Het grote IPv6 topic

@ DeKoning. Hier loopt teredo zonder problemen. Heb je toevallig NOD32 in gebruik?

Ik was nog even voor me eigen aan het stoeien met tunnels.

Voor het maken van tunneladressen zou ik subnets kleinere dan /64 willen gebruiken, maar kan en mag dat eigenlijk wel (mogen in de zin van dat het volgens alle specificaties en regels wel klopt nog).

Alle tunnelbrokers werken allemaal met /64's volgens mij voor hun tunnels.

Ik vind het zonde van de ruimte.

Het kan wel, het mag ook maar aangezien er zoveel adressen zijn gebruiken alle tunnelbrokers /64 voor tunnels.

Leuk nieuwtje. XS4ALL heeft de eerste native IPv6 ADSL lijn opgeleverd.

Bron: http://www.zdnet.nl/news/...adsl-verbinding-via-ipv6/

keiichi: dat kan prima, je kunt ipv6 net zo subnetten als ipv4. Maar door de enorme lengte van v6-adressen wordt er op aan andere manier tegenaan gekeken. De eerste 64 bits zijn altijd voor het netwerk, de laatste 64 kunnen dan een host aangeben met een adres gebaseerd op het Mac-adres. Daar is meer dan genoeg ruimte voor. In principe is een /64 het kleinere dat ergens naartoe gerouteerd zal worden, maar op mischien een paar speciale uitzonderingen na zul je zelfs dat nooit in de global routing table tegenkomen.

Boonie: ik snap al die artikelen niet. Bedoelen ze nu werkelijk zoals ze schrijven dat de betreffende internetverbinding ipv6-only is, en dat je er dus in de praktijk nog niet zoveel aan hebt? Ik neem aan dat ze native bedoelen ipv tunneled...

De genoemde xs4all adsl verbinding is ipv4 en ipv6, samen native over PPPoA.

quote:

_fm schreef op woensdag 06 mei 2009 @ 19:10:
De genoemde xs4all adsl verbinding is ipv4 en ipv6, samen native over PPPoA.

Over 9 dagen wordt bij mij Xs4all opgeleverd, ga tegen die tijd wel eens uitzoeken of dit gemakkelijk te activeren is. Ik zou iig graag een native IPv6 verbinding erbij willen hebben.

quote:

Boonie: ik snap al die artikelen niet. Bedoelen ze nu werkelijk zoals ze schrijven dat de betreffende internetverbinding ipv6-only is, en dat je er dus in de praktijk nog niet zoveel aan hebt? Ik neem aan dat ze native bedoelen ipv tunneled...

Het persbericht en ook het artikel waar ik naar linkte zijn niet erg duidelijk.

Uit de nieuwsgroep bij XS4ALL begrijp ik dat ze native IPv6 en IPv4 bieden over dezelfde link. Dat zal dan betekenen dat de fritz!box een publiek IPv4 adres krijgt en een /64 of zo aan IPv6 adressen. De PC's zullen op hun beurt een private IPv4 adres krijgen en daarnaast een publiek IPv6 adres. En als dat inderdaad zo is dan lijkt me dat een voor de hand liggende maar wel coole oplossing die ik ook wel wil.

quote:

Robinski schreef op woensdag 06 mei 2009 @ 19:41:
[...]
Over 9 dagen wordt bij mij Xs4all opgeleverd, ga tegen die tijd wel eens uitzoeken of dit gemakkelijk te activeren is. Ik zou iig graag een native IPv6 verbinding erbij willen hebben.

Gemakkelijk te activeren: nog niet, er zijn nog een aantal 'work-in-progress' punten die eerst opgelost moeten worden voor het voor iedereen 'aan' kan. Tot die tijd kun je natuurlijk wel de xs4all ipv6 tunnelservice gebruiken/activeren. Te vinden in het service center onder experimentele diensten. Het is dan wel niet native, maar de lengte van de tunnel is dan toch beperkt tot vanaf je modem/router tot de tunnelserver bij xs4all.

quote:

boonie schreef op woensdag 06 mei 2009 @ 19:42:
[...]
Dat zal dan betekenen dat de fritz!box een publiek IPv4 adres krijgt en een /64 of zo aan IPv6 adressen.

De xs4all ipv6 tunnelservice is nu een /48, ik hoop/verwacht dat dat ook bij deze nieuwe vorm een /48 zal zijn. Hieruit kun je dan weer 65535 /64-subnetjes maken.

In de nieuwsgroep xs4all.general staat over de nieuwe 'native ipv6' feature ook een interessante draad.

_fm wijzigde dit bericht 06-05-2009 20:08 (4%)
Reden: meer info

quote:

CyBeR schreef op woensdag 06 mei 2009 @ 18:40:
keiichi: dat kan prima, je kunt ipv6 net zo subnetten als ipv4. Maar door de enorme lengte van v6-adressen wordt er op aan andere manier tegenaan gekeken. De eerste 64 bits zijn altijd voor het netwerk, de laatste 64 kunnen dan een host aangeben met een adres gebaseerd op het Mac-adres. Daar is meer dan genoeg ruimte voor. In principe is een /64 het kleinere dat ergens naartoe gerouteerd zal worden, maar op mischien een paar speciale uitzonderingen na zul je zelfs dat nooit in de global routing table tegenkomen.

Ik ga dit binnenkort toch een keertje goed op de proef stellen, het algehele routing idee bij IPv6 is bedoeld t/m een /64-subnet vanwege performance redenen.

Je kunt volgens mij zeker geen blokken kleiner dan /64 advertisen. (Al kan ik dat sowieso niet, omdat ik geen ISP ben )

quote:

_fm schreef op woensdag 06 mei 2009 @ 19:55:
[...]
De xs4all ipv6 tunnelservice is nu een /48, ik hoop/verwacht dat dat ook bij deze nieuwe vorm een /48 zal zijn. Hieruit kun je dan weer 65535 /64-subnetjes maken.

Misschien dat ze het voor zakelijke connecties wel doen. Maar in een thuis situatie heb je vrijwel altijd 1 subnet, tenzij je en hobbyist bent (zoals de meeste hier wellicht )

-edit-

Ik probeer bij XS4all een nieuwe tunnel aan te maken, maar lijkt nooit geactiveerd te worden. Netjes 10 minuten wachten na activeren, worden er al snel 30 minuten en uren later nog niets.

Van xs6 ga ik gewoon eens rond pingen naar het IPv6 adres van de tunnel aan xs4all's kant, geen antwoord niets. probeer dit bij adressen van andere tunnels (hex in 4de 'octet' wat random naar beneden tellen) en het werkt wel.

En ik heb weinig zin om weer een tunnel met hoop gezeur bij sixxs aan te vragen.

Keiichi wijzigde dit bericht 06-05-2009 20:13 (35%)

Verschillende punten die ik hierboven zie worden momenteel heftig bediscussieerd op de NANOG mailing list...


Hier een super interessante thread over de uitgifte van IPv6 aan residential customers.
begint bij: http://www.merit.edu/mail.archives/nanog/msg17639.html


Enkele topics die de revue passeren:

- Nut/noodzaak voor allocatie van /64, /56 of /48 per residential customer
http://www.merit.edu/mail.archives/nanog/msg17697.html en verder

- Nut/Onzin van SLAAC (stateless address auto configuration) en de /64 boundary waar je jezelf aan ophangt. Voor het reserveren van 64bits in het netwerk adres om je link layer adres in te coderen (MAC --> EUI-64, wat overigens een violatie van het OSI model is).
http://www.merit.edu/mail.archives/nanog/msg17788.html

- Nut/Onzin van alles publiek adresseren
http://www.merit.edu/mail.archives/nanog/msg17814.html en verder

- Provisioning van subnets in op de customer premises (als een 'domme' klant een /56 of /48 krijgt, hoe kan hij intern subnetten? Daisy-Chainen van home-routertjes die NATten word immers niet meer mogelijk)
http://www.merit.edu/mail.archives/nanog/msg17834.html en verder

- Nut/Noodzaak om NU over te stappen op IPv6.
Er zijn mensen die aangeven dat IPv6 nog niet geschikt is voor mass-deployment omdat er problemen in zitten.
http://www.merit.edu/mail.archives/nanog/msg17833.html

quote:

_fm schreef op woensdag 06 mei 2009 @ 19:55:
[...]

De xs4all ipv6 tunnelservice is nu een /48, ik hoop/verwacht dat dat ook bij deze nieuwe vorm een /48 zal zijn. Hieruit kun je dan weer 65535 /64-subnetjes maken.

Bij je nieuwe verbinding krijg je inderdaad een /48. Overigens zitten er nogal wat haken en ogen aan de implementatie en je moet toch wel een bekende zijn van MarcoH wil je in aanmerking komen voor een native IPv6 DSL van XS[4|6}All...

Zie ook zijn Ripe58 presentatie van gisteren.
http://www.ripe.net/ripe/...8/agendas.php?wg=plenary3

quote:

_DH schreef op woensdag 06 mei 2009 @ 21:25:
[...]
Bij je nieuwe verbinding krijg je inderdaad een /48. Overigens zitten er nogal wat haken en ogen aan de implementatie en je moet toch wel een bekende zijn van MarcoH wil je in aanmerking komen voor een native IPv6 DSL van XS[4|6}All...

Correct, zeker in deze eerste trial. De volgende 100-500 user trial zal vast wel opener zijn, en het plan is toch dat deze 'test' uiteindelijk leidt tot een standaard feature.

voor je nanog samenvatting overigens. Handig om eens alle discussiepunten in een lijstje te zien.
Jammer dat de 'vocale' groep nanog'ers iedere x maanden dezelfde discussie weer aanslingert. Ik herinner mij bijvoorbeeld de discussie over /64 /56 of /48, en die is deze keer niet wezenlijk anders dan een paar maanden terug.
Ooit was de policy /48. Nu is dat niet meer zo, ik ben (als hobbyist) blij dat xs4all voornemens lijkt gewoon /48's te gaan uitdelen. Het is nu ook weer niet zo dat ik meer dan 256 subnetjes heb (en met een /56 dus 'genoeg' zou hebben) maar het hele "schaars zijn van adressen" gaat in ipv6 niet op.

Zonder die discussie hier ook te willen starten: in 2000::/3 (unicast ipv6 space) zijn er 2^(48-3) = 35184372088832 /48's, dat is met 6 miljard mensen ongeveer 5800 /48's per wereldbewoner, zelfs als de wereldbevolking verdubbelt is er nog geen tekort. En dat is enkel uit de 2000::/3. (er is nog 7x diezelfde ruimte).

_fm wijzigde dit bericht 06-05-2009 22:03 (6%)
Reden: typo/minder dubbelzinnigheid

Ik ben inmiddels opnieuw begonnen met ipv6, de tunnel draait vanaf een VM op mijn server alhier. Ik kan het einde van de tunnel en andere ipv6 sites dan ook probleemloos resolven / pingen.

Vanaf mijn desktop (Windows 7 RC1) kan ik het einde van de tunnel ook probleemloos pingen, het resolven gaat ook goed getuige:
code:

1 2 3

Name: www.watismijnip6.nl Addresses: 2001:7b8:2ff:1ef::2 193.34.150.210

Wanneer ik het adres echter ping komt deze altijd uit op het ipv4 adres tenzij ik deze hard forceer naar ipv6 middels 'ping -6 www.watismijnip6.nl'. Zover ik kan oordelen geldt hetzelfde wanneer ik de website met firefox benader, ik krijg dan de "shame on you" voor mijn kiezen.


Ik zag zojuist bij IPv6 connectivity de melding "No internet access" staan, naar aanleiding hiervan heb ik mijn radvd.conf erbij gepakt en "AdvRouterAddr off;" gewijzigd naar "AdvRouterAddr on;". Na het disablen en enablen van mijn LAN interface blijft deze melding bestaan.

Als ik de output van ipconfig erbij pak krijg ik het volgende:
code:

1 2 3 4 5 6

Tunnel adapter Local Area Connection* 12: Connection-specific DNS Suffix . : IPv6 Address. . . . . . . . . . . : 2001: [knip] :96ad Link-local IPv6 Address . . . . . : fe80::10ed:2e33:a0db:96ad%15 Default Gateway . . . . . . . . . : ::

Er zou dus geen gateway zijn ingesteld, wat ik erg vreemd vind daar ik wel externe ipv6 adressen kan bereiken. Ik weet nu even niet wat er precies fout gaat wanneer ik in IE/Firefox/Opera een ipv6 website probeer te bereiken, iemand hier wellicht een idee?

quote:

TrailBlazer schreef op donderdag 07 mei 2009 @ 21:44:
zoals je kan zien is de hoplimit steeds 2 lager. Ik heb het maar opgelost door een static voor mijn hele /48 te routen naar het loopback interface.
code:

1	route -A inet6 add 2001:0610:063e::0/48 dev lo

netwerken die ik wel in gebruik heb hebben toch een more specific route staan dus dat werkt verder prima.

NOFI, maar als CCIE'er (R&S geloof ik) zou dit voor je toch common knowledge moeten zijn?
Jij bent iig. diegene met de meeste kennis van het subnet. Als jij het niet meer weet, kan het maar beter in de bittenbak

_DH wijzigde dit bericht 07-05-2009 22:40 (10%)

Ook al scans op IPv6... gaat lekker.

Is er iemand die een IPv6 Firewall oplossing weet welke ik op mijn Windows Server 2003 router kan instelleren om zo het hele subnet te beschermen?

Heb voor het IPv4 gedeelte momenteel winroute, maar voor IPv6 weet ik zelf geen software.

quote:

Robinski schreef op vrijdag 08 mei 2009 @ 08:59:
Ook al scans op IPv6... gaat lekker.

Dat zal denk ik op korte termijn echt los gaan en heeft meer impact dan de IPv4 scans. De thuisgebruiker met 1 public adres heeft zijn PC's intern met RFC1918 adressen voorzien en zijn niet direct vanaf het internet bereikbaar (met dank aan NAT die dat extra met zich mee bracht). Staat de firewall op je thuisroutertje net iets te ver open, dan is er van buiten af nog geen direct gevaar (portfowarding enzo even niet meegenomen)

IPv6 adressen echter zijn direct vanaf het internet wèl benaderbaar en als je dan hetzelfde foutje maakt met de firewall op je thuisrouter, dan loop je dus een veeeeeeel groter gevaar.

Daarbij zijn de meeste mensen momenteel al blij als ze een IPv6 tunnel opkrijgen en dan ook nog lokaal IPv6 adressen uit kunnen gaan delen. Ze vergeten dan toch sneller dat ook hier nog iets met beveiliging moet worden gedaan..

* Whizzer denk weer terug aan zijn frustraties met ip6tables en was toen erg blij dat de IOS IPv6 CBAC extreem makkelijk ging.

quote:

Whizzer schreef op vrijdag 08 mei 2009 @ 12:25:
[...]


Dat zal denk ik op korte termijn echt los gaan en heeft meer impact dan de IPv4 scans. De thuisgebruiker met 1 public adres heeft zijn PC's intern met RFC1918 adressen voorzien en zijn niet direct vanaf het internet bereikbaar (met dank aan NAT die dat extra met zich mee bracht). Staat de firewall op je thuisroutertje net iets te ver open, dan is er van buiten af nog geen direct gevaar (portfowarding enzo even niet meegenomen)

Nou, even een subnet scannen gaat met IPv6 lang niet zo snel als met IPv4, dus ik dat het aantal scans wel tegen zal gaan vallen.

quote:

Snow_King schreef op vrijdag 08 mei 2009 @ 12:54:
[...]
Nou, even een subnet scannen gaat met IPv6 lang niet zo snel als met IPv4, dus ik dat het aantal scans wel tegen zal gaan vallen.

Sterker nog, security peoples hebben wel enigzins consensus bereikt dat met de introductie van IPv6 de subnet-sweeps tot het verleden zullen horen. Niemand zal claimen dat IPv6 inherent veiliger zal zijn dan IPv4, maar een sweep door je subnet zal wel verdwijnen als aanvalsvector.

Ik ben op zoek naar eens tweede tunnel broker. Ik heb hurricane electric (tunnelbroker.net) en wil voor een andere pc nog een tunneltje. Ik wil geen sixxs want die doen veel te moeilijk met hun regeltjes. Wie kent nog een tunnel broker? Liefst eentje waar ik geen tooltjes voor hoef te gebruiken in XP.

Waarom probeer je geen Teredo?

_{Niet goed gelezen, laat maar}

Sixxs is ideaal en werkt erg fijn als je eenmaal de handle hebt en de tunnel online is

MichielM wijzigde dit bericht 10-05-2009 23:11 (69%)

SixXS heeft dan wel regeltjes maar daardoor werkt 't wel goed en worden SixXS addressen niet zoveel willekeurig geblokkeerd vanwege abuse..

Bovendien: bij SixXS krijg je gewoon IP-adressen op naam. Voor IPv4-adressen moet je dezelfde hoepels doorspringen, alleen merken de meeste mensen dat niet omdat hun ISP dat al voor ze doet.

* CyBeR heeft al sinds voor SixXS bestond een tunnel van ze (om precies te zijn van de voorloper van SixXS, IPng) en heeft nooit problemen met regeltjes gehad.

CyBeR wijzigde dit bericht 11-05-2009 00:08 (20%)

www.freenet6.net!
Registratie is snel en je krijgt er ook nog is meteen een subnet bij. Ze hebben een nieuwe PoP in Amsterdam die nog weinig gebruikers heeft en daarom heel erg snel is!

Let er btw wel op dat je de server insteld op authenticated.freenet6.net in de hexago client.

206724 wijzigde dit bericht 11-05-2009 00:21 (21%)