I know that (at least some models of) Brand J router ACLs can't filter when there are extension headers so the packets are usually just dropped.  Extension headers, and by extension, fragmentation, really kinda just don't work in the IPv6 world right now.  :-(<div class="gmail_extra">
<br><br><div class="gmail_quote">On 20 July 2012 17:10, Brian E Carpenter <span dir="ltr"><<a href="mailto:brian.e.carpenter@gmail.com" target="_blank">brian.e.carpenter@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
I'm hearing that shim6 headers are blocked by the BSD pf firewall, and that<br>
the problem extends to other types of extension header.<br>
<br>
I'm also hearing that PIX boxes are said to drop shim6 headers.<br>
<br>
Does anybody have clear information about this?<br>
<br>
Regards<br>
<span class="HOEnZb"><font color="#888888">   Brian Carpenter<br>
<br>
<br>
</font></span></blockquote></div><br></div>