chuber
Goto Top

Cisco ASA 5520 - natives IPv6

Guten Abend,

ich habe mal eine Frage zum nativen IPv6 Betrieb mit einer Cisco ASA 5520.

Ein /48 IPv6 Netz habe ich bekommen - 2001:xxxx:x:0/48

Die ASA hat das erste Netz also 2001:xxxx:x:2/64 auf das Wan Interface sowie eine Static Route zum IPv6 Gateway bekommen und es funktioniert auch alles von der ASA aus.

Wie sieht das jetzt für die Clients in einem bestimmten VLAN hinter der ASA aus ???

Ich habe es mal probiert und dem Interface für diese Clients die 2001:xxxx:x:1:2 gegeben.

Die Clients dahinter nehmen sich auch automatisch eine 2001:xxxx:x:1:xxxx:xxxx Adresse - allerdings scheint keine wirkliche IPv6 Konnektivität nach außen da zu sein. Kein Ping etc... Bei IPv6 Seiten wie z.b. heise braucht der firefox dann ewig bis er wohl auf ipv4 zurückstuft.... auf den Clients funktioniert nämlich die DNS Auflösung für IPv6...

Ich habe auf der ASA eigentlich auch alle IPv6 Regeln gesetzt....

Jemand ne Idee oder nen verständliches Tutorial/Howto ?

Danke

Content-ID: 178048

Url: https://administrator.de/forum/cisco-asa-5520-natives-ipv6-178048.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

aqui
aqui 23.12.2011 um 10:17:09 Uhr
Goto Top
OK, bevor man ins eingemachte geht solltest du erstmal strategisch vorgehen:
  • IPv6 Adressierung genau überprüfen
  • In der ASA ICMPv6 freigeben, damit ein v6 Ping möglich ist zum Troubleshooten.
  • Von der ASA dann zuerst die v6 Gateway IP des Providers anpingen um die v6 Connectivity zu verifizieren. Das muss klappen.
  • Dann von einem v6 Client am LAN Interface 1.) das LAN Interface der ASA pingen, 2.) das WAN Interface der ASA pingen und zuletzt das v6 Interface des Provider Gateways.
Erst dann kann man Tests in die große weite Welt machen.
Kneift es schon beim Ping des Provider v6 Gateways ist deine Firewall oder das Routing falsch konfiguriert, obwohl man beim Routing mit einer simplen Default Route nicht viel falsch machen kann...?!
Ein Posting hier der anonymisierten v6 Konfig wäre zudem ggf. auch hilfreich.
chuber
chuber 23.12.2011 um 10:39:35 Uhr
Goto Top
Also die ASA an sich hat IPv6 Konnektivität. Ping des gateways sowohl auch heise.de geht

ping heise.de
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2a02:2e0:3fe:100::8, timeout is 2 seconds:!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms

ASA IPv6 Interface

show ipv6 interface
uplink0-acc is up, line protocol is up
IPv6 is enabled, link-local address is fe80::215:c6ff:fefa:2ef2
Global unicast address(es):
2001:xxxx:21::2, subnet is 2001:xxxx:21::/64
Joined group address(es):
ff02::1
ff02::2
ff02::1:ff00:2
ff02::1:fffa:2ef2
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND advertised reachable time is 0 milliseconds
ND advertised retransmit interval is 1000 milliseconds
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
Hosts use stateless autoconfig for addresses.
MGMT is up, line protocol is up
IPv6 is enabled, link-local address is fe80::215:c6ff:fefa:2ef3
Global unicast address(es):
2001:xxxx:21:1::2, subnet is 2001:xxxx:21:1::/64

Vom Client aus dem MGMT Interface kann ich 2001:xxxx:21:1::2 problemlos anpingen.
2001:xxxx:21::2 und weiter geht nicht.

Ehrlich gesagt verstehe ich das auch nicht wirklich. Ich habe zwei /64er Netze - die ASA hat aber als ipv6 gateway das von dem Netz des Wan Interfaces. Mein Netz im internen Netz hat ja eigentlich auch ein Gateway beim Provider...
aqui
aqui 23.12.2011 um 12:04:05 Uhr
Goto Top
Mmmmhhh, das ist eigentlich recht unüblich und kann auch so nicht sein. Als default Route in der ASA muss die Provider v6 IP Adresse also die des Provider Routers konfiguriert sein oder ggf. dynamich übermittelt werden. Ein show ip route auf der ASA sollte das auch zeigen !
Das kann ja niemals die IP des eigenen WAN Interfaces sein, das wäre ja widersinnig alles auf sich selbst zu routen ?!
Ebenso dein internes Netzwerk, das kann niemals eine Provider IP als Gateway haben. Du machst ja ein Subnetting deines /48er Prefixes auf die VLANs und die Hosts innerhalb dieses Subnetzes haben die lokale ASA dann als Gateway. Das ist absolut analog zu dem was man auch bei IPv4 macht.
Abgesehen davon wenn du von einem Client den Heise v6 Server erreichst kann deine Konfig so falsch ja nicht sein. Der müsste dann auch via v6 per HTTP zu erreichen sein. Hast du das mal probiert mit der v6 IP statt Namen um erstmal DNS Problemen aus dem Wege zu gehen.
chuber
chuber 23.12.2011 um 12:44:38 Uhr
Goto Top
Da hab ich mich schlecht ausgedrück:

Interface Gi0/0.100 (Uplink) : IPv6: 2001:xxxx:21::2/64 Gateway: 2001:xxxx:21::1
Interface Gi0/1.11 (Intern) : IPv6: 2001:xxxx:21:1::2/64

Der Client im Vlan 11 hat auch keinen IPv6 Zugriff nach außen. Komischerweise wird DNS aber nach IPv6 aufgelöst und die ASA unter 2001:xxxx:21:1::2 kann gepingt werden.

Der Provider bietet mir für auch für das zweite Netz: 2001:xxxx:21:1::1 als Gateway an....

Ist die Überlegung denn generell richtig, dass auf dem Uplink Interface und auf dem Internen Interface jeweils ein anderes /64 Netz konfiguriert ist ?

Ich bin NAT im Kopf...
aqui
aqui 23.12.2011 um 18:03:56 Uhr
Goto Top
Wie würdest du es denn bei v4 machen ?? Da ist doch logischerweise auch das Uplink Netz ein eigenes IP Netz als das Lokale ?? Nur weil v6 längere Adressen hat ändert sich doch die Routing Logik nicht ! Wie sollte es denn sonst auch gehen ? Außerdem würde der Cisco dann schon meckern. Ein show ip route zeigt dir doch die Routings ?!
NAT gibt es bei IPv6 (noch) nicht wie allgemein bekannt. Da muss dann die Firewall der ASA ran.
Vermutlich liegt hier auch dein Problem, das du schlicht und einfach die Firewall Regeln falsch definiert hast und das VLAN 11 nicht passieren darf oder von außen geblockt wird. Es spricht vieles dafür, denn wenn du von der ASA Konsole DNS auflösen kannst und Server im v6 Internet wie heise.de erreichen kannst per v6 Ping ist dein Fehler vermutlich hinter oder besser in der ASA Firewall Konfig.
chuber
chuber 23.12.2011 um 21:45:57 Uhr
Goto Top
Ich habe etwas beschränkt gedacht face-smile Weil öffentliche IPs im LAN ? face-smile

ALso noch allem bin ich nur zu blöd für die Firewallregeln mit IPv6..
aqui
aqui 26.12.2011 um 15:31:28 Uhr
Goto Top
Es gibt keine privaten IPs also soawas wie RFC 1918 in IPv6 und...es gibt auch kein NAT. Man muss also nicht mit IPs geizen. Eins der fundamentalen Vorzüge von IPv6.
Du betreibst also lokale ein Subnetz deiner dir zugeteilten Bereiche oder Bereich !
NAT gibt es nicht bei v6 alles wird nativ geroutet. Deshalb ist die Firewall der ASA so wichtig !
Generell ist alles geblockt. Du musst also mit eine Firewall CBAC Liste das erlauben was du willst.
Mit an Sicherheit grenzender Wahrscheinlichkeit ist auch das dein Problem, das die FW ACL deinen Traffic blockt und du die ACL falsch eingerichtet hast.
Mach doch zum Test erstmal ein Scheunen Tor und erlaube alles...nur um zu sehen das es funktioniert...generell !