20.07.2025
268
20
0Sophos XG IPv6 on LAN funktioniert nicht
Hallo,
ich nutze eine Sophos XG Firewall (SFOS v20.0.3-MR3) und habe ein Problem IPv6 zum laufen zu bekommen.
Als erstes mal, über WAN läuft alles, ich kann mit der Diagnose-Funktion der XG per WAN IPv6-Adressen und Domains anpingen.
Aber trotz Firewall Regeln und Masquerading im NAT komme ich aus dem LAN nicht soweit.
DHCP läuft auch, also jeder Client bekommt seine IPv6 zugeteilt und die Clients untereinander sind auch pingbar.
Was mich jedoch stutzig macht, ich erhalte per DHCP kein Gateway mitgeteilt und selbst wenn ich manuell die IPv6-Gateway-IP am Client auf die XG sezte, habe ich keinen Internetzugriff.
Kann mir hier jemand weiterhelfen?
Im Sophos-Forum konnte ich dazu leider nichts hilfreiches finden.
Scheint als ob die UTM da pflegeleichter war im Umgang mit IPv6, was ich so gelesen habe.
Ich selbst habe es nur im Bekanntenkreis mit einer OPNSense hinbekommen, da sollte es mit der XG ja auch möglich sein :D
ich nutze eine Sophos XG Firewall (SFOS v20.0.3-MR3) und habe ein Problem IPv6 zum laufen zu bekommen.
Als erstes mal, über WAN läuft alles, ich kann mit der Diagnose-Funktion der XG per WAN IPv6-Adressen und Domains anpingen.
Aber trotz Firewall Regeln und Masquerading im NAT komme ich aus dem LAN nicht soweit.
DHCP läuft auch, also jeder Client bekommt seine IPv6 zugeteilt und die Clients untereinander sind auch pingbar.
Was mich jedoch stutzig macht, ich erhalte per DHCP kein Gateway mitgeteilt und selbst wenn ich manuell die IPv6-Gateway-IP am Client auf die XG sezte, habe ich keinen Internetzugriff.
Kann mir hier jemand weiterhelfen?
Im Sophos-Forum konnte ich dazu leider nichts hilfreiches finden.
Scheint als ob die UTM da pflegeleichter war im Umgang mit IPv6, was ich so gelesen habe.
Ich selbst habe es nur im Bekanntenkreis mit einer OPNSense hinbekommen, da sollte es mit der XG ja auch möglich sein :D
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673935
Url: https://administrator.de/forum/sophos-xg-firewall-ipv6-problem-673935.html
Ausgedruckt am: 20.07.2025 um 16:07 Uhr
20 Kommentare
Neuester Kommentar
Kein Problem, hatten wir in etwas anderer Form erst vor kurzem hier...
IPv6 an Client hinter Sophos
Da heute Sonntag ist. hier nochmal die Kurzform und die benötigten Settings für ein typisches Setup mit Prefix-Delegation vom Provider per DHCPv6 am WAN und verteilen des Prefix stateless per SLAAC im LAN.
Typische Konfiguration für den WAN-Port per DHCPv6 mit PD
Config LAN Port (Prefix Delegation stateless SLAAC)
Router Advertisement Settings
Dieser Eintrag wird automatisch angelegt und der Prefix automatisch ausgefüllt wenn der Haken bei "Router-Advertisement" in den Settings des LAN Port gesetzt wurde:
Firewall (IPv6) für die Clients in WAN
(ICMP (echo request) vom WAN ins LAN ist optional)
Die Clients generieren sich dann anhand der Router Advertisements automatisch eine IPv6 aus dem globalen vom Router bereitgestellten Prefix und setzen das Gateway auch auf die Sophos. DHCPv6 im LAN ist kein Muss wegen SLAAC.
Test am Client
Und schon lüppt das Ganze
.
!
Grundlagen wie immer hier lesenswert:
danrl.com/ipv6/
Gruß bm
IPv6 an Client hinter Sophos
Da heute Sonntag ist. hier nochmal die Kurzform und die benötigten Settings für ein typisches Setup mit Prefix-Delegation vom Provider per DHCPv6 am WAN und verteilen des Prefix stateless per SLAAC im LAN.
Typische Konfiguration für den WAN-Port per DHCPv6 mit PDConfig LAN Port (Prefix Delegation stateless SLAAC)Router Advertisement SettingsDieser Eintrag wird automatisch angelegt und der Prefix automatisch ausgefüllt wenn der Haken bei "Router-Advertisement" in den Settings des LAN Port gesetzt wurde:
Firewall (IPv6) für die Clients in WAN(ICMP (echo request) vom WAN ins LAN ist optional)
Die Clients generieren sich dann anhand der Router Advertisements automatisch eine IPv6 aus dem globalen vom Router bereitgestellten Prefix und setzen das Gateway auch auf die Sophos. DHCPv6 im LAN ist kein Muss wegen SLAAC.
Test am ClientUnd schon lüppt das Ganze
.Aber trotz Firewall Regeln und Masquerading im NAT komme ich aus dem LAN nicht soweit.
NAT ist bei globalen IPv6 Adressen Quatsch, weist du hoffentlich selbst !Grundlagen wie immer hier lesenswert:
danrl.com/ipv6/
Gruß bm
1
wenn ich das genau nach deinen Screenshots einrichte, komme ich beim Setup des LAN-Interface am Ende zu diesem Fehler:
"Ihr ISP hat eine nicht unterstützte Präfixlänge an Ihre Upstream-Schnittstelle delegiert.
Gehen Sie zur Schnittstelle und geben Sie eine dieser bevorzugten Präfixlängen ein: 48, 52, 56 oder 60."
bei Delegierung erhalte ich ein Präfix /63?
"Ihr ISP hat eine nicht unterstützte Präfixlänge an Ihre Upstream-Schnittstelle delegiert.
Gehen Sie zur Schnittstelle und geben Sie eine dieser bevorzugten Präfixlängen ein: 48, 52, 56 oder 60."
bei Delegierung erhalte ich ein Präfix /63?
bei Delegierung erhalte ich ein Präfix /63?
Das musst du doch deinen Provider fragen! Jeder ISP sendet bekanntlich einen individuellen Präfix per PD. Oder wenn du die Güte hättest uns mitzuteilen um wen es sich handelt könnten wir für dich auf dessen Webseite mit seiner Schnittstellenbeschreigung für dich gerne nachsehen? Bei der Telekom (Privatkunden) z.B. ist das seit 2012 ein /56er.
sorry, IPv6 ist absolutes Neuland für mich, nachdem es it der OPNSense damals so einfach ging, dachte, ist es mit der Sophos auch so.. aber irgendwie nicht, bei der OPN brauchte es irgendwie keine Delegierung etc, das ging einfach so.
Also mein Anbieter ist Vodafone (Kabel), ich hab in der Fritzbox mit der Option "Bestimmte Länge für das LAN-Präfix anfordern" ein 62er Präfix und das ist auch in der Fritzbox ersichtlich, aber die Sophos bekommt nur 64er Präfix mitgeteilt und delegiert /63.. ich versteh da leider nur Bahnhof bisher.. fange gerade erst an mich mit IPv6 zu beschäftigen :D
Also mein Anbieter ist Vodafone (Kabel), ich hab in der Fritzbox mit der Option "Bestimmte Länge für das LAN-Präfix anfordern" ein 62er Präfix und das ist auch in der Fritzbox ersichtlich, aber die Sophos bekommt nur 64er Präfix mitgeteilt und delegiert /63.. ich versteh da leider nur Bahnhof bisher.. fange gerade erst an mich mit IPv6 zu beschäftigen :D
Ist doch kein Hexenwerk! IPv6 ist wie IPv4 nur das die Adressen "etwas" länger sind. Der Rest ist gleich.
Es ist dann in jedem Falle hilfreich die dir oben gepostete kostenlose IPv6 Lektüre / Workshop zumindestens ansatzweise einmal etwas zu lesen! Dann merkst du das das eigentlich vertrautes Terrain ist... 😉
forum.vodafone.de/t5/Störungen-im-Kabel-Netz/IPv6-Präf ...
forum.vodafone.de/t5/Geräte/Prefix-Delegation-Size-für ...
forum.opnsense.org/index.php?topic=27863.0
Usw.
Genau wie es die alternativ verwendet Fritzbox macht die den /62er Präfix ja auch als /64er für die lokalen Netze verwendet. Gut, bei der FB maximal 2 (Heim, Gast) weil die Fritte ja nicht mehr kann.
HIER ist es ansatzweise etwas erklärt.
Es ist dann in jedem Falle hilfreich die dir oben gepostete kostenlose IPv6 Lektüre / Workshop zumindestens ansatzweise einmal etwas zu lesen! Dann merkst du das das eigentlich vertrautes Terrain ist... 😉
bei der OPN brauchte es irgendwie keine Delegierung etc, das ging einfach so.
Das ist natürlich Quatsch und weisst du als kundiger Administrator natürlich auch selber, weil jeder ISP mit Delegation arbeitet. Der kleine feine Unterschied bei der OPNsense ist nur das es dort im Default schon alles aktiv und entsprechend eingerichtet ist. Laien interpretieren das dann oftmals als "einfach".Also mein Anbieter ist Vodafone (Kabel)
Befragt man einmal Dr. Google danach sagt er das das wohl jetzt ein /59er ist:forum.vodafone.de/t5/Störungen-im-Kabel-Netz/IPv6-Präf ...
forum.vodafone.de/t5/Geräte/Prefix-Delegation-Size-für ...
forum.opnsense.org/index.php?topic=27863.0
Usw.
und delegiert /63..
Das wäre vollkommen unüblich und stimmt vermutlich auch nicht wenn du für deine lokalen Netze immer einen /64 Präfix vorgibst. Die Sophos muss auch selber niemals einen Teilräfix "weitergeben", es sei denn du hast in deinen lokalen Netzwerken noch weitere IPv6 Router. Dazu sagst du aber in deinem Thread nichts. Hättest du es umgekehrt gesagt würde ein Schuh daraus werden. Provider senden ja immer einen kleineren Prefix den man dann lokal in größeren, üblicherweise /64er, verwendet.Genau wie es die alternativ verwendet Fritzbox macht die den /62er Präfix ja auch als /64er für die lokalen Netze verwendet. Gut, bei der FB maximal 2 (Heim, Gast) weil die Fritte ja nicht mehr kann.
HIER ist es ansatzweise etwas erklärt.
Ihr ISP hat eine nicht unterstützte Präfixlänge an Ihre Upstream-Schnittstelle delegiert.
Gehen Sie zur Schnittstelle und geben Sie eine dieser bevorzugten Präfixlängen ein: 48, 52, 56 oder 60."
Typisch minderbemittelter beschnittener Sophos-Schrott ...Gehen Sie zur Schnittstelle und geben Sie eine dieser bevorzugten Präfixlängen ein: 48, 52, 56 oder 60."
Und bei Vodafone ist der Prefix je nach Tarif unterschiedlich da muss man raten welchen du hast. Frage einfach den Support.
1
also ich hab es nun hinbekommen mit den Präfixen.. ich hab die Fritzbox einen /56 beziehen lassen und die Sophos hat nun ein /60 per Delegierung.. Die Clients bekommen auch alle eine IPv6 aus dem Bereich.
ABER ich habe auf IPv6 nach wie vor kein Internet, die Sophos jedoch kann nach wie vor alles Anpingen per IPv6 über WAN, aber aus dem LAN geht nichts, trotz Firewall-Regeln wie in den Screenshots
EDIT: Ich weiß auch warum.. IPv6 wird Gateway immer noch irgendeine FE80-Adresse genommen und nicht die IPv6 der Sophos.. aber nicht nur am PC, an allen Clients. Wo kommt die her? Denn auch die Fritzbox hat diese FE8 nicht
ABER ich habe auf IPv6 nach wie vor kein Internet, die Sophos jedoch kann nach wie vor alles Anpingen per IPv6 über WAN, aber aus dem LAN geht nichts, trotz Firewall-Regeln wie in den Screenshots
EDIT: Ich weiß auch warum.. IPv6 wird Gateway immer noch irgendeine FE80-Adresse genommen und nicht die IPv6 der Sophos.. aber nicht nur am PC, an allen Clients. Wo kommt die her? Denn auch die Fritzbox hat diese FE8 nicht
ABER ich habe auf IPv6 nach wie vor kein Internet, die Sophos jedoch kann nach wie vor alles Anpingen per IPv6 über WAN, aber aus dem LAN geht nichts, trotz Firewall-Regeln wie in den Screenshots.
Hast du in den Firewall Regeln auch auf IPv6 geswitcht? Dass ist ein separater Abschnitt getrennt von IPv4, das übersieht man leicht! Die Regel muss zwingend dort angelegt werden sonst gilt sie nicht für IPv6 sondern nur für IPv4!
1ich hab die Fritzbox einen /56 beziehen lassen und die Sophos hat nun ein /60 per Delegierung..
Sprich du betreibst deine Fritte und den minderbemittelt beschnittenen Sophos-Schrott dann in einer Router Kaskade?? 
Wäre hilfreich für alle gewesen wenn du das VORAB einmal geschildert hättest, denn so muss die Fritte ja in der Tat einen Teilpräfix per PD im Koppelnetz weitergeben.
heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-ipv6-pfsens ...
kuerbis.org/2023/03/ipv6-im-heimnetz-mit-pfsense-und-dynamischer ...
docs.opnsense.org/manual/how-tos/ipv6_fb.html
Das Gateway ist übrigens sächlich.
duden.de/rechtschreibung/Gateway
Zitat von @BiberMan:
ABER ich habe auf IPv6 nach wie vor kein Internet, die Sophos jedoch kann nach wie vor alles Anpingen per IPv6 über WAN, aber aus dem LAN geht nichts, trotz Firewall-Regeln wie in den Screenshots.
Hast du in den Firewall Regeln auf IPv6 geswitcht? Dass ist ein separater Abschnitt getrennt von IPv4, das übersieht man leicht! Die Regel muss zwingend dort angelegt werden!natürlich hab ich die im richtigen Reiter. Wie gesagt der Gateway passt nicht zum Subnetz im 60er Prefix, der delegiert wurde. Aber warum?
EDIT: Ich weiß auch warum.. IPv6 wird Gateway immer noch irgendeine FE80-Adresse genommen und nicht die IPv6 der Sophos.. aber nicht nur am PC, an allen Clients. Wo kommt die her? Denn auch die Fritzbox hat diese FE8 nicht
Das ist normal, das ist die LinkLocal-Adresse der Sophos am LAN-Port und das ist auch richtig so bei IPv6 ist das Gateway i.d.R. immer eine LinkLocal Adresse, wo wir mal wieder bei den Basics wären. Siehe auch mein Screenshot der Linux Client-Kiste oben.Wie gesagt der Gateway passt nicht zum Subnetz im 60er Prefix, der delegiert wurde. Aber warum?
S. vorherige Antwort => Basics1Zitat von @aqui:
Wäre hilfreich für alle gewesen wenn du das VORAB einmal geschildert hättest, denn so muss die Fritte ja in der Tat einen Teilpräfix per PD im Koppelnetz weitergeben.
heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-ipv6-pfsens ...
kuerbis.org/2023/03/ipv6-im-heimnetz-mit-pfsense-und-dynamischer ...
docs.opnsense.org/manual/how-tos/ipv6_fb.html
Das Gateway ist übrigens sächlich.
duden.de/rechtschreibung/Gateway
ich hab die Fritzbox einen /56 beziehen lassen und die Sophos hat nun ein /60 per Delegierung..
Sprich du betreibst deine Fritte und den minderbemittelt beschnittenen Sophos-Schrott dann in einer Router Kaskade?? Wäre hilfreich für alle gewesen wenn du das VORAB einmal geschildert hättest, denn so muss die Fritte ja in der Tat einen Teilpräfix per PD im Koppelnetz weitergeben.
heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-ipv6-pfsens ...
kuerbis.org/2023/03/ipv6-im-heimnetz-mit-pfsense-und-dynamischer ...
docs.opnsense.org/manual/how-tos/ipv6_fb.html
Das Gateway ist übrigens sächlich.
duden.de/rechtschreibung/Gateway
sorry, das hatte ich tatsächlich vergesse zu erwähnen, ich war mir irgendwie sicher das schon geschrieben zu haben
also wie gesagt die Fritzbox erhält von Vodafone per Zwang ein 56er prefix und die Sophos per Delegierung ein 60er prefix.
Die Zuweisungen scheinen ja auch zu funktionieren, die Sophos hat ja ebenfalls eine IPv6 aus dem 60er Prefix und kann z.B. Google auf IPv6 per Diagnose anpingen.
Die Clients, mit ebenfalls einer IP aus dem 60er Prefix können das nicht.
Man könnte ja zur Abwechslung mal ein
ipconfig /all und route print am Client posten (wenns ein Winblows Client ist), also auch von der Konsole oder GUI der Sophos deren LinkLocal IPs auflisten statt nur "funktioniert nicht", so kommen wir sonst nicht weiter.1
IPv6-Adresse. . . . . . . . . . . : 2a02:810a:8d26:xxxxxx:1a0d:37ae:2dcb(Bevorzugt)
Temporäre IPv6-Adresse. . . . . . : 2a02:810a:8d26:xxxxxx:f74e:4417:ee6b(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::47d:xxxxxx:9320%44(Bevorzugt)
aber ich muss zurückrudern.. die Sophos kann inzwischen auch nichts mehr per IPv6 anpingen
Temporäre IPv6-Adresse. . . . . . : 2a02:810a:8d26:xxxxxx:f74e:4417:ee6b(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::47d:xxxxxx:9320%44(Bevorzugt)
aber ich muss zurückrudern.. die Sophos kann inzwischen auch nichts mehr per IPv6 anpingen
Da fehlen aber die wichtigsten Infos, wie das GW und die Routen und die LL der Sophos ....
DHCPv6 Settings der Fritte sind wie eingestellt? Fragen über Fragen, Zeit mal vollständig zu liefern.
DHCPv6 Settings der Fritte sind wie eingestellt? Fragen über Fragen, Zeit mal vollständig zu liefern.
1
Zitat von @superfun2k24:
wenn ich das genau nach deinen Screenshots einrichte, komme ich beim Setup des LAN-Interface am Ende zu diesem Fehler:
"Ihr ISP hat eine nicht unterstützte Präfixlänge an Ihre Upstream-Schnittstelle delegiert.
Gehen Sie zur Schnittstelle und geben Sie eine dieser bevorzugten Präfixlängen ein: 48, 52, 56 oder 60."
wenn ich das genau nach deinen Screenshots einrichte, komme ich beim Setup des LAN-Interface am Ende zu diesem Fehler:
"Ihr ISP hat eine nicht unterstützte Präfixlänge an Ihre Upstream-Schnittstelle delegiert.
Gehen Sie zur Schnittstelle und geben Sie eine dieser bevorzugten Präfixlängen ein: 48, 52, 56 oder 60."
Diese Beschränkung wurde in v21.5 entfernt:
DHCP Prefix Delegation Relaxation: Now supports /48 to /64 prefixes, improving interoperability with ISPs. Router Advertisements (RA) and the DHCPv6 server are also now enabled by default.
community.sophos.com/sophos-xg-firewall/b/blog/posts/sophos-fire ...1Zitat von @BiberMan:
Da fehlen aber die wichtigsten Infos, wie das GW und die Routen und die LL der Sophos ....
DHCPv6 Settings der Fritte sind wie eingestellt? Fragen über Fragen, Zeit zu liefern.
Da fehlen aber die wichtigsten Infos, wie das GW und die Routen und die LL der Sophos ....
DHCPv6 Settings der Fritte sind wie eingestellt? Fragen über Fragen, Zeit zu liefern.
DHCPv6 steht auf "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen"
Aktive Routen:
If Metrik Netzwerkziel Gateway
44 306 ::/0 fe80::7e5a:1cff:xxxxxx:5ab1
44 306 ::/0 2a02:810a:8d26:xxxxxx::1
1 331 ::1/128 Auf Verbindung
44 306 2a02:810a:8d26:xxxxxx::/64 Auf Verbindung
44 306 2a02:810a:8d26:xxxxxx:1a0d:37ae:2dcb/128
Auf Verbindung
44 306 2a02:810a:8d26:xxxxxx:f74e:4417:ee6b/128
Auf Verbindung
44 306 fe80::/64 Auf Verbindung
44 306 fe80::47d:44ad:xxxxxx:9320/128
Auf Verbindung
1 331 ff00::/8 Auf Verbindung
44 306 ff00::/8 Auf Verbindung
===========================================================================
Ständige Routen:
If Metrik Netzwerkziel Gateway
0 4294967295 ::/0 2a02:810a:8d26:xxxxxx::1Wo ich bei der Sophos die LL finde, keine Ahnung.. aber ich habe das Problem wahrscheinlich entdeckt.
Der Wan-Link-Manager zeigt, dass das V6-Gateway rot ist.
Als Gateway-IP steht da die ULA der Fritte drin fda1:2647:18d6::2e91:xxxxx:29dc, so wie bei allen vorherigen Versuchen auch
Code Tags würden die Lesbarkeit der Outputs deutlich erhöhen! 🧐
Tip:
Die ULA Adresse der Fritte im Netzwerk Teil ist frei konfigurierbar. Es hilft bei der v6 Adressübersicht wenn du der einen "erkennbaren" /64er Teil setzt wie z.B. fda1:cafe:bade:affe:: /64
Tip:
Die ULA Adresse der Fritte im Netzwerk Teil ist frei konfigurierbar. Es hilft bei der v6 Adressübersicht wenn du der einen "erkennbaren" /64er Teil setzt wie z.B. fda1:cafe:bade:affe:: /64
2a02:810a:8d26:xxxxxx::1
Das manuell hinzugefügte Gateway raus nehmen das ist überflüssig denn die LL der Sophos steht schon drin.Die LL der Sophos findest du auch auf der Konsole in den Netzwerksettings zur Schnittstelle, habe gerade kein GUI mehr zur Hand.
Diese sollte laut deinen Client-Infos die fe80::7e5a:1cff:xxxxxx:5ab1 sein.
Zitat von @BiberMan:
Die LL der Sophos findest du auch auf der Konsole in den Netzwerksettings zur Schnittstelle, habe gerade kein GUI mehr zur Hand.
Diese sollte laut deinen Client-Infos die fe80::7e5a:1cff:xxxxxx:5ab1 sein.
2a02:810a:8d26:xxxxxx::1
Das manuell hinzugefügte Gateway raus nehmen das ist überflüssig denn die LL der Sophos steht schon drin.Die LL der Sophos findest du auch auf der Konsole in den Netzwerksettings zur Schnittstelle, habe gerade kein GUI mehr zur Hand.
Diese sollte laut deinen Client-Infos die fe80::7e5a:1cff:xxxxxx:5ab1 sein.
habe die Gateway-IP angepasst und nun kann die Sophos wieder IPv6 pingen, aber Clients nach wie vor nicht.
Ein Trace-Route vom Client zeigte nun folgendes:
tracert -6 google.com
Routenverfolgung zu google.com [2a00:1450:4001:812::200e]
über maximal 30 Hops:
1 1 ms 1 ms 1 ms 2a02:xxxxxx:d8f0::1 <---- Sophos
2 2 ms 1 ms 2 ms 2a02:xxxxxx:d800:2e91:abff:fe84:29dc <---- Fritzbox
3 * * * Zeitüberschreitung der Anforderung.
4 * * * Zeitüberschreitung der Anforderung.Die Anfragen der Clients verlassen also die Fritzbox nicht, hingegen von der Sophos selbst gehts
