# ADSL, ADSL 2, ADSL 2+  και  Broadband Hardware > Cisco  ADSL modems και routers >  IPv6 LAN to LAN Configuration

## nkladakis

έχω cisco router σεταρισμενο με ipv6 σύμφωνα με το υπόδειγμα ΟΤΕ και δουλεύει μια χαρά.

Αυτό που θέλω να κάνω είναι ένα διαφορετικό setup:
δηλαδή

ipv6 ΟΤΕ -------> border router -------> Asa firewall ---------> ipv6 client

έχει κάνει κάνεις κάτι τέτοιο ?
ο οτέ σε πελάτες με static και block ip δίνει και ipv6 σταθερές?
οποιοδήποτε κατεύθυνση είναι καλοδεχούμενη.
 :Smile:

----------


## SfH

Δε γνωρίζω αν είναι στατικές, μπορείς να ρωτήσεις τον Dez εδώ ή στο @oteipv6 . Αν δεν είναι στατικές, περιπλέκεται το θέμα. 

Σε εκδόσεις που έχω παίξει τουλάχιστον, δε μπορείς να πάρεις prefix από PD και να το δώσεις πάλι με PD ( μπορείς να δώσεις μόνο στατικό, local pool ή να πάρεις από AAA ). Πιθανότατα να μπορείς να το κάνεις με EEM και να αλλάζεις στατικά το delegated prefix, αλλά δεν ξέρω αν θα υλοποιούσα κάτι τέτοιο σε production. Επίσης, δε νομίζω να έχει λειτουργικό dhcpv6 client που να κάνει PD το ASA ( εκτός αν το προσθέσανε σχετικά πρόσφατα ). 

Με slaac μπορείς να κάνεις number το ASA , αλλά δε βλέπω τρόπο να μπορείς να κάνεις number το πιο πέρα δίκτυο, εκτός ίσως αν μπλέξεις με πολύ "βρώμικα" hacks ( mismatched netmasks και proxy-nd - που αφενώς δεν ξέρω αν το υποστηρίζει το ASA , αφετέρου δεν γνωρίζω αν θα μπορούσες να αυτοματοποιήσεις το assignment στο μέσα interface του ASA ).

Αν δουλεύει το dhcpv6 pd στο ASA και αν σε βολεύει κάποιο τέτοιο σενάριο, ίσως να μπορούσες να τερματίσεις το pppoe κατευθείαν στο ASA.

----------


## nkladakis

> Δε γνωρίζω αν είναι στατικές, μπορείς να ρωτήσεις τον Dez εδώ ή στο @oteipv6 . Αν δεν είναι στατικές, περιπλέκεται το θέμα. 
> 
> Σε εκδόσεις που έχω παίξει τουλάχιστον, δε μπορείς να πάρεις prefix από PD και να το δώσεις πάλι με PD ( μπορείς να δώσεις μόνο στατικό, local pool ή να πάρεις από AAA ). Πιθανότατα να μπορείς να το κάνεις με EEM και να αλλάζεις στατικά το delegated prefix, αλλά δεν ξέρω αν θα υλοποιούσα κάτι τέτοιο σε production. Επίσης, δε νομίζω να έχει λειτουργικό dhcpv6 client που να κάνει PD το ASA ( εκτός αν το προσθέσανε σχετικά πρόσφατα ). 
> 
> Με slaac μπορείς να κάνεις number το ASA , αλλά δε βλέπω τρόπο να μπορείς να κάνεις number το πιο πέρα δίκτυο, εκτός ίσως αν μπλέξεις με πολύ "βρώμικα" hacks ( mismatched netmasks και proxy-nd - που αφενώς δεν ξέρω αν το υποστηρίζει το ASA , αφετέρου δεν γνωρίζω αν θα μπορούσες να αυτοματοποιήσεις το assignment στο μέσα interface του ASA ).
> 
> Αν δουλεύει το dhcpv6 pd στο ASA και αν σε βολεύει κάποιο τέτοιο σενάριο, ίσως να μπορούσες να τερματίσεις το pppoe κατευθείαν στο ASA.



Σε ευχαριστω για την απάντηση.

Λοιπόν το όλο "project" είναι ένα lab για τα ελεύθερα απογεύματα.  :Smile: 
Όταν παίξω αρκετά και το κατανοήσω απόλυτα τότε θα το κάνω production.
Δυστυχώς δεν δίνει static ipv6  ακόμα ΟΤΕ και για την ώρα ipv6 φτάνει μέχρι τον asa του οποίου το client PD δουλευει οπως το εχω αλλα οχι αν το βαλω  το ASA να κανει PPPoE διοτι δεν υποστηριζει ipv6 με pppoe το asa ακομα. 

Αν με ακουει ο ΟΤΕ θα ηθελα ενα static /48 αρι να το βασανισω. :Smile: 

Προχωρώντας το project εχω κολλήσει ομως σε ipv4 κομμάτι.  :Razz:  
συγκεκριμένα η διάταξη ειναι η εξης:

border router(877W) ---79.x.x.112/29----> Asa firewall ----79.x.x.120/29-----> router(887)  ------10.0.0.0/24---->client

το dynamic nat γινεται στον ASA και ο client βγαίνει νια χαρά εξω όπως και από εξω βλεπω client με static nat.
δυστυχώς δεν μπορει να περάσει το 79.x.x.120/29 το asa οτι και αν εχω κανει. Μπορει βεβαια να το κανει αμα το κανω NAT και αυτο, αλλα δεν ειναι αυτο που θελω.
Εχω αναβαθμίσει το asa σε 9.1 και δεν υπάρχει η πια η εντολή "NAT exempt rules" και δεν μπορω να βρω πως αντικαθίσταται.

ελπίζω να γνωρίζει κάποιος....

----------


## purpleaura

> Σε ευχαριστω για την απάντηση.
> 
> Λοιπόν το όλο "project" είναι ένα lab για τα ελεύθερα απογεύματα. 
> Όταν παίξω αρκετά και το κατανοήσω απόλυτα τότε θα το κάνω production.
> Δυστυχώς δεν δίνει static ipv6  ακόμα ΟΤΕ και για την ώρα ipv6 φτάνει μέχρι τον asa του οποίου το client PD δουλευει οπως το εχω αλλα οχι αν το βαλω  το ASA να κανει PPPoE διοτι δεν υποστηριζει ipv6 με pppoe το asa ακομα. 
> 
> Αν με ακουει ο ΟΤΕ θα ηθελα ενα static /48 αρι να το βασανισω.


Ο ΟΤΕ έδινε πιλοτικά static /56.




> Εχω αναβαθμίσει το asa σε 9.1 και δεν υπάρχει η πια η εντολή "NAT exempt rules" και δεν μπορω να βρω πως αντικαθίσταται.
> 
> ελπίζω να γνωρίζει κάποιος....


http://www.cisco.com/c/en/us/td/docs...g.html#wp60183

http://www.cisco.com/c/en/us/td/docs...#pgfId-1792563



```
Command History

Release
Modification
8.3(1)

This command was introduced.

8.3(2)

When migrating from a pre-8.3 NAT exemption configuration, the keyword unidirectional is added for the resulting static identity NAT rule.

8.4(2)/8.5(1)

The no-proxy-arp , route-lookup , pat-pool , and round-robin keywords were added.

The default behavior for identity NAT was changed to have proxy ARP enabled, matching other static NAT rules.

For pre-8.3 configurations, the migration of NAT exempt rules (the nat 0 access-list command) to 8.4(2) and later now includes the following keywords to disable proxy ARP and to use a route lookup: no-proxy-arp and route-lookup . The unidirectional keyword that was used for migrating to 8.3(2) and 8.4(1) is no longer used for migration. When upgrading to 8.4(2) from 8.3(1), 8.3(2), and 8.4(1), all identity NAT configurations will now include the no-proxy-arp and route-lookup keywords, to maintain existing functionality. The unidirectional keyword is removed.

8.4(3)

The extended , flat , and include-reserve keywords were added.

When using a PAT pool with round robin allocation, if a host has an existing connection, then subsequent connections from that host will use the same PAT IP address if ports are available.

This feature is not available in 8.5(1).

9.0(1)

NAT now supports IPv6 traffic, as well as translating between IPv4 and IPv6. Translating between IPv4 and IPv6 is not supported in transparent mode. We added the interface ipv6 option and the net-to-net option.
```

Enjoy.

----------


## nkladakis

....λύθηκε το θέμα με ένα τρικάκι!!!!  :Smile:   μάλλον ηθελε object-group αντί για σκέτο object. Σε κάθε περίπτωση με παίδεψε πολύ και την λύση την βρήκα τελικά σε ένα forum και όχι στο documentation της cisco.

συγκεκριμένα 

το παλιό config 3 γραμμές!!

access-list EXEMPT permit ip 79.x.x.120 255.255.255.248 any
 nat (inside) 0 access-list EXEMPT outside
 nat (outside) 0 access-list EXEMPT outside



Το νέο 9.1!!

object network inside-network
subnet 79.x.x.120 255.255.255.248

object network ANY-0.0.0.0-1
subnet 0.0.0.0 128.0.0.0

object network ANY-128.0.0.0-1
subnet 128.0.0.0 128.0.0.0

object-group network ALL
network-object object ANY-0.0.0.0-1
network-object object ANY-128.0.0.0-1

nat (inside,outside) source static inside-network inside-network destination static ALL ALL

----------

