PDA

Bekijk Volledige Versie : ipv6 & cisco ASA fw



Pur
17/10/08, 15:04
Hoi,

Ik heb van mijn uplink een ipv6 blok gekregen om eens met native ipv6 te experimenteren.

Ons netwerk zit als volgt in elkaar:

<UPLINK> < -> ASA FW < -> HP 2626 Switch < -> Servers

Nu heb ik 2 probleempjes. Als ik de ipv6 adressen configureer op verschillende machines dan kunnen ze elkaar prima pingen. So far so good dus. Alleen kunnen ze niet hun default gateway pingen. En (dus) ook niet naar buiten toe gaan over ipv6. Zou de fw hier iets mee te maken kunnen hebben?

Ik heb begrepen dat de ASA sinds v7 ipv6 ondersteund. Dus op zich zou hij wel IPV6 moeten kunnen doen. Alleen ik kan ook nergens via ASDM een ipv6 firewall config maken. En dat lijkt me toch wel aardig om (zodra de gateway werkt dan) ipv6 adressen open te kunnen zetten.

Netwerken is helaas niet helemaal mijn sterkste kant :) Dus HELP :-)

Wido
17/10/08, 15:27
Je zou eigenlijk moeten upgraden naar versie 8 van je ASA, daar zit wel IPv6 in, stukken beter dan in versie 7.

Staat de ASA in routed mode of in transparant mode?

groenleer
17/10/08, 15:28
Pascal,

welke versie van de software staar er op je ASA?
Ik meen dat je dat kan zien met show version.

Heb zelf geen ervaringen met de ASA's, maar wil je wel (met mate) proberen te helpen via het forum.

Pur
17/10/08, 15:39
7.2(4) draait ie. Upgraden naar 8 is geen optie gezien we niet beschikken over een support/software contract. En ik vind de Cisco site ook niet overzichtelijk wat voor een contract je minimaal nodig hebt + evt kosten. Maar goed dat ben ik ;-)

Toen ik voor deze post trouwens keek naar de voordelen van v8 zag ik ipv6 daar niet direct tussen staan in het lijstje wat ik heb bekeken. Dat was voornamelijk vooruitgang op VPN's etc.

Hij staat geconfigureerd overigens in transparante mode.

Wido
17/10/08, 15:45
ipv6 access-list

Zo maak je op de console een ipv6 access-list aan.

Pur
18/10/08, 21:44
Grmbl. Ik heb geen ipv6 commando.. Maar ja volgens de handleiding " IPv6 is available in Routed firewall mode only." en daar staat onze firewall nou net weer niet in.

Wido
18/10/08, 21:48
De transparant mode van de ASA fw is ook niet al te geweldig, zo mis je veel type inspecties, ik raad je aan toch naar de routed mode te gaan.

je kan je colo provider vragen jouw subnet static naar je ASA te routeren waarna je zelf als gateway voor je servers kan gaan dienen.

Dan kan je heel wat beter filteren.