Vraag

vrijdag 9 maart 2018 22:29

Acties:
  • 0 Henk 'm!
  • Yggdrasil
  • Registratie: Februari 2004
  • Laatst online: 29-08 21:50

Yggdrasil

Topicstarter
Ik had graag hulp bij het configureren van IPv6 op onze eigen Cisco ASA 5506-X router. KPN is niet erg behulpzaam omdat de router niet door hen beheerd wordt.

KPN heeft ons een IPv6 range toegewezen en bevestigd dat deze actief is (hieronder is 'xxxx' geanonimiseerd):

Range Type : ipv6
IP Range : 2a02:a400:xxxx::/48
IP Address : 2a02:a400:xxxx::
Subnet Mask : 48

Ik heb onze ASA geupdate naar de nieuwste firmware 9.9.1, die IPv6 volledig zou ondersteunen. Onze connectie is opgezet via PPPOE.

Ik was in de veronderstelling dat we de IPv6 range moeten 'aanvragen' via DHCPv6 Prefix Delegation (PD) dus heb ik onderstaande config geprobeerd. Helaas werkte dat niet. 'SOLICIT' packets werden wel verzonden maar er komt geen antwoord.

code:
1
2
3
4
5
6
7
8
9
10
11

interface GigabitEthernet1/1
    nameif outside
    pppoe client vpdn group KPN
    ip address pppoe setroute
    ipv6 address autoconfig default trust dhcp
    ipv6 address dhcp default
    ipv6 enable
    ipv6 nd managed-config-flag
    ipv6 nd other-config-flag
    ipv6 dhcp client pd hint 2a02:a400:xxxx::/48
    ipv6 dhcp client pd outside-prefix


Resultaat:

code:
1
2
3
4
5
6
7
8
9

# show ipv6 dhcp interface outside
 
GigabitEthernet1/1 is in client mode
  Prefix State is SOLICIT (744)
  Retransmission timer expires in 00:00:37
  Address State is SOLICIT (741)
  Retransmission timer expires in 00:00:57
  Prefixes sent as hint:
    2a02:a400:xxxx::/48


Aangezien dat niet werkt twijfel ik of KPN wel PD toepast. Maar wat zou het anders zijn? Ik heb in ieder geval geen default gateway adres gehad van KPN dus zomaar een statisch adres toewijzen aan de 'outside' interface gaat niet werken want zonder gateway kan ik geen statische route maken.

Wie weet hoe ik mijn IPv6 range moet configureren voor KPN Zakelijk Glas?

Beste antwoord (via Yggdrasil op 07-06-2018 17:17)

woensdag 14 maart 2018 13:48

  • Sneezydevil
  • Registratie: Januari 2002
  • Laatst online: 08-09 10:28

Sneezydevil

Dat toewijzen van die adressen gebeurd hier volgens mij via het "PPP Control Protocol" die adressen kan ik dan ook terug vinden in mijn PPPoE log.

In die log zie ik dan een IPV6CP request en antwoord.

Als ik mijn PPPoE interface bekijk zie ik daar ons IPv4 adres staan en het "Local LL".

De default route voor IPv6 is dan of ons "Local LL" of gewoon de PPPoE interface.

Hopelijk helpt dit een beetje.

Wel "grappig" dat de KPN niet wil helpen. Tegen ons zeiden ze als je een Cisco had gehad, dan hadden we je wel geholpen. Maar bij andere merken doen we dat niet.

Alle reacties

maandag 12 maart 2018 16:57

Acties:
  • 0 Henk 'm!
  • Yggdrasil
  • Registratie: Februari 2004
  • Laatst online: 29-08 21:50

Yggdrasil

Topicstarter
Niemand? :)

Elke tip is welkom.

dinsdag 13 maart 2018 01:20

Acties:
  • 0 Henk 'm!
  • Bl@ckbird
  • Registratie: November 2000
  • Niet online

Bl@ckbird

Probeer het eens in het netwerken of pronetwerken hoekje..

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

dinsdag 13 maart 2018 08:17

Acties:
  • +1 Henk 'm!
  • rens-br
  • Registratie: December 2009
  • Laatst online: 20:59

rens-br

Admin IN & Moderator Mobile
@Yggdrasil dit heeft niet zoveel te maken met de provider, maar meer net netwerken. Dus schopje van IH naar NT.

dinsdag 13 maart 2018 08:30

Acties:
  • 0 Henk 'm!
  • NielsNL
  • Registratie: Januari 2002
  • Laatst online: 08-09 20:14

NielsNL

DigiCow

Het lijkt me dat jouw router aan jouw apparaten de prefix moet doorgeven. Die gaat dus voor DHCP spelen.
Dit: link zou je redelijk op weg moeten helpen.

M'n Oma is een site aan het haken.

dinsdag 13 maart 2018 11:42

Acties:
  • +1 Henk 'm!
  • Belgar
  • Registratie: Januari 2002
  • Laatst online: 10-09 11:47

Belgar

Archmaster ranzige code..

Weet je zeker dat je aanvraag via DHCPv6 moet? "Ik" heb gewoon een static address range. router vast range::1 gegeven en "router adverts" richting het interne netwerk. (wel niet direct via KPN maar subvendor)

Ik zou niet je hele /48 je interne netwerk opsturen voor het geval dat je later nog partitioning will doen. als je interne netwerk een prefix met /64 geeft is dat ruim voldoende (bovendien voor stateless ipv6 moet de advertisement volgens mij /64 zijn)

...Als het maar werkt

woensdag 14 maart 2018 09:39

Acties:
  • 0 Henk 'm!
  • Yggdrasil
  • Registratie: Februari 2004
  • Laatst online: 29-08 21:50

Yggdrasil

Topicstarter
@NielsNL Het gaat in dit geval om het krijgen van een range van de provider. Ik weet hoe ik de prefix moet delegaten naar mijn clients.

woensdag 14 maart 2018 09:53

Acties:
  • +1 Henk 'm!
  • Yggdrasil
  • Registratie: Februari 2004
  • Laatst online: 29-08 21:50

Yggdrasil

Topicstarter
@Belgar Dat zou kunnen. Ik weet niet zeker dat DHCPv6 nodig is maar dat ik geen respons krijg van KPN op mijn Solicit messages zegt misschien genoeg.

In mijn geval zou je dus bijv. statisch adres 2a02:a400:xxxx::1/64 instellen en RA via de outside interface gebruiken om een default route te krijgen? Dan zou ik alle ranges behalve 2a02:a400:xxxx::/64 beschikbaar hebben voor intern gebruik. Die 2a02:a400:xxxx::/48 definieer ik dan nergens in mijn config. Is dat wat je bedoelt?

Voor wat betreft de client side: Ik heb meerdere VLANs dus ga ik inderdaad een eigen /64s delegeren aan elk VLAN.

woensdag 14 maart 2018 10:28

Acties:
  • +1 Henk 'm!
  • Sneezydevil
  • Registratie: Januari 2002
  • Laatst online: 08-09 10:28

Sneezydevil

Wij hebben hier ook zakelijk glas van de KPN met IPv6.

Wij krijgen van de KPN een Link Local IPv6 adres toegewezen over PPPoE. Er is dus een soort van PPPoE tunnel met aan de KPN kant een remote LL adres en aan onze kant een local LL adres.

code:
1
2

local  LL address fe80::5caa:ac66:84f5:a6e9
remote LL address fe80::0223:3eff:fe6e:e650


Dat adres gebruiken we dan als gateway / default route. De IPv6 reeks verdelen we gewoon zelf.

Op EdgeMax gebruiken we het volgende commando (We hebben helaas geen cisco):
code:
1

set interfaces ethernet eth0 pppoe 0 dhcpv6-pd prefix-only

woensdag 14 maart 2018 12:01

Acties:
  • 0 Henk 'm!
  • Yggdrasil
  • Registratie: Februari 2004
  • Laatst online: 29-08 21:50

Yggdrasil

Topicstarter
@Sneezydevil Interessant. Dat zou inderdaad kunnen werken als ik het remote LL adres maar kon achterhalen. Ik zou verwachten dat dat via Router Advertisement wordt toegestuurd, maar die zie ik niet binnen komen.

woensdag 14 maart 2018 13:48

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • Sneezydevil
  • Registratie: Januari 2002
  • Laatst online: 08-09 10:28

Sneezydevil

Dat toewijzen van die adressen gebeurd hier volgens mij via het "PPP Control Protocol" die adressen kan ik dan ook terug vinden in mijn PPPoE log.

In die log zie ik dan een IPV6CP request en antwoord.

Als ik mijn PPPoE interface bekijk zie ik daar ons IPv4 adres staan en het "Local LL".

De default route voor IPv6 is dan of ons "Local LL" of gewoon de PPPoE interface.

Hopelijk helpt dit een beetje.

Wel "grappig" dat de KPN niet wil helpen. Tegen ons zeiden ze als je een Cisco had gehad, dan hadden we je wel geholpen. Maar bij andere merken doen we dat niet.

woensdag 14 maart 2018 16:42

Acties:
  • 0 Henk 'm!
  • Yggdrasil
  • Registratie: Februari 2004
  • Laatst online: 29-08 21:50

Yggdrasil

Topicstarter
IPV6CP? Oh shit. Ik heb het idee dat onze ASA 5506 dat niet ondersteund. Kwam het volgende tegen op een Duits forum:

"Die Cisco ASA 5506-X unterstützt kein IPV6CP Protokoll (RFC 5072), darum funktioniert es nicht. ASA OS Version 9.9(1)"

Ik zie in onze PPPoE log in ieder geval niks langskomen over IPv6. Ik zoek even verder.

zaterdag 22 juni 2019 23:35

Acties:
  • 0 Henk 'm!
  • s.vanrossem
  • Registratie: Maart 2005
  • Laatst online: 12-09 15:05

s.vanrossem

@Yggdrasil heb je dit destijds nog voor elkaar gekregen?

Ik zit op dit moment met hetzelfde issue en krijg ook IPv6 niet aan de gang op mijn ASA met dezelfde situatie zoals al eerder hier beschreven.

woensdag 26 juni 2019 09:43

Acties:
  • 0 Henk 'm!
  • Yggdrasil
  • Registratie: Februari 2004
  • Laatst online: 29-08 21:50

Yggdrasil

Topicstarter
@s.vanrossem Nee, het is niet gelukt. Het bleek erg moeilijk om concrete antwoorden te krijgen van KPN of onze reseller over de benodigde protocollen, maar uit mijn eigen onderzoek lijkt IPV6CP nodig te zijn en dat ondersteund de ASA niet. Ik heb ook een support case bij Cisco aangemaakt en zij bevestigden dat de ASA 5506-X geen IPv6CP (IPv6 Control Procotol) ondersteund.

KPN's voorstel was het plaatsen van een managed Cisco 897VA router vóór de ASA, die zorgt voor het afhandelen van IPv4 en IPv6 i.c.m. de PPPoE tunnel. Firewalling gebeurt dan nog steeds via onze ASA. KPN wilde die router leveren voor €500 eenmalig plus €250 voor installatie buiten kantooruren en maandelijks €20 voor beheerskosten.

We hebben besloten dit nu niet te doen omdat we aan het overwegen zijn over te stappen van KPN naar een andere glasvezelprovider, waarbij IPv6 natuurlijk als een eis wordt meegenomen. Waarschijnlijk zal ook daar sprake zijn van een managed router voor de ASA overigens.
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq