|
Cisco AnyConnect VPN client blocking IPv6?
![[de]](/s/countries/de.gif) Shadow Hawkins on Sunday, 02 August 2009 18:56:23
Hi!
I'm using AVM FRITZ!Box Fon WLAN 7270 router with IPv6 beta firmware together with an SixXS heartbeat tunnel.
Everything works really fine, except on one PC. On this machine I'm using the Cisco AnyConnect VPN Client to make an IPSec VPN to my office. The VPN is IPv4 only, but when I estabilsh the VPN I'm not able to connect to any IPv6 IPs.
The IPv6 IP still stay the same. I deactivated IPv6 protocol within the virtual VPN network card but this doesn't help.
OS is Windows Vista x64 SP2, Anyconnect Version 2.3.0254
ipconfig with VPN:
ipconfig /all
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : quad
Primres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : ispgateway.de
Ethernet-Adapter LAN-Verbindung 2:
Verbindungsspezifisches DNS-Suffix: <homeoffice>.de
Beschreibung. . . . . . . . . . . : Cisco AnyConnect VPN Virtual Miniport Ada
pter for Windows x64
Physikalische Adresse . . . . . . : 00-05-9A-3C-7A-00
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::e5e8:3c1d:eb1b:34e5%16(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.33.18(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : fd00::21c:4aff:fe5a:1e23
DNS-Server . . . . . . . . . . . : fd00::21c:4aff:fe5a:1e23
12.34.56.7
12.34.56.8
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : 00-1A-4D-43-3B-DF
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2a01:198:449:0:fc73:6c9:a321:34ee(Bevorzu
gt)
Temporre IPv6-Adresse. . . . . . : 2a01:198:449:0:6c87:82e5:5ba0:8f58(Bevorz
ugt)
Verbindungslokale IPv6-Adresse . : fe80::fc73:6c9:a321:34ee%10(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.178.20(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : fe80::21c:4aff:fe5a:1e23%10
192.168.178.1
DHCPv6-IAID . . . . . . . . . . . : 251664973
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-11-C3-FC-2B-00-1A-4D-43-3B-DF
DNS-Server . . . . . . . . . . . : fd00::21c:4aff:fe5a:1e23
192.168.178.1
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter VMware Network Adapter VMnet1:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet
1
Physikalische Adresse . . . . . . : 00-50-56-C0-00-01
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::891c:a0f8:e2a7:ff29%18(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.159.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 503337046
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-11-C3-FC-2B-00-1A-4D-43-3B-DF
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter VMware Network Adapter VMnet8:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet
8
Physikalische Adresse . . . . . . : 00-50-56-C0-00-08
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::9d6c:4cc9:971d:ba4f%20(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.20.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 536891478
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-11-C3-FC-2B-00-1A-4D-43-3B-DF
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Tunneladapter LAN-Verbindung*:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : isatap.{2322FE73-4DCA-44F3-9023-2E6B6B389
FD9}
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter LAN-Verbindung* 6:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physikalische Adresse . . . . . . : 02-00-54-55-4E-01
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter LAN-Verbindung* 15:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Microsoft-ISATAP-Adapter #2
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter LAN-Verbindung* 16:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : isatap.{3870B8E7-EEFC-41DB-AF19-0B024CBF3
D3A}
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter LAN-Verbindung* 17:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : isatap.{0F3E35EA-C925-4AF5-AABD-0C5E7C078
724}
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja ipconfig without VPN:ipconfig /all
Windows-IP-Konfiguration
Hostname . . . . . . . . . . . . : quad
Primres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Realtek PCIe GBE Family Controller
Physikalische Adresse . . . . . . : 00-1A-4D-43-3B-DF
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2a01:198:449:0:fc73:6c9:a321:34ee(Bevorzu
gt)
Temporre IPv6-Adresse. . . . . . : 2a01:198:449:0:6c87:82e5:5ba0:8f58(Bevorz
ugt)
Verbindungslokale IPv6-Adresse . : fe80::fc73:6c9:a321:34ee%10(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.178.20(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : fe80::21c:4aff:fe5a:1e23%10
192.168.178.1
DHCPv6-IAID . . . . . . . . . . . : 251664973
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-11-C3-FC-2B-00-1A-4D-43-3B-DF
DNS-Server . . . . . . . . . . . : fd00::21c:4aff:fe5a:1e23
192.168.178.1
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter VMware Network Adapter VMnet1:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet
1
Physikalische Adresse . . . . . . : 00-50-56-C0-00-01
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::891c:a0f8:e2a7:ff29%18(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.159.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 503337046
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-11-C3-FC-2B-00-1A-4D-43-3B-DF
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Ethernet-Adapter VMware Network Adapter VMnet8:
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet
8
Physikalische Adresse . . . . . . : 00-50-56-C0-00-08
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::9d6c:4cc9:971d:ba4f%20(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.20.1(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . :
DHCPv6-IAID . . . . . . . . . . . : 536891478
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-11-C3-FC-2B-00-1A-4D-43-3B-DF
DNS-Server . . . . . . . . . . . : fec0:0:0:ffff::1%1
fec0:0:0:ffff::2%1
fec0:0:0:ffff::3%1
NetBIOS ber TCP/IP . . . . . . . : Aktiviert
Tunneladapter LAN-Verbindung*:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : isatap.{2322FE73-4DCA-44F3-9023-2E6B6B389
FD9}
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter LAN-Verbindung* 6:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physikalische Adresse . . . . . . : 02-00-54-55-4E-01
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter LAN-Verbindung* 16:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : isatap.{3870B8E7-EEFC-41DB-AF19-0B024CBF3
D3A}
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Tunneladapter LAN-Verbindung* 17:
Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : isatap.{0F3E35EA-C925-4AF5-AABD-0C5E7C078
724}
Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
Can you please give me an hint how to make IPv6 working with established VPN?
Thank you!
Andreas
Cisco AnyConnect VPN client blocking IPv6?
![[si]](/s/countries/si.gif) Shadow Hawkins on Monday, 03 August 2009 11:29:28
Cisco VPN Client (art least some versions) has a builtin firewall.
Check the options of the client, if anything firewall related is present.
You can also try asking on some Cisco related forum (or Cisco support, they have support, don't they ? ;)
Cisco AnyConnect VPN client blocking IPv6?
Shadow Hawkins on Wednesday, 05 August 2009 21:11:51
Sorry, I can't find an firewall in the client. Well, I think you're right and I have to ask the cisco support :)
Cisco AnyConnect VPN client blocking IPv6?
![[us]](/s/countries/us.gif) Carmen Sandiego on Monday, 03 August 2009 14:49:49
http://www.cisco.com/en/US/docs/security/vpn_client/anyconnect/anyconnect22/administration/guide/22admin3.html#wp1002258
The AnyConnect client allows access to IPv6 resources over a public IPv4 connection (Windows XP SP2, Windows Vista, Mac OSX, and Linux only). You must use the command-line interface to configure IPv6; ASDM does not support IPv6.
You enable IPv6 access using the ipv6 enable command as part of enabling SSL VPN connections. The following is an example for an IPv6 connection that enables IPv6 on the outside interface:
hostname(config)# interface GigabitEthernet0/0
hostname(config-if)# ipv6 enable
To enable IPV6 SSL VPN, do the following general actions:
1. Enable IPv6 on the outside interface.
2. Enable IPv6 and an IPv6 address on the inside interface.
3. Configure an IPv6 address local pool for client assigned IP Addresses.
4. Configure an IPv6 Tunnel default gateway.
To implement this procedure, do the following steps:
Step 1 Configure Interfaces:
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 192.168.0.1 255.255.255.0
ipv6 enable; Needed for IPv6.
!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 10.10.0.1 255.255.0.0
ipv6 address 2001:DB8::1/32 ; Needed for IPv6.
ipv6 enable; Needed for IPv6.
Step 2 Configure an 'ipv6 local pool' (used for AnyConnect Client IPv6 address assignment):
ipv6 local pool ipv6pool 2001:DB8:1:1::5/32 100 ; Use your IPv6 prefix here
Note You still need to configure an IPv4 address pool when using IPv6 (using the ip local pool command)
Step 3 Add the ipv6 address pool to your Tunnel group policy (or group-policy):
tunnel-group YourTunGrp1 general-attributes ipv6-address-pool ipv6pool
Note Again, you must also configure an IPv4 address pool here as well (using the 'address-pool' command).
Step 4 Configure an IPv6 Tunnel Default Gateway:
ipv6 route inside ::/0 X:X:X:X::X tunneled
Cisco AnyConnect VPN client blocking IPv6?
Shadow Hawkins on Monday, 03 August 2009 15:43:06
Thanks, I had been wanting to try this for a while.
However, when try and add the pool:
ipv6 local pool SSCIPv6 2001:4978:1d8:a000::/64 100
Error: Interface Id should be non-zero for addresses in a pool
Cisco AnyConnect VPN client blocking IPv6?
Carmen Sandiego on Monday, 03 August 2009 17:56:41
ipv6 local pool SSCIPv6 2001:4978:1d8:a000::1/64 100
!
!
!
Add an address, not just a network
Cisco AnyConnect VPN client blocking IPv6?
Shadow Hawkins on Monday, 03 August 2009 19:18:02
That was it, thanks
Cisco AnyConnect VPN client blocking IPv6?
Shadow Hawkins on Wednesday, 05 August 2009 21:13:22
Hi!
That seems to be for the VPN server, not for the client. The vpncli.exe does not accept these commands. Sadly I have no access to the server :(
Cisco AnyConnect VPN client blocking IPv6?
Shadow Hawkins on Wednesday, 07 October 2009 21:38:58
Hi!
Together with the Cisco TAC we found the reason:
The ADA currently doesn't support "split tunneling" for IPv6 :(
The feature request is CSCtb74535, if you need this feature too and wanna contact your Cisco Account Team.
The only workaround is to configure the ADA with IPv6.
Have a nice evening,
Andreas
|
Posting is only allowed when you are