall oder das Routing falsch konfiguriert, obwohl man beim Routing mit einer simplen Default Route nicht viel falsch machen kann...?!
Ein Posting hier der anonymisierten v6 Konfig wäre zudem ggf. auch hilfreich.
Also die ASA an sich hat IPv6 Konnektivität. Ping des gateways sowohl auch heise.de geht
ASA IPv6 Interface
Vom Client aus dem MGMT Interface kann ich 2001:xxxx:21:1::2 problemlos anpingen.
2001:xxxx:21::2 und weiter geht nicht.
Ehrlich gesagt verstehe ich das auch nicht wirklich. Ich habe zwei /64er Netze - die ASA hat aber als ipv6 gateway das von dem Netz des Wan Interfaces. Mein Netz im internen Netz hat ja eigentlich auch ein Gateway beim Provider...
ping heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2a02:2e0:3fe:100::8, timeout is 2 seconds:!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2a02:2e0:3fe:100::8, timeout is 2 seconds:!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms
ASA IPv6 Interface
show ipv6 interface
uplink0-acc is up, line protocol is up
IPv6 is enabled, link-local address is fe80::215:c6ff:fefa:2ef2
Global unicast address(es):
2001:xxxx:21::2, subnet is 2001:xxxx:21::/64
Joined group address(es):
ff02::1
ff02::2
ff02::1:ff00:2
ff02::1:fffa:2ef2
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND advertised reachable time is 0 milliseconds
ND advertised retransmit interval is 1000 milliseconds
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
Hosts use stateless autoconfig for addresses.
MGMT is up, line protocol is up
IPv6 is enabled, link-local address is fe80::215:c6ff:fefa:2ef3
Global unicast address(es):
2001:xxxx:21:1::2, subnet is 2001:xxxx:21:1::/64
uplink0-acc is up, line protocol is up
IPv6 is enabled, link-local address is fe80::215:c6ff:fefa:2ef2
Global unicast address(es):
2001:xxxx:21::2, subnet is 2001:xxxx:21::/64
Joined group address(es):
ff02::1
ff02::2
ff02::1:ff00:2
ff02::1:fffa:2ef2
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND advertised reachable time is 0 milliseconds
ND advertised retransmit interval is 1000 milliseconds
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
Hosts use stateless autoconfig for addresses.
MGMT is up, line protocol is up
IPv6 is enabled, link-local address is fe80::215:c6ff:fefa:2ef3
Global unicast address(es):
2001:xxxx:21:1::2, subnet is 2001:xxxx:21:1::/64
Vom Client aus dem MGMT Interface kann ich 2001:xxxx:21:1::2 problemlos anpingen.
2001:xxxx:21::2 und weiter geht nicht.
Ehrlich gesagt verstehe ich das auch nicht wirklich. Ich habe zwei /64er Netze - die ASA hat aber als ipv6 gateway das von dem Netz des Wan Interfaces. Mein Netz im internen Netz hat ja eigentlich auch ein Gateway beim Provider...
Mmmmhhh, das ist eigentlich recht unüblich und kann auch so nicht sein. Als default Route in der ASA muss die Provider v6 IP Adresse also die des Provider Routers konfiguriert sein oder ggf. dynamich übermittelt werden. Ein show ip route auf der ASA sollte das auch zeigen !
Das kann ja niemals die IP des eigenen WAN Interfaces sein, das wäre ja widersinnig alles auf sich selbst zu routen ?!
Ebenso dein internes Netzwerk, das kann niemals eine Provider IP als Gateway haben. Du machst ja ein Subnetting deines /48er Prefixes auf die VLANs und die Hosts innerhalb dieses Subnetzes haben die lokale ASA dann als Gateway. Das ist absolut analog zu dem was man auch bei IPv4 macht.
Abgesehen davon wenn du von einem Client den Heise v6 Server erreichst kann deine Konfig so falsch ja nicht sein. Der müsste dann auch via v6 per HTTP zu erreichen sein. Hast du das mal probiert mit der v6 IP statt Namen um erstmal DNS Problemen aus dem Wege zu gehen.
Das kann ja niemals die IP des eigenen WAN Interfaces sein, das wäre ja widersinnig alles auf sich selbst zu routen ?!
Ebenso dein internes Netzwerk, das kann niemals eine Provider IP als Gateway haben. Du machst ja ein Subnetting deines /48er Prefixes auf die VLANs und die Hosts innerhalb dieses Subnetzes haben die lokale ASA dann als Gateway. Das ist absolut analog zu dem was man auch bei IPv4 macht.
Abgesehen davon wenn du von einem Client den Heise v6 Server erreichst kann deine Konfig so falsch ja nicht sein. Der müsste dann auch via v6 per HTTP zu erreichen sein. Hast du das mal probiert mit der v6 IP statt Namen um erstmal DNS Problemen aus dem Wege zu gehen.
Da hab ich mich schlecht ausgedrück:
Interface Gi0/0.100 (Uplink) : IPv6: 2001:xxxx:21::2/64 Gateway: 2001:xxxx:21::1
Interface Gi0/1.11 (Intern) : IPv6: 2001:xxxx:21:1::2/64
Der Client im Vlan 11 hat auch keinen IPv6 Zugriff nach außen. Komischerweise wird DNS aber nach IPv6 aufgelöst und die ASA unter 2001:xxxx:21:1::2 kann gepingt werden.
Der Provider bietet mir für auch für das zweite Netz: 2001:xxxx:21:1::1 als Gateway an....
Ist die Überlegung denn generell richtig, dass auf dem Uplink Interface und auf dem Internen Interface jeweils ein anderes /64 Netz konfiguriert ist ?
Ich bin NAT im Kopf...
Interface Gi0/0.100 (Uplink) : IPv6: 2001:xxxx:21::2/64 Gateway: 2001:xxxx:21::1
Interface Gi0/1.11 (Intern) : IPv6: 2001:xxxx:21:1::2/64
Der Client im Vlan 11 hat auch keinen IPv6 Zugriff nach außen. Komischerweise wird DNS aber nach IPv6 aufgelöst und die ASA unter 2001:xxxx:21:1::2 kann gepingt werden.
Der Provider bietet mir für auch für das zweite Netz: 2001:xxxx:21:1::1 als Gateway an....
Ist die Überlegung denn generell richtig, dass auf dem Uplink Interface und auf dem Internen Interface jeweils ein anderes /64 Netz konfiguriert ist ?
Ich bin NAT im Kopf...
Wie würdest du es denn bei v4 machen ?? Da ist doch logischerweise auch das Uplink Netz ein eigenes IP Netz als das Lokale ?? Nur weil v6 längere Adressen hat ändert sich doch die Routing Logik nicht ! Wie sollte es denn sonst auch gehen ? Außerdem würde der Cisco dann schon meckern. Ein show ip route zeigt dir doch die Routings ?!
NAT gibt es bei IPv6 (noch) nicht wie allgemein bekannt. Da muss dann die Firewall der ASA ran.
Vermutlich liegt hier auch dein Problem, das du schlicht und einfach die Firewall Regeln falsch definiert hast und das VLAN 11 nicht passieren darf oder von außen geblockt wird. Es spricht vieles dafür, denn wenn du von der ASA Konsole DNS auflösen kannst und Server im v6 Internet wie heise.de erreichen kannst per v6 Ping ist dein Fehler vermutlich hinter oder besser in der ASA Firewall Konfig.
NAT gibt es bei IPv6 (noch) nicht wie allgemein bekannt. Da muss dann die Firewall der ASA ran.
Vermutlich liegt hier auch dein Problem, das du schlicht und einfach die Firewall Regeln falsch definiert hast und das VLAN 11 nicht passieren darf oder von außen geblockt wird. Es spricht vieles dafür, denn wenn du von der ASA Konsole DNS auflösen kannst und Server im v6 Internet wie heise.de erreichen kannst per v6 Ping ist dein Fehler vermutlich hinter oder besser in der ASA Firewall Konfig.
Ich habe etwas beschränkt gedacht 
Weil öffentliche IPs im LAN ?
ALso noch allem bin ich nur zu blöd für die Firewallregeln mit IPv6..
Weil öffentliche IPs im LAN ? ALso noch allem bin ich nur zu blöd für die Firewallregeln mit IPv6..
Es gibt keine privaten IPs also soawas wie RFC 1918 in IPv6 und...es gibt auch kein NAT. Man muss also nicht mit IPs geizen. Eins der fundamentalen Vorzüge von IPv6.
Du betreibst also lokale ein Subnetz deiner dir zugeteilten Bereiche oder Bereich !
NAT gibt es nicht bei v6 alles wird nativ geroutet. Deshalb ist die Firewall der ASA so wichtig !
Generell ist alles geblockt. Du musst also mit eine Firewall CBAC Liste das erlauben was du willst.
Mit an Sicherheit grenzender Wahrscheinlichkeit ist auch das dein Problem, das die FW ACL deinen Traffic blockt und du die ACL falsch eingerichtet hast.
Mach doch zum Test erstmal ein Scheunen Tor und erlaube alles...nur um zu sehen das es funktioniert...generell !
Du betreibst also lokale ein Subnetz deiner dir zugeteilten Bereiche oder Bereich !
NAT gibt es nicht bei v6 alles wird nativ geroutet. Deshalb ist die Firewall der ASA so wichtig !
Generell ist alles geblockt. Du musst also mit eine Firewall CBAC Liste das erlauben was du willst.
Mit an Sicherheit grenzender Wahrscheinlichkeit ist auch das dein Problem, das die FW ACL deinen Traffic blockt und du die ACL falsch eingerichtet hast.
Mach doch zum Test erstmal ein Scheunen Tor und erlaube alles...nur um zu sehen das es funktioniert...generell !
