:strip_icc():strip_exif()/u/371543/pirat60.jpg?f=community)
:strip_icc():strip_exif()/u/562276/tweakers%2520profiel.jpeg?f=community)
Wellicht ook "shamen"? Niet om het shamen, wel om duidelijk te zien in wie het dus niet doet. Nu zie je niet of een ISP geen IPv6 doet of dat die simpelweg ontbreekt. (Misschien denkt nu iemand dat Odido toch wellicht IPv6 doet).
En v.w.b. een niet uitputtelijke lijst aan ISPs kun je wellicht iets vinden op de websites van KPN WBA, Delta Netwerk, ODF, ...? Een provider die ik in ieder geval "mis" is Glasnet. Ook zij leveren IPv6. Zelfs een statisch IP/prefix, dat wellicht ook een leuk gegeven is? De standaard zegt dan wel dat een prefix vast moet staan. Maar dat betekent niet dat een ISP zich daar aan houdt.
En bij mobiele providers heb je nu KPN staan. Maar dat geldt in ieder geval ook voor dochters Simyo & Youfone, kan ik uit eigen ervaring vertellen.
Houd je ook bij of de pagina via IPv6 vs IPv4 wordt bezocht?
/u/53007/DustPuppy.png?f=community)
:strip_exif()/u/26026/snowrabb.gif?f=community)
Thanks voor alle feedback en reacties. Ik heb een boel verwerkt inmiddels. Ik heb ook een kolom toegevoegd met of de prefix vast is of niet.
Thanks voor je input ik heb het verwerkt. Ik had al een goeie lijst ISP's maar toch nog wat extra door weten te spitten. Ik houd niet bij of de website vanaf v4 of v6 wordt bezocht want ik gebruik plausible voor stats en die is bets privacy vriendelijk.:
[...]
Wellicht ook "shamen"? Niet om het shamen, wel om duidelijk te zien in wie het dus niet doet. Nu zie je niet of een ISP geen IPv6 doet of dat die simpelweg ontbreekt. (Misschien denkt nu iemand dat Odido toch wellicht IPv6 doet).
En v.w.b. een niet uitputtelijke lijst aan ISPs kun je wellicht iets vinden op de websites van KPN WBA, Delta Netwerk, ODF, ...? Een provider die ik in ieder geval "mis" is Glasnet. Ook zij leveren IPv6. Zelfs een statisch IP/prefix, dat wellicht ook een leuk gegeven is? De standaard zegt dan wel dat een prefix vast moet staan. Maar dat betekent niet dat een ISP zich daar aan houdt.
En bij mobiele providers heb je nu KPN staan. Maar dat geldt in ieder geval ook voor dochters Simyo & Youfone, kan ik uit eigen ervaring vertellen.
Houd je ook bij of de pagina via IPv6 vs IPv4 wordt bezocht?
Ik was toevallig ook op zoek en heb op GoT gevraagd in het Youfone topic en Budget topic of IPv6 ondersteund wordt.
Budget: Wel, maar schijnbaar niet op het providermodem:
Jerrythafast in "[Budget Alles-in-1] Ervaringen & discussie - Deel 2"
Youfone: Wel
Jerrythafast in "[Youfone Internet/TV] Ervaringen & Discussie"
Wat info uit eigen ervaring:
KPN: Wel, maar Experiabox v10 heeft momenteel een IPv6-bug:
https://community.kpn.com...4-12-11-628721?tid=628721
Inderdaad "praktisch" vast, maar toen de firmware met deze bug werd uitgerold werd de delegated prefix wel veranderd van 2a02:xxxx:yyyy:1:/64 naar 2a02:xxxx:yyyy:0:/64. En die kun je nu op de nieuwe firmware niet (meer?) wijzigen. (De bug is trouwens dat hij wel RA's verstuurt voor :1: maar die zijn niet routeerbaar van/naar het internet.)
Hier kan ik ook aan toevoegen, uit eigen ervaring
Simpel (op Odido netwerk): Nee
Niet alleen is de prefix bij Delta/Caiway "persistent", het lijkt op een of andere manier aan mij persoonlijk gekoppeld. Ik ben van Caiway naar Delta overgestapt. Met het hele circus van ander XS2426G-B modem installeren en zo. Mijn abbo bij Delta is vanochtend vroeg in gegaan. En tot mijn stomme verbazing zie ik dat ik van Delta DEZELFDE IPv6 PREFIX heb gekregen als die ik eerst van Caiway had. Die prefix is zo "persistent" dat ie de overstap van Caiway naar Delta heeft overleeft. Wonderlijk! 
/u/80569/sheep_by_teocava.png?f=community)
Ben je door Delta / Caiway (administratief) gemigreerd op basis van het opheffen van de Caiway naam? Of heb je zelf een abo bij Delta afgesloten en Caiway opgezegd?:
Niet alleen is de prefix bij Delta/Caiway "persistent", het lijkt op een of andere manier aan mij persoonlijk gekoppeld. Ik ben van Caiway naar Delta overgestapt. Met het hele circus van ander XS2426G-B modem installeren en zo. Mijn abbo bij Delta is vanochtend vroeg in gegaan. En tot mijn stomme verbazing zie ik dat ik van Delta DEZELFDE IPv6 PREFIX heb gekregen als die ik eerst van Caiway had. Die prefix is zo "persistent" dat ie de overstap van Caiway naar Delta heeft overleeft. Wonderlijk!
In geval van het laatste lijkt het mij nogal "bijzonder". En daar waar je bij AON nog kunt zeggen dat de prefix wellicht aan de switch poort gekoppeld is zal dat bij XGS-PON niet gaan. Immers is het abo daar aan het serienummer van de ONT gekoppeld. En gezien je die vervangen hebt.... Is het ook al niet alleen een administratieve verhuizing tussen beide naampjes
/u/172597/crop5e1225c8b1011.png?f=community)
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Ik heb een "vreemd" dingetje waarbij hier iemand wellicht toe kan lichten of ik verkeerd denk of iets verkeerd doe
Ik heb al een tijd een VPS bij partij A. Hierbij krijg ik een /64 IPv6 adres. Voor zover ik kan zien heb ik hier niks speciaals voor gedaan en in de netwerk configuratie staat gewoon "gebruik adres a:b:c:d::/72". De /72 gebruik ik hierbij omdat ik Docker gebruik en (bepaalde) Docker netwerken IPv6 ingeschakeld hebben en dus een ander subnet binnen de prefix /64 gebruiken. Dat werkt allemaal prima. En de Docker containers zijn dus rechtstreeks over IPv6 te bereiken. (De "host" forward het verkeer gewoon over de bridge heen, geen NAT of whatever).
Nu ben ik aan het kijken om over te stappen naar een andere VPS provider. Ook daar krijg ik een /64. Echter, werkt hetzelfde daar niet. De boel connect niet, en een ping naar een willekeurige suffix binnen de gebruikte /72 werkt ook niet en komt geen ping voor aan. Dus als de VPS IP a:b:c:d::1 heeft kan ik die pingen. Maar a:b:c::2 zie ik niet eens in een tcpdump voorbij komen. En het is ook een ander/afwijkend IP adres dat de unreachable antwoord.
Dus op de oude VPS als ik ::2 ping dan zie ik de ICMP6 echo request voorbij komen (en gaat er uiteindelijk een unreachable antwoord terug). Op de nieuwe VPS is dat echter niet het geval. Daar komt "in de plaats" een neigbor solicit voorbij op het ::2 adres. Dus de router van de provider gaat het netwerk "scannen" / "bevragen" waar <mijn prefix>::2 zich bevindt. Waar mijn VPS natuurlijk niet op antwoord (tenzij ik het als additioneel IP toevoeg natuurlijk).
Mijn conclusie is dus dat bij de oude provider hun router weet "alle verkeer binnen prefix X::/64 moet gestuurd worden naar VPS Y". Terwijl de nieuwe provider deze informatie ontbreekt, en die in de plaats een neigbor solicit doet. En dat vind ik, nogal raar? En lijkt mij dat hetgeen dat de oude provider doet / lijkt te doen ook hetgeen is hoe het zou moeten werken? Want nu zou zelfs mijn VPS kunnen reageren op een neigbor solicit van een IP dat niet mijn "eigendom" is (/niet tot mijn VPS behoort)?!
En concreet v.w.b. mijn probleem zou ik mogelijk twee dingen kunnen doen / overwegen / proberen? Of ik ga doodleuk router advertisements uitsturen, dat bv a:b:c:c:8000::/72 te bereiken is "via mij" (of mogelijk zelfs a:b:c:d::/64 gewoon in totaliteit, dat zou leiden tot hetzelfde als dat ik zou verwachten dat de provider zelf automatisch regelt). Of, volgens mij is er software / zijn er oplossingen om neighbor solicits etc te relayen? Waarna de solicit op de "WAN" poort (/fysieke ethernet zeg maar) geforward kan worden naar de Docker bridge(s) en er (mogelijk) een container is die antwoord op die solicit en die relay software dan vast het antwoord aanpast en uit stuurt (juiste MAC? invoegt, dat van de "WAN" poort dus?). Maar beiden lijken mij gewoon niet de bedoeling? En dus lijkt mij dat dit iets is dat de provider goed moet inregelen.
"Leuke" was dus ook dat ik met een tcpdump allemaal solicits voorbij zien komen van totaal andere prefixes. "Iemand" die binnen de prefix "c0de::cafe" gebruikte bv. Lijkt mij toch allemaal niet de bedoeling?
.
Ik heb al een tijd een VPS bij partij A. Hierbij krijg ik een /64 IPv6 adres. Voor zover ik kan zien heb ik hier niks speciaals voor gedaan en in de netwerk configuratie staat gewoon "gebruik adres a:b:c:d::/72". De /72 gebruik ik hierbij omdat ik Docker gebruik en (bepaalde) Docker netwerken IPv6 ingeschakeld hebben en dus een ander subnet binnen de prefix /64 gebruiken. Dat werkt allemaal prima. En de Docker containers zijn dus rechtstreeks over IPv6 te bereiken. (De "host" forward het verkeer gewoon over de bridge heen, geen NAT of whatever).
Nu ben ik aan het kijken om over te stappen naar een andere VPS provider. Ook daar krijg ik een /64. Echter, werkt hetzelfde daar niet. De boel connect niet, en een ping naar een willekeurige suffix binnen de gebruikte /72 werkt ook niet en komt geen ping voor aan. Dus als de VPS IP a:b:c:d::1 heeft kan ik die pingen. Maar a:b:c::2 zie ik niet eens in een tcpdump voorbij komen. En het is ook een ander/afwijkend IP adres dat de unreachable antwoord.
Dus op de oude VPS als ik ::2 ping dan zie ik de ICMP6 echo request voorbij komen (en gaat er uiteindelijk een unreachable antwoord terug). Op de nieuwe VPS is dat echter niet het geval. Daar komt "in de plaats" een neigbor solicit voorbij op het ::2 adres. Dus de router van de provider gaat het netwerk "scannen" / "bevragen" waar <mijn prefix>::2 zich bevindt. Waar mijn VPS natuurlijk niet op antwoord (tenzij ik het als additioneel IP toevoeg natuurlijk).
Mijn conclusie is dus dat bij de oude provider hun router weet "alle verkeer binnen prefix X::/64 moet gestuurd worden naar VPS Y". Terwijl de nieuwe provider deze informatie ontbreekt, en die in de plaats een neigbor solicit doet. En dat vind ik, nogal raar? En lijkt mij dat hetgeen dat de oude provider doet / lijkt te doen ook hetgeen is hoe het zou moeten werken? Want nu zou zelfs mijn VPS kunnen reageren op een neigbor solicit van een IP dat niet mijn "eigendom" is (/niet tot mijn VPS behoort)?!
En concreet v.w.b. mijn probleem zou ik mogelijk twee dingen kunnen doen / overwegen / proberen? Of ik ga doodleuk router advertisements uitsturen, dat bv a:b:c:c:8000::/72 te bereiken is "via mij" (of mogelijk zelfs a:b:c:d::/64 gewoon in totaliteit, dat zou leiden tot hetzelfde als dat ik zou verwachten dat de provider zelf automatisch regelt). Of, volgens mij is er software / zijn er oplossingen om neighbor solicits etc te relayen? Waarna de solicit op de "WAN" poort (/fysieke ethernet zeg maar) geforward kan worden naar de Docker bridge(s) en er (mogelijk) een container is die antwoord op die solicit en die relay software dan vast het antwoord aanpast en uit stuurt (juiste MAC? invoegt, dat van de "WAN" poort dus?). Maar beiden lijken mij gewoon niet de bedoeling? En dus lijkt mij dat dit iets is dat de provider goed moet inregelen.
"Leuke" was dus ook dat ik met een tcpdump allemaal solicits voorbij zien komen van totaal andere prefixes. "Iemand" die binnen de prefix "c0de::cafe" gebruikte bv. Lijkt mij toch allemaal niet de bedoeling?
.
:strip_icc():strip_exif()/u/1134061/crop5ef734fe74e7c_cropped.jpeg?f=community)
Welke versie van Docker gebruik je? Kun je eens kijken of deze waarde is ingeschakeld (sysctl)::
Ik heb een "vreemd" dingetje waarbij hier iemand wellicht toe kan lichten of ik verkeerd denk of iets verkeerd doe
Ik heb al een tijd een VPS bij partij A. Hierbij krijg ik een /64 IPv6 adres. Voor zover ik kan zien heb ik hier niks speciaals voor gedaan en in de netwerk configuratie staat gewoon "gebruik adres a:b:c:d::/72". De /72 gebruik ik hierbij omdat ik Docker gebruik en (bepaalde) Docker netwerken IPv6 ingeschakeld hebben en dus een ander subnet binnen de prefix /64 gebruiken. Dat werkt allemaal prima. En de Docker containers zijn dus rechtstreeks over IPv6 te bereiken. (De "host" forward het verkeer gewoon over de bridge heen, geen NAT of whatever).
Nu ben ik aan het kijken om over te stappen naar een andere VPS provider. Ook daar krijg ik een /64. Echter, werkt hetzelfde daar niet. De boel connect niet, en een ping naar een willekeurige suffix binnen de gebruikte /72 werkt ook niet en komt geen ping voor aan. Dus als de VPS IP a:b:c:d::1 heeft kan ik die pingen. Maar a:b:c::2 zie ik niet eens in een tcpdump voorbij komen. En het is ook een ander/afwijkend IP adres dat de unreachable antwoord.
Dus op de oude VPS als ik ::2 ping dan zie ik de ICMP6 echo request voorbij komen (en gaat er uiteindelijk een unreachable antwoord terug). Op de nieuwe VPS is dat echter niet het geval. Daar komt "in de plaats" een neigbor solicit voorbij op het ::2 adres. Dus de router van de provider gaat het netwerk "scannen" / "bevragen" waar <mijn prefix>::2 zich bevindt. Waar mijn VPS natuurlijk niet op antwoord (tenzij ik het als additioneel IP toevoeg natuurlijk).
Mijn conclusie is dus dat bij de oude provider hun router weet "alle verkeer binnen prefix X::/64 moet gestuurd worden naar VPS Y". Terwijl de nieuwe provider deze informatie ontbreekt, en die in de plaats een neigbor solicit doet. En dat vind ik, nogal raar? En lijkt mij dat hetgeen dat de oude provider doet / lijkt te doen ook hetgeen is hoe het zou moeten werken? Want nu zou zelfs mijn VPS kunnen reageren op een neigbor solicit van een IP dat niet mijn "eigendom" is (/niet tot mijn VPS behoort)?!
En concreet v.w.b. mijn probleem zou ik mogelijk twee dingen kunnen doen / overwegen / proberen? Of ik ga doodleuk router advertisements uitsturen, dat bv a:b:c:c:8000::/72 te bereiken is "via mij" (of mogelijk zelfs a:b:c:d::/64 gewoon in totaliteit, dat zou leiden tot hetzelfde als dat ik zou verwachten dat de provider zelf automatisch regelt). Of, volgens mij is er software / zijn er oplossingen om neighbor solicits etc te relayen? Waarna de solicit op de "WAN" poort (/fysieke ethernet zeg maar) geforward kan worden naar de Docker bridge(s) en er (mogelijk) een container is die antwoord op die solicit en die relay software dan vast het antwoord aanpast en uit stuurt (juiste MAC? invoegt, dat van de "WAN" poort dus?). Maar beiden lijken mij gewoon niet de bedoeling? En dus lijkt mij dat dit iets is dat de provider goed moet inregelen.
"Leuke" was dus ook dat ik met een tcpdump allemaal solicits voorbij zien komen van totaal andere prefixes. "Iemand" die binnen de prefix "c0de::cafe" gebruikte bv. Lijkt mij toch allemaal niet de bedoeling?
code:
1
| net.bridge.bridge-nf-call-ip6tables |
Heb je verder een firewall actief op de nieuwe VM?
code:
1
| ip6tables -L |
En wat heb je ingesteld in
code:
1
| /etc/docker/daemon.json |
The cause of the problem is: network down, IP packets delivered via UPS
"Docker version 28.0.2, build 0442a73".
sudo sysctl net.bridge.bridge-nf-call-ip6tables sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-ip6tables: No such file or directory
Ja. nftables. Maar ik heb ook tijdelijk alles op "accept" gehad, en dat maakte geen verschil.
JSON:
1
2
3
4
5
6
| { "iptables": false, "ip6tables": false, "ipv6": true, "fixed-cidr-v6": "<knip>:0100::/72" } |
Maar die kernel setting is an zich wel interessant, op basis van het lezen van de naam (behalve dan "ip6tables"
). Alleen gek dat die niet bestaat? En voordat je vraagt: "Linux <knip> 6.1.0-32-arm64 #1 SMP Debian 6.1.129-1 (2025-03-06) aarch64 GNU/Linux" Debian, Bookworm, dus.
Niet elke provider routeert een subnet naar jouw VM toe. Dat je oude provider dit wel doet is tof, maar het is zeker niet de standaard.:
Ik heb een "vreemd" dingetje waarbij hier iemand wellicht toe kan lichten of ik verkeerd denk of iets verkeerd doe
Ik heb al een tijd een VPS bij partij A. Hierbij krijg ik een /64 IPv6 adres. Voor zover ik kan zien heb ik hier niks speciaals voor gedaan en in de netwerk configuratie staat gewoon "gebruik adres a:b:c:d::/72". De /72 gebruik ik hierbij omdat ik Docker gebruik en (bepaalde) Docker netwerken IPv6 ingeschakeld hebben en dus een ander subnet binnen de prefix /64 gebruiken. Dat werkt allemaal prima. En de Docker containers zijn dus rechtstreeks over IPv6 te bereiken. (De "host" forward het verkeer gewoon over de bridge heen, geen NAT of whatever).
Nu ben ik aan het kijken om over te stappen naar een andere VPS provider. Ook daar krijg ik een /64. Echter, werkt hetzelfde daar niet. De boel connect niet, en een ping naar een willekeurige suffix binnen de gebruikte /72 werkt ook niet en komt geen ping voor aan. Dus als de VPS IP a:b:c:d::1 heeft kan ik die pingen. Maar a:b:c::2 zie ik niet eens in een tcpdump voorbij komen. En het is ook een ander/afwijkend IP adres dat de unreachable antwoord.
Dus op de oude VPS als ik ::2 ping dan zie ik de ICMP6 echo request voorbij komen (en gaat er uiteindelijk een unreachable antwoord terug). Op de nieuwe VPS is dat echter niet het geval. Daar komt "in de plaats" een neigbor solicit voorbij op het ::2 adres. Dus de router van de provider gaat het netwerk "scannen" / "bevragen" waar <mijn prefix>::2 zich bevindt. Waar mijn VPS natuurlijk niet op antwoord (tenzij ik het als additioneel IP toevoeg natuurlijk).
Mijn conclusie is dus dat bij de oude provider hun router weet "alle verkeer binnen prefix X::/64 moet gestuurd worden naar VPS Y". Terwijl de nieuwe provider deze informatie ontbreekt, en die in de plaats een neigbor solicit doet. En dat vind ik, nogal raar? En lijkt mij dat hetgeen dat de oude provider doet / lijkt te doen ook hetgeen is hoe het zou moeten werken? Want nu zou zelfs mijn VPS kunnen reageren op een neigbor solicit van een IP dat niet mijn "eigendom" is (/niet tot mijn VPS behoort)?!
En concreet v.w.b. mijn probleem zou ik mogelijk twee dingen kunnen doen / overwegen / proberen? Of ik ga doodleuk router advertisements uitsturen, dat bv a:b:c:c:8000::/72 te bereiken is "via mij" (of mogelijk zelfs a:b:c:d::/64 gewoon in totaliteit, dat zou leiden tot hetzelfde als dat ik zou verwachten dat de provider zelf automatisch regelt). Of, volgens mij is er software / zijn er oplossingen om neighbor solicits etc te relayen? Waarna de solicit op de "WAN" poort (/fysieke ethernet zeg maar) geforward kan worden naar de Docker bridge(s) en er (mogelijk) een container is die antwoord op die solicit en die relay software dan vast het antwoord aanpast en uit stuurt (juiste MAC? invoegt, dat van de "WAN" poort dus?). Maar beiden lijken mij gewoon niet de bedoeling? En dus lijkt mij dat dit iets is dat de provider goed moet inregelen.
"Leuke" was dus ook dat ik met een tcpdump allemaal solicits voorbij zien komen van totaal andere prefixes. "Iemand" die binnen de prefix "c0de::cafe" gebruikte bv. Lijkt mij toch allemaal niet de bedoeling?
Bij je nieuwe provider is het LAN een /64 en via een RA (vermoed ik) krijg je VM een adres in die /64. Deze /64 deel je met alle andere VPS'en in het zelfde VLAN/L2-segment. Uiteindelijk heeft je VPS maar een /128 (een enkel adres).
Je zal dus aan de provider moeten vragen OF ze een subnet naar je VM kunnen routeren, maar dat betwijfel ik eigenlijk.
Bij een partij als Vultr kan je zelfs BGP met hun netwerk praten, maar dan moet je wel eigen IPv6 space hebben. Denk aan een IPv6 PI /48 blok.
Dit is wat ik in in het control panel onder "Network" zie:
:strip_exif()/f/image/JB3iuWQim3RCy9LML7hsm4BN.png?f=user_large)
Het verborgen IPv4 stukje is dus een specifiek nummer (geen .0 of zo). En dit is ook het IP adres dat ik als static IP heb opgegeven in het OS.
Het verborgen IPv6 stukje is dan ook een "blokje" (tussen twee : in dus), waarmee dus de eerste 64 bits de prefix zijn en 64 bits zelf te kiezen. Waarbij ik de ::1 als static IP heb ingesteld.
Nee. Ik heb nu een tcpdump op de "fysieke" interface gedaan, en krijg echt een shitload aan neighbor solicits te zien. Echter zijn die allemaal voor andere prefixes. Dus wel "2a0a:4cc0:40:" maar dan gevolgd door een ander "blokje" en niet dat wat bij mij in de interface staat.
Vervolgens dus wel "ja", ze doen geen source filtering, I guess. Zeker gezien een tcpdump doen op mijn Contabo VPS gewoon helemaal niks oplevert.
Zover was duidelijk
. Maar de reden daarvan is dus niet "want je hebt helemaal geen eigen subnet" (voor zover ik kan zien).Edit:
Stukje Netcup documentatie v.w.b. "additioneel IP adres": https://helpcenter.netcup.com/en/wiki/server/ip
Hierin zijn ze dus ook niet echt duidelijk in dat je een willekeurige suffix zou moeten gebruiken omdat je binnen een gedeeld subnet zit, zoals jij suggereert. En daarnaast dus ook niet "je moet SLAAC gebruiken" om gegarandeerd een uniek adres te hebben.
And last but not least, spreken ze ook (duidelijk) over dat je een IPv4 adres of IPv6 subnet koopt. En dus geen IPv6 adres.
[ Voor 18% gewijzigd door RobertMe op 24-03-2025 16:24 ]
Even als losse post, want "antwoord op mijn eigen vraag / probleem / ..."
De oplossing is dus..., en dat is wat @bart.koppers wellicht ook bedoelde?, het gebruik van de Linux ingebakken NDP proxy (of het gebruik van een losse / user space NDP proxy die flexibeler etc etc is).
Met deze twee simpele dingen "werkt het":
Als nu op interface "wan" (i.p.v. eth0 / en... heb ik de link naar "wan" hernoemd) een NDP solicit langs komt voor <prefix>:8000::443 dan antwoord de Linux kernel daar op, dat het verkeer "naar hem" moet komen (/MAC adres van de wan interface dus). Vervolgens wordt het verkeer dus bij hem afgeleverd "zoals ik verwacht". Ik weet alleen niet of ik dat nu... heel logisch vind.
Daarnaast had ik ook even deze tool geprobeerd: https://github.com/DanielAdolfsson/ndppd/tree/0.2.5 (zit ook in Debian) en die werkt dus ook, en is wat flexibeler in dat die hele subnets ondersteund. Een gestripte werkende config hierbij is:
For some reason werkte de auto optie in het rule blok niet. Maar met een statische iface werkt die dus wel. De genoemde iface is de naam van de bridge die docker heeft aangemaakt en een container in hangt met dus :8000::443 als static IP.
Note: in werkelijkheid heb ik hier en daar wat met IPs zitten te wijzigen tussen het gebruik van de kernel feature en ndppd. Dit om dus te "forceren" dat het een ander IP is en de Netcup router niet de route / neighbor onthouden heeft en er daadwerkelijk ook weer een nieuwe solicit vanaf de Netcup router binnen komt, waar de kernel proxy / user-space ndppd op reageert.
Maar, dit voelt dus best wel, vies. Want ik kan dus net zo goed of de kernel feature of de user space variant gewoon op willekeurige IPs laten antwoorden. En zoals aangegeven, ik zie dus een hele shitload aan 2a0a:4cc0:40:X:: adressen voorbij komen, met dus vele verschillende "X"en wat dus allemaal andere VPSen zullen zijn.
Daarnaast zat ik nog even te kijken naar de "afzender" van de solicits. Veel leek van een IP (link local) afkomstig te zijn, maar niet alles. Maar met een snelle scan lijken het 3 verschillende link local adressen te zijn. Hopelijk dat dit dus 3 (failover) routers van Netcup zijn. En niet "buurman VPSen" die ook leuk zitten te scannen of zo (en ja, ik lijk ook iets van een IP scan "op te vangen").
De oplossing is dus..., en dat is wat @bart.koppers wellicht ook bedoelde?, het gebruik van de Linux ingebakken NDP proxy (of het gebruik van een losse / user space NDP proxy die flexibeler etc etc is).
Met deze twee simpele dingen "werkt het":
echo 1 | sudo tee /proc/sys/net/ipv6/conf/all/proxy_ndp sudo ip -6 neigh add proxy <knip>:8000::443 dev wan
Als nu op interface "wan" (i.p.v. eth0 / en... heb ik de link naar "wan" hernoemd) een NDP solicit langs komt voor <prefix>:8000::443 dan antwoord de Linux kernel daar op, dat het verkeer "naar hem" moet komen (/MAC adres van de wan interface dus). Vervolgens wordt het verkeer dus bij hem afgeleverd "zoals ik verwacht". Ik weet alleen niet of ik dat nu... heel logisch vind.
Daarnaast had ik ook even deze tool geprobeerd: https://github.com/DanielAdolfsson/ndppd/tree/0.2.5 (zit ook in Debian) en die werkt dus ook, en is wat flexibeler in dat die hele subnets ondersteund. Een gestripte werkende config hierbij is:
code:
1
2
3
4
5
6
7
8
9
10
| route-ttl 30000
proxy wan {
router yes
timeout 500
ttl 30000
rule <prefix>:8000::/72 {
iface br-web
}
} |
For some reason werkte de auto optie in het rule blok niet. Maar met een statische iface werkt die dus wel. De genoemde iface is de naam van de bridge die docker heeft aangemaakt en een container in hangt met dus :8000::443 als static IP.
Note: in werkelijkheid heb ik hier en daar wat met IPs zitten te wijzigen tussen het gebruik van de kernel feature en ndppd. Dit om dus te "forceren" dat het een ander IP is en de Netcup router niet de route / neighbor onthouden heeft en er daadwerkelijk ook weer een nieuwe solicit vanaf de Netcup router binnen komt, waar de kernel proxy / user-space ndppd op reageert.
Maar, dit voelt dus best wel, vies. Want ik kan dus net zo goed of de kernel feature of de user space variant gewoon op willekeurige IPs laten antwoorden. En zoals aangegeven, ik zie dus een hele shitload aan 2a0a:4cc0:40:X:: adressen voorbij komen, met dus vele verschillende "X"en wat dus allemaal andere VPSen zullen zijn.
Daarnaast zat ik nog even te kijken naar de "afzender" van de solicits. Veel leek van een IP (link local) afkomstig te zijn, maar niet alles. Maar met een snelle scan lijken het 3 verschillende link local adressen te zijn. Hopelijk dat dit dus 3 (failover) routers van Netcup zijn. En niet "buurman VPSen" die ook leuk zitten te scannen of zo (en ja, ik lijk ook iets van een IP scan "op te vangen").
Nee, meer dat ik je (denk)stappen in de post zag / herkende en wist dat je op goede weg zat:
[...]
Je hebt voorspellende gave?
Je hoeft natuurlijk niet deze dynamische route te volgen - je kan bv ook alle /128 adressen die je gaat gebruiken toevoegen. Maar minder luie optie.
Overigens zie ik dat je bij deze hoster een /22 subnet krijgt (koopt?) voor IPv4. Best mooi.
En dat je in de webtool ook zelf te routeren (want gateway in te stellen) IPv6 adressen kan instellen.
Vrij flexibel!
Heb je deze laatste optie wel geprobeerd?
Het blijft in beide gevallen IMO nogal shitty. Zelfs de "je moet het in control panel van de provider instellen" route zoals Liteserver blijkbaar heeft vind ik beter te begrijpen/volgen dan "dit".
Is inderdaad gewoon 1 IP adres
. /22 is het subnet waarin die zit, gedeeld met andere VPSen. Daarom ook dat ik aangaf dat het gemaskeerde een specifiek adres was, en niet .0 of zo. Daar waar bij IPv6 die wel eindigt op ::/64 en dus daadwerkelijk een "leeg" stuk.Het is niet "gateway in te stellen", het is rDNS, alleen dan zonder enige labeling bij IPv6 (bij IPv4 staat het wel in een "rDNS" kolom). Beetje slechte user interface dus, je moet het nu maar "raden" op basis van de "your.host.name" dus (gecombineerd met "rDNS" vermeld bij IPv4 dus). Met hun crappy gesplitste admin / control panels. In het "customer control center" (op een totaal eigen domein...) heet het wel gewoon "rDNS" zag ik net. Daar is een heel tabje met de naam "rDNS" met alleen de rDNS regels voor het IPv4 adres en zelf op te voegen IPv6 adressen (met dus dezelfde info als in het "server control panel".
En gezien ik nogal aan het crossposten was. Verdere discussie over Netcup an zich kan dus bij RobertMe in "[VPS] Opzetten en onderhouden" . Waar ook staat dat ik de VPS net heb geannuleerd (en ook al niet meer toegankelijk is).
Je zit wel in het zelfde VLAN/L2 segment als alle andere VM's, te zien aan het feit dat je een in een /22 IPv4 zit.:
[...]
Dit is wat ik in in het control panel onder "Network" zie:
[Afbeelding]
Het verborgen IPv4 stukje is dus een specifiek nummer (geen .0 of zo). En dit is ook het IP adres dat ik als static IP heb opgegeven in het OS.
Het verborgen IPv6 stukje is dan ook een "blokje" (tussen twee : in dus), waarmee dus de eerste 64 bits de prefix zijn en 64 bits zelf te kiezen. Waarbij ik de ::1 als static IP heb ingesteld.
[...]
Nee. Ik heb nu een tcpdump op de "fysieke" interface gedaan, en krijg echt een shitload aan neighbor solicits te zien. Echter zijn die allemaal voor andere prefixes. Dus wel "2a0a:4cc0:40:" maar dan gevolgd door een ander "blokje" en niet dat wat bij mij in de interface staat.
Vervolgens dus wel "ja", ze doen geen source filtering, I guess. Zeker gezien een tcpdump doen op mijn Contabo VPS gewoon helemaal niks oplevert.
[...]
Zover was duidelijk
Edit:
Stukje Netcup documentatie v.w.b. "additioneel IP adres": https://helpcenter.netcup.com/en/wiki/server/ip
[...]
Hierin zijn ze dus ook niet echt duidelijk in dat je een willekeurige suffix zou moeten gebruiken omdat je binnen een gedeeld subnet zit, zoals jij suggereert. En daarnaast dus ook niet "je moet SLAAC gebruiken" om gegarandeerd een uniek adres te hebben.
And last but not least, spreken ze ook (duidelijk) over dat je een IPv4 adres of IPv6 subnet koopt. En dus geen IPv6 adres.
Nu vermoed ik dat deze partij dan heel veel /64 subnets configureerd op hun routers, voor elke VM 1. Geen idee hoe ze dat precies aanpakken, maar het kan prima. Ze hebben dan fe80::1 als gateway adres staan.
Wellicht doen ze iets aan filteren zodat je dus de gehele /64 op jouw VM mag configureren, maar ze routeren hem niet naar je zoals je zelf al merkte. Je moet inderdaad met die proxy gaan werken.
Maar dat moet (bij v4) toch sowieso? Want er is maar 1 IP adres, en het is wel handig als de default gateway in hetzelfde segment zit
En bij Contabo is IPv4 zelfs met een /21, nog groter segment dus.Deze partij als in Netcup? Ze zouden natuurlijk ook qua binnenkomend "groter" kunnen werken, met een /56 of /48 (per DC of wat ook dan, want zo'n subnet over DCs heen zal wel lastig gaan
Tenzij een deel weer over het internet naar een ander DC sturen). En intern lijken ze met die /64 dus weinig te doen. Of in ieder geval routeren ze de /64 subnets dus niet naar een VM .Bij Contabo lijken ze die /64 dan wel te gebruiken, en routeren ze het direct naar de "juiste" VPS (van de klant waarbij ze hebben aangegeven dat die /64 van hem is). En ook daar is de gateway fe80::1 (vast een standaard dus).
Ik heb er eigenlijk sterk mijn twijfels bij. Maar gezien de VPS al is opgezegd kan ik het niet proberen, en ik weet ook niet of het echt slim is om te proberen (alhoewel je vast "per ongeluk" een typo kunt maken als je het static address instelt
).
:strip_icc():strip_exif()/u/340735/crop6448f8f93e3de.jpg?f=community)
Ik zit zelf bij Transip, een CIDR van niet groter dan een /23 vind ik wel best practice voor end-nodes.:
[...]
Maar dat moet (bij v4) toch sowieso? Want er is maar 1 IP adres, en het is wel handig als de default gateway in hetzelfde segment zit
Je kan prima met bridge-groups je verschillende vlan's over DC's heen trekken, doen wij zelf ook.Deze partij als in Netcup? Ze zouden natuurlijk ook qua binnenkomend "groter" kunnen werken, met een /56 of /48 (per DC of wat ook dan, want zo'n subnet over DCs heen zal wel lastig gaan
Ik ben er echter niet zo'n fan van, al is het alleen al omdat ik het vooral richting access wel vervelend vind.
Ik hou van duidelijk gelijk zien waar een node uithangt.
:strip_icc():strip_exif()/u/29561/IM_7-thumb.jpg?f=community)
:strip_exif()/u/34750/Trooper.gif?f=community)
Welk probleem wil je precies oplossen? Heb je een provider zonder IPv6 (Odido), of heb je CG-NAT? Maakt het makkelijker een oplossing te verzinnen...
Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.
Nee, ik heb zelfs native IPv4 én IPv6. Gewoon vast. Het echte probleem is dat ik de ballen verstand van zaken heb, want ik loop echt achter helaas.:
[...]
Welk probleem wil je precies oplossen? Heb je een provider zonder IPv6 (Odido), of heb je CG-NAT? Maakt het makkelijker een oplossing te verzinnen...
Ik heb vermoedelijk al een oplossing gevonden met socat, die IPv6-verkeer vanaf een VPS doorstuurt naar mijn IPv4-router. Dat zou wellicht kunnen werken voor nu.
Maar dat laatste, daar valt gelukkig wat aan te doen.:
[...]
Het ding is een beetje dat er een DMZ zit tussen zowel mijn privenetwerk als het Proxmox-netwerk.
Dat betekent dat je enkel vanuit de DMZ IPv6-connected bent; alles dat hier achter zit weet niet beter dan IPv4.
Maargoed, het probleem ben ik zelf dus in dit geval.
Toen ik begon met IPv6, inmiddels al weer meer dan vijftien jaar geleden dacht ik ook dat het wel makkelijk zou zijn om aan de rand van mijn systeem alles van IPv6 naar IPv4 te vertalen en door te geven zodat de rest van mijn systeem gewoon IPv4 kon blijven. Zo dacht ik ook dat het voor providers - gezien het feit dat er geen tekort is aan IPv6 adressen - wel doenlijk zou zijn meer dan één IPv6 adres aan een klant te geven. Een stuk of vijftien leek me wel leuk om te hebben... Tja, al doende leert men en de leercurve van IPv4 naar IPv6 is niet altijd vlak. Het vergt even een andere manier van denken. Maar het loont echt de moeite om er in te duiken en na de eerste hobbel, het afstand nemen van "IPv4 think" wordt het makkelijker. Vergeet dat plan om van IPv6 naar IPv4 om te zetten en ga je verdiepen in IPv6. Er is genoeg lesmateriaal te vinden en uiteraard staan we hier ook klaar om je verder te helpen.
Les 1: bij IPv6 heb je geen NAT (nodig) en DMZ is ook een typische IPv4 constructie. Gewoon vergeten en opnieuw beginnen.
Allright, goed dan, ik ga opnieuw beginnen.:
[...]
Maar dat laatste, daar valt gelukkig wat aan te doen.
Toen ik begon met IPv6, inmiddels al weer meer dan vijftien jaar geleden dacht ik ook dat het wel makkelijk zou zijn om aan de rand van mijn systeem alles van IPv6 naar IPv4 te vertalen en door te geven zodat de rest van mijn systeem gewoon IPv4 kon blijven. Zo dacht ik ook dat het voor providers - gezien het feit dat er geen tekort is aan IPv6 adressen - wel doenlijk zou zijn meer dan één IPv6 adres aan een klant te geven. Een stuk of vijftien leek me wel leuk om te hebben... Tja, al doende leert men en de leercurve van IPv4 naar IPv6 is niet altijd vlak. Het vergt even een andere manier van denken. Maar het loont echt de moeite om er in te duiken en na de eerste hobbel, het afstand nemen van "IPv4 think" wordt het makkelijker. Vergeet dat plan om van IPv6 naar IPv4 om te zetten en ga je verdiepen in IPv6. Er is genoeg lesmateriaal te vinden en uiteraard staan we hier ook klaar om je verder te helpen.
Les 1: bij IPv6 heb je geen NAT (nodig) en DMZ is ook een typische IPv4 constructie. Gewoon vergeten en opnieuw beginnen.
Ik snap dat ik niet meer achter kan blijven. Ik zal met de tijd met erin gaan verdiepen, maar het kan echt wel een paar maanden gaan duren voordat ik er echt goed voor kan gaan zitten.
Dus voorlopig is mijn hack even afdoende.
Allright, zoals ik het dus begrijp heb je miljarden adressen tot je beschikking op een aansluiting. Je eigen interne machines zijn bereikbaar met een publiekelijk adres die onder jouw subnet vallen.
Wellicht kan iemand het een heel klein beetje voorkauwen voor mij; dan ben ik gelijk een heel stuk verder voor nu: is er een manier om interne machines achter een tweede consumentenrouter toegang te laten krijgen tot IPv6 internet?
Ik hoorde over een soort IPv6 DHCP relay waarbij het apparaat te horen krijgt tot welk subnet het behoort en zichzelf hierin een eigen adres toewijst.
Dit klinkt alsof ik dat minimaal wil hebben op mijn netwerk.
Wellicht kan iemand het een heel klein beetje voorkauwen voor mij; dan ben ik gelijk een heel stuk verder voor nu: is er een manier om interne machines achter een tweede consumentenrouter toegang te laten krijgen tot IPv6 internet?
Ik hoorde over een soort IPv6 DHCP relay waarbij het apparaat te horen krijgt tot welk subnet het behoort en zichzelf hierin een eigen adres toewijst.
Dit klinkt alsof ik dat minimaal wil hebben op mijn netwerk.
In de meeste consumenten routers werkt eea bijna plug en play .. maar is ook afhankelijk van welke provider je hebt. Heb je al gekeken wat voor een IPv6 adressen en subnet grote je krijgt van je ISP.:
Allright, zoals ik het dus begrijp heb je miljarden adressen tot je beschikking op een aansluiting. Je eigen interne machines zijn bereikbaar met een publiekelijk adres die onder jouw subnet vallen.
Wellicht kan iemand het een heel klein beetje voorkauwen voor mij; dan ben ik gelijk een heel stuk verder voor nu: is er een manier om interne machines achter een tweede consumentenrouter toegang te laten krijgen tot IPv6 internet?
Ik hoorde over een soort IPv6 DHCP relay waarbij het apparaat te horen krijgt tot welk subnet het behoort en zichzelf hierin een eigen adres toewijst.
Dit klinkt alsof ik dat minimaal wil hebben op mijn netwerk.
En waarom een tweede consumenten router? Kan dat niet makkelijker met maar 1 router?
Je krijgt inderdaad héél véél IPv6 adressen. De kleinste eenheid is een /64. Oftewel een subnet met 2^64 adressen. Van de meeste providers in Nederland krijg je een /56 bij een consumenten aansluiting. Oftewel goed voor 2^(128-64-56)=256 subnetten.Bij sommige providers zoals Freenet krijg je een /48. Ofwel 65536 subnetten. Meer dan genoeg dus.
Ja, dat kan. Je kunt bij IPv6 routers achter elkaar hangen. Van de /56 die je van de provider krijgt kun je subnetten gaan verdelen. De eerste router pakt meestal meteen de eerste /64 in voor zijn eigen subnet. Soms ook een tweede voor een gastnetwerk. Blijven er nog genoeg subnetten over. Als je er dan een tweede router acher hangt kan die via zogenaamde prefix delegation aan de eerste router een kleiner blok uit de resterende subnetten vragen. Bijvoorbeeld een /60. Dus 16 subnetten van /64. Daarvan kan hij er een aantal voor "eigen"gebruik" innemen. Een derde router die achter de tweede hangt kan aan de tweede weer een blok aanvragen middels prefix delegation. Bijvoorbeeld een /62. Vier /64 subnetten. Enzovoort. Je kunt in principe routers cascaderen tot alles verdeeld is.
Maar je kunt met een beetje geavanceerde router ook zonder cascadering subnetten uitdelen. Bij mijn Mikrotik hEX routerje kan ik aan elk van de vier LAN poorten een eigen /64 subnet toewijzen als ik zou willen.
Ja, zoals ik het lees wil je tenminste twee min of meer gescheiden subnetten hebben. Eén voor privé en een voor de rest. Dat kan allemaal met IPv6. Maar helaas ondersteunen de meeste routers die je van de provider in bruikleen krijgt dat niet of slechts gebrekkig. De zwarte Sagemcom van Ziggo ondersteunt geen prefix delegation en de Nokia XS-2426 van Delta ook niet. De Fritz!box van Freedom doet het dacht ik wel.Dit klinkt alsof ik dat minimaal wil hebben op mijn netwerk.
Je zult dus mogelijk wel aan een eigen router moeten voor wat je wilt.
/u/14460/despicable_me.png?f=community)
Hier hebben we er niets aan maar... Frankrijk heeft sinds 2 dagen 85% IPv6 verkeer bij Google: Free Mobile heeft IPv6 nu standaard voor iedereen aangezet. Zo te lezen hadden ze het al langer, maar moesten gebruikers het handmatig aanzetten.
Nu nog in Nederland. Ooit
Nu nog in Nederland. Ooit
Blog | PVOutput Zonnig Beuningen
Odido and Vodafone have left the chat...:
Hier hebben we er niets aan maar... Frankrijk heeft sinds 2 dagen 85% IPv6 verkeer bij Google: Free Mobile heeft IPv6 nu standaard voor iedereen aangezet. Zo te lezen hadden ze het al langer, maar moesten gebruikers het handmatig aanzetten.
Nu nog in Nederland. Ooit
KPN heeft het op vast en mobiel goed voor elkaar. Ziggo op vast ook, maar Odido en Vodafone blijven een ramp.
:strip_icc():strip_exif()/u/78725/train-icon3.jpg?f=community)
Het zijn nu de bedrijven die de zaak ophouden en inderdaad, lange termijn visie ontbreekt. Als we IPv4 zouden kunnen uitschakelen en alleen nog IPv6 zouden hebben zou het voor iedereen goedkoper en makkelijker zijn. Dual Stack is inefficient, je moet twee systemen naast elkaar onderhouden. Het zou veel goedkoper en efficiënter zijn als er maar één systeem was. Maar ja, zo lang dat nog niet zo is, is het voor niemand in de korte termijn aantrekkijk om te investeren. Het werkt toch? Hier zou een overheid in kunnen sturen. Maar helaas zie ik dat met de huidige regering niet gebeuren.
Veranderen is moeilijk, zeker als techniek het gewoon doet.:
[...]
Het zijn nu de bedrijven die de zaak ophouden en inderdaad, lange termijn visie ontbreekt. Als we IPv4 zouden kunnen uitschakelen en alleen nog IPv6 zouden hebben zou het voor iedereen goedkoper en makkelijker zijn. Dual Stack is inefficient, je moet twee systemen naast elkaar onderhouden. Het zou veel goedkoper en efficiënter zijn als er maar één systeem was. Maar ja, zo lang dat nog niet zo is, is het voor niemand in de korte termijn aantrekkijk om te investeren. Het werkt toch? Hier zou een overheid in kunnen sturen. Maar helaas zie ik dat met de huidige regering niet gebeuren.
(“If it aint broken, why fix it?”)
Zakelijk houdt hier niks tegen in mijn optiek - de voordelen zijn simpelweg niet groot genoeg. Zakelijk kijkt naar kosten icm de baten en naar langere termijn.
En zolang er geen groot probleem is, vindt de verandering daarom geleidelijk plaats.
Er is helemaal geen politiek nodig (ajb niet…) voor deze verandering. Waarom zou je? IPv4 adressen worden vanzelf eenvoudigweg te duur.
De drijvende kracht bestaat uit meer kans op kostenbesparingen met IPv6, icm een beter serviceniveau.
En minder luie systeembeheerders misschien 🤔 😜
Komt goed.
Hij moest eens weten hoe makkelijk het zou zijn geweest om via zijn "Goedkope internet" in Frankrijk te verbinden met die "internetservice" als die service van 'm via IPv6 te bereiken was. Poortje open in de firewall en gaan 
Maar misschien (altijd van het positieve uitgaan hè) was dat "andere protocol" waar hij midden in de nacht over dacht wel iets met een 6...
Maar misschien (altijd van het positieve uitgaan hè) was dat "andere protocol" waar hij midden in de nacht over dacht wel iets met een 6...
Inmiddels reactie van KPN op het forum en met die instructies een ticket laten aanmaken via de telefonische helpdesk. Ticket is aangemaakt en nu is het wachten.
Ik wil juist bij mijn NAS, HomeAssistant en Nextcloud kunnen die ik heel bewust IPv6-only gemaakt heb. Draaien thuis en via mijn 5G met KPN kan ik er overal bij. En uiteraard vanaf kantoor en andere plekken waar ik gewoon native IPv6 heb.
Wat wel jammer is: Hotels of andere public WiFi heb ik nog nooit IPv6 gehad...
Voor alles buiten de deur heb ik een Wireguard VPN naar huis (via IPv4 .. IPv6 Wireguard nog niet getest) .. zodat ik zelfs in Australië gewoon NL Ziet kan kijken of via WiFi bellen gewoon bereikbaar ben op mijn Nederlandse nummer zonder roaming.:
[...]
Inmiddels reactie van KPN op het forum en met die instructies een ticket laten aanmaken via de telefonische helpdesk. Ticket is aangemaakt en nu is het wachten.
Ik wil juist bij mijn NAS, HomeAssistant en Nextcloud kunnen die ik heel bewust IPv6-only gemaakt heb. Draaien thuis en via mijn 5G met KPN kan ik er overal bij. En uiteraard vanaf kantoor en andere plekken waar ik gewoon native IPv6 heb.
Wat wel jammer is: Hotels of andere public WiFi heb ik nog nooit IPv6 gehad...
Wat @duvekot aangeeft. Gewoon een VPN gebruiken dan. Wireguard kan prima overweg met IPv4 & IPv6, zowel om met het endpoint te babbelen als om te tunnelen. En doordat het IPv6 is heb je dus ook geen verschil tussen intern en extern, geen NAT, etc etc.. Maar snijdt natuurlijk aan twee kanten. Doordat je de tunnel hebt kun je IPv6 gebruiken en dus ook via IPv6 verbinden met apparaten thuis of extern die alleen IPv6 doen. Maar doordat je de tunnel naar thuis al hebt zou je de apparaten thuis ook via een intern (al dan niet IPv4) adres kunnen benaderen. Via beide routes geeft een VPN dus een oplossing voor dat probleem.:
Wat wel jammer is: Hotels of andere public WiFi heb ik nog nooit IPv6 gehad...
Enige dingetje is dan dat Wireguard met static IPs werkt. En wil je via IPv6 "naar buiten toe" moet (/"moet") je dus ook een GUA instellen (of de "server" moet NAT doen
), terwijl je waarschijnlijk geen static IP/prefix krijgt van de ISP. Potentieel moet je dan dus periodiek alle endpoints (/"servers" en "clients") nalopen om het IP adres aan te passen.
Camping Boszicht in Laag Soeren en het H.F. Witte centrum in de Bilt:
[...]
Wat wel jammer is: Hotels of andere public WiFi heb ik nog nooit IPv6 gehad...
Ze hebben allebei IPv6 op de Wifi. De eerste (via KPN) waarschijnlijk bij toeval, de tweede (via Ziggo) omdat de HCC daar vaak bijeenkomsten heeft en de HCC het heeft "geregeld".
Dat zijn tot dusver de enige (semi) openbare WiFi netwerken waar ik IPv6 heb gevonden.
In de horecazaak van familie van mij is IPv6 ook beschikbaar op het (gasten) wifi netwerk.
Mogen jullie raden wie daar het netwerk beheert
Mogen jullie raden wie daar het netwerk beheert
Ik snap hoe VPN's werken :-):
[...]
Wat @duvekot aangeeft. Gewoon een VPN gebruiken dan. Wireguard kan prima overweg met IPv4 & IPv6, zowel om met het endpoint te babbelen als om te tunnelen. En doordat het IPv6 is heb je dus ook geen verschil tussen intern en extern, geen NAT, etc etc.. Maar snijdt natuurlijk aan twee kanten. Doordat je de tunnel hebt kun je IPv6 gebruiken en dus ook via IPv6 verbinden met apparaten thuis of extern die alleen IPv6 doen. Maar doordat je de tunnel naar thuis al hebt zou je de apparaten thuis ook via een intern (al dan niet IPv4) adres kunnen benaderen. Via beide routes geeft een VPN dus een oplossing voor dat probleem.
Enige dingetje is dan dat Wireguard met static IPs werkt. En wil je via IPv6 "naar buiten toe" moet (/"moet") je dus ook een GUA instellen (of de "server" moet NAT doen
Mijn punt was meer dat ik daar IPv6 gewoon nooit tegen kom. Dan moet ik een VPN aanzetten. Maar moet zeggen dat ik in het buitenland veelal gewoon op 4G/5G blijf met mijn telefoon en vanaf nu dus ook iPad. Geen gedoe met WiFi aanslingeren.
Je bedoelt met dan “enig dingetje” dan dat de Wireguard (server) een fixed GUA moet hebben, zodat de verbinding gelegd kan worden?:
[...]
Enige dingetje is dan dat Wireguard met static IPs werkt. En wil je via IPv6 "naar buiten toe" moet (/"moet") je dus ook een GUA instellen (of de "server" moet NAT doen
(En de firewall de UDP poort open heeft staan etc etc).
Of begrijp ik je/het verkeerd?
Op zichzelf is dat al wat onhandig (poorten openzetten, fixed IP), vind ik, dus geef voorkeur aan Zerotier, Netbird en (oke beetje dan, evt) Tailscale.
/u/262016/crop64ed94e1a7757_cropped.png?f=community)
Onlangs heb ik mijn router vervangen, maar ik krijg IPv6 niet meer werkend. Welke instellingen heb jij ingesteld?
Met het volgende krijg ik geen IPv6:
:strip_exif()/f/image/sm0TjBgGG92qt3O19QcDDbTG.png?f=user_large)
EU DNS: 86.54.11.100
Hmm. Na het updaten van Debian naar Trixie op mijn "servertje" werkte IPv6 niet meer. Blijkt er in systemd-networkd, dat ik gebruik, een "vervelende" change te zitten: als je instelt om RAs te verzenden worden by default geen RAs meer ontvangen, iets dat voorheen wel het geval was (IPv6AcceptRA was standaard yes/true tenzij het een bridge betrof of forwarding aan staat, nu is het default true tenzij het een bridge is, of IPv6SendRA of ip forwarding aan staan).
Reden dat ik zowel RAs accept als RAs send is omdat het ook mijn Docker host is. En Docker netwerken een eigen ULA gebruiken en middels forwarding (dat ik niet expliciet genoeg aan heb gezet blijkbaar?) het verkeer naar de container gaat. Waarbij het "servertje" dus ook een RA stuurt puur om de route te adverteren (uiteraard geen prefix etc, puur "subnet X is bereikbaar via mij").
En daarmee dus ook een kleine heads up voor anderen die mogelijk een dergelijke setup hebben (Debian, systemd-networkd voor network management, en zowel RAs sturen als willen ontvangen op dezelfde interface).
Reden dat ik zowel RAs accept als RAs send is omdat het ook mijn Docker host is. En Docker netwerken een eigen ULA gebruiken en middels forwarding (dat ik niet expliciet genoeg aan heb gezet blijkbaar?
) het verkeer naar de container gaat. Waarbij het "servertje" dus ook een RA stuurt puur om de route te adverteren (uiteraard geen prefix etc, puur "subnet X is bereikbaar via mij").En daarmee dus ook een kleine heads up voor anderen die mogelijk een dergelijke setup hebben (Debian, systemd-networkd voor network management, en zowel RAs sturen als willen ontvangen op dezelfde interface).
:strip_exif()/u/34622/crop5aa77390c3916_cropped.gif?f=community)