Cisco ASA 5520 - natives IPv6
Guten Abend,
ich habe mal eine Frage zum nativen IPv6 Betrieb mit einer Cisco ASA 5520.
Ein /48 IPv6 Netz habe ich bekommen - 2001:xxxx:x:0/48
Die ASA hat das erste Netz also 2001:xxxx:x:2/64 auf das Wan Interface sowie eine Static Route zum IPv6 Gateway bekommen und es funktioniert auch alles von der ASA aus.
Wie sieht das jetzt für die Clients in einem bestimmten VLAN hinter der ASA aus ???
Ich habe es mal probiert und dem Interface für diese Clients die 2001:xxxx:x:1:2 gegeben.
Die Clients dahinter nehmen sich auch automatisch eine 2001:xxxx:x:1:xxxx:xxxx Adresse - allerdings scheint keine wirkliche IPv6 Konnektivität nach außen da zu sein. Kein Ping etc... Bei IPv6 Seiten wie z.b. heise braucht der firefox dann ewig bis er wohl auf ipv4 zurückstuft.... auf den Clients funktioniert nämlich die DNS Auflösung für IPv6...
Ich habe auf der ASA eigentlich auch alle IPv6 Regeln gesetzt....
Jemand ne Idee oder nen verständliches Tutorial/Howto ?
Danke
ich habe mal eine Frage zum nativen IPv6 Betrieb mit einer Cisco ASA 5520.
Ein /48 IPv6 Netz habe ich bekommen - 2001:xxxx:x:0/48
Die ASA hat das erste Netz also 2001:xxxx:x:2/64 auf das Wan Interface sowie eine Static Route zum IPv6 Gateway bekommen und es funktioniert auch alles von der ASA aus.
Wie sieht das jetzt für die Clients in einem bestimmten VLAN hinter der ASA aus ???
Ich habe es mal probiert und dem Interface für diese Clients die 2001:xxxx:x:1:2 gegeben.
Die Clients dahinter nehmen sich auch automatisch eine 2001:xxxx:x:1:xxxx:xxxx Adresse - allerdings scheint keine wirkliche IPv6 Konnektivität nach außen da zu sein. Kein Ping etc... Bei IPv6 Seiten wie z.b. heise braucht der firefox dann ewig bis er wohl auf ipv4 zurückstuft.... auf den Clients funktioniert nämlich die DNS Auflösung für IPv6...
Ich habe auf der ASA eigentlich auch alle IPv6 Regeln gesetzt....
Jemand ne Idee oder nen verständliches Tutorial/Howto ?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 178048
Url: https://administrator.de/forum/cisco-asa-5520-natives-ipv6-178048.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
7 Kommentare
Neuester Kommentar
OK, bevor man ins eingemachte geht solltest du erstmal strategisch vorgehen:
Kneift es schon beim Ping des Provider v6 Gateways ist deine Firewall oder das Routing falsch konfiguriert, obwohl man beim Routing mit einer simplen Default Route nicht viel falsch machen kann...?!
Ein Posting hier der anonymisierten v6 Konfig wäre zudem ggf. auch hilfreich.
- IPv6 Adressierung genau überprüfen
- In der ASA ICMPv6 freigeben, damit ein v6 Ping möglich ist zum Troubleshooten.
- Von der ASA dann zuerst die v6 Gateway IP des Providers anpingen um die v6 Connectivity zu verifizieren. Das muss klappen.
- Dann von einem v6 Client am LAN Interface 1.) das LAN Interface der ASA pingen, 2.) das WAN Interface der ASA pingen und zuletzt das v6 Interface des Provider Gateways.
Kneift es schon beim Ping des Provider v6 Gateways ist deine Firewall oder das Routing falsch konfiguriert, obwohl man beim Routing mit einer simplen Default Route nicht viel falsch machen kann...?!
Ein Posting hier der anonymisierten v6 Konfig wäre zudem ggf. auch hilfreich.
Mmmmhhh, das ist eigentlich recht unüblich und kann auch so nicht sein. Als default Route in der ASA muss die Provider v6 IP Adresse also die des Provider Routers konfiguriert sein oder ggf. dynamich übermittelt werden. Ein show ip route auf der ASA sollte das auch zeigen !
Das kann ja niemals die IP des eigenen WAN Interfaces sein, das wäre ja widersinnig alles auf sich selbst zu routen ?!
Ebenso dein internes Netzwerk, das kann niemals eine Provider IP als Gateway haben. Du machst ja ein Subnetting deines /48er Prefixes auf die VLANs und die Hosts innerhalb dieses Subnetzes haben die lokale ASA dann als Gateway. Das ist absolut analog zu dem was man auch bei IPv4 macht.
Abgesehen davon wenn du von einem Client den Heise v6 Server erreichst kann deine Konfig so falsch ja nicht sein. Der müsste dann auch via v6 per HTTP zu erreichen sein. Hast du das mal probiert mit der v6 IP statt Namen um erstmal DNS Problemen aus dem Wege zu gehen.
Das kann ja niemals die IP des eigenen WAN Interfaces sein, das wäre ja widersinnig alles auf sich selbst zu routen ?!
Ebenso dein internes Netzwerk, das kann niemals eine Provider IP als Gateway haben. Du machst ja ein Subnetting deines /48er Prefixes auf die VLANs und die Hosts innerhalb dieses Subnetzes haben die lokale ASA dann als Gateway. Das ist absolut analog zu dem was man auch bei IPv4 macht.
Abgesehen davon wenn du von einem Client den Heise v6 Server erreichst kann deine Konfig so falsch ja nicht sein. Der müsste dann auch via v6 per HTTP zu erreichen sein. Hast du das mal probiert mit der v6 IP statt Namen um erstmal DNS Problemen aus dem Wege zu gehen.
Wie würdest du es denn bei v4 machen ?? Da ist doch logischerweise auch das Uplink Netz ein eigenes IP Netz als das Lokale ?? Nur weil v6 längere Adressen hat ändert sich doch die Routing Logik nicht ! Wie sollte es denn sonst auch gehen ? Außerdem würde der Cisco dann schon meckern. Ein show ip route zeigt dir doch die Routings ?!
NAT gibt es bei IPv6 (noch) nicht wie allgemein bekannt. Da muss dann die Firewall der ASA ran.
Vermutlich liegt hier auch dein Problem, das du schlicht und einfach die Firewall Regeln falsch definiert hast und das VLAN 11 nicht passieren darf oder von außen geblockt wird. Es spricht vieles dafür, denn wenn du von der ASA Konsole DNS auflösen kannst und Server im v6 Internet wie heise.de erreichen kannst per v6 Ping ist dein Fehler vermutlich hinter oder besser in der ASA Firewall Konfig.
NAT gibt es bei IPv6 (noch) nicht wie allgemein bekannt. Da muss dann die Firewall der ASA ran.
Vermutlich liegt hier auch dein Problem, das du schlicht und einfach die Firewall Regeln falsch definiert hast und das VLAN 11 nicht passieren darf oder von außen geblockt wird. Es spricht vieles dafür, denn wenn du von der ASA Konsole DNS auflösen kannst und Server im v6 Internet wie heise.de erreichen kannst per v6 Ping ist dein Fehler vermutlich hinter oder besser in der ASA Firewall Konfig.
Es gibt keine privaten IPs also soawas wie RFC 1918 in IPv6 und...es gibt auch kein NAT. Man muss also nicht mit IPs geizen. Eins der fundamentalen Vorzüge von IPv6.
Du betreibst also lokale ein Subnetz deiner dir zugeteilten Bereiche oder Bereich !
NAT gibt es nicht bei v6 alles wird nativ geroutet. Deshalb ist die Firewall der ASA so wichtig !
Generell ist alles geblockt. Du musst also mit eine Firewall CBAC Liste das erlauben was du willst.
Mit an Sicherheit grenzender Wahrscheinlichkeit ist auch das dein Problem, das die FW ACL deinen Traffic blockt und du die ACL falsch eingerichtet hast.
Mach doch zum Test erstmal ein Scheunen Tor und erlaube alles...nur um zu sehen das es funktioniert...generell !
Du betreibst also lokale ein Subnetz deiner dir zugeteilten Bereiche oder Bereich !
NAT gibt es nicht bei v6 alles wird nativ geroutet. Deshalb ist die Firewall der ASA so wichtig !
Generell ist alles geblockt. Du musst also mit eine Firewall CBAC Liste das erlauben was du willst.
Mit an Sicherheit grenzender Wahrscheinlichkeit ist auch das dein Problem, das die FW ACL deinen Traffic blockt und du die ACL falsch eingerichtet hast.
Mach doch zum Test erstmal ein Scheunen Tor und erlaube alles...nur um zu sehen das es funktioniert...generell !