Het grote IPv6 topic

aawe mwan schreef op zondag 29 november 2020 @ 10:24:
Wat ik bijvoorbeeld verwacht had, was dat mijn computer gewoon standaard een "pooltje" aan IPv6 adressen zou krijgen van de router, die hij naar eigen inzicht zou kunnen verdelen over zijn virtuele machines, containers en ook de computers waarmee het internet gedeeld wordt. In plaats daarvan vraagt/krijgt (?) Ubuntu 20.04 maar 1 of 2 /64 IPv6 adressen van mijn router. Dat is toch veel te weinig?

[ Voor 15% gewijzigd door Dreamvoid op 29-11-2020 21:47 ]

1. Allow IPv6 prefixes announced by other IPv6 routers in the home network
2. Assign DNS server, prefix (IA_PD) and IPv6 address (IA_NA)

$ ip addr show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
    link/ether dc:a6:32:xx:yy:zz brd ff:ff:ff:ff:ff:ff
    inet 10.42.0.253/24 brd 10.42.0.255 scope global dynamic eth0
       valid_lft 2001sec preferred_lft 2001sec
    inet6 2001:uuuu:vvvv:fc:dea6:32ff:fexx:yyzz/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 5539sec preferred_lft 1939sec
    inet6 fe80::dea6:32ff:fexx:yyzz/64 scope link 
       valid_lft forever preferred_lft forever

Wordt aan gewerkt. In de loop van volgend jaar komt er een update aan waarna het beschikbaar is.

Lawrentium schreef op dinsdag 1 december 2020 @ 11:50:
Ik ben op zoek naar een managed switch. Hoeft niets bijzonders te zijn, als deze maar VLAN's en IGMP snooping ondersteund. Mijn oog is gevallen op de bekende Netgear GS108E v3. Deze ondersteund alleen IPv6 passthrough. Wat betekend dit precies? Dat de management interface alleen via v4 werkt?

Het gaat mij er vooral om dat VLAN's op beide protocollen werken. IGMP snooping zal voorlopig een minder groot probleem zijn tenzij IPTV op korte termijn ook via v6 gaat.

Lawrentium schreef op dinsdag 1 december 2020 @ 11:50:
Ik ben op zoek naar een managed switch. Hoeft niets bijzonders te zijn, als deze maar VLAN's en IGMP snooping ondersteund. Mijn oog is gevallen op de bekende Netgear GS108E v3. Deze ondersteund alleen IPv6 passthrough. Wat betekend dit precies? Dat de management interface alleen via v4 werkt?

Het gaat mij er vooral om dat VLAN's op beide protocollen werken. IGMP snooping zal voorlopig een minder groot probleem zijn tenzij IPTV op korte termijn ook via v6 gaat.

Snow_King schreef op dinsdag 1 december 2020 @ 12:17:
[...]

Wat zijn je verdere eisen? Je kan kijken naar een HP Aruba J9775A. Doet SSH en SNMP over IPv6. Gebruiken wij op het werk heel veel als edge-switches en beheren ze enkel via IPv6.

jk-5 schreef op dinsdag 1 december 2020 @ 12:23:
[...]


Mijn ervaringen met de GS108Ev3 zijn vrij slecht. Ik heb zo'n 10 van die dingen bij verschillende mensen liggen. Na verloop van tijd loopt de cpu vast waardoor de management interface niet bereikbaar is. Zelfs al eens meegemaakt dat bepaalde poorten stoppen met forwarden wat alleen door reboot gefixt kan worden.

Lawrentium schreef op dinsdag 1 december 2020 @ 12:32:
[...]

Meer eisen heb ik niet. Het is gewoon voor thuisgebruik, om IoT en IPTV apparaten te scheiden via verschillende VLAN's.

Lawrentium schreef op dinsdag 1 december 2020 @ 12:32:
[...]

Meer eisen heb ik niet. Het is gewoon voor thuisgebruik, om IoT en IPTV apparaten te scheiden via verschillende VLAN's.


[...]

Wanneer gebeuren deze vastlopers? Bij het benaderen van de management interface? Of zelfs tijdens normaal gebruik?

jk-5 schreef op dinsdag 1 december 2020 @ 12:38:
[...]


Ook tijdens normaal gebruik. Als je hem een aantal maanden (soms zelfs weken) aan hebt staan gaat er vanzelf iets stuk

Jef61 schreef op dinsdag 1 december 2020 @ 13:01:
[...]
IPv6 is verder geen probleem, management doet alleen IPv4.

Jef61 schreef op dinsdag 1 december 2020 @ 13:01:
[...]

Misschien een keertje de firmware updaten?
Ik heb in het begin idd wel eens vastlopers gehad op het management maar na firmware update draaien de twee van mij probleemloos. Zitten nu op firmware 2.06.14

IPv6 is verder geen probleem, management doet alleen IPv4.

Lawrentium schreef op dinsdag 1 december 2020 @ 13:11:
[...]

Ook in combinatie met VLAN's etc?

Lawrentium schreef op dinsdag 1 december 2020 @ 13:11:
[...]

Ook in combinatie met VLAN's etc?

[ Voor 14% gewijzigd door Jef61 op 01-12-2020 13:34 ]

Jef61 schreef op dinsdag 1 december 2020 @ 13:25:
[...]


Geen probleem, zoals @jk-5 al geantwoord heeft speelt vlan zich af op laag 2.
@Lawrentium Let wel op, het is een switch, routeren tussen de vlans kan ie niet.

Snow_King schreef op donderdag 3 december 2020 @ 10:20:
Ik heb bij Ziggo ineens een nieuw IPv4 adres en een nieuw IPv6 subnet gekregen. Hebben andere mensen dit ook al eens mee gemaakt?

Ik dacht dat het v6 subnet wel redelijk stabiel was.

Roetzen schreef op donderdag 3 december 2020 @ 11:56:
[...]

Dat is het ook wel, maar het verandert toch wel af en toe spontaan. Soms met een zichtbare aanleiding, bijvoorbeeld een firmware update of een spanningsonderbreking, soms zonder zichtbare aanleiding. Ik heb het bij gehouden. Ik heb dit modem sinds maart 2019 en sindsdien is het acht maal gebeurd dat ik een nieuwe IPv6 prefix kreeg.

Roetzen schreef op donderdag 3 december 2020 @ 11:56:
[...]

Dat is het ook wel, maar het verandert toch wel af en toe spontaan. Soms met een zichtbare aanleiding, bijvoorbeeld een firmware update of een spanningsonderbreking, soms zonder zichtbare aanleiding. Ik heb het bij gehouden. Ik heb dit modem sinds maart 2019 en sindsdien is het acht maal gebeurd dat ik een nieuwe IPv6 prefix kreeg.

Snow_King schreef op donderdag 3 december 2020 @ 13:58:
[...]
8x is best wel veel eigenlijk. Jammer. Want ik heb nogal wat DNS entries er naartoe verwijzen.

Mijn vorige ISP (Delta/ZeelandNet) zette je /48 vast op het modem zijn MAC en veranderde dan nooit. Je kon ze zelfs vragen het subnet mee te nemen als je een nieuw modem kreeg.

jk-5 schreef op donderdag 3 december 2020 @ 14:15:
[...]
Die acht keer is wel erg veel. Ik woon hier nu anderhalf jaar en heb nu nog steeds exact dezelfde prefix als anderhalf jaar geleden. Zelfs toen ik ben omgezet van DS-Lite naar full dualstack is mijn ipv6 prefix gelijk
gebleven.

Het heeft zoals je beschreef waarschijnlijk te maken met stabiliteit van de verbinding in de wijk, of andere factoren die wij niet zien.

Ziggo is namelijk de laatste jaren bezig alle CMTSes te vervangen door nieuwe varianten (om Docsis 3.1 te kunnen ondersteunen). Daarbij heb ik wel eens meegemaakt dat alle ipv4 en ipv6 prefixes veranderden, waarschijnlijk omdat ze segment voor segment de boel omhingen van de oude naar de nieuwe CMTS.

Snow_King schreef op donderdag 3 december 2020 @ 13:58:
ik heb nogal wat DNS entries er naartoe verwijzen

Paul schreef op donderdag 3 december 2020 @ 16:20:
[...]
Ik heb daarvoor een dynamic dns dienst ingeregeld (bij DNSExit geloof ik). Al heb ik vijf jaar geleden op mijn (toen) nieuwe router geen DynDNS-client heb gezet, dus blijkbaar verandert mijn IP niet zo vaak

Snow_King schreef op donderdag 3 december 2020 @ 18:19:
[...]
Ik draai enkele Virtual Machines en Docker containers thuis. Die moet ik nu allemaal opnieuw configgen. Dat is zonde van het werk.

Dreamvoid schreef op donderdag 3 december 2020 @ 22:32:
Wees blij dat we niet in Duitsland zitten, daar moeten de providers de prefixes verplicht regelmatig wijzigen, uit privacy oogpunt. Dat is mooi, maar wel hoofdpijn voor thuishosters.

Dreamvoid schreef op donderdag 3 december 2020 @ 22:32:
Wees blij dat we niet in Duitsland zitten, daar moeten de providers de prefixes verplicht regelmatig wijzigen, uit privacy oogpunt. Dat is mooi, maar wel hoofdpijn voor thuishosters.

aawe mwan schreef op donderdag 3 december 2020 @ 18:29:
[...]


Kan je niet een Ansible playbook maken om de IPv6 configuratie naar die machines door te zetten?

(De voorwaarde om Ansible te kunnen gebruiken is dat ze nog wel per SSH bereikbaar zijn vanaf de machine waar je het playbook op draait.)

overhyped schreef op vrijdag 4 december 2020 @ 12:19:
[...]


Het zou toch mooi zijn als er een soort automatische vertaling was van ip adressen naar handige namen. en als dan een router ook nog eens automatisch een deel van z'n allocatie door kan sturen naar een andere router.

Mischien moeten we het "Domain Name System" noemen om die namen te vertalen naar adressen, en dan kunnen we het andere mischien "prefix deligation" noemen, omdat een prefix zeg maar "deligated" kan worden..

overhyped schreef op vrijdag 4 december 2020 @ 12:19:
Het zou toch mooi zijn als er een soort automatische vertaling was van ip adressen naar handige namen. en als dan een router ook nog eens automatisch een deel van z'n allocatie door kan sturen naar een andere router.

Mischien moeten we het "Domain Name System" noemen om die namen te vertalen naar adressen, en dan kunnen we het andere mischien "prefix deligation" noemen, omdat een prefix zeg maar "deligated" kan worden..

Dreamvoid schreef op vrijdag 4 december 2020 @ 16:58:
[...]

Haha natuurlijk is dat er al, maar DNS werkt toch niet zo heel lekker met instabiele prefixes/adressen, dan moet je weer een DDNS systeem gaan optuigen, liever doen mensen dat toch niet.

elsinga schreef op zaterdag 5 december 2020 @ 09:53:
Bij mij worden voor 3 domains elk 1 A record geupdate, de rest van de entries zijn een ALIAS voor die records. De <domain> wijzigt per DDNS en www.<domain> volgt wel.

elsinga schreef op zaterdag 5 december 2020 @ 13:18:
Klopt. Mijn situatie is redelijk eenvoudig: thuis een NAS die ook als webserver dienst doet voor een beperkt aantal sites. Ook voor IPv6 (wat ik helaas niet heb, want Ziggo met Connectbox in bridge... )

Heb je in een netwerk echter meer apparatuur die via IPv6 direct benaderbaar moet/wil/kan zijn, dan heb je meer ddns entries nodig. Kan bij mijn dns provider overigens prima, maar is meer werk. Met name omdat elk apparaat zijn eigen ddns query moet doen (bij mijn dns provider is dat een HTTP GET naar een speciale URL en het IP adres wat de dns provider dan ziet wordt het A/AAAA record)..

darkrain schreef op maandag 7 december 2020 @ 09:38:
Vorige week ineens een nieuwe IPv6 prefix gekregen van Ziggo, waardoor het internet slecht functioneerde. Dit gedeeltelijk op kunnen lossen door de eigen router achter het Ziggo modem te herstarten, maar bleef niet top.

Dit kwam door de firewall regels welke de oude prefix ingesteld hadden, hoe gaan jullie hiermee om?
Na het aanpassen draait nu alles weer als een zonnetje, maar toch wel een aandachtspunt..

Brahiewahiewa schreef op maandag 7 december 2020 @ 10:09:
[...]

Geen firewall draaien ;o)
Met de komst van ipv6 veranderen de paradigma's op het gebied van netwerken. Er is geen NAT meer. Er zijn privacy extensions. En je prefix kan dus zomaar opeens veranderen
De doorsnee windows, mac of linux machine kan hier prima mee omgaan. Maar de archaïsche firewall niet, idd
Dus het wordt tijd om die te updaten naar iets wat aan de moderne maatstaven kan voldoen, of om te besluiten dat je geen centrale firewall meer nodig hebt

darkrain schreef op maandag 7 december 2020 @ 10:24:
[...]

Ehm, ik heb diverse VLAN's en daartussen zit een firewall. Dat gaat niet veranderen met de komst van IPv6, die firewall blijft. Simpelweg vanwege het feit dat er geen toegang moet zijn tussen sommige VLAN's en anderen weer wel (IoT hoeft niet bij mijn NAS bijvoorbeeld).

Ben toch benieuwd op welke moderne manier ik dit dan zou moeten doen...

overhyped schreef op maandag 7 december 2020 @ 10:35:
[...]


De 2020 manier is natuurlijk om naar zero trust te kijken: waar het netwerk niet meer een factor is voor beveiliging. Maar dat is vaak een bridge to far. Wat nu wel zou moeten kunnen is niet op basis van fixed prefix rules maken, maar op basis van <deligatie>:subnetbits. Dan veranderen de rules automatisch mee met de prefix.

En als jouw firewall dat niet ondersteund dan is die niet helemaal geschikt voor een IPv6 netwerk met prefix delegation.

darkrain schreef op maandag 7 december 2020 @ 10:52:
[...]

Firewall is een Unifi USG, zal eens onderzoeken of dat gaat. Dank je wel voor de hint.

darkrain schreef op maandag 7 december 2020 @ 09:38:
Dit kwam door de firewall regels welke de oude prefix ingesteld hadden, hoe gaan jullie hiermee om?
Na het aanpassen draait nu alles weer als een zonnetje, maar toch wel een aandachtspunt..

[ Voor 8% gewijzigd door Dreamvoid op 07-12-2020 11:30 ]

xbeam schreef op maandag 7 december 2020 @ 11:04:
[...]


De usg kan ipv6 prefix alleen werkt de standaard gui configure niet met KPN ( pppoe vage sizzel) je moet daar dus een aanpassing via de json configure doen

jk-5 schreef op maandag 7 december 2020 @ 11:22:
[...]
Het blijkt dus dat ziggo (in ieder geval op de Arris connectbox) maar 1 /60 prefix kan uitdelen. Daarmee houd je in feite 14 /60s ongebruikt op je modem. De enige manier om en werkende prefix op de nieuwe router te krijgen was het releasen van de dhcpv6-pd lease op de oude router.

Dreamvoid schreef op maandag 7 december 2020 @ 11:23:
[...]

Raar eigenlijk - is daar een reden voor te bedenken?

jk-5 schreef op maandag 7 december 2020 @ 11:22:
[...]


Voor zover ik weet ondersteunt de PPPoE client implementatie in UniFi en EdgeOS uberhaupt geen ipv6. In Unifi dus ook niet met custom json config. Als ik geen gelijk heb hoor ik het graag.

Ik heb dit weekend trouwens ook een raar ding meegemaakt met DHCPv6-PD bij ziggo. Ziggo geeft een /56 aan het modem waarvan hij zelf de eerste /60 reserveert, waarvan het 'normale' netwerk de eerste /64 krijgt. Daarmee zijn er nog 15 /60s over.

Mijn eigen (oude) router kreeg de laatste /60 van de modem. Ik heb een nieuwe router (Mikrotik RB4011) en dacht hem er gewoon naast te kunnen hangen, en daarop ook dhcpv6-pd te activeren zodat beide routers een prefix hadden. Deze sessie kwam niet up. Toen ik wireshark ertussen hing bleek dat het modem zei 'No more prefixes available'.

Het blijkt dus dat ziggo (in ieder geval op de Arris connectbox) maar 1 /60 prefix kan uitdelen. Daarmee houd je in feite 14 /60s ongebruikt op je modem. De enige manier om en werkende prefix op de nieuwe router te krijgen was het releasen van de dhcpv6-pd lease op de oude router.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

configure
 
set interfaces ethernet eth0 vif 6 pppoe 0 ipv6 enable
set interfaces ethernet eth0 vif 6 pppoe 0 ipv6 address autoconf
set interfaces ethernet eth0 vif 6 pppoe 0 ipv6 dup-addr-detect-transmits 1
 
set interfaces ethernet eth0 vif 6 pppoe 0 dhcpv6-pd no-dns
set interfaces ethernet eth0 vif 6 pppoe 0 dhcpv6-pd pd 0 interface eth1 prefix-id :1
set interfaces ethernet eth0 vif 6 pppoe 0 dhcpv6-pd pd 0 interface eth1 service slaac
set interfaces ethernet eth0 vif 6 pppoe 0 dhcpv6-pd pd 0 prefix-length /48
set interfaces ethernet eth0 vif 6 pppoe 0 dhcpv6-pd rapid-commit disable
 
set protocols static interface-route6 ::/0 next-hop-interface pppoe0
 
commit
save
exit

1
2

set interfaces ethernet eth0 vif 6 pppoe 0 firewall in ipv6-name WANv6_IN ([b]deze opeen usg anders [/b] 
set interfaces ethernet eth0 vif 6 pppoe 0 firewall local ipv6-name WANv6_LOCAL ([b]deze opeen usg anders [/b]

[ Voor 12% gewijzigd door xbeam op 07-12-2020 11:34 ]

Dreamvoid schreef op maandag 7 december 2020 @ 11:15:
[...]

Firewall regels zijn inderdaad een dingetje, zowel vanwege dynamische prefixes als veranderende device id's. Bij bedrijfsnetwerken is de prefix altijd wel constant, maar bij consumenten is dat geen garantie.

Met SLAAC zit je sowieso met Privacy Extension adressen waar de device id elke 24u verandert, en nu tegenwoordig elk OS (Linux, Android, Windows, macOS, iOS) is afgestapt van EUI-64 en in plaats daarvan 'opaque' stable adressen maakt (RFC7217, of vergelijkbaar) betekent een nieuwe prefix ook automatisch een nieuwe device id. Hier wordt al veel over geklaagd, bij pfSense bijvoorbeeld: https://redmine.pfsense.org/issues/6626

Eigenlijk twee opties:
- een firewall waar je wildcards voor the prefix kan instellen, en dan de device id's constant houden door ofwel adressen centraal uitdelen met DHCPv6, ofwel handmatig op elk device een static token (een constante device id) instellen of terug forceren naar EUI-64.
- een firewall die rules kan maken op basis van MAC adres, dat blijft namelijk wel altijd gelijk, wat je prefix of device id ook is. Nadeel: werkt alleen binnen een /64 segment, zodra er een router tussen zit ziet de firewall het source-MAC adres niet meer.

overhyped schreef op maandag 7 december 2020 @ 12:59:
Hoe lang het duurt is natuurlijk de vraag, maar de tijd van IP adressen gebruiken als security entitlement is wel eindig.

Dreamvoid schreef op maandag 14 december 2020 @ 00:28:
Heb je geen provider router draaien die toevallig met DHCPv6 zijn DNS uitdeelt?

Raven schreef op zondag 27 december 2020 @ 11:24:
Sinds gisteren pikt PiHole via een paar virtuele interfaces met VLAN ID ook MAC-adressen van apparaten buiten het subnet op, zodat ie op basis daarvan clients herkend en wisselende IPv6 adressen van apparaten kan onderscheiden en IPv4 en IPv6 adressen van dezelfde client kan koppelen.

Nu het vreemde: Apparaten met IPv4 adres zijn geen probleem, in alle subnets wordt netjes het MAC-adres herkend, maar bij apparaten met IPv6-adres wordt het MAC-adres alleen herkend wanneer deze in hetzelfde subnet zit, niet in andere subnets. Iets dat ip neigh duidelijk laat zien:

code:

1 2 3 4 5 6 7 8 9

pi@Willow ~ $ ip -6 neigh | grep 2001 2001:*:*:25:*:*:*:* dev eth0 FAILED 2001:*:*:1:*:*:*:* dev eth0 lladdr *MAC* STALE 2001:*:*:25:*:*:*:* dev eth0 FAILED 2001:*:*:25:*:*:*:* dev eth0 FAILED 2001:*:*:25:*:*:*:* dev eth0 FAILED 2001:*:*:1:*:*:*:* dev eth0 lladdr *MAC* STALE 2001:*:*:1:*:*:*:* dev eth0 lladdr *MAC* STALE pi@Willow ~ $

Weet iemand toevallig in welke hoek de mogelijke oorzaak zit? De firewall op de router-PC met Debian zou het volgens mij niet moeten zijn door

code:

1 2	add rule ip6 filter forward meta l4proto ipv6-icmp counter accept add rule ip6 filter forward iifname { $LAN , $WIFI } oifname { $LAN , $WIFI } counter accept

Dreamvoid schreef op zondag 27 december 2020 @ 16:13:
[...]

Ik zou het er even in gooien op de pi-hole github of op reddit, deze group-by-MAC feature is pas net toegevoegd dus grote kans dat het nog niet helemaal 100% werkt.

Dreamvoid schreef op zondag 27 december 2020 @ 16:13:
Deze nieuwe feature is sowieso een beetje een rommeltje, na twee weken zijn die lijsten met IPv6 adressen bv ellenlang geworden omdat pi-hole alle tijdelijke IPv6 adressen van alle devices blijft onthouden.

Error 1020 Thu, 31 Dec 2020 10:32:44 GMT
Serverfout / Server error
Wat is er gebeurd?

Er is een fout opgetreden. Indien dit probleem blijft bestaan neem dan contact op met je systeembeheerder.
What happened?

An error occured. If this problem persists, please contact your system administrator.

Raven schreef op donderdag 31 december 2020 @ 11:34:
Zou iemand de coronatestuitslag-website via IPv6 willen proberen te openen? Ik krijg hier

[...]
maar als ik IPv6 uitschakel lijkt de website het wél te doen

Non-authoritative answer:
Name: coronatest.nl
Addresses: 2606:4700::6812:f45
2606:4700::6812:e45

Vorkie schreef op donderdag 31 december 2020 @ 11:39:
[...]


Werkt hier gewoon, staat je MTU goed? Of heb je zelf er niets aan gedaan?


[...]

Raven schreef op donderdag 31 december 2020 @ 11:42:
[...]

Heb niet aan de MTU gezeten, misschien komt het omdat ik een IPv6-tunnel gebruik?

Vorkie schreef op donderdag 31 december 2020 @ 11:43:
[...]


Nou, die tunnel staat, als je HE-net hebt, volgens mij op MTU 1280, heb je dat ook ingesteld?

Of gebruik je een andere tunnel.

1

nmcli connection add type ip-tunnel con-name he-ipv6 ifname he-ipv6 mode sit remote $IPv4Endpoint -- ipv4.method disabled ipv6.method manual ipv6.address $IPv6Address ipv6.gateway $IPv6Gateway

[ Voor 4% gewijzigd door Raven op 31-12-2020 11:49 ]

Raven schreef op donderdag 31 december 2020 @ 11:47:
[...]

Hurricane Electric inderdaad, ik heb dit commando gebruikt om de tunnel op te zetten:

Bash:

1	nmcli connection add type ip-tunnel con-name he-ipv6 ifname he-ipv6 mode sit remote $IPv4Endpoint -- ipv4.method disabled ipv6.method manual ipv6.address $IPv6Address ipv6.gateway $IPv6Gateway

Er kwam geen MTU instelling bij kijken.

edit: @Vorkie Volgens nmcli staat de MTU op 1480.

Toxic Waste schreef op zondag 17 januari 2021 @ 10:48:
ik vermoed dat dit de beste plaats is om mijn vraag te stellen, situatie is de volgende thuis. Heb een HGW van Telenet, mij een /56 prefix geeft.

Mijn eigen router is een Ubiquiti UDM pro, aan de WAN kant ondersteunt hij DHCPv6 om een adres in te stellen, of static. Aan de LAN kant kan je verder kiezen voor prefix delegation of Static.

Volgende problemen heb ik de laatste 2 dagen tegengekomen:

- Al mijn pogingen om beide kanten static te gebruiken, zijn mislukt. Als ik een /64 aan de wankant instel, en een andere /64 aan de LAN kant, dan (wat me ook logisch lijkt), weet de HGW van Telenet volgens mij niet naarwaar hij dit subnet moet routeren. Ik kan perfect in men LAN pingen naar men gateway, men UDM pro kent de route naar beide /64s, maar als ik traceroute van buitenaf, stopt het op men HGW.

- Stap ik over op DHCPv6 aan de WAN kant en prefix-delegation aan de LAN kant, dan lijkt het wel correct te werken. Het probleem bevindt zich dan bij men servers thuis. Als ik daar probeer een static ipv6 adres in te stellen, dan kan deze prima naar de gateway pingen, kan hij google op ipv6 bereiken, maar retour traffic lijkt alweer een probleem te zijn, niet bereikbaar van buitenaf. Heb ik een server die een statisch IP heeft EN een IP heeft gekregen via de prefix delegation vermoed ik, dan kan ik er wel van buitenaf aan.

Kan iemand mij verder helpen met hoe ik mijn server statische IPv6s kan geven, dat ze vanbuiten af bereikbaar zijn op ipv6? Blijkbaar niet simpel met gewoon een ipv6 + subnet + default gateway..

jk-5 schreef op zondag 17 januari 2021 @ 10:50:
[...]


Meestal hebben de routers van de internetproviders een ipv6 firewall die al het verkeer van buitenaf blokkeren. Je zou eens kunnen kijken in de instellingen van de HGW of deze inderdaad aanstaat en of je die uit kan zetten. De laatste setup (DHCPv6 + PD) lijkt mij de beste optie, en ik zie daar verder geen problemen in je setup.

Roetzen schreef op maandag 18 januari 2021 @ 22:45:
Nieuwe metingen:

...
...

Snow_King schreef op dinsdag 19 januari 2021 @ 08:54:
[...]

KPN gaat lekker! Echter vind ik het heel jammer dat hun KPN 1-MKB dus geen IPv6 doet...

[ Voor 19% gewijzigd door xbeam op 19-01-2021 15:45 ]

xbeam schreef op dinsdag 19 januari 2021 @ 15:40:
[...]


Hier ook zakelijk ip4 only. En zakelijk gezien logisch. Aangezien wanneer je ipv6 only bent 69% van internet en wereld niet kan bereiken.

En nog zo weinig ipv6 dat veel bedrijven het ook gewoon uit/zetten/niet gebruiken wanneer de provider het aanbiedt. Het zorgt zakelijk ook weer dubbel beheer en extra kosten

Roetzen schreef op dinsdag 19 januari 2021 @ 16:11:
[...]

Onzin. Je bent namelijk nooit IPv6 only, Je hebt op zijn minst DS-Lite en bij KPN voor zo ver ik weet full Dual Stack.

[...]

En dat is dus korte termijn politiek. Het is het probleem vooruit schuiven. Maar ja, zo gaat het helaas vaak in het bedrijfsleven. Het management is voornamelijk geïnteresseerd in wat er aan het eind van het jaar onder de streep staat en wat de bonus wordt. Lange termijn problemen zijn voor de volgende. Ja, inderdaad, in de overgangs periode heb je meer beheer en extra kosten. Maar daar zul je toch een keer doorheen moeten en hoe langer je wacht hoe duurder het wordt. Eeuwig doorgaan met alleen IPv4 is geen optie.

xbeam schreef op dinsdag 19 januari 2021 @ 16:59:

Maar die overgang duurt nu al 10 jaar en op nog eens 10 jaar dubbele beheer zitten bedrijven niet te wachten en gaan ze ons ook niet betalen. Daarom gaan wel lekker over zodra we ipv4 kunnen laten vallen tot tijd blijven we lekker ip4 only.

ed1703 schreef op dinsdag 19 januari 2021 @ 17:20:
[...]

Zie hier waarom ipv6 dus nooit iets gaat worden vanuit deze wereldwijde mentaliteit.
Ik merk dit bij ons overigens ook hoor, daar niet van.

[ Voor 23% gewijzigd door xbeam op 19-01-2021 17:51 ]

xbeam schreef op dinsdag 19 januari 2021 @ 16:59:
[...]

I know, maar er zijn hier een paar op dit forum de beweren al jaren ipv6 only te zijn

Maar die overgang duurt nu al 10 jaar en om nu nog eens 10 jaar met dubbele beheer te zitten, Bedrijven willen niet nodeloos wachten en gaan ze gaan ons ook niet voor wachten betalen.

Daarom gaan wel lekker over zodra we ipv4 kunnen laten vallen tot tijd blijven we lekker ip4 only.

Roetzen schreef op dinsdag 19 januari 2021 @ 17:57:
[...]

En dat zijn bedrijven? Je had het namelijk over bedrijven...

[...]

De extra inspanning voor het overgaan op IPv6 zit hem voornamelijk in het aanleren van de nieuwe truukjes. Als je daar eenmaal doorheen bent, is het echt niet zo moeilijk meer. Het is heus niet nog jaar in, jaar uit dubbele kosten van beheer.

[...]

Je klaagt er over dat het zo lang duurt tot IPv6 doorbreekt, maar de ironie is dat nu de ISPs eindelijk op stoom komen, het juist de bedrijven zijn die met die houding de uitrol van IPv6 vertragen. Tijdens de eerste lockdown nam het IPv6 verkeer toe vanwege de thuiswerkers die op de zaak geen IPv6 hadden, maar thuis wel.

http://www.iljitsch.com/2...9-christmas-everyday.html

[ Voor 33% gewijzigd door xbeam op 19-01-2021 18:49 ]

Roetzen schreef op dinsdag 19 januari 2021 @ 10:31:
KPN gaat inderdaad lekker. Ik ben niet bekend met de pakketen die KPN aanbiedt, ik weet dus ook niet wat KPN 1-MKB is, Maar als ze IPv6 (nog?) niet op alle pakketten aanbieden is dat inderdaad jammer.

hkoster1 schreef op dinsdag 19 januari 2021 @ 21:02:
[...]

Ik ben sinds gisteren overgestapt naar KPN Mobiel op mijn iPhone, en ja hoor: een IPv6-adres in het mobiele netwerk en geen IPv4-adres. Waarschijnlijk wel CG-NAT.

hkoster1 schreef op dinsdag 19 januari 2021 @ 21:02:
[...]

Ik ben sinds gisteren overgestapt naar KPN Mobiel op mijn iPhone, en ja hoor: een IPv6-adres in het mobiele netwerk en geen IPv4-adres. Waarschijnlijk wel CG-NAT.

[ Voor 18% gewijzigd door xbeam op 20-01-2021 02:59 ]

xbeam schreef op woensdag 20 januari 2021 @ 02:52:
[...]

Je krijgt van kpn gewoon een ipv4 naast je ipv6

xbeam schreef op dinsdag 19 januari 2021 @ 16:59:
[...]

I know, maar er zijn hier een paar op dit forum de beweren al jaren ipv6 only te zijn

[...]

xbeam schreef op dinsdag 19 januari 2021 @ 18:15:
[...]

Ken zelf een kleine isp (nood gedwongen omdat ruzie maken hun leverancier) . Maar hier zijn het gebruikers

[...]

Tuurlijk wel, wat denk je dat een bedrijf aan extra beheer kosten heeft door alleen al de dubbele firewall regels die ze moeten onderhouden. En daar komen ook alle dubbele kosten voor interne diensten en beheer/beveiliging en monitoring van het netwerk bij

Roetzen schreef op woensdag 20 januari 2021 @ 10:54:
[...]

Niet "gewoon". Die 77.63.39.18 is een|het IPv4 adres van de NAT64 gateway van KPN, niet het IPv4 adres van de telefoon.

xbeam schreef op dinsdag 19 januari 2021 @ 18:15:


Tuurlijk wel,

Jouw artikel laat inderdaad juist zien hoeveel bedrijven ipv6 gelijk weer uitzetten bij hun thuiswerkers dat het piekje tijdens de eerste lockdown gelijk ongedaan wordt gemaakt door dalingen die daarna volgen. Is terecht en zolang niet iedere thuiswerken ipv6 heeft gaat een bedrijf niet 2 vpn ingang of secure web proxy’s beheren

Daarnaast gaat hebt de afgelopen 1.5 jaar en maanden niet heel hard als we huidige trend volgen gaat het inderdaad nog jaren duren om überhaupt op 50% te komen. En terecht de kosten wegen momenteel gewoon niet op tegen voordelen

Toxic Waste schreef op zondag 17 januari 2021 @ 11:15:
[...]


Die heb ik inderdaad al uitgezet, men testen hebben al end to end gewerkt, mits die firewall af en de UDM pro firewall open. Mijn pihole DNS server (die meer dan 1 ipv6 heeft, dus DHCPv6 of SLAAC hier) bv, kon ik perfect pingen vanuit buiten het netwerk, maar men Tor Relay (die puur statisch geconfigureerd is) kon ik van buiten af niet bereiken voor een of andere reden, op het lokale netwerk geen issue om beiden te pingen..

Daarom dat ik een beetje voor een raadsel sta, mis ik een configuratie iets op men Tor Relay dat men pihole via SLAAC/DHCPv6 heeft gekregen?

Toxic Waste schreef op woensdag 20 januari 2021 @ 23:15:
[...]


Anyone that can explain that one?

Freeaqingme schreef op donderdag 21 januari 2021 @ 00:30:
[...]


Hoe zou jouw gateway moeten weten welk mac adres er hoort bij packets met jou ip als destination? Via ARP. Alleen is ARP ipv4, en gebeurt dat bij ipv6 over link local ip's.

Toxic Waste schreef op woensdag 20 januari 2021 @ 23:15:
[...]


Ondertussen heb ik het werkende gekregen op men jails, puur om de optie van AUTO_LINKLOCAL te activeren op de interface.

Kan iemand met meer verstand van ipv6 mij uitleggen, hoe een IP via internet niet bereikbaar is zonder een link-local adres ? Ik had een ipv6 adres en een default gateway, uitgaande verkeer was al mogelijk, maar inkomend dus pas met het link-local adres..

Anyone that can explain that one?

Toxic Waste schreef op donderdag 21 januari 2021 @ 11:01:
[...]


Dus het link-local adres dat mijn VM aanmaakt, zorgt dat mijn router weet naar waar hij de packets moet sturen die van buiten de firewall komen? En pre die link-local heeft hij geen besef op layer 2 naar waar ze moeten?

[ Voor 9% gewijzigd door webfreakz.nl op 21-01-2021 11:47 ]

webfreakz.nl schreef op donderdag 21 januari 2021 @ 11:46:
[...]


Klopt, in de IPv6 wereld is het geen ARP maar Neighbor Discovery:

https://blog.apnic.net/20...-ipv6-neighbor-discovery/
Wikipedia: Neighbor Discovery Protocol

In IPv4 zit ARP direct op Ethernet. In IPv6 gaat het via ICMPv6 (ICMP over IPv6) en multicast (vaak gewoon broadcast hoor).

Toxic Waste schreef op donderdag 21 januari 2021 @ 12:14:
[...]


Ok, nu is het met duidelijk waarom het daardoor niet werkt, ik schaam me een beetje als netwerk engineer zijnde, dringend meer met ipv6 gaan spelen

Bedankt voor de hulp people!

1
2
3
4

me@crew:~$ ip -6 route show default
default via fe80::212:f2ff:fe9c:3300 dev eth0  proto ra  metric 1024  expires 46sec hoplimit 64 pref medium
default via fe80::20c:dbff:fef9:cf00 dev eth0  proto ra  metric 1024  expires 51sec hoplimit 64 pref medium
me@crew:~$