Het grote IPv6 topic

Roetzen schreef op woensdag 14 april 2021 @ 15:56:
[...]

Voordat je de stap neemt om naar IPv4 only in bridge te gaan zou ik eerst even kijken hoe het komt dat die Connectbox zo instabiel is. Ik heb het van horen zeggen, maar de weg terug van IPv4 only naar Dual Stack schijnt nogal lastig te zijn.

Wat is daar lastig aan dan? Mijn connectbox stond in bride mode en is door de servicedesk uit bridgemode gehaald en had direct dualstack op de connectbox.

HKLM_ schreef op zaterdag 24 april 2021 @ 10:58:
[...]


Wat is daar lastig aan dan? Mijn connectbox stond in bride mode en is door de servicedesk uit bridgemode gehaald en had direct dualstack op de connectbox.

Dan is er iets veranderd. Voorheen ging je dan naar IPv4 only. Van IPv4 only naar Dual Stack ging niet vanzelf en de gewone helpdesk medewerkers konden dat ook niet. Je moest bij de juiste mederwerker de goede toverwoorden uitspreken.

Goed te horen dat het nu wel makkelijk gaat.

[ Voor 6% gewijzigd door Roetzen op 24-04-2021 11:43 ]

Roetzen schreef op zaterdag 24 april 2021 @ 11:41:
[...]

Dan is er iets veranderd. Voorheen ging je dan naar IPv4 only. Van IPv4 only naar Dual Stack ging niet vanzelf en de gewone helpdesk medewerkers konden dat ook niet. Je moest bij de juiste mederwerker de goede toverwoorden uitspreken.

Goed te horen dat het nu wel makkelijk gaat.

Dat zal dan inderdaad Ik kreeg een nieuw modem en deze stond ook direct in ipv4 bridge mode na de wissel. Door issues met de snelheid zij de medewerker mag ik hem uit bridge halen en nu zit ik op dualstack.

Is trouwens wel in een ziggo gebied en niet oud UPC, mocht dat nog uitmaken.

[ Voor 5% gewijzigd door HKLM_ op 24-04-2021 12:37 ]

Roetzen schreef op donderdag 22 april 2021 @ 12:26:
[...]
Was het maar waar dat ze bezoekers missen, dan zouden ze wel meer moeite doen. Nog niemand in Nederland (en vermoedelijk ook nog bijna niemand in de wereld) is echt IPv6 only.

Facebook is kennelijk IPv6 only in hun backend netwerken.

Als je weinig controle hebt over de configuratie van de endpoints (of ze pluriform zijn) is dit overigens niet te doen. Voor NAT64 moet je DNS64 gebruiken. Gebruiken servers verschillende DNS-servers (of verwachten ze dat dingen bereikbaar zijn als het naar v4 resolved) dan wordt dit een bende.

ANdrode schreef op zaterdag 24 april 2021 @ 13:34:
[...]


Facebook is kennelijk IPv6 only in hun backend netwerken.

Ze zijn niet de enigen, Er zijn meerdere grote spelers die er voor kiezen intern single stack IPv6 te draaien. Maar daar merkt de gewone gebruiker vooralsnog weinig van. Dat hoeft natuurlijk niet zo te blijven. Het zou kunnen dat in de toekomst de IPv4 only gebruiker te maken krijgt met tragere en minder betrouwbare verbindingen. Maar dat gaat vast nog wel even duren,,,

Als je weinig controle hebt over de configuratie van de endpoints (of ze pluriform zijn) is dit overigens niet te doen. Voor NAT64 moet je DNS64 gebruiken. Gebruiken servers verschillende DNS-servers (of verwachten ze dat dingen bereikbaar zijn als het naar v4 resolved) dan wordt dit een bende.

Vooralsnog lijkt dat met die bende nog wel mee te vallen. Je zou haast wensen dat het anders was, want dan hebben de klanten van de providers een reden om om IPv6 te gaan aandringen.

Maar dit is wat anders dan @ronald75 aansneed. Die had het over NL dienstenaanbieders die alleen nog IPv4 doen. Die gaan geen klanten missen zolang alle potentiële klanten nog uitgaand IPv4 hebben. Net andersom dus dan IPv6 only dienstenaanbieders.

Roetzen schreef op zaterdag 24 april 2021 @ 14:33:
[...]

Ze zijn niet de enigen, Er zijn meerdere grote spelers die er voor kiezen intern single stack IPv6 te draaien. Maar daar merkt de gewone gebruiker vooralsnog weinig van. Dat hoeft natuurlijk niet zo te blijven. Het zou kunnen dat in de toekomst de IPv4 only gebruiker te maken krijgt met tragere en minder betrouwbare verbindingen. Maar dat gaat vast nog wel even duren,,,

Klopt, zoals wij (grote hosting partij in NL), wij draaien alles intern single-stack op IPv6.

Ik heb ook in de consultancy gewerkt en zo bij oa partijen in Zwisterland (grote hoster daar) gewerkt. Draaiden ook alles IPv6 Single Stack intern.

Tevens heeft de Nederlandse overheid een paar jaar geleden een greenfield omgeving gebouwd waar nu oa CJIB, DUO en de Belastingdienst gebruik van maken. Ook die is intern single-stack IPv6.

Aan de buitenkant (OpenStack) zijn helaas veel services nog IPv4-only, maar intern is een ander verhaal.

nieuws: Overheid VS heeft 175 miljoen IPv4-adressen geactiveerd

Vervolgens komen de reacties in de richting van IPv6. Zucht. Wat is het droevig gesteld met de kennis en motivatie van veel IT’ers. Ik hou het ook maar op kennisgebrek.

Heel veel gebruikt overigens al IPv6 zonder dat met het weet. Apple apparaten op het lokale netwerk, Windows onderling, veel printers en ook de nieuwe IoT standaard voor smart home waar Apple en Google achter zitten.

Zo zonde dit. Heel jammer.

Snow_King schreef op zaterdag 24 april 2021 @ 14:43:
[...]
Klopt, zoals wij (grote hosting partij in NL), wij draaien alles intern single-stack op IPv6.

Ik heb ook in de consultancy gewerkt en zo bij oa partijen in Zwisterland (grote hoster daar) gewerkt. Draaiden ook alles IPv6 Single Stack intern.

Tevens heeft de Nederlandse overheid een paar jaar geleden een greenfield omgeving gebouwd waar nu oa CJIB, DUO en de Belastingdienst gebruik van maken. Ook die is intern single-stack IPv6.

Aan de buitenkant (OpenStack) zijn helaas veel services nog IPv4-only, maar intern is een ander verhaal.

Als de fabric laag die uiteindelijk voor applicaties echt gebruikt wordt IPv4 is dan win je er niet zoveel mee. Ging communicatie tussen services met v6?

Het liefste zou ik achter loadbalancers intern alleen v6 doen. Maar wat ik day-to-day zie is dat daar v4 gebruikt wordt omdat er voor containers geen v6 geregeld is

ANdrode schreef op dinsdag 27 april 2021 @ 10:27:
[...]


Als de fabric laag die uiteindelijk voor applicaties echt gebruikt wordt IPv4 is dan win je er niet zoveel mee. Ging communicatie tussen services met v6?

Het liefste zou ik achter loadbalancers intern alleen v6 doen. Maar wat ik day-to-day zie is dat daar v4 gebruikt wordt omdat er voor containers geen v6 geregeld is

De applicatie aan de buitenkant is Dual-Stack, het zijn dus vaak de webservers/loadbalancers die nog wel IPv4 hebben, de rest intern IPv6-only, denk aan:

- MySQL/MariaDB/PostgreSQL
- Redis
- ElasticSearch

Maar ook daar onder:

- SNMP over IPv6
- SSH over IPv6
- BGP Unnumbered over IPv6 (Cumulus Linux!!)

Intern kan je dus helemaal single-stacked IPv6 draaien.

Het mooie is dat het allemaal globaal routeerbare adressen zijn en je er dus overal vandaan bij kan.

Wij hebben een /40 IPv6 waar vandaan we aangeven dat we onze management toen. Hieruit pakken we /48's die we alloceren aan onze VPN servers, SSH control servers, etc. Zo kunnen we overal bij.

Ik draai het om: Waarom zou je nu nog met IPv4 gaan uitrollen?

Met IPv6 ben je zo veel flexibeler in het maken van nummerplannen en routing, fantastisch. Elke kast krijgt bij ons een eigen /64 toegewezen en zo weten we aan de hand van het IPv6 adres al waar een fysieke machine hangt.

Snow_King schreef op woensdag 28 april 2021 @ 09:03:
[...]
Ik draai het om: Waarom zou je nu nog met IPv4 gaan uitrollen?

Met IPv6 ben je zo veel flexibeler in het maken van nummerplannen en routing, fantastisch. Elke kast krijgt bij ons een eigen /64 toegewezen en zo weten we aan de hand van het IPv6 adres al waar een fysieke machine hangt.

Ik denk dat ik bij de applicatie waar ik aan denk één appliance weet die ondanks dat het intern openbsd is minder geschikt is voor ipv6 (vanwege een licentie per client ip). Goed dit wil je natuurlijk sowieso niet.

Verder wil je eigenlijk intern alleen ipv6 doen. Maar in de praktijk is dat lastiger met docker, java, en cloud.

Neem een nummerplan met een /64 per vlan of machine. Docker werkt veel makkelijker wanneer je een /64 per docker netwerk hebt. Dus je wilt per machine meerdere /64s uit kunnen geven (of ze in hetzelfde microsegment stoppen).
Heb je dat anders gedaan (en ben je zuinig geweest met v6) dan loop je daar tegen issues aan, waar mantijd enkele orde groottes duurder is dan de v6 adressen.

De staat van kubernetes en ipv6 weet ik niet. Maar daar kan ik mij ook beperkingen voorstellen omdat ipv6 bij AWS en GCP een achtergebleven feature was

ANdrode schreef op woensdag 28 april 2021 @ 10:18:
[...]


Ik denk dat ik bij de applicatie waar ik aan denk één appliance weet die ondanks dat het intern openbsd is minder geschikt is voor ipv6 (vanwege een licentie per client ip). Goed dit wil je natuurlijk sowieso niet.

Verder wil je eigenlijk intern alleen ipv6 doen. Maar in de praktijk is dat lastiger met docker, java, en cloud.

Neem een nummerplan met een /64 per vlan of machine. Docker werkt veel makkelijker wanneer je een /64 per docker netwerk hebt. Dus je wilt per machine meerdere /64s uit kunnen geven (of ze in hetzelfde microsegment stoppen).
Heb je dat anders gedaan (en ben je zuinig geweest met v6) dan loop je daar tegen issues aan, waar mantijd enkele orde groottes duurder is dan de v6 adressen.

De staat van kubernetes en ipv6 weet ik niet. Maar daar kan ik mij ook beperkingen voorstellen omdat ipv6 bij AWS en GCP een achtergebleven feature was

Wij draaien intern alles op eigen hardware en cloud en zijn dus niet afhankelijk van de public clouds.

Bij Docker kan ik je aanraden dat als het kan aan de slag te gaan met BGP op de Docker host.

De /64 of /80 die je op docker0 zet adverteer je via BGP (of OSPFv3) naar je netwerk. Containers kunnen elkaar dan vervolgens gewoon via IPv6 bereiken.

Snow_King schreef op woensdag 28 april 2021 @ 15:19:
[...]
Wij draaien intern alles op eigen hardware en cloud en zijn dus niet afhankelijk van de public clouds.

Mooie situatie. Niet die van de omgeving waar ik in werk. Maar als je de schaalgrootte hebt én niet bursty bent is eigen infrastructuur zeker een betere optie voor flexibiliteit.

Bij IPv6 valt public cloud gewoon heel erg tegen .

Bij Docker kan ik je aanraden dat als het kan aan de slag te gaan met BGP op de Docker host.

De /64 of /80 die je op docker0 zet adverteer je via BGP (of OSPFv3) naar je netwerk. Containers kunnen elkaar dan vervolgens gewoon via IPv6 bereiken.

Ik zal de hint doorgeven - BGP on the host is een mooie architectuur. Als je lastig aan het routen bent tussen netwerk segmenten en public cloud moet je uiteindelijk IGBP misschien sowieso overwegen…
Heb niet zoveel begrip voor dit onderwerp omdat ik aan de software kant zit - maar kan je met VXLAN/EVPN BGP zo gebruiken?

ANdrode schreef op woensdag 28 april 2021 @ 21:31:
[...]


Mooie situatie. Niet die van de omgeving waar ik in werk. Maar als je de schaalgrootte hebt én niet bursty bent is eigen infrastructuur zeker een betere optie voor flexibiliteit.

Bij IPv6 valt public cloud gewoon heel erg tegen .

Bij ons praat je over enkele honderden eigen hypervisors met in totaal rond de 150TB aan RAM met daar onder tegen de 10PB aan opslag.

De public cloud kan daar kosten-technisch gewoon niet tegenop.

ANdrode schreef op woensdag 28 april 2021 @ 21:31:
[...]


Ik zal de hint doorgeven - BGP on the host is een mooie architectuur. Als je lastig aan het routen bent tussen netwerk segmenten en public cloud moet je uiteindelijk IGBP misschien sowieso overwegen…
Heb niet zoveel begrip voor dit onderwerp omdat ik aan de software kant zit - maar kan je met VXLAN/EVPN BGP zo gebruiken?

BGP on the host is even wennen, maar daarna echt superfijn. Underlay draait alles BGP+EVPN+VXLAN. Vervolgens gaat al het host to host verkeer dus via VXLAN waar binnen we dan ook weer het verkeer van de VM's encapsulaten.

De ene VNI is IPv6-only en de andere gaat nog wel IPv4 verkeer doorheen.

Draait grotendeels met Cumulus Linux en daar maken we gebruik van BGP Unnumbered met sessies over IPv6 Link-Local.

Snow_King schreef op vrijdag 30 april 2021 @ 10:36:
[...]
Bij ons praat je over enkele honderden eigen hypervisors met in totaal rond de 150TB aan RAM met daar onder tegen de 10PB aan opslag.

De public cloud kan daar kosten-technisch gewoon niet tegenop.

In een grote compute omgeving maak je andere keuzes. Ook wat betreft beheer.

Toen ik in ~2015 in een omgeving zat waar er een redelijk compute cluster was (> 50K cores) gebeurden er daar ook totaal andere dingen dan anders. Vooral wat betreft beheer: die pets/cattle filosofie moet je echt adopteren om op schaal te werken.

BGP on the host is even wennen, maar daarna echt superfijn. Underlay draait alles BGP+EVPN+VXLAN. Vervolgens gaat al het host to host verkeer dus via VXLAN waar binnen we dan ook weer het verkeer van de VM's encapsulaten.

De ene VNI is IPv6-only en de andere gaat nog wel IPv4 verkeer doorheen.

Draait grotendeels met Cumulus Linux en daar maken we gebruik van BGP Unnumbered met sessies over IPv6 Link-Local.

Dat gaat richting een hyperscaler oplossing. Bij $dayjob is de hardware er ook om BGP on the host te doen - ik denk dat IPv6 subnetten een goede use-case zijn om het uit te rollen - maar ik moet toegeven dat ik niet weet hoe de IPv6 nummering zit. Het is wel een trade-off van complexiteit tov flexibiliteit.


En ik heb de nadelen van dual-stack ook wel gezien toen ik nog security testen deed . Twee mogelijkheden + handmatige configuratie? Praktisch een garantie voor assymetrie.

[ Voor 13% gewijzigd door ANdrode op 30-04-2021 14:02 ]

Snow_King schreef op maandag 26 april 2021 @ 10:18:
nieuws: Overheid VS heeft 175 miljoen IPv4-adressen geactiveerd

Vervolgens komen de reacties in de richting van IPv6. Zucht. Wat is het droevig gesteld met de kennis en motivatie van veel IT’ers. Ik hou het ook maar op kennisgebrek.

Heel veel gebruikt overigens al IPv6 zonder dat met het weet. Apple apparaten op het lokale netwerk, Windows onderling, veel printers en ook de nieuwe IoT standaard voor smart home waar Apple en Google achter zitten.

Zo zonde dit. Heel jammer.

Ja, daar zakt de moed me ook vaak van in de schoenen. Ik ken zelfs mensen die dit als werk doen en het liefste niks van doen willen hebben met die enge hexadecimale getallen. Mijn andere favoriete dooddoener is dat ze nog genoeg (RFC1918) ruimte hebben dus nog niet over hoeven...

Ik voel me soms bijna een zendeling die het goede nieuws komt brengen

De hoeveelheid tutorials die je tegenkomt op internet die je aanraden om IPv6 uit te zetten met sysctl is ook schrikbarend hoog.

[ Voor 3% gewijzigd door PA5AM op 30-04-2021 20:54 ]

Snow_King schreef op maandag 26 april 2021 @ 10:18:
nieuws: Overheid VS heeft 175 miljoen IPv4-adressen geactiveerd

Vervolgens komen de reacties in de richting van IPv6. Zucht. Wat is het droevig gesteld met de kennis en motivatie van veel IT’ers. Ik hou het ook maar op kennisgebrek.

Heel veel gebruikt overigens al IPv6 zonder dat met het weet. Apple apparaten op het lokale netwerk, Windows onderling, veel printers en ook de nieuwe IoT standaard voor smart home waar Apple en Google achter zitten.

Zo zonde dit. Heel jammer.

Hier is alles Apple. Maar geen enkele device gebruikt standaard of op de achter grond ipv6 sommige device zoals Apple TV zijn zelfs ipv4 only

xbeam schreef op vrijdag 30 april 2021 @ 21:10:
[...]


Hier is alles Apple. Maar geen enkele device gebruikt standaard of op de achter grond ipv6 sommige device zoals Apple TV zijn zelfs ip4v only

?

Hoe bedoel je deze precies? Gezien ik alle Apple’s hier in huis gewoon ipv6 standaard zie gebruiken

Vorkie schreef op vrijdag 30 april 2021 @ 21:20:
[...]

?

Hoe bedoel je deze precies? Gezien ik alle Apple’s hier in huis gewoon ipv6 standaard zie gebruiken

Ik zeg niet dat de Mac en iPhone het niet onder steunen of standaard ipv6 aan hebben staan.

Maar dat Apple’s op achtergrond ipv6 inplaats van ipv4 is gewoon niet waar. Daarbij zijn er ook nog genoeg ipv4 bij mensen in omloop zoals de vorige generatie Apple TV3

[ Voor 17% gewijzigd door xbeam op 30-04-2021 21:40 ]

xbeam schreef op vrijdag 30 april 2021 @ 21:23:
[...]

Ik zeg niet dat de Mac en iPhone het niet onder steunen.

Maar dat Apple op achtergrond ipv6 gebruiken in plaats van ipv4 is gewoon niet waar. Daarbij zijn ook ook nog genoeg Apple devices zoals een Apple TV ipv4 only.

Hoezo niet waar? Laat eens wat zien dan?

In de laatste wireshark zag ik genoeg op de fe80 en .local voorbij komen

xbeam schreef op vrijdag 30 april 2021 @ 21:23:
[...]

Ik zeg niet dat de Mac en iPhone het niet onder steunen of standaard ipv6 aan hebben staan.

Maar dat Apple’s op achtergrond ipv6 inplaats van ipv4 is gewoon niet waar. Daarbij zijn er ook nog genoeg ipv4 bij mensen in omloop zoals de vorige generatie Apple TV3

Ik denk dat je de term "op de achtergrond" niet goed begrijpt. Voor apparaten die alleen ip4 spreken ontkom je er niet aan om ip4 te gebruiken. Maar voor communicatie tussen 2 (apple) apparaten die beide zowel ip4 als ipv6 spreken, zal de communicate via ipv6 verlopen, Denk hierbij aan Airdrop, Airplay etc.

Brahiewahiewa schreef op vrijdag 30 april 2021 @ 21:59:
[...]

Ik denk dat je de term "op de achtergrond" niet goed begrijpt. Voor apparaten die alleen ip4 spreken ontkom je er niet aan om ip4 te gebruiken. Maar voor communicatie tussen 2 (apple) apparaten die beide zowel ip4 als ipv6 spreken, zal de communicate via ipv6 verlopen, Denk hierbij aan Airdrop, Airplay etc.

Ok. Ik zal hier ipv6 intervlan routering eens van de drop afhalen en kijken wat er gebeurt naar de HomePods en tv’s. Maar ik heb hier binnen het zelfde ipv4 vlan/subnet echt nog nooit ipv6 verkeer tussen iPhones gezien in een tcp dump voorbij zien komen. Maar ik ga extra op opletten.

Want dat Apple ongevraagd een p2p shadow netwerk bouwt van self assigned ipv6 address lijkt mij zeer onwenselijk.

[ Voor 14% gewijzigd door xbeam op 30-04-2021 22:43 ]

xbeam schreef op vrijdag 30 april 2021 @ 22:32:
[...]
verplicht je tot dubbel boekhouden.

Bij mij heeft ieder apparaat minstens 3 ipv6 adressen. Ik ga echt niet ruim honderd adressen lopen administreren ;o)

Besides: airdrop en airplay willen graag voorkomen dat ze via je router communiceren. Daarom maken ze een ipv6 ad-hoc netwerk aan. Verklaart misschien waarom je ze in je tcp dumps niet ziet

Brahiewahiewa schreef op vrijdag 30 april 2021 @ 22:47:
[...]

Bij mij heeft ieder apparaat minstens 3 ipv6 adressen. Ik ga echt niet ruim honderd adressen lopen administreren ;o)

Besides: airdrop en airplay willen graag voorkomen dat ze via je router communiceren. Daarom maken ze een ipv6 ad-hoc netwerk aan. Verklaart misschien waarom je ze in je tcp dumps niet ziet

Maar hebben ze dan ook een ipv6 adres op het device zelf? ik kan daarop nu even snel op de bank tijdens de film ook niets op terug zien.
Wel als ik ipv6 op de gateway voor deze vlan aan zet. Dan zie ik wel self assigned ipv6 op mijn iPhone. Maar uit lijkt mij ook echt uit.

Besides: airdrop en airplay willen graag voorkomen dat ze via je router communiceren. Daarom maken ze een ipv6 ad-hoc netwerk aan. Verklaart misschien waarom je ze in je tcp dumps niet ziet

Interessant 🧐 ga er eens induiken. Ik er heb zo eigenlijk nog nooit over na gedacht. Ben blind van uit gegaan dat ipv4 = ook ipv4 met AirDrop

[ Voor 45% gewijzigd door xbeam op 30-04-2021 23:38 ]

xbeam schreef op vrijdag 30 april 2021 @ 22:53:
[...] Maar uit lijkt mij ook echt uit...

Dat geldt alleen voor de communicatie die via je router/modem verloopt. Airdrop en airplay proberen nadrukkelijk niet via je router te communiceren maar doen dat via het ad-hoc netwerk. Dat zou natuurlijk ook via ip4 kunnen maar in ipv6 is er een range gespecificeerd voor ad-hoc netwerken

Brahiewahiewa schreef op vrijdag 30 april 2021 @ 23:07:
[...]

Dat geldt alleen voor de communicatie die via je router/modem verloopt. Airdrop en airplay proberen nadrukkelijk niet via je router te communiceren maar doen dat via het ad-hoc netwerk. Dat zou natuurlijk ook via ip4 kunnen maar in ipv6 is er een range gespecificeerd voor ad-hoc netwerken

Dat snap ik. Maar ik bedoel dat een Apple device op een ipv4 only netwerk zonder kennisgeving zomaar ipv6 wil opzetten met ander Apple device opzet vind ik gewoon niet zo fraaier lijkt mij ook gewenst. Ik draai juist mijn privé devices en sub ipv4 only als extra isolatie naar de bedrijfs omgeving.

Maar dan zou je verwachten dat Apple dat ook naar doet naar Apple devices op een ander subnet. Dat ad-hoc verkeer loopt wel via firewall. En ook daar zou geen ipv6 verkeer mogelijk moeten zijn.

Maar ik weet eigenlijk niet of ik ooit ge AirDroped heb van WiFi naar mij lan vlan waar mijn Mac op zit. Gebruik altijd continues dat werkt wel. Zonder ipv6. althans als de firewall goed werkt.

Interessante materiaal voor het weekend.

xbeam schreef op vrijdag 30 april 2021 @ 23:55:
[...]


Dat snap ik. Maar ik bedoel dat een Apple device op een ipv4 only netwerk zonder kennisgeving zomaar ipv6 wil opzetten met ander Apple device opzet vind ik gewoon niet zo fraaier lijkt mij ook gewenst. Ik draai juist mijn privé devices en sub ipv4 only als extra isolatie naar de bedrijfs omgeving.

Maar dan zou je verwachten dat Apple dat ook naar doet naar Apple devices op een ander subnet. Dat ad-hoc verkeer loopt wel via firewall. En ook daar zou geen ipv6 verkeer mogelijk moeten zijn.

Maar ik weet eigenlijk niet of ik ooit ge AirDroped heb van WiFi naar mij lan vlan waar mijn Mac op zit. Gebruik altijd continues dat werkt wel. Zonder ipv6. althans als de firewall goed werkt.

Interessante materiaal voor het weekend.

Ik ben nog verder gaan sniffen thuis en kom er achter dat er heel wat dingen over IPv6 (Link Local) gaan in mijn netwerk:

- Philips Hue bridge icm Multicast DNS
- Mijn printer (Brother Laserprinter)

Onder water gaat er steeds meer via IPv6. Dus helemaal IPv6 uit zetten (ook LL) zou ik nooit aanraden.

IPv6 is echt wel een heel mooi protocol tov IPv4. Router Advertisements zijn echt een slim idee als je er goed over na denkt. Ook SLAAC is een slim systeem.

Een aantal van dat soort smart home netwerk protocollen zoals Zigbee draaien ook als IPv6-only netwerk. Alleen is dat een gescheiden netwerk (tussen bridge en devices bijvoorbeeld) gescheiden van je normale LAN. Je merkt als gebruiker dus helemaal niet dat je verlichting of thermostaatkranen over IPv6 communiceren.

Maurits van Baerle schreef op zondag 9 mei 2021 @ 09:45:
Een aantal van dat soort smart home netwerk protocollen zoals Zigbee draaien ook als IPv6-only netwerk. Alleen is dat een gescheiden netwerk (tussen bridge en devices bijvoorbeeld) gescheiden van je normale LAN. Je merkt als gebruiker dus helemaal niet dat je verlichting of thermostaatkranen over IPv6 communiceren.

Een voordeel daar aan is dat dergelijke developers ook kennis op doen met IPv6 omdat ze grotendeels Single Stack ontwikkelen.

Wel vind ik het jammer om te zien dat er verder nog maar weinig systemen gebruik maken van de mooie ad-hoc netwerken die je met IPv6 Link-Local kan bouwen.

Multicast groepje maken en communiceren maar! Zo simpel kan het zijn.

Nou ik heb m’n portemonnee maar laten spreken en vandaag alle mobiele abonnementen hier in huis over gezet van T-Mobile naar KPN. Nu maar hopen dat die ook daadwerkelijk meteen IPv6 krijgen 🤓

jk-5 schreef op zondag 4 oktober 2020 @ 11:30:
[...]


Ik beheer een aantal van deze setups. Ze leveren een modem die altijd (virtueel, hierover later meer) in bridgemode staat. Je krijgt dan een enkel ip of een /29, afhankelijk van de afspraken die je statisch op je interface zet.
Voor ipv6 krijg je altijd een /48. De eerste /64 is de verbinding tussen jou en ziggo. ::1/64 hebben zij op de interface staan, ::2/64 zet je zelf statisch op je interface. De ::1 is dan jouw gateway en zij routen de hele /48 naar ::2 toe.

De manier waarop ze dit implementeren is best interessant. De modem heeft een GRE tunnel naar een router in een RC van ziggo. Het modem heeft dus een intern ip in het netwerk en tunnelt daarover je eigen ip space. Je MTU binnen de tunnel is wel altijd 1500, en qua performance is het absoluut niet voelbaar dat dit gebeurt, de tunnelrouters hangen letterlijk naast de core routers. Daarom zie je naar ziggo zakelijk klanten ook altijd een afwijkende traceroute. Dit stelt ze in staat om hele specifieke routing regels naar klanten te doen zonder in hun lokale RCs/LCs zich druk te hoeven maken om klantspecifieke routing. Het stelt ze ook in staat je je ip space mee te laten verhuizen als je later naar een grootzakelijke glasvezelverbinding van ziggo gaat.

Is dit ook het geval bij niet de 'Pro'?

Ofwel, als ik Zakelijk internet neem, dan krijg ik volgens mij het Ubee UBC1318ZG modem: https://www.ziggo.nl/klan...wifi/modem/ubee-ubc1318zg

Heb ik dan ook IPv6 in Bridge modus of is dat nog steeds niet het geval?

Deze vraag krijg ik helaas niet goed beantwoord vanuit Ziggo.

Snow_King schreef op zondag 16 mei 2021 @ 23:01:
[...]

Is dit ook het geval bij niet de 'Pro'?

Ofwel, als ik Zakelijk internet neem, dan krijg ik volgens mij het Ubee UBC1318ZG modem: https://www.ziggo.nl/klan...wifi/modem/ubee-ubc1318zg

Heb ik dan ook IPv6 in Bridge modus of is dat nog steeds niet het geval?

Deze vraag krijg ik helaas niet goed beantwoord vanuit Ziggo.

Daar geldt het niet, je krijgt dan gewoon een IP uit de consumenten ranges.

Wel interessant dat ze de Ubee daar nu wel bij leveren. Die kreeg je voorheen alleen bij Pro (voor die tunneling constructie), of wanneer de connectbox giga problemen geeft. De UBC1318 is namelijk ook een Docsis 3.1 modem.
Bij niet-Pro zakelijk internet kreeg je voorheen altijd een configuratieprofiel die vergelijkbaar is met wat consumenten krijgen.

Je kunt zelfs link agreggation instellen op dat ding. Ze provisionen gigabit klanten op 1070Mbps download en 535Mbps upload, dus je kunt een beetje extra snelheid krijgen met LAG.

jk-5 schreef op zondag 16 mei 2021 @ 23:09:
[...]


Daar geldt het niet, je krijgt dan gewoon een IP uit de consumenten ranges.

Wel interessant dat ze de Ubee daar nu wel bij leveren. Die kreeg je voorheen alleen bij Pro (voor die tunneling constructie), of wanneer de connectbox giga problemen geeft. De UBC1318 is namelijk ook een Docsis 3.1 modem.
Bij niet-Pro zakelijk internet kreeg je voorheen altijd een configuratieprofiel die vergelijkbaar is met wat consumenten krijgen.

Je kunt zelfs link agreggation instellen op dat ding. Ze provisionen gigabit klanten op 1070Mbps download en 535Mbps upload, dus je kunt een beetje extra snelheid krijgen met LAG.

Ah, jammer. Ik heb een use-case waar ik gewoon heel graag mijn eigen subnet opdeel dmv een Juniper SRX/Cisco ASA/MikroTik of Unifi Secure Gateway.

Ik vind Zakelijk Pro echter veel te duur voor wat ik nodig heb en zoek dus een andere mogelijkheid om toch mijn eigen router te plaatsen.

Ik volg dit topic al een tijdje met interesse. IPv6 is toekomstbestendig maar kost nog behoorlijk wat tijd voor zowel providers als content/mediabedrijven om over te schakelen.

Ik dacht: neem ik eens het goede voorbeeld en laat mijn Ziggo modem (in bridge) naar IPv6 zetten. Gisteren contact gehad met Ziggo via chat, was vrij snel door de medewerker van Ziggo geregeld. Moest nog wel zelf de modem resetten. Helaas geen IPv6 te zien op de router achter het modem (Asus RT-AC88U), welke instelling ik dan ook probeer. Vandaag telefonisch opnieuw contact gezocht met Ziggo, een vriendelijke en kundige medewerker aan de lijn gehad die kon bevestigen dat gisteren het modem was omgezet, maar constatteerde dat de IPv6 wel was aangezet maar niet actief was (?). Even uit bridge gehaald, instelling opnieuw gepushed en weer in bridge gezet. Helaas: ik zie nog steeds geen IPv6 adres op de WAN poort van mijn router. Elke instelling geprobeerd:


Ziggo Zakelijke verbinding in combinatie met een Connect Box modem (in bridge).

Heeft iemand ervaring hiermee?

[ Voor 3% gewijzigd door freakandel op 18-05-2021 18:11 . Reden: aanvulling mbt gebruikte abonnement ]

freakandel schreef op dinsdag 18 mei 2021 @ 18:05:
Ik volg dit topic al een tijdje met interesse. IPv6 is toekomstbestendig maar kost nog behoorlijk wat tijd voor zowel providers als content/mediabedrijven om over te schakelen.

Ik dacht: neem ik eens het goede voorbeeld en laat mijn Ziggo modem (in bridge) naar IPv6 zetten. Gisteren contact gehad met Ziggo via chat, was vrij snel door de medewerker van Ziggo geregeld. Moest nog wel zelf de modem resetten. Helaas geen IPv6 te zien op de router achter het modem (Asus RT-AC88U), welke instelling ik dan ook probeer. Vandaag telefonisch opnieuw contact gezocht met Ziggo, een vriendelijke en kundige medewerker aan de lijn gehad die kon bevestigen dat gisteren het modem was omgezet, maar constatteerde dat de IPv6 wel was aangezet maar niet actief was (?). Even uit bridge gehaald, instelling opnieuw gepushed en weer in bridge gezet. Helaas: ik zie nog steeds geen IPv6 adres op de WAN poort van mijn router. Elke instelling geprobeerd:
[Afbeelding]

Heeft iemand ervaring hiermee?

Ziggo ondersteunt geen IPv6 in bridgemode. Alleen in router mode kun je een prefix krijgen. Die kun je dan via prefix delegation ook gebruiken op een eigen router

Met IPv6 heb je ook niet echt een bridge mode nodig natuurlijk - idd gewoon een router erachter hangen en dan prefix delegation.

Alleen jammer dat de prefix delegation van de ConnectBox ook niet lekker werkt...

Roetzen schreef op woensdag 19 mei 2021 @ 18:35:
Alleen jammer dat de prefix delegation van de ConnectBox ook niet lekker werkt...

Je hebt niet toevallig een RPi in het netwerk? Pakket radvd

Dreamvoid schreef op woensdag 19 mei 2021 @ 18:05:
Met IPv6 heb je ook niet echt een bridge mode nodig natuurlijk - idd gewoon een router erachter hangen en dan prefix delegation.

Je hebt met IPv4 dan wel NAT achter NAT, niet echt wenselijk.

Tevens routeert de ConnectBox nog steeds op dat moment en dat wil ik juist niet. Die ConnectBox vind ik maar een brak apparaat die zichzelf net iets te vaak reboot.

Snow_King schreef op woensdag 19 mei 2021 @ 20:44:
[...]

Je hebt met IPv4 dan wel NAT achter NAT, niet echt wenselijk.

Tevens routeert de ConnectBox nog steeds op dat moment en dat wil ik juist niet. Die ConnectBox vind ik maar een brak apparaat die zichzelf net iets te vaak reboot.

De ConnectBox zal altijd via CPU pakketten afhandelen. De bridge is een software implementatie van bridge (dus o.a. nog steeds vatbaar voor puma6fail).

Als het kan wil je dat hele modem ontwijken

ANdrode schreef op woensdag 19 mei 2021 @ 21:37:
[...]
Als het kan wil je dat hele modem ontwijken

Ook daar wordt aan gewerkt:

vanaalten in "Vrije router keuze - hulp van je provider obv besluit ACM"

Daar is het laatste woord nog niet over gezegd maar het toont wel aan welke beweging er is.

Wat gaat een provider dan doen als er knutselaars hun eigen router neerzetten die niet up to date gehouden wordt en/of slecht ingesteld wordt, en in een botnet gaat werken? Klant afsluiten en wegschoppen? Rekening sturen voor het dataverkeer?

Hetzelfde wat providers nu al doen als blijkt dat een computer die verbonden is met je internet verbinding in een botnet terecht komt namelijk contact met je opnemen en je verbinding tijdelijk afsluiten.

Ik verwacht/hoop dat de vrije router keuze ook bijdraagt aan innovatie door de leveranciers, niet alleen op prijs maar ook op kwaliteit waaronder het blijven leveren van updates voor een veilige toepassing van een router. Helaas zag je bij de zogenaamde Wi-Fi "versterkers" dat er wel heel veel rommel op de markt is gekomen.

ANdrode schreef op woensdag 19 mei 2021 @ 21:37:
[...]


De ConnectBox zal altijd via CPU pakketten afhandelen. De bridge is een software implementatie van bridge (dus o.a. nog steeds vatbaar voor puma6fail).

Als het kan wil je dat hele modem ontwijken

Helaas. Ik begin inmiddels echt sterk te overwegen Zakelijk Pro te nemen om dan wel fatsoenlijk IPv6 te hebben zonder die ConnectBox.

Ik was toen ik in Zeeland woonde echt blij dat ik daar bij ZeelandNet/Delta gewoon via DHCPv6-PD een /48 kreeg toegewezen. Zolang je de zelfde DUID gebruikte kreeg je ook altijd de zelfde /48 van hen. Ideaal! Zo hoort het te werken.

@Snow_King heb je ook nog ipv4 nodig?

Wat ik begrijp is dat Ziggo's eyeball network eigenlijk helemaal ipv6-only is. De vertaling naar ipv4 gebeurt dan op de routers zelf. Als je in bridge mode wordt gezet heeft ziggo geen controle meer over deze vertaalslag*
en wordt je daarom in een ipv4-only vlan geplaatst waarbij deze vertaling centraal gebeurt. Ziggo heeft er geen enkel belang bij om in dat vlan ook ipv6 toe te voegen omdat de doelgroep sowieso heel klein is en niet extra betaalt.

Echter, het is dus in theorie ook mogelijk om een ipv6-only aansluiting te krijgen. Dan zit je in het normale lan, en kan je alleen geen gebruik maken van ipv4. Die optie zit wellicht niet in de UX van de gemiddelde supportmedewerker, maar van wat ik begrijp hoe het netwerk is opgebouwd zou dat wel moeten kunnen. Wellicht als je nog wat pusht voor een ipv6-only network dat het uiteindelijk bij een techneut terecht komt die je wel in bridge mode kan zetten (op basis van ipv6-only)?

Freeaqingme schreef op donderdag 20 mei 2021 @ 11:33:

Wat ik begrijp is dat Ziggo's eyeball network eigenlijk helemaal ipv6-only is.
[...]
Wellicht als je nog wat pusht voor een ipv6-only network dat het uiteindelijk bij een techneut terecht komt die je wel in bridge mode kan zetten (op basis van ipv6-only)?

Zou dan DS-Lite ook niet moeten kunnen? Dat is immers IPv6 only plus een tunnel voor IPv4.

Met DS-Lite in bridge mode zou ik wel kunnen leven. Geen publiek IPv4 adres meer is iets waar we op termijn allemaal mee geconfronteerd zullen worden en ik heb mij daar jaren geleden al op voorbereid.

Freeaqingme schreef op donderdag 20 mei 2021 @ 11:33:
@Snow_King heb je ook nog ipv4 nodig?

Wat ik begrijp is dat Ziggo's eyeball network eigenlijk helemaal ipv6-only is. De vertaling naar ipv4 gebeurt dan op de routers zelf. Als je in bridge mode wordt gezet heeft ziggo geen controle meer over deze vertaalslag*
en wordt je daarom in een ipv4-only vlan geplaatst waarbij deze vertaling centraal gebeurt. Ziggo heeft er geen enkel belang bij om in dat vlan ook ipv6 toe te voegen omdat de doelgroep sowieso heel klein is en niet extra betaalt.

Echter, het is dus in theorie ook mogelijk om een ipv6-only aansluiting te krijgen. Dan zit je in het normale lan, en kan je alleen geen gebruik maken van ipv4. Die optie zit wellicht niet in de UX van de gemiddelde supportmedewerker, maar van wat ik begrijp hoe het netwerk is opgebouwd zou dat wel moeten kunnen. Wellicht als je nog wat pusht voor een ipv6-only network dat het uiteindelijk bij een techneut terecht komt die je wel in bridge mode kan zetten (op basis van ipv6-only)?

offtopic:
* Welke techniek ze hiervoor gebruiken is me even ontschoten

Nope, ik heb v4 niet echt hard nodig. Wat mij betreft mag dat een tunnel IPv4 adres zijn.

Zoals ik eerder aan gaf, met 'gewoon' gebruik van het internet is bij mij thuis inmiddels ruim 70% van het verkeer IPv6, dit komt door: YouTube, Netflix, Facebook, Instagram, WhatsApp en Telegram.

Ik wil vooral met een fatsoenlijke router mijn netwerk in VLAN's kunnen ophakken en zelf met Router Advertisements bepalen wat ik uit stuur.

(Static) IPv6 route voor subnet naar mijn Docker host, etc.

Roetzen schreef op donderdag 20 mei 2021 @ 13:39:
[...]

Zou dan DS-Lite ook niet moeten kunnen? Dat is immers IPv6 only plus een tunnel voor IPv4.

Met DS-Lite in bridge mode zou ik wel kunnen leven. Geen publiek IPv4 adres meer is iets waar we op termijn allemaal mee geconfronteerd zullen worden en ik heb mij daar jaren geleden al op voorbereid.

Eens! Zou ik prima oplossing vinden.


EDIT: Net toch maar Ziggo Zakelijk Pro besteld voor EUR 80 (ex btw) per maand. Je krijgt daar echter 4 maanden korting waardoor mijn totaal dan op EUR 58 p/m uit komt.

Ik werk voor 95% van de tijd thuis en dan is ook het hebben van een SLA wel fijn.

Nu kan ik gewoon mijn eigen router gaan plaatsen en fatsoenlijk de boel inregelen.

[ Voor 7% gewijzigd door Snow_King op 20-05-2021 14:45 ]

jk-5 schreef op dinsdag 18 mei 2021 @ 18:08:
[...]


Ziggo ondersteunt geen IPv6 in bridgemode. Alleen in router mode kun je een prefix krijgen. Die kun je dan via prefix delegation ook gebruiken op een eigen router

Ik heb ondertussen (voor de derde keer) contact gehad met een Ziggo medewerker en de router uit Bridge laten halen. De Asus router op IPv6 Native ingesteld, en ik heb een directe V6 adres ontvangen. Ook mijn windows machine, domoticz en PiHole draaien inmiddels via IPv6. Daarmee doel bereikt!

Eea getest, zie

freakandel schreef op vrijdag 21 mei 2021 @ 15:04:
[...]
Daarmee doel bereikt! ...

Nog FF ICMP aanzetten voor een score van 20/20

Brahiewahiewa schreef op zaterdag 22 mei 2021 @ 06:57:
[...]

Nog FF ICMP aanzetten voor een score van 20/20

Inderdaad, echter krijg ik dit niet voor elkaar. Firewall van de Connect Box heeft opties om ICMPv6 door te laten maar wat ik ook instel, niets werkt. Idem aan de kant van mijn Asus router. Ik heb nog geen vreemde zaken geconstateerd dus voor nu laat ik het er bij.

freakandel schreef op zaterdag 22 mei 2021 @ 11:14:
[...]


Inderdaad, echter krijg ik dit niet voor elkaar. Firewall van de Connect Box heeft opties om ICMPv6 door te laten maar wat ik ook instel, niets werkt. Idem aan de kant van mijn Asus router. Ik heb nog geen vreemde zaken geconstateerd dus voor nu laat ik het er bij.

Als je een eigen router achter de connectbox hebt staan zou ik gewoon de IPv6 firewall in de connectbox helemaal uitzetten. Hij laat dan gewoon al het verkeer door naar de interne prefix, maar je eigen router heeft vast een eigen firewall om dat een beetje te filteren. Dat doe ik ook meestal bij Ziggo ipv6.

Als je afhankelijk bent van DMZ voor IPv4, zet de ipv4 firewall niet uit. DMZ werkt dan niet meer

jk-5 schreef op zaterdag 22 mei 2021 @ 11:28:
[...]


Als je een eigen router achter de connectbox hebt staan zou ik gewoon de IPv6 firewall in de connectbox helemaal uitzetten. Hij laat dan gewoon al het verkeer door naar de interne prefix, maar je eigen router heeft vast een eigen firewall om dat een beetje te filteren. Dat doe ik ook meestal bij Ziggo ipv6.

Als je afhankelijk bent van DMZ voor IPv4, zet de ipv4 firewall niet uit. DMZ werkt dan niet meer

Ik heb de firewall in de Connect Box uitgezet, en zelfs wanneer ik de Asus firewall uitzet en/of firewall rules toevoeg voor port 1 (en 41 voor achter NAT) voor ICMP dan krijg ik steeds het zelfde resultaat. Ook een portscan laat alles als dicht zien. Mogelijk dat er in WIndows nog iets niet klopt, zoek ik nog verder uit.

freakandel schreef op zaterdag 22 mei 2021 @ 12:09:
[...]

Ik heb de firewall in de Connect Box uitgezet, en zelfs wanneer ik de Asus firewall uitzet en/of firewall rules toevoeg voor port 1 (en 41 voor achter NAT) voor ICMP dan krijg ik steeds het zelfde resultaat. Ook een portscan laat alles als dicht zien. Mogelijk dat er in WIndows nog iets niet klopt, zoek ik nog verder uit.

1 is het IP protocolnummer voor ICMPv4, dat is technisch wat anders dan een TCP/UDP poortnummer. Ik heb bepaalde routers het wel eens iets als "unknown ip packets" zien noemen. Als je het echt op basis van IP protocolnummer kunt doen dan zou je protocol 58 kunnen proberen. Dat is ICMPv6

jk-5 schreef op zaterdag 22 mei 2021 @ 12:14:
[...]


1 is het IP protocolnummer voor ICMPv4, dat is technisch wat anders dan een TCP/UDP poortnummer. Ik heb bepaalde routers het wel eens iets als "unknown ip packets" zien noemen. Als je het echt op basis van IP protocolnummer kunt doen dan zou je protocol 58 kunnen proberen. Dat is ICMPv6

Ook port 58 toevoegen werkt helaas niet. Zowel in Firefox, Chrome als Edge krijg ik het zelfde resultaat. Ik heb nog ff verder gezocht en kwam deze site tegen; https://www.snbforums.com...icmp-inbound-issue.57374/

Daarin staan een aantal testen, en als ik via één van de genoemde sites mijn eigen IPv6 ping krijg ik wel keurig resultaat terug. Ik weet niet wat er mis gaat aan de kant van ipv6-test.com.

freakandel schreef op zaterdag 22 mei 2021 @ 12:32:
[...]

Ook port 58 toevoegen werkt helaas niet. Zowel in Firefox, Chrome als Edge krijg ik het zelfde resultaat. Ik heb nog ff verder gezocht en kwam deze site tegen; https://www.snbforums.com...icmp-inbound-issue.57374/

Daarin staan een aantal testen, en als ik via één van de genoemde sites mijn eigen IPv6 ping krijg ik wel keurig resultaat terug. Ik weet niet wat er mis gaat aan de kant van ipv6-test.com.

port 58 of protocol 58? (die zijn niet gelijk aan elkaar).

Brahiewahiewa schreef op zaterdag 22 mei 2021 @ 06:57:
[...]

Nog FF ICMP aanzetten voor een score van 20/20

Ik snap dat een echo request handig is om te hebben, maar technisch gezien niet nodig. Bij IPv6 is er wel een RFC rondom firewalling: https://datatracker.ietf.org/doc/html/rfc4890

Vooral Packet Too Big voor MTU Path Detection heb je nodig, maar een echo request niet perse.

Snow_King schreef op zondag 23 mei 2021 @ 09:07:
[...]

Ik snap dat een echo request handig is om te hebben, maar technisch gezien niet nodig. Bij IPv6 is er wel een RFC rondom firewalling: https://datatracker.ietf.org/doc/html/rfc4890

Vooral Packet Too Big voor MTU Path Detection heb je nodig, maar een echo request niet perse.

Tja, ipv6-test.com is niet duidelijk over welke icmp messages nou ontbreken.
Maar het zou wel eens met privacy extensions te maken kunnen hebben. In dat geval heb je namelijk een apart ipv6-adres voor uitgaande communicatie waarop al het binnenkomende verkeer tot het strikt noodzakelijk wordt beperkt (gefilterd). Echo requests komen er dan niet door

Brahiewahiewa schreef op zondag 23 mei 2021 @ 10:00:
[...]

Tja, ipv6-test.com is niet duidelijk over welke icmp messages nou ontbreken.
Maar het zou wel eens met privacy extensions te maken kunnen hebben. In dat geval heb je namelijk een apart ipv6-adres voor uitgaande communicatie waarop al het binnenkomende verkeer tot het strikt noodzakelijk wordt beperkt (gefilterd). Echo requests komen er dan niet door

Ik volg je niet helemaal. Het internet weet niet of jij een tijdelijk v6 adres gebruikt of niet. Het is gewoon je source adres en dat is alles.

Hoe moet test ipv6 weten of die extensions worden gebruikt en waarom moeten ze er op testen?

Snow_King schreef op zondag 23 mei 2021 @ 11:06:
[...]

Ik volg je niet helemaal. Het internet weet niet of jij een tijdelijk v6 adres gebruikt of niet. Het is gewoon je source adres en dat is alles.

Hoe moet test ipv6 weten of die extensions worden gebruikt en waarom moeten ze er op testen?

ipv6-test.com hoeft helemaal niet op privacy extensions te testen, maar ze zouden wel moeten aangeven welke icmp messages uitgefilterd worden en welke niet. Ze zeggen nu basically: "icmp doet het niet dus je krijgt twee punten minder". Terwijl ze m.i. het lijstje van rfc4890 section 4.4.1 t/m 4.4.5 zouden moeten checken

Brahiewahiewa schreef op zondag 23 mei 2021 @ 11:32:
[...]

ipv6-test.com hoeft helemaal niet op privacy extensions te testen, maar ze zouden wel moeten aangeven welke icmp messages uitgefilterd worden en welke niet. Ze zeggen nu basically: "icmp doet het niet dus je krijgt twee punten minder". Terwijl ze m.i. het lijstje van rfc4890 section 4.4.1 t/m 4.4.5 zouden moeten checken

Volgens mij is dit de icmp test naar het device waar vandaan je test. Als ik mijn windows firewall (tijdelijk) uitzet gaat de icmp test goed. Je zou in de windows firewall een uitzondering kunnen maken voor icmp6. (uiteraard moet icmp6 ook openstaan in je firewall).

[ Voor 4% gewijzigd door Jef61 op 23-05-2021 11:48 ]

Jef61 schreef op zondag 23 mei 2021 @ 11:45:
[...]

Volgens mij is dit de icmp test naar het device waar vandaan je test. Als ik mijn windows firewall (tijdelijk) uitzet gaat de icmp test goed. Je zou in de windows firewall een uitzondering kunnen maken voor icmp6. (uiteraard moet icmp6 dan ook openstaan in je firewall).

Volgens mij gaat het er om dat er verschillende types icmp messages bestaan en je sommige types wel wilt filteren en andere types niet

Brahiewahiewa schreef op zondag 23 mei 2021 @ 11:49:
[...]

Volgens mij gaat het er om dat er verschillende types icmp messages bestaan en je sommige types wel wilt filteren en andere types niet

Ja ik weet dat er verschillende types zijn, maar is dit niet gewoon een ping6 test van de site naar je device en zou je device een ping reply moeten geven om die punten te behalen?

Jef61 schreef op zondag 23 mei 2021 @ 11:53:
[...]

Ja ik weet dat er verschillende types zijn, maar is dit niet gewoon een ping6 test van de site naar je device en zou je device een ping reply moeten geven om die punten te behalen?

ipv6-test.com heeft een losstaande ping test en daar is in ieder geval mijn ipv6 ping dood. Maar zoals gezegd, iemand met een positive instelling zou verwachten dat de algemene ipv6 test iets intelligenter zou zijn en onderscheid zou maken tussen de verschillende icmp6 requests. Dat lijkt echter niet het geval

Brahiewahiewa schreef op zondag 23 mei 2021 @ 13:41:
[...]

ipv6-test.com heeft een losstaande ping test en daar is in ieder geval mijn ipv6 ping dood. Maar zoals gezegd, iemand met een positive instelling zou verwachten dat de algemene ipv6 test iets intelligenter zou zijn en onderscheid zou maken tussen de verschillende icmp6 requests. Dat lijkt echter niet het geval

Ook even getest; gaat goed op het moment dat ik mijn 'windows defender firewall' uitzet.

Jef61 schreef op zondag 23 mei 2021 @ 13:47:
[...]

Ook even getest; gaat goed op het moment dat ik mijn 'windows defender firewall' uitzet.

Klopt, in Windows 18/20 en op mijn Android 20/20... Verschil is ICMP...

Brahiewahiewa schreef op zondag 23 mei 2021 @ 13:41:
[...]

ipv6-test.com heeft een losstaande ping test en daar is in ieder geval mijn ipv6 ping dood. Maar zoals gezegd, iemand met een positive instelling zou verwachten dat de algemene ipv6 test iets intelligenter zou zijn en onderscheid zou maken tussen de verschillende icmp6 requests. Dat lijkt echter niet het geval

Volgens mijn firewall log is het een type 128 (echo request). Mijn PC antwoord met een type 129.

[ Voor 15% gewijzigd door Jef61 op 23-05-2021 19:43 ]

Goeiemiddag,

ik heb een belgisch telenet abbonement , met een docsis 8560E modem
deze geeft op IPV4 1 extern ip adres aan mijn Cisco RV340 , en de kabelmodem is de host/router van het ipv6 gebeuren in huis..hij deelt netjes een subnet uit aan de RV ,die er op zijn beurt /64's van maakt, en dat gaat prima

omdat de belgische digicorders verplicht een ip adres moeten krijgen van het kabelmodem zelf had ik op de router een untagged vlan20 poort gemaakt , en die dan via de trunk in het netwerk ingestuurd..

nu blijkt dat dit op ipv6 wel wat ruzie met zich meebrengt , want het lijkt dat al mijn devices in alle vlan's een ipv6 van de kabelmodem krijgen , wat natuurlijk onwenselijk is..
ik heb al wel enige firewall regels gemaakt ,dat er bv geen ipv6 verkeer mag zijn op vlan30 (gasten vlan), en ook geen ipv6 traffiek tussen vlan20 en alle anderen

helaas krijg ik het idee dat die firewallregels niet werken, omdat de switch van de router een layer2 is en gewoon domweg doorgeeft

nu wil ik het omgooien en een bridge maken tussen het wan en vlan20... dat lukt wel, doch is er geen traffiek .
ik vermoed dat ik een statische route moet toevoegen in de cisco routing tabel .. issue is dat ik niet weet hoe
ik dacht van wan ip naar lan ip adres, op interface wan1.1 (de bridge interface) ,maar dat wil hij niet accepteren.
ik vermoed omdat de beide ip ranges hetzelfde zijn...

[ Voor 12% gewijzigd door ijske op 24-05-2021 18:30 ]

ijske schreef op maandag 24 mei 2021 @ 18:17:
Goeiemiddag,

ik heb een belgisch telenet abbonement , met een docsis 8560E modem
deze geeft op IPV4 1 extern ip adres aan mijn Cisco RV340 , en de kabelmodem is de host/router van het ipv6 gebeuren in huis..hij deelt netjes een subnet uit aan de RV ,die er op zijn beurt /64's van maakt, en dat gaat prima

omdat de belgische digicorders verplicht een ip adres moeten krijgen van het kabelmodem zelf had ik op de router een untagged vlan20 poort gemaakt , en die dan via de trunk in het netwerk ingestuurd..

nu blijkt dat dit op ipv6 wel wat ruzie met zich meebrengt , want het lijkt dat al mijn devices in alle vlan's een ipv6 van de kabelmodem krijgen , wat natuurlijk onwenselijk is..
ik heb al wel enige firewall regels gemaakt ,dat er bv geen ipv6 verkeer mag zijn op vlan30 (gasten vlan), en ook geen ipv6 traffiek tussen vlan20 en alle anderen

helaas krijg ik het idee dat die firewallregels niet werken, omdat de switch van de router een layer2 is en gewoon domweg doorgeeft

nu wil ik het omgooien en een bridge maken tussen het wan en vlan20... dat lukt wel, doch is er geen traffiek .
ik vermoed dat ik een statische route moet toevoegen in de cisco routing tabel .. issue is dat ik niet weet hoe
ik dacht van wan ip naar lan ip adres, op interface wan1.1 (de bridge interface) ,maar dat wil hij niet accepteren.
ik vermoed omdat de beide ip ranges hetzelfde zijn...

Ik volg je situatie nog niet helemaal.

In principe moet elk VLAN een eigen /64 IPv6 krijgen waar je kabelmodem/router de default gateway is. Daar kan je dan firewalling toepassen.

Is het ook zo dat je in elk VLAN een eigen IPv6 subnet hebt?

Snow_King schreef op dinsdag 25 mei 2021 @ 10:15:
[...]

Ik volg je situatie nog niet helemaal.

In principe moet elk VLAN een eigen /64 IPv6 krijgen waar je kabelmodem/router de default gateway is. Daar kan je dan firewalling toepassen.

Is het ook zo dat je in elk VLAN een eigen IPv6 subnet hebt?

thx het is inderdaad een beetje complex vooral omdat het interactieve gebeuren alleen werkt als de decoder rechtstreeks aan de kabelmodem hangt

de issue gaat eigenlijk ook niet over IPv6
de vraag is meer "hoe krijg ik die bridge van WAN naar VLAN20 op ipv4 in orde" ipv6 mag ook mee gebridged worden uiteraard

Mijn Ziggo Zakelijk Pro wordt aanstaande Dinsdag opgeleverd en vandaag kreeg ik mijn opleverdocument van Ziggo.

De IPv6 constructie vind ik interessant. Je krijgt een /48, echter de eerste /64 uit deze /48 wordt gebruikt voor de Interconnect tussen mijn router en Ziggo. Vervolgens static routen ze de /48 naar het ::2 adres uit deze /64.

Mijn MikroTik router staat er in ieder geval klaar voor. Dinsdag moet het allemaal gaan werken.

ijske schreef op dinsdag 25 mei 2021 @ 17:03:
[...]


thx het is inderdaad een beetje complex vooral omdat het interactieve gebeuren alleen werkt als de decoder rechtstreeks aan de kabelmodem hangt

de issue gaat eigenlijk ook niet over IPv6
de vraag is meer "hoe krijg ik die bridge van WAN naar VLAN20 op ipv4 in orde" ipv6 mag ook mee gebridged worden uiteraard

Ik denk dat dit dan niet helemaal het juiste topic is :-)

Hmm, nieuwe modemrouter van Ziggo gekregen ivm overstap naar Giganet (Connext Box Giga). Die heeft dus (in tegenstelling tot mijn vorige modemrouter) ook IPv6 ondersteuning.

Ik heb een Asus RT-AC87U achter de Ziggo modemrouter staan. Beide als router ingesteld (dus geen bridgemode op het modem). Dat werkte vooralsnog (op IPv4) prima. Asus stond ingesteld als DMZ op de oude connectbox en daar kon ik dan eventuele portforwards regelen.

De nieuwe connectbox staat ingesteld op SLAAC. Clients direct aan de connectbox functioneren prima, incl. ipv6 (volle score op ipv6-test.com).

Maar zodra ik IPv6 inschakel op de Asus (zowel "native" mode als "passthrough" mode geprobeerd) wordt het voor de clients die daar aan hangen een instabiele bende. Clients krijgen netjes een v6 adres, ik kan ook gewoon lookups doen en pingen, maar een website bezoeken geeft geen sjoege...

Iemand enig idee wat daar mis zou kunnen gaan?

Orion84 schreef op zondag 30 mei 2021 @ 19:56:
Iemand enig idee wat daar mis zou kunnen gaan?

Heb vrijwel dezelfde configuratie met een AC86U met Merlin-firmware. De router ingesteld op native en verder niets aan de standaard IPv6-configuratie van de router veranderd, en dat werkte gelijk enkele jaren geleden sinds ik IPv6 bij Ziggo heb.

ijske schreef op dinsdag 25 mei 2021 @ 17:03:
[...]


thx het is inderdaad een beetje complex vooral omdat het interactieve gebeuren alleen werkt als de decoder rechtstreeks aan de kabelmodem hangt

de issue gaat eigenlijk ook niet over IPv6
de vraag is meer "hoe krijg ik die bridge van WAN naar VLAN20 op ipv4 in orde" ipv6 mag ook mee gebridged worden uiteraard

Fysiek een kabeltje van je telenet modem naar een untagged poort vlan 20 op je switch ?
Zo heb ik een telenet vlan gemaakt althans.

easyriider schreef op maandag 31 mei 2021 @ 11:32:
[...]

Heb vrijwel dezelfde configuratie met een AC86U met Merlin-firmware. De router ingesteld op native en verder niets aan de standaard IPv6-configuratie van de router veranderd, en dat werkte gelijk enkele jaren geleden sinds ik IPv6 bij Ziggo heb.

Thanks, hier ook de merlin firmware inderdaad

Kan je misschien een screenshot delen van je IPv6 settings? Want onder native valt ook nog wel een en ander in te stellen.

Verder gebruik ik nog NextDNS via software dat op de router draait, maar daarvoor werkte IPv6 ook, dus zal dat geen verschil uitmaken:
https://github.com/nextdns/nextdns/wiki

Ghostface9000 schreef op maandag 31 mei 2021 @ 11:40:
[...]


Fysiek een kabeltje van je telenet modem naar een untagged poort vlan 20 op je switch ?
Zo heb ik een telenet vlan gemaakt althans.

yup, werkt als een trein , maar heb het idee dat dan de modem overal (in elk vlan) ipv6 gaat uitdelen

Orion84 schreef op zondag 30 mei 2021 @ 19:56:
Hmm, nieuwe modemrouter van Ziggo gekregen ivm overstap naar Giganet (Connext Box Giga). Die heeft dus (in tegenstelling tot mijn vorige modemrouter) ook IPv6 ondersteuning.

Ik heb een Asus RT-AC87U achter de Ziggo modemrouter staan. Beide als router ingesteld (dus geen bridgemode op het modem). Dat werkte vooralsnog (op IPv4) prima. Asus stond ingesteld als DMZ op de oude connectbox en daar kon ik dan eventuele portforwards regelen.

De nieuwe connectbox staat ingesteld op SLAAC. Clients direct aan de connectbox functioneren prima, incl. ipv6 (volle score op ipv6-test.com).

Maar zodra ik IPv6 inschakel op de Asus (zowel "native" mode als "passthrough" mode geprobeerd) wordt het voor de clients die daar aan hangen een instabiele bende. Clients krijgen netjes een v6 adres, ik kan ook gewoon lookups doen en pingen, maar een website bezoeken geeft geen sjoege...

Iemand enig idee wat daar mis zou kunnen gaan?

voelt als een mtu probleem, als pingen wel werkt (kleine pakketjes), maar grotere gaan stuk. Als je met grotere packet sizes gaat pingen (1480 oid), gaat het dan ook nog goed?

@easyriider @borft thanks, vandaag of morgen nog maar eens wat uitproberen, even een geschikt moment vinden dat ik de tijd heb en dat het geen probleem is als de boel er even uitligt

easyriider schreef op maandag 31 mei 2021 @ 12:11:
[Afbeelding]

Verder gebruik ik nog NextDNS via software dat op de router draait, maar daarvoor werkte IPv6 ook, dus zal dat geen verschil uitmaken:
https://github.com/nextdns/nextdns/wiki

Hmmz, voor een router achter een modem/router zou je eigelijk DHCP-PD aan moeten zetten en de Connectbox op DHCP ipv SLAAC

Brahiewahiewa schreef op maandag 31 mei 2021 @ 13:33:
[...]

Hmmz, voor een router achter een modem/router zou je eigelijk DHCP-PD aan moeten zetten en de Connectbox op DHCP ipv SLAAC

Dat is een optie die ik nog niet getest heb. Ga ik ook proberen.

Brahiewahiewa schreef op maandag 31 mei 2021 @ 13:33:
[...]

Hmmz, voor een router achter een modem/router zou je eigelijk DHCP-PD aan moeten zetten en de Connectbox op DHCP ipv SLAAC

Dat staat hier toch ook aan? Of is die UI zo onbegrijpelijk?

Als je aan de upstream kant geen DHCP-PD doet (maar SLAAC) dan is er aan de downstream kant in ieder geval helemaal geen reden voor DHCP-PD door deze router (mogelijk door de router erboven als het AP een bridge is).

ANdrode schreef op maandag 31 mei 2021 @ 19:59:
[...]


Dat staat hier toch ook aan? Of is die UI zo onbegrijpelijk?

Als je aan de upstream kant geen DHCP-PD doet (maar SLAAC) dan is er aan de downstream kant in ieder geval helemaal geen reden voor DHCP-PD door deze router (mogelijk door de router erboven als het AP een bridge is).

DHCP-PD staat aan in @easyriider zijn screenshot, idd. Het ging mij er om duidelijk te maken dat op de connectbox dan DHCP aan moet staan en niet SLAAC
Eerlijk gezegd verbaast het me dat @Orion84 überhaupt ipv6 adressen krijgt aan de LAN kant van de Asus; dat zou eigenlijk niet mogen gebeuren als de connectbox SLAAC doet

Hmm, nog weinig vooruitgang geboekt...

Instelling connectbox op DHCPv6 gezet (rest van de velden is niet aan te passen)


Asus router op native gezet:


Asus krijgt geen IPv6 adres (zoals bij @easyriider wel het geval is). Clients krijgen ook geen IPv6.



Asus herstart, connectbox herstart: geen verandering...

Orion84 schreef op dinsdag 1 juni 2021 @ 09:53:
...
Asus krijgt geen IPv6 adres (zoals bij @easyriider wel het geval is). Clients krijgen ook geen IPv6...

Welke connectbox heb je? Merk typenr staat onderop

Brahiewahiewa schreef op dinsdag 1 juni 2021 @ 10:06:
[...]

Welke connectbox heb je? Merk typenr staat onderop

Arris TG3492LG-ZG

Orion84 schreef op dinsdag 1 juni 2021 @ 10:10:
[...]

Arris TG3492LG-ZG

https://ziggoforum.nl/top...-achter-connectbox.92498/
Probeer eens "rapid commit" uit te zetten

Zal er eens naar kijken, maar dat is wat bewerkelijker zo te zien dus daar moet ik even de tijd voor nemen. Maar vooralsnog is mijn situatie wel anders dan wat er in die reply wordt geschetst. Ik krijg op het moment namelijk nog geen IPv6 adres op de Asus of achterliggende clients.

Anyway: bedankt voor het meedenken in elk geval

Ok, dat bood weinig soelaas. Dat bestand bestaat niet (meer) in de huidige merlin firmware. Ik zie wel wat ipv6 gerelateerde config in dnsmasq.conf, maar zo 1-2-3 niet wat ik daar zou kunnen fixen.

Update naar laatste firmware en factory reset van de Asus heeft ook niet geholpen...

Edit: Connectbox teruggezet naar SLAAC, Asus op Passthrough gezet en nu werkt alles ineens wel. Wellicht dat de reset/firmware upgrade toch wat gedaan heeft en DHCPv6 + Native mode gewoon niet geschikt is voor mijn aansluiting of zo?

[ Voor 29% gewijzigd door Orion84 op 01-06-2021 14:50 ]

Vandaag mijn Ziggo Zakelijk Pro geleverd gekregen met Ubee 1318 modem: https://www.ziggo.nl/klan...wifi/modem/ubee-ubc1318zg

Ik had de IPv4 (/30) / IPv6 (/48) gegevens al per mail gekregen in een PDF. Stond allemaal klaar in mijn Mikrotik router en werkt direct naar behoren. Was Plug&Play.

Allemaal prima geregeld zo. Ziggo heeft alles extra gecontroleerd alvorens ze weg gingen en alles werkte gewoon goed.

Ben blij nu een /48 te hebben die statisch is. Ze hebben hem zelfs bij RIPE op mijn naam gezet.

Brahiewahiewa schreef op dinsdag 1 juni 2021 @ 02:08:
[...]

DHCP-PD staat aan in @easyriider zijn screenshot, idd. Het ging mij er om duidelijk te maken dat op de connectbox dan DHCP aan moet staan en niet SLAAC
Eerlijk gezegd verbaast het me dat @Orion84 überhaupt ipv6 adressen krijgt aan de LAN kant van de Asus; dat zou eigenlijk niet mogen gebeuren als de connectbox SLAAC doet

ANdrode schreef op dinsdag 1 juni 2021 @ 21:39:
[...]

offtopic:
Ik heb zelf wel SLAAC gebruikt voor het adres van de machine en dan DHCPv6 met prefix delegation om een prefix te krijgen voor wat er achter die machine zat.

Het kan dus wel op deze manier en is eigenlijk ook wat je krijgt als je veel Debian/Ubuntu instructies volgt voor PD.

Achter een ziggo connectbox? Die dan zowel SLAAC als DHCP(-PD) doet?

Brahiewahiewa schreef op dinsdag 1 juni 2021 @ 22:20:
[...]

Achter een ziggo connectbox? Die dan zowel SLAAC als DHCP(-PD) doet?

Ja, dat heb ik zo ook werkend gehad

Brahiewahiewa schreef op dinsdag 1 juni 2021 @ 22:20:
[...]

Achter een ziggo connectbox? Die dan zowel SLAAC als DHCP(-PD) doet?

Nee - toen ik een connectbox had had ik geen IPv6. Dit was met een fritzbox en met een experiabox v8 (ja die had ipv6 in tegenstelling tot de 10A...)

Snow_King schreef op dinsdag 1 juni 2021 @ 21:04:
Vandaag mijn Ziggo Zakelijk Pro geleverd gekregen met Ubee 1318 modem: https://www.ziggo.nl/klan...wifi/modem/ubee-ubc1318zg

Ik had de IPv4 (/30) / IPv6 (/48) gegevens al per mail gekregen in een PDF. Stond allemaal klaar in mijn Mikrotik router en werkt direct naar behoren. Was Plug&Play.

Allemaal prima geregeld zo. Ziggo heeft alles extra gecontroleerd alvorens ze weg gingen en alles werkte gewoon goed.

Ben blij nu een /48 te hebben die statisch is. Ze hebben hem zelfs bij RIPE op mijn naam gezet.

Kun je nu ook een delegation krijgen voor reverse DNS? Of het via ziggo instellen?

Snow_King schreef op dinsdag 1 juni 2021 @ 21:04:

Ik had de IPv4 (/30) / IPv6 (/48) gegevens al per mail gekregen in een PDF.

Je krijgt nu een /30 IPv4? Als ik me niet vergis kreeg je voorheen een /29 bij zakelijk Pro. Van die 8 bleven er dan effectief 5 over om te gebruiken. Bij de 4 van een /30 gaan er ook drie af voor overhead en houd je er nog naar één over. Zouden ze echt zo krap zitten met IPv4?

Allemaal prima geregeld zo. Ziggo heeft alles extra gecontroleerd alvorens ze weg gingen en alles werkte gewoon goed.

Ben blij nu een /48 te hebben die statisch is. Ze hebben hem zelfs bij RIPE op mijn naam gezet.

Iedereen blij.

jk-5 schreef op dinsdag 1 juni 2021 @ 23:06:
[...]


Kun je nu ook een delegation krijgen voor reverse DNS? Of het via ziggo instellen?

Dat is een goede vraag! Zou ik moeten navragen.

Roetzen schreef op woensdag 2 juni 2021 @ 00:16:
[...]

Je krijgt nu een /30 IPv4? Als ik me niet vergis kreeg je voorheen een /29 bij zakelijk Pro. Van die 8 bleven er dan effectief 5 over om te gebruiken. Bij de 4 van een /30 gaan er ook drie af voor overhead en houd je er nog naar één over. Zouden ze echt zo krap zitten met IPv4?

Ja, een /30. Volgens mij kan je er een /29 bij huren voor een tientje per maand. Die (static) routen ze dan naar je router toe.

Ik heb aan de /30 overigens meer dan voldoende :-)

Roetzen schreef op woensdag 2 juni 2021 @ 00:16:
[...]

Iedereen blij.

Zeker. Ik kanu ook weer een IPv6-only SSID maken in huis.

Roetzen schreef op woensdag 2 juni 2021 @ 00:16:
[...]

Je krijgt nu een /30 IPv4? Als ik me niet vergis kreeg je voorheen een /29 bij zakelijk Pro. Van die 8 bleven er dan effectief 5 over om te gebruiken. Bij de 4 van een /30 gaan er ook drie af voor overhead en houd je er nog naar één over. Zouden ze echt zo krap zitten met IPv4?

Ik ben ook benieuwd hoe ze routeren: Als je een statische route krijgt zou je toch alle IPs uit die /30 kunnen gebruiken? Op die manier zou je bijna net zoveel IPs overhouden uit een /30 als uit een /29?

ANdrode schreef op woensdag 2 juni 2021 @ 18:51:
[...]


Ik ben ook benieuwd hoe ze routeren: Als je een statische route krijgt zou je toch alle IPs uit die /30 kunnen gebruiken? Op die manier zou je bijna net zoveel IPs overhouden uit een /30 als uit een /29?

Het is gewoon een /30 PTP subnet. 1 IP voor de router van ziggo en eentje voor jou. Met een /29 kun je meer gebruiken

Snow_King schreef op woensdag 2 juni 2021 @ 09:30:
Zeker. Ik kanu ook weer een IPv6-only SSID maken in huis.

Hoe ga je op een IPv6-only SSID/netwerk voorkomen dat er toch niet via IPv4 onderling gepraat gaat worden? (Dus via auto configuratie IPv4 adressen bijvoorbeeld)

Ergens zou ik bijvoorbeeld op de switch willen kunnen zeggen dat alle IPv4 packets gedropt moeten worden ... Maar ja ..dan heb je weer duurdere switches nodig.

Of maak ik me druk om niets en als je zorgt dat er geen IPv4 DHCP server is .. is dat voldoende?