Het grote IPv6 topic

Pagina: 1 ... 113 ... 130 Laatste
Acties:

Acties:
  • 0 Henk 'm!

  • Dreamvoid
  • Registratie: Augustus 2001
  • Niet online
Ja dat gebeurt een hoop - Apple spul gebruikt ook allerlei ad-hoc IPv6 netwerken, tussen je iPhone en oordopjes, watch enzo.

Acties:
  • 0 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Dreamvoid schreef op maandag 29 november 2021 @ 18:42:
Ja dat gebeurt een hoop - Apple spul gebruikt ook allerlei ad-hoc IPv6 netwerken, tussen je iPhone en oordopjes, watch enzo.
Ja, maar het is wel leuk. Zo gebruik Matter het ook en als ik sniff zie ik dat Hue ook veel met IPv6 doet.

Het is jammer dat zo weinig mensen de kracht van IPv6 zien op dat gebied.

Acties:
  • 0 Henk 'm!

  • aawe mwan
  • Registratie: December 2002
  • Laatst online: 08:18

aawe mwan

Wat ook leuk is:

Het is niet zo'n probleem om over te stappen van netstat naar ss .
Maar je hebt dit probleem op veel meer plaatsen.

Bijvoorbeeld in tmux kon je eerst rechtsonder het IP-adres (IPv4) zetten via #(hostname -I)
en dat past nu dus niet meer (ik heb het vervangen door een awk script).

„Ik kan ook ICT, want heel moeilijk is dit niet”


Acties:
  • +2 Henk 'm!

  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 10:39
En nu native IPv6 via Ziggo (regio Zuid-limburg; fZiggo gebied; in brigde mode

Afbeeldingslocatie: https://tweakers.net/i/HWQDwomzW94OSlx_LViUoWS5N9g=/800x/filters:strip_exif()/f/image/c7WmP36qFjCYty2EalzwdJDx.png?f=fotoalbum_large

Acties:
  • +1 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

Verwijderd schreef op maandag 29 november 2021 @ 12:24:
Begin op zijn minst met netstat te vervangen voor ss ;)
Doe meteen ifconfig vervangen door ip :+
Dat het nieuwer en/of moderner is zal best, maar wat zijn de daadwerkelijke redenen om dat te doen :?

Ik vind het ip commando echt een draak vergeleken met ifconfig -a en dan meteen alles weten wat je wilde weten! :Y)

Dat ss commando ben ik nog nergens tegengekomen dus dat ga ik eens uitzoeken als netstat -a & netstat -an verslaafde zijnde! :)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • 0 Henk 'm!

Verwijderd

nero355 schreef op maandag 29 november 2021 @ 23:40:
[...]

Dat het nieuwer en/of moderner is zal best, maar wat zijn de daadwerkelijke redenen om dat te doen :?

Ik vind het ip commando echt een draak vergeleken met ifconfig -a en dan meteen alles weten wat je wilde weten! :Y)

Dat ss commando ben ik nog nergens tegengekomen dus dat ga ik eens uitzoeken als netstat -a & netstat -an verslaafde zijnde! :)
Dat oude commando’s met de tijd verdwijnen. 🤷🏻‍♂️
En ip kan veel meer dan ifconfig kon.
Niet alleen het IP en MAC, maar ook link status, routes, neighbors, monitoring, tunnels.

Voor beide het grootste voordeel: minder tikken 👌😂

Acties:
  • +1 Henk 'm!

  • xbeam
  • Registratie: Maart 2002
  • Niet online
Verwijderd schreef op dinsdag 30 november 2021 @ 07:29:
[...]


Dat oude commando’s met de tijd verdwijnen. 🤷🏻‍♂️
En ip kan veel meer dan ifconfig kon.
Niet alleen het IP en MAC, maar ook link status, routes, neighbors, monitoring, tunnels.

Voor beide het grootste voordeel: minder tikken 👌😂
Mndr tkkn :X
Afbeeldingslocatie: https://tweakers.net/i/VP4ml3j8ep0rCpA5kIkQ-gutXIU=/x800/filters:strip_icc():strip_exif()/f/image/wFYjy61MVkooWbs5x39NPriT.jpg?f=fotoalbum_large

Lesdictische is mijn hash#


Acties:
  • 0 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Dutch2007 schreef op maandag 29 november 2021 @ 23:37:
En nu native IPv6 via Ziggo (regio Zuid-limburg; fZiggo gebied; in brigde mode

[Afbeelding]
Super! Ik woon in Limburg en kan gelijk bij twee buren dit even aan gaan zetten. Zelf heb ik Ziggo Zakelijk Pro en had ik dus al IPv6, maar zij hebben een Unifi Secure Gateway als router. Even bij hen langs en IPv6 aan zetten in de USG.

Acties:
  • +1 Henk 'm!

  • xbeam
  • Registratie: Maart 2002
  • Niet online
Snow_King schreef op dinsdag 30 november 2021 @ 08:01:
[...]

Super! Ik woon in Limburg en kan gelijk bij twee buren dit even aan gaan zetten. Zelf heb ik Ziggo Zakelijk Pro en had ik dus al IPv6, maar zij hebben een Unifi Secure Gateway als router. Even bij hen langs en IPv6 aan zetten in de USG.
Even snel bij bij de buren aanzetten 8)7
Leer je ze ook opnieuw de firewall inrichten of ga jij hun vlan management en onderhouden doen?
En wat (welk voordeel heeft ) de buurman (draaien ) dat zo hij direct overhaast met zij usg over moet op ipv6?Jje weet dat bij een usg ipv4 en ipv6 default zonder firewall regels staat ingesteld en dat all custom ipv4 regel niet op ipv6 van toepassing zijn. Dus dat even ipv6 aanzetten betekent dat er geen vlan isolation meer is alles publieke toegankelijk wordt?

En wat draait er bijv al ipv6 lokaal je wil geen conflicten/dat 1 keer bellen mijn bla bla bla werkt niet meer ? ipv6 nooit configureren omdat je niet gebruikt is niet het zelfde als ipv6 uitschakelen omdat je nooit gebruikt |:(
Niet/nooit geconfigureerd betekent niet dat er bijv door IoT of Apple apparaten zonder het als gebruiker te weken al een ipv6 netwerk op de achtergrond draait.
Maar ipv6 even
bij

Even iets snel de buren aanzetten is nooit een goed idee. Mijn ervaring is dat het vanwege Sinterklaas nooit even snel is omdat altijd een verrassing uit de network tree kunnen vallen :+

[ Voor 30% gewijzigd door xbeam op 30-11-2021 18:32 ]

Lesdictische is mijn hash#


Acties:
  • +1 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
xbeam schreef op dinsdag 30 november 2021 @ 08:13:
[...]

Even bij de buren aanzetten 8)7
Leer je ze ook de firewall inrichten of ga jij hun vlan management en onderhouden doen?
En wat heeft (voordeel heeft ) de buurman (draaien ) dat zo hij direct overhaast hij met zij usg over moet op ipv6. je weet dat bij een usg ipv4 default zonder firewall regels staat ingesteld en dat all custom ipv4 regel niet op ipv6 van toepassing zijn. Dus dat ipv6 even aanzetten betekent dat er geen vlan isolation meer is alles publieke toegankelijk wordt.
Als je dit topic een beetje volgt weet je dat ik heel, heel, heel veel met IPv6 en networking werk.

Je geeft ook in je eigen post aan "over op IPv6" en dat is gewoon niet correct. Ze krijgen IPv6 NAAST IPv4. Dual-Stack dus.

In hun huizen draait al een gehele Unifi setup met USG, Switches en Access Points en daar hebben we eerder gekozen het modem in bridge te zetten wachtende op IPv6 daar.

Firewalling met IPv6 is allemaal niet zo lastig en prima in te regelen op een USG. Zo spannend is het allemaal niet.

Acties:
  • +3 Henk 'm!

  • xbeam
  • Registratie: Maart 2002
  • Niet online
Snow_King schreef op dinsdag 30 november 2021 @ 08:16:
[...]

Als je dit topic een beetje volgt weet je dat ik heel, heel, heel veel met IPv6 en networking werk.

Je geeft ook in je eigen post aan "over op IPv6" en dat is gewoon niet correct. Ze krijgen IPv6 NAAST IPv4. Dual-Stack dus.

In hun huizen draait al een gehele Unifi setup met USG, Switches en Access Points en daar hebben we eerder gekozen het modem in bridge te zetten wachtende op IPv6 daar.

Firewalling met IPv6 is allemaal niet zo lastig en prima in te regelen op een USG. Zo spannend is het allemaal niet.
Ik zeg ook niet dat spannend is. Maar Ik waarschuw dat je het niet moet vergeten en die waarschuwing is ook een beetje tegen de unifi massa consumer die hopelijk komt om kijken hoe je ipv6 moet aanvinken op een usg/UDM. Zo dat ze het niet zoals vele vergeet. Vele zetten gewoon ipv6 dhcp en vinkje ipv6 in lan config aan en klaar. |:( ik kom zelf regelmatig netwerken gebouwd (vinkjes bij elkaar geklikt) ) door kassa/camera/electro boeren tegen waar bijv wel vlan zijn aanmaken maar niet met bij behoren firewall regels uitgerold als er überhaupt al iets in devfirewall staat. En je dan met glazige ogen staan aan te kijken waneer er shit is “hoe kan dat nou dat de camera’s en kassa niet meer werken. ze zitten toch op vlan” 8)7. Blijkt ook nog eens die zelfde grote kassa leverancier nooit software updates voor windows 7 kassa”s heeft gedaan. Want zit toch op een vlan. _/-\o_

Dus zo van zelf sprekend is het allemaal niet.

[ Voor 33% gewijzigd door xbeam op 30-11-2021 09:18 ]

Lesdictische is mijn hash#


Acties:
  • 0 Henk 'm!

  • geenwindows
  • Registratie: November 2015
  • Niet online
xbeam schreef op dinsdag 30 november 2021 @ 08:13:
[...]
Dus dat ipv6 even aanzetten betekent dat er geen vlan isolation meer is alles publieke toegankelijk wordt.
[...]
Ik heb meerdere vlans welke IPv6 kunnen praten, maar deze kunnen niet met elkaar communiceren.
gebruik dan geen Unifi gateway (welke by default, vlans volledige toegang tot alles geven)

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.


Acties:
  • 0 Henk 'm!

  • xbeam
  • Registratie: Maart 2002
  • Niet online
geenwindows schreef op dinsdag 30 november 2021 @ 11:14:
[...]

Ik heb meerdere vlans welke IPv6 kunnen praten, maar deze kunnen niet met elkaar communiceren.
gebruik dan geen Unifi gateway (welke by default, vlans volledige toegang tot alles geven)
Dat stukje wordt dus bij een USG/UDM vaak vergeten of gewoon door onwetendheid niet ingericht. Welke andere routers wel of niet gelijk de ipv6 firewall regels mee schrijven bij het creëren van een VLAN weet ik niet. Ik waarschuw alleen dat een Unifi USG en UDM het niet doen.

[ Voor 3% gewijzigd door xbeam op 01-12-2021 00:54 ]

Lesdictische is mijn hash#


Acties:
  • 0 Henk 'm!

  • geenwindows
  • Registratie: November 2015
  • Niet online
xbeam schreef op dinsdag 30 november 2021 @ 14:04:
[...]


Dat stukje wordt dus vaak een USG/UDM vergeten of gewoon door onwetendheid niet ingericht. Welke andere routers wel of niet gelijk de ipv6 firewall regels mee schrijven bij het creëren van VLAN weet ik niet. Ik waarschuw alleen dat een Unifi USG en UDM het niet doen.
ah zo, de Unifi Gateways doen voor zo ver ik weet, bij het aan maken van een nieuw netwerk (o.a. vlans) de firewall regels standaard instellen dat 't volledige toegang heeft tot Alles. doe mij maar wat PF/OPN-sense doet, Geen firewall regels toegepast = netwerk Geen enkele toegang.

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.


Acties:
  • 0 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

Verwijderd schreef op dinsdag 30 november 2021 @ 07:29:
Dat oude commando’s met de tijd verdwijnen.
Oww... dan leer ik ze dan wel! >:) :P :+

/Flauw...
En ip kan veel meer dan ifconfig kon.
Niet alleen het IP en MAC, maar ook link status, routes, neighbors, monitoring, tunnels.
Hmm... OK...

Maar een hoop dingen deed ik dan weer met andere commando's zoals route -n en zo :)
Voor beide het grootste voordeel: minder tikken
Ik heb juist het idee dat ik meer moet tikken met ip link en ip address enz. :P

Als het toch al anders moet dan zie ik liever een Cisco/HP/H3C/Ubiquiti/enz. achtige networking CLI die voor mij in ieder geval logischer is :
show ip
show ip route
show interfaces


enz. :)
geenwindows schreef op dinsdag 30 november 2021 @ 11:14:
Unifi gateway (welke by default, vlans volledige toegang tot alles geven)
Dat ligt aan het type VLAN wat je aanmaakt : VLAN Only/Enterprise/Guest/enz. :)
xbeam schreef op dinsdag 30 november 2021 @ 08:13:
Even snel bij bij de buren aanzetten 8)7
Leer je ze ook opnieuw de firewall inrichten of ga jij hun vlan management en onderhouden doen?
En wat (welk voordeel heeft ) de buurman (draaien ) dat zo hij direct overhaast met zij usg over moet op ipv6?
Dingen voor anderen instellen/bouwen/onderhouden leer je vanzelf wel een keer af als het je niks meer oplevert of in ieder geval niet genoeg vergeleken met de tijd toen je een tiener was! :+
Jje weet dat bij een usg ipv4 en ipv6 default zonder firewall regels staat ingesteld en dat all custom ipv4 regel niet op ipv6 van toepassing zijn.
Ik dacht dat we laatst de conclusie hadden getrokken dat die regels juist default aanwezig waren en alles blokkeerden :?

Zie : ed1703 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4" :)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • +2 Henk 'm!

  • ed1703
  • Registratie: Januari 2010
  • Niet online
nero355 schreef op dinsdag 30 november 2021 @ 14:40:
[...]

Ik dacht dat we laatst de conclusie hadden getrokken dat die regels juist default aanwezig waren en alles blokkeerden :?

Zie : ed1703 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4" :)
Gaat dat niet om LAN? Wat de USG default dropt is alleen WAN. Tussen VLANS onderling zitten geen firewall-rules. Dit is default bij een USG, zowel v4 als v6. Dit is nu precies de reden waarom Unifi eigenlijk helemaal niet geschikt is voor een doorsnee gebruiker zonder goede netwerk en firewall-kennis.

[ Voor 12% gewijzigd door ed1703 op 30-11-2021 14:49 ]


Acties:
  • 0 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

ed1703 schreef op dinsdag 30 november 2021 @ 14:47:
Gaat dat niet om LAN? Wat de USG default dropt is alleen WAN.

Tussen VLANS onderling zitten geen firewall-rules. Dit is default bij een USG, zowel v4 als v6.

Dit is nu precies de reden waarom Unifi eigenlijk helemaal niet geschikt is voor een doorsnee gebruiker zonder goede netwerk en firewall-kennis.
Maar als je een Guest VLAN aanmaakt dan worden er toch meteen Firewall Rules aangemaakt waardoor dat VLAN alleen richting het Internet kan praten :?

Gebeurt er niet precies hetzelfde voor IPv6 dan ?!

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • 0 Henk 'm!

  • xbeam
  • Registratie: Maart 2002
  • Niet online
nero355 schreef op dinsdag 30 november 2021 @ 14:40:
[...]


[...]

Ik heb juist het idee dat ik meer moet tikken met ip link en ip address enz. :P

Als het toch al anders moet dan zie ik liever een Cisco/HP/H3C/Ubiquiti/enz. achtige networking CLI die voor mij in ieder geval logischer is :
show ip
show ip route
show interfaces


enz. :)
Ga die pf-sense bak van je dan eens inruilen voor een VYOS bak
https://vyos.io/ 8)
Does VyOS Provide a Graphic Interface?
There is no official GUI for VyOS yet.
VyControl is a community driven interface to manage a single or multiple VyOS routers via the HTTP API.
[...]

Dat ligt aan het type VLAN wat je aanmaakt : VLAN Only/Enterprise/Guest/enz. :)
Een guest network is geen default vlan
[...]

Dingen voor anderen instellen/bouwen/onderhouden leer je vanzelf wel een keer af als het je niks meer oplevert of in ieder geval niet genoeg vergeleken met de tijd toen je een tiener was! :+


[...]

Ik dacht dat we laatst de conclusie hadden getrokken dat die regels juist default aanwezig waren en alles blokkeerden :?

Zie : ed1703 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4" :)
ubnt zou de vlan communicatie onderling standaard dicht moeten zetten en niet zoals nu open (zorgt wel extra werk om het overal op te lossen )

[ Voor 17% gewijzigd door xbeam op 01-12-2021 00:58 ]

Lesdictische is mijn hash#


Acties:
  • 0 Henk 'm!

Verwijderd

ip a
ip l

Of druk eens op [tab] :+

Acties:
  • 0 Henk 'm!

  • xbeam
  • Registratie: Maart 2002
  • Niet online
nero355 schreef op dinsdag 30 november 2021 @ 15:05:
[...]

Maar als je een Guest VLAN aanmaakt dan worden er toch meteen Firewall Rules aangemaakt waardoor dat VLAN alleen richting het Internet kan praten :?

Gebeurt er niet precies hetzelfde voor IPv6 dan ?!
Hoe vaak zie mensen in ubnt forum /topic het guest network voor hun IoT gebruiken? Ik bijna nooit veel te complex en dat is toch alleen voor visite en goed voor het tony stark gevoel :-)

Lesdictische is mijn hash#


Acties:
  • +1 Henk 'm!

  • ed1703
  • Registratie: Januari 2010
  • Niet online
nero355 schreef op dinsdag 30 november 2021 @ 15:05:
[...]

Maar als je een Guest VLAN aanmaakt dan worden er toch meteen Firewall Rules aangemaakt waardoor dat VLAN alleen richting het Internet kan praten :?

Gebeurt er niet precies hetzelfde voor IPv6 dan ?!
Jawel.
code:
1
-A GUESTv6_IN -m comment --comment GUESTv6_IN-3001 -m set --match-set corporate_networkv6 dst -j DROP

Maar wie heeft het daarover?
Je zou juist iets moeten ondernemen om zaken open te zetten bij corporate networks, niet dicht zetten.
geenwindows schreef op dinsdag 30 november 2021 @ 11:14:
[...]

Ik heb meerdere vlans welke IPv6 kunnen praten, maar deze kunnen niet met elkaar communiceren.
gebruik dan geen Unifi gateway (welke by default, vlans volledige toegang tot alles geven)

Acties:
  • 0 Henk 'm!

  • nero355
  • Registratie: Februari 2002
  • Laatst online: 28-02 22:21

nero355

ph34r my [WCG] Cows :P

xbeam schreef op dinsdag 30 november 2021 @ 15:08:
Ga die pf-sense bak van je dan eens inruilen voor een VYOS bak
https://vyos.io/ 8)
pfSense draait voorlopig alleen af en toe als een VM dus daar is voorlopig geen sprake van : USG 3P FTW!!! :+

Maar als die een keer aan zijn einde komt of EOL raakt dan is het wel iets om te overwegen inderdaad! d:)b
Dat is ook weer zo! :P

Helemaal vergeten! O-) Terwijl ik eigenlijk constant zit te tabben... :+
xbeam schreef op dinsdag 30 november 2021 @ 15:21:
Hoe vaak zie mensen in ubnt forum topic het guest network voor hun IoT gebruiken?

Ik bijna nooit veel te complex en dat is toch alleen voor visite en goed voor het tony stark gevoel :-)
Volgens mij zijn er door de tijd heen genoeg mensen geweest die het hebben toegepast/opgebouwd :?

Zelfs door de Firewall Rules zelf op te bouwen aan de hand van allerlei Tutorials/HowTo's :)

Dat ze misschien in de minderheid zijn... tja... dat is het hedendaagse Tweakers en GoT helaas... ;(
ed1703 schreef op dinsdag 30 november 2021 @ 15:23:
Jawel.
code:
1
-A GUESTv6_IN -m comment --comment GUESTv6_IN-3001 -m set --match-set corporate_networkv6 dst -j DROP

Maar wie heeft het daarover?
We hadden het toch over regels tussen VLAN's :?
Je zou juist iets moeten ondernemen om zaken open te zetten bij corporate networks, niet dicht zetten.
Dat dan weer wel... :)

|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • 0 Henk 'm!

  • Demo
  • Registratie: Juni 2000
  • Laatst online: 22-09 09:21

Demo

Probleemschietende Tovenaar

Kleine n00b-vraag, ik zou nu IPv6 native moeten kunnen krijgen bij Ziggo, ik heb het modem herstart en DHCPv6 aangezet op mijn router maar lijk geen prefix te krijgen. Is er heel toevallig iemand die dit op een Mikrotik-router geconfigureerd heeft en me de goede kant op kan helpen?

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done


Acties:
  • +1 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Demo schreef op dinsdag 30 november 2021 @ 17:19:
Kleine n00b-vraag, ik zou nu IPv6 native moeten kunnen krijgen bij Ziggo, ik heb het modem herstart en DHCPv6 aangezet op mijn router maar lijk geen prefix te krijgen. Is er heel toevallig iemand die dit op een Mikrotik-router geconfigureerd heeft en me de goede kant op kan helpen?
Kan je de output eens posten van:

code:
1
/ipv6 export


Ben benieuwd wat daar staat.

Acties:
  • 0 Henk 'm!

  • maarten_v
  • Registratie: Februari 2003
  • Laatst online: 22-09 14:58
Qlimaxxx schreef op vrijdag 19 november 2021 @ 19:01:
[...]


Je hebt sowieso 1 commando dubbel. Daarnaast geef je nu hetzelfde prefix-id mee aan ETH1 (zonder VLAN) en ETH1.3 (dus VLAN 3 op ETH1). Aangezien Edgerouters geen onderscheid maken tussen interfaces en virtuele interfaces in dat opzicht is dat hetzelfde als dat je voor ETH1 en ETH2 hetzelfde prefix-id gebruikt.

Verder klopt het geloof ik wel aardig.

Enigszins niet gerelateerd aan bovenstaande:

Heb me vandaag aardig lopen verdiepen in IPv6. Gisteren toevallig voor een klant een Ziggo zakelijk Pro opgeleverd omdat hij een vast IP nodig had (lang verhaal waarom precies). Daar dacht ik ook even mooi DHCPv6-PD te gebruiken, maar moest het uiteindelijk statisch instellen d.m.v. een specifiek IP op de WAN-interface, een static route naar het internet en op de switch0 interface een statisch IP i.c.m. IPv6 router adverts om op LAN SLAAC te doen.

Omdat m'n ouders nog een Ubee modem hadden en geen mail hebben gehad, net even de helpdesk van Ziggo besteld. Hun oude Ubee modem/router krijgt dus geen IPv6, ondanks dat hij in bridge mode staat en in fZiggo gebied hangt. Daarom krijgen ze nu een Connectbox (hou m'n hart vast).

Omdat in de mail van Ziggo een beetje vaag gedaan wordt over wanneer de switch precies plaatsvindt ("over 2 weken", "modem herstarten over 15 dagen") nog even gevraagd wanneer ik IPv6 nou daadwerkelijk kon gebruiken. Ze vertelde me dat het bij sommige modems al zou werken, dat de mail puur bedoeld was om klanten hierop attent te maken.

Ik dus de configuratie in m'n ER12 gezet en zowel router als modem herstart. Helaas... hoewel ik nu dus niet weet of het aan m'n config ligt of aan dat ik nog even geduld moet hebben.

Configuratie die ik toegepast heb:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
ethernet eth9 {
     address dhcp
     description Internet
     dhcpv6-pd {
         no-dns
         pd 0 {
             interface switch0.10 {
                 host-address ::1
                 no-dns
                 prefix-id :1
                 service slaac
             }
             prefix-length /56
         }
         rapid-commit enable
     }
     duplex auto
     firewall {
         in {
             ipv6-name WANv6_IN
             name WAN_IN
         }
         local {
             ipv6-name WANv6_LOCAL
             name WAN_LOCAL
         }
         out {
             name WAN_OUT
         }
     }
     ipv6 {
         address {
         }
         dup-addr-detect-transmits 1
     }
Heb hier mee al bijna IPv6 aan de praat op Ziggo met een Edgerouter.
Heb ook deze firewall regels ingesteld: https://community.ui.com/...d2-4677-83c9-e90d2b7c3fbe
Mijn router heeft een ipv6 adres en kan pingen naar ipv6 adressen op internet.
Op mijn eth interface zie ik ook een ipv6 range met /64.
Wat wel vreemd is is dat alleen maar de eerste 9 tekens hetzelfde zijn als het ip van m'n router, ik zou verwachten de eerste 14 ofzo.
Mijn computer heeft ook een ipv6 adres. Alleen als ik ping naar google.com zie ik wel dat hij probeert te pingen naar een ipv6 adres alleen krijg ik geen respons.


Edit: het werkt inmiddels!
Ik heb zelf (of via de wizard) een switch interface geconfigureerd, waar ook de ipv4 dhcp op staat, en had zoals in de voorbeeldjes de ipv6 op de eth poort gedefinieerd, maar dat moest ik op de switch interface doen.

[ Voor 3% gewijzigd door maarten_v op 30-11-2021 21:33 ]


Acties:
  • 0 Henk 'm!

  • Demo
  • Registratie: Juni 2000
  • Laatst online: 22-09 09:21

Demo

Probleemschietende Tovenaar

Snow_King schreef op dinsdag 30 november 2021 @ 18:32:
[...]

Kan je de output eens posten van:

code:
1
/ipv6 export


Ben benieuwd wat daar staat.
Alleen de dhcp-client config komt van mijn hand, de firewall heb ik verder niet aan gezeten. Volgens Ziggo krijg ik een Prefix Delegation van /56, daarom de pool-prefix-length=56 maar ik heb even iets te weinig kennis/ervaring met IPv6 om te begrijpen wat ik nou echt aan het doen ben. Via Tunnelbroker en nog langer geleden via SixXS (toen was mijn Debian server nog router) werkte het prima, maar toen moest alles handmatig geconfigureerd worden.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
/ipv6 dhcp-client
add add-default-route=yes interface=ether1 pool-name=ziggo-ipv6 pool-prefix-length=56 request=address,prefix use-peer-dns=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 settings
set accept-router-advertisements=yes

[ Voor 3% gewijzigd door Demo op 30-11-2021 21:20 ]

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done


Acties:
  • 0 Henk 'm!

Verwijderd

Demo schreef op dinsdag 30 november 2021 @ 21:18:
[...]


Alleen de dhcp-client config komt van mijn hand, de firewall heb ik verder niet aan gezeten. Volgens Ziggo krijg ik een Prefix Delegation van /56, daarom de pool-prefix-length=56 maar ik heb even iets te weinig kennis/ervaring met IPv6 om te begrijpen wat ik nou echt aan het doen ben. Via Tunnelbroker en nog langer geleden via SixXS (toen was mijn Debian server nog router) werkte het prima, maar toen moest alles handmatig geconfigureerd worden.
code:
1
2
/ipv6 dhcp-client
add add-default-route=yes interface=ether1 pool-name=ziggo-ipv6 pool-prefix-length=56 request=address,prefix use-peer-dns=no
Ik heb dus een soortgelijke config staan, maar ook nog geen adres van de dhcp server gekregen. 😢

Acties:
  • +1 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Demo schreef op dinsdag 30 november 2021 @ 21:18:
[...]


Alleen de dhcp-client config komt van mijn hand, de firewall heb ik verder niet aan gezeten. Volgens Ziggo krijg ik een Prefix Delegation van /56, daarom de pool-prefix-length=56 maar ik heb even iets te weinig kennis/ervaring met IPv6 om te begrijpen wat ik nou echt aan het doen ben. Via Tunnelbroker en nog langer geleden via SixXS (toen was mijn Debian server nog router) werkte het prima, maar toen moest alles handmatig geconfigureerd worden.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
/ipv6 dhcp-client
add add-default-route=yes interface=ether1 pool-name=ziggo-ipv6 pool-prefix-length=56 request=address,prefix use-peer-dns=no
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 settings
set accept-router-advertisements=yes
Ik mis nog een paar stukken in je config:

- Waar geef je je LAN een IPv6 adres?
- Je moet niet /56 als pool length gebruiken, maar /64
- Je hoeft enkel om een prefix te vragen, een address is niet nodig bij de DHCP client

Voor het laatste zie: https://wiki.mikrotik.com...ng_IPv6_Prefix_delegation

Je stopt dus het subnet wat je van Ziggo krijgt in die pool en je geeft aan dat je er /64's uit wil uitdelen.

Denk dus aan iets als: (ether2 is je LAN?):

code:
1
/ipv6 address add from-pool=ziggo interface=LAN
Verwijderd schreef op woensdag 1 december 2021 @ 09:31:
[...]


Ik heb dus een soortgelijke config staan, maar ook nog geen adres van de dhcp server gekregen. 😢
Zie mijn reply hier boven :-)

Acties:
  • 0 Henk 'm!

  • Demo
  • Registratie: Juni 2000
  • Laatst online: 22-09 09:21

Demo

Probleemschietende Tovenaar

Snow_King schreef op woensdag 1 december 2021 @ 11:49:
[...]


Ik mis nog een paar stukken in je config:

- Waar geef je je LAN een IPv6 adres?
- Je moet niet /56 als pool length gebruiken, maar /64
- Je hoeft enkel om een prefix te vragen, een address is niet nodig bij de DHCP client

Voor het laatste zie: https://wiki.mikrotik.com...ng_IPv6_Prefix_delegation

Je stopt dus het subnet wat je van Ziggo krijgt in die pool en je geeft aan dat je er /64's uit wil uitdelen.

Denk dus aan iets als: (ether2 is je LAN?):

code:
1
/ipv6 address add from-pool=ziggo interface=LAN
Probleem is dat de DHCP-client eindeloos op 'Searching' blijft staan, dus ik loop bij de eerste stap al vast. Als ik passthrough rules aanmaak die al het UDP-verkeer loggen, zie ik: udp6 output: in:(unknown 0) out:ether1, proto UDP, [fe80::c6ad:34ff:fe6b:edb2]:546->[ff02::1:2]:547, dus er wordt iets gevraagd. Er komt echter geen antwoord op terug. Heb het modem vandaag opnieuw gereset maar ook daarna hetzelfde resultaat.

Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done


Acties:
  • 0 Henk 'm!

Verwijderd

Demo schreef op woensdag 1 december 2021 @ 18:16:
[...]

Probleem is dat de DHCP-client eindeloos op 'Searching' blijft staan, dus ik loop bij de eerste stap al vast. Als ik passthrough rules aanmaak die al het UDP-verkeer loggen, zie ik: udp6 output: in:(unknown 0) out:ether1, proto UDP, [fe80::c6ad:34ff:fe6b:edb2]:546->[ff02::1:2]:547, dus er wordt iets gevraagd. Er komt echter geen antwoord op terug. Heb het modem vandaag opnieuw gereset maar ook daarna hetzelfde resultaat.
precies dit...
ook op router advertisement reageert ziggo niet. :(

Acties:
  • 0 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Demo schreef op woensdag 1 december 2021 @ 18:16:
[...]

Probleem is dat de DHCP-client eindeloos op 'Searching' blijft staan, dus ik loop bij de eerste stap al vast. Als ik passthrough rules aanmaak die al het UDP-verkeer loggen, zie ik: udp6 output: in:(unknown 0) out:ether1, proto UDP, [fe80::c6ad:34ff:fe6b:edb2]:546->[ff02::1:2]:547, dus er wordt iets gevraagd. Er komt echter geen antwoord op terug. Heb het modem vandaag opnieuw gereset maar ook daarna hetzelfde resultaat.
Dan denk ik dat Ziggo het nog niet aan heeft staan.

Acties:
  • +2 Henk 'm!

Verwijderd

Yes! Werkend!

Modem nog even gereset, ethernet1 disabled/enabled en toen had ik link ;)

code:
1
2
/ipv6 dhcp-client
add add-default-route=yes interface=ether01-gateway pool-name=ziggo-v6 rapid-commit=no request=address,prefix use-peer-dns=no


Mocht je meerdere vla's hebben:

code:
1
2
3
4
5
6
7
8
9
10
11
/ipv6 address
add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-guest
add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-iot
add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-local
add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-media

/ipv6 nd
add interface=vlan-local
add interface=vlan-guest
add interface=vlan-media
add interface=vlan-iot


(Uiteraard je firewall goed zetten ;) )


En dan even naar test-ipv6.com _/-\o_

[ Voor 4% gewijzigd door Verwijderd op 01-12-2021 20:40 . Reden: code ]


Acties:
  • +3 Henk 'm!

  • launcelot
  • Registratie: November 2021
  • Laatst online: 09-03-2022
Inmiddels ook IPv6 bij Ziggo werkend op mijn RB4011 met RouterOS 6.48.5

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
/ipv6 address
add address=::1 from-pool=ziggo-ipv6 interface=bridge
/ipv6 dhcp-client
add add-default-route=yes interface=ether1 pool-name=ziggo-ipv6 pool-prefix-length=56 request=prefix
/ipv6 firewall address-list
add address=::/128 comment="unspecified address" list=bad_ipv6
add address=::1/128 comment=lo list=bad_ipv6
add address=fec0::/10 comment=site-local list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment=ipv4-mapped list=bad_ipv6
add address=::/96 comment=" ipv4 compat" list=bad_ipv6
add address=100::/64 comment="discard only " list=bad_ipv6
add address=2001:db8::/32 comment=documentation list=bad_ipv6
add address=2001:10::/28 comment=ORCHID list=bad_ipv6
add address=3ffe::/16 comment=6bone list=bad_ipv6
add address=::224.0.0.0/100 comment=other list=bad_ipv6
add address=::127.0.0.0/104 comment=other list=bad_ipv6
add address=::/104 comment=other list=bad_ipv6
add address=::255.0.0.0/104 comment=other list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="accept HIP" protocol=139
add action=accept chain=forward comment="accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 nd
set [ find default=yes ] hop-limit=64
/ipv6 settings
set accept-router-advertisements=yes

Acties:
  • +2 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Verwijderd schreef op woensdag 1 december 2021 @ 20:34:
Yes! Werkend!

Modem nog even gereset, ethernet1 disabled/enabled en toen had ik link ;)

code:
1
2
/ipv6 dhcp-client
add add-default-route=yes interface=ether01-gateway pool-name=ziggo-v6 rapid-commit=no request=address,prefix use-peer-dns=no


Mocht je meerdere vla's hebben:

code:
1
2
3
4
5
6
7
8
9
10
11
/ipv6 address
add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-guest
add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-iot
add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-local
add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-media

/ipv6 nd
add interface=vlan-local
add interface=vlan-guest
add interface=vlan-media
add interface=vlan-iot


(Uiteraard je firewall goed zetten ;) )


En dan even naar test-ipv6.com _/-\o_
Lees ook RFC4890 even goed.

Simpele antwoord: ICMPv6 gewoon allemaal doorlaten. Eventueel nog op een max packet size van zeg 64 bytes, maar meer niet.

Op je forward en input chain het allemaal toestaan.

Acties:
  • +3 Henk 'm!

Verwijderd

Snow_King schreef op woensdag 1 december 2021 @ 21:37:
[...]

Lees ook RFC4890 even goed.

Simpele antwoord: ICMPv6 gewoon allemaal doorlaten. Eventueel nog op een max packet size van zeg 64 bytes, maar meer niet.

Op je forward en input chain het allemaal toestaan.
ICMPv6 staat open, let wel op dat sommige OS-en het blokkeren in stealth modus op de firewall (OS X b.v.)
Maar had al jaren v6 via HE.net en daar voor Sixxs, dus dat stuk zit wel goed ;)
Nu native, toch een stuk sneller dan een tunnel :+

Acties:
  • +1 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Verwijderd schreef op woensdag 1 december 2021 @ 21:43:
[...]


ICMPv6 staat open, let wel op dat sommige OS-en het blokkeren in stealth modus op de firewall (OS X b.v.)
Maar had al jaren v6 via HE.net en daar voor Sixxs, dus dat stuk zit wel goed ;)
Nu native, toch een stuk sneller dan een tunnel :+
MacOS zal ook in stealth mode wel specifieke ICMPv6 doorlaten. Echo requests wellicht niet, maar oa Packet Too Big zal er wel doorheen komen.

Acties:
  • 0 Henk 'm!

  • c-nan
  • Registratie: Juni 2008
  • Laatst online: 10:21
Iemand IPv6 + Edgerouter + Ziggo aan de praat gekregen? Hoe heb je het ingesteld op de Edgerouter?

Ik heb:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 interfaces {
     ethernet eth0 {
         address dhcp
         description Internet
         dhcpv6-pd {
             pd 0 {
                 interface switch0 {
                     host-address ::1
                     prefix-id :1
                     service slaac
                 }
                 prefix-length /56
             }
             rapid-commit enable
         }
         duplex auto
         firewall {
             in {
                 ipv6-name WANv6_IN
                 name WAN_IN
             }
             local {
                 ipv6-name WANv6_LOCAL
                 name WAN_LOCAL
             }
         }
         speed auto
     }


krijg echter geen IPv6 toegewezen.

/edit
Ik heb trouwens geen brief ontvangen van Ziggo dat ik IPv6 zou krijgen.

[ Voor 83% gewijzigd door c-nan op 03-12-2021 10:03 ]

EU DNS: 86.54.11.100


Acties:
  • 0 Henk 'm!

  • maarten_v
  • Registratie: Februari 2003
  • Laatst online: 22-09 14:58
Als je geen brief hebt gekregen zit je waarschijnlijk in het ex UPC gebied of heb je een modem die het niet ondersteunt.
Welke modem heb je nu? In welke plaats?
En zie je met deze instelling al wel een ipv6 adres op je internet poort in het dashboard van je router?

Acties:
  • 0 Henk 'm!

  • c-nan
  • Registratie: Juni 2008
  • Laatst online: 10:21
maarten_v schreef op vrijdag 3 december 2021 @ 12:00:
Als je geen brief hebt gekregen zit je waarschijnlijk in het ex UPC gebied of heb je een modem die het niet ondersteunt.
Welke modem heb je nu? In welke plaats?
En zie je met deze instelling al wel een ipv6 adres op je internet poort in het dashboard van je router?
Ik zit niet in voormalig UPC-gebied, althans niet dat ik weet. Voorheen was het Casema, toen Wanadoo en nu Ziggo, maar dit was op verschillende adressen (maar wel altijd binnen Delft).
Ik heb een Cisco EPC3928 modem, in Delft.

Ik zie enkel een link-local adres.
code:
1
2
3
4
5
6
4: eth0@itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 18:e8:29:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 83.84.x.x/23 brd 255.255.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::1ae8:29ff:fe24:486/64 scope link 
       valid_lft forever preferred_lft forever

EU DNS: 86.54.11.100


Acties:
  • +2 Henk 'm!

  • ed1703
  • Registratie: Januari 2010
  • Niet online
c-nan schreef op vrijdag 3 december 2021 @ 12:10:
[...]

Ik zit niet in voormalig UPC-gebied, althans niet dat ik weet. Voorheen was het Casema, toen Wanadoo en nu Ziggo, maar dit was op verschillende adressen (maar wel altijd binnen Delft).
Ik heb een Cisco EPC3928 modem, in Delft.

Ik zie enkel een link-local adres.
code:
1
2
3
4
5
6
4: eth0@itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether 18:e8:29:xx:xx:xx brd ff:ff:ff:ff:ff:ff
    inet 83.84.x.x/23 brd 255.255.255.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::1ae8:29ff:fe24:486/64 scope link 
       valid_lft forever preferred_lft forever
Dat modem is niet geschikt. Aanvragen nieuw modem kan via dit topic: https://community.ziggo.n...-Bridge-modus/td-p/869035
Postcode invullen in je profiel en richten aan aan ziggomedewerker Mark of Alex.
Staan voorbeelden genoeg van abonnees die dat ook gedaan hebben. Een Ubee vragen heeft de voorkeur.

Acties:
  • 0 Henk 'm!

  • medu80
  • Registratie: Augustus 2004
  • Laatst online: 09:07
Als je router geen prefix delegation ondersteund. Is het dan nog wel mogelijk om handmatig IPv6 op het Ziggo netwerk te activeren?

Mijn WAN adres krijgt nu via DHCP een 2001:1c06:2000:0:xxx:xxxx:xxxx:xxx2/64, is het dan de bedoeling dat ik de prefix delegation: 2001:1c06:2009 zelf intern toewijs en router advertisement aanzet op elke intern vlan.

Acties:
  • 0 Henk 'm!

  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 10:39
Heb toch wat vreemds met m'n config.

SSH --> router IP

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
Configure

set firewall ipv6-name WAN_INBOUND default-action drop
set firewall ipv6-name WAN_INBOUND rule 10 action accept
set firewall ipv6-name WAN_INBOUND rule 10 description "Accept Established/Related"
set firewall ipv6-name WAN_INBOUND rule 10 protocol all
set firewall ipv6-name WAN_INBOUND rule 10 state established enable
set firewall ipv6-name WAN_INBOUND rule 10 state related enable
set firewall ipv6-name WAN_INBOUND rule 20 action accept
set firewall ipv6-name WAN_INBOUND rule 20 description "Accept ICMP"
set firewall ipv6-name WAN_INBOUND rule 20 protocol icmpv6
set interfaces ethernet eth0 firewall in ipv6-name WAN_INBOUND

set firewall ipv6-name WAN_LOCAL default-action drop
set firewall ipv6-name WAN_LOCAL rule 10 action accept
set firewall ipv6-name WAN_LOCAL rule 10 description "Accept Established/Related"
set firewall ipv6-name WAN_LOCAL rule 10 protocol all
set firewall ipv6-name WAN_LOCAL rule 10 state established enable
set firewall ipv6-name WAN_LOCAL rule 10 state related enable
set firewall ipv6-name WAN_LOCAL rule 20 action accept
set firewall ipv6-name WAN_LOCAL rule 20 description "Accept ICMP"
set firewall ipv6-name WAN_LOCAL rule 20 protocol icmpv6
set firewall ipv6-name WAN_LOCAL rule 30 action accept
set firewall ipv6-name WAN_LOCAL rule 30 description "Accept DHCP"
set firewall ipv6-name WAN_LOCAL rule 30 protocol udp
set firewall ipv6-name WAN_LOCAL rule 30 destination port 546
set firewall ipv6-name WAN_LOCAL rule 30 source port 547
set interfaces ethernet eth0 firewall local ipv6-name WAN_LOCAL



set interfaces ethernet eth0 dhcpv6-pd prefix-only
set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 56

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 prefix-id :1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 host-address ::1
i

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 prefix-id :2
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 prefix-id :3
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 service slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 prefix-id :4
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 host-address ::1   
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 prefix-id :5
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 prefix-id :6
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 prefix-id :7
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 prefix-id :8
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 slaac

commit
save


ETH0 = WAN
ETH1 = LAN
ETH2 = LAN2

Heb enkele VLAN's via ETH1 lopen.

De "gateways" op elk VLAN krijgen wel een IP adres

ETH1: xxxx:yyyy:zzzz:1401::1/64
ETH2: xxxx:yyyy:zzzz:1402::1/64
ETH1.3 xxxx:yyyy:zzzz:1403::1/64
...
...
ETH1.7 xxxx:yyyy:zzzz:1407::1/64

Devices die via "ETH1" verbinden krijgen een IPv4+IPv6, maar bijv op vlan 3 (ETH1.3); Iot devices, krijgen geen IPv6 ip adres.

Mis ik iets? of is dit de bekende ziggo fout dat er maar effectief gezien van die /56 maar 1 /64 helemaal werkende is? (of is het meer/eerder een fout in de DHCPv6-PD feature van ubiquitit?)

Acties:
  • 0 Henk 'm!

  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 23-09 09:48
@Dutch2007 bij eth 1.3 staat service slaap, bij de overige allen slaap. Is dat het?

@medu80 Nee, zo eenvoudig werkt dat niet. Mijn router heeft een WAN adres buiten de /56. Alle verkeer voor de/56 wordt dan naar mijn WAN IPv6 adres gerouteerd. Welke router heb je? Beetje raar dat PD niet ondersteund zou worden.

Acties:
  • 0 Henk 'm!

  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 09:24
Ik zit in het voormalig casema gebied gok ik
Rijswijk ZH hier...

Nog geen aankondiging over bridge mode en IPv6...
Wel een mail met aankondiging dat op 16 december werkzaamheden gaan zijn...

Ik heb mijn Cisco router thuis alvast geconfigureerd zoals ik debk dat het moet zijn...er advies van internet en aantal hier in dit topic...

Ik wacht het even af nog

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW


Acties:
  • 0 Henk 'm!

  • medu80
  • Registratie: Augustus 2004
  • Laatst online: 09:07
valkenier schreef op vrijdag 3 december 2021 @ 21:44:

@medu80 Nee, zo eenvoudig werkt dat niet. Mijn router heeft een WAN adres buiten de /56. Alle verkeer voor de/56 wordt dan naar mijn WAN IPv6 adres gerouteerd. Welke router heb je? Beetje raar dat PS niet ondersteund zou worden.
Kun je uitleggen hoe het dan wel zou moeten? En hoe je dit handmatig zou kunnen instellen? Klopt mijn beredenering dan totaal niet?

Acties:
  • 0 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Dutch2007 schreef op vrijdag 3 december 2021 @ 19:07:
Heb toch wat vreemds met m'n config.

SSH --> router IP

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
Configure

set firewall ipv6-name WAN_INBOUND default-action drop
set firewall ipv6-name WAN_INBOUND rule 10 action accept
set firewall ipv6-name WAN_INBOUND rule 10 description "Accept Established/Related"
set firewall ipv6-name WAN_INBOUND rule 10 protocol all
set firewall ipv6-name WAN_INBOUND rule 10 state established enable
set firewall ipv6-name WAN_INBOUND rule 10 state related enable
set firewall ipv6-name WAN_INBOUND rule 20 action accept
set firewall ipv6-name WAN_INBOUND rule 20 description "Accept ICMP"
set firewall ipv6-name WAN_INBOUND rule 20 protocol icmpv6
set interfaces ethernet eth0 firewall in ipv6-name WAN_INBOUND

set firewall ipv6-name WAN_LOCAL default-action drop
set firewall ipv6-name WAN_LOCAL rule 10 action accept
set firewall ipv6-name WAN_LOCAL rule 10 description "Accept Established/Related"
set firewall ipv6-name WAN_LOCAL rule 10 protocol all
set firewall ipv6-name WAN_LOCAL rule 10 state established enable
set firewall ipv6-name WAN_LOCAL rule 10 state related enable
set firewall ipv6-name WAN_LOCAL rule 20 action accept
set firewall ipv6-name WAN_LOCAL rule 20 description "Accept ICMP"
set firewall ipv6-name WAN_LOCAL rule 20 protocol icmpv6
set firewall ipv6-name WAN_LOCAL rule 30 action accept
set firewall ipv6-name WAN_LOCAL rule 30 description "Accept DHCP"
set firewall ipv6-name WAN_LOCAL rule 30 protocol udp
set firewall ipv6-name WAN_LOCAL rule 30 destination port 546
set firewall ipv6-name WAN_LOCAL rule 30 source port 547
set interfaces ethernet eth0 firewall local ipv6-name WAN_LOCAL



set interfaces ethernet eth0 dhcpv6-pd prefix-only
set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 56

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 prefix-id :1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 host-address ::1
i

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 prefix-id :2
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 prefix-id :3
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 service slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 prefix-id :4
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 host-address ::1   
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 prefix-id :5
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 prefix-id :6
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 prefix-id :7
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 slaac

set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 prefix-id :8
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 host-address ::1
set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 slaac

commit
save


ETH0 = WAN
ETH1 = LAN
ETH2 = LAN2

Heb enkele VLAN's via ETH1 lopen.

De "gateways" op elk VLAN krijgen wel een IP adres

ETH1: xxxx:yyyy:zzzz:1401::1/64
ETH2: xxxx:yyyy:zzzz:1402::1/64
ETH1.3 xxxx:yyyy:zzzz:1403::1/64
...
...
ETH1.7 xxxx:yyyy:zzzz:1407::1/64

Devices die via "ETH1" verbinden krijgen een IPv4+IPv6, maar bijv op vlan 3 (ETH1.3); Iot devices, krijgen geen IPv6 ip adres.

Mis ik iets? of is dit de bekende ziggo fout dat er maar effectief gezien van die /56 maar 1 /64 helemaal werkende is? (of is het meer/eerder een fout in de DHCPv6-PD feature van ubiquitit?)
Als de gateway wel een adres heeft, kan je eens kijken met een tool als Wireshark in dat netwerk of er ook echt een Router Advertisement wordt gestuurd?

Via PD krijg je je prefix lijkt het, ook je interfaces configureren zichzelf, maar daarna moet er via RA ook wel wat uitgestuurd worden.

Acties:
  • +3 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
medu80 schreef op vrijdag 3 december 2021 @ 18:21:
Als je router geen prefix delegation ondersteund. Is het dan nog wel mogelijk om handmatig IPv6 op het Ziggo netwerk te activeren?

Mijn WAN adres krijgt nu via DHCP een 2001:1c06:2000:0:xxx:xxxx:xxxx:xxx2/64, is het dan de bedoeling dat ik de prefix delegation: 2001:1c06:2009 zelf intern toewijs en router advertisement aanzet op elke intern vlan.
Nee, dat kan niet zoals al aangegeven. Je moet een router met PD ondersteuning hebben.

Je krijgt op je WAN ook niet via DHCP een IPv6 adres, maar via SLAAC genereert je router die zelf.

Via PD moet je router om een prefix vragen, de Ziggo routers configureren vervolgens een route dat de /56 naar het WAN IP van je router toe moet worden gerouteerd.

Wat ik vooral merk bij IPv6 is dat bij veel mensen de basiskennis van routeren ontbreekt. Men is gewend met NAT te werken en heeft dan weinig te maken met routeren.

Of het nu v4 of v6 is, de basis van routeren is het zelfde. Doordat het stukje rondom routing ontbreekt is het soms lastige materie voor mensen.

Acties:
  • 0 Henk 'm!

  • c-nan
  • Registratie: Juni 2008
  • Laatst online: 10:21
Snow_King schreef op zaterdag 4 december 2021 @ 09:55:
[...]

Nee, dat kan niet zoals al aangegeven. Je moet een router met PD ondersteuning hebben.

Je krijgt op je WAN ook niet via DHCP een IPv6 adres, maar via SLAAC genereert je router die zelf.

Via PD moet je router om een prefix vragen, de Ziggo routers configureren vervolgens een route dat de /56 naar het WAN IP van je router toe moet worden gerouteerd.

Wat ik vooral merk bij IPv6 is dat bij veel mensen de basiskennis van routeren ontbreekt. Men is gewend met NAT te werken en heeft dan weinig te maken met routeren.

Of het nu v4 of v6 is, de basis van routeren is het zelfde. Doordat het stukje rondom routing ontbreekt is het soms lastige materie voor mensen.
Ik ben geen netwerk engineer. Ik ben Linux/Infra engineer met 10+ jaar ervaring, grotendeels in de hosting branche. Als Linux engineer krijg je vaak te maken netwerk vraagstukken. Zo heb ik met een ACI omgeving mogen werken, het een en ander mogen doen met VXLAN. Trainingen gehad vanuit Juniper en Cisco betreft OSPF/MPLS/BGP.

Maar IPv6? Dat is voor mij ook nog redelijk onbekend terrein. Ongeacht dat ik min of meer weet hoe routering werkt, vind ik IPv6 nog redelijk lastig. Komt voornamelijk doordat ik er bijna nooit mee heb mogen werken, ja behalve static IPv6 instellen op wat servertjes.

Kan je een boek, artikel of video adviseren om het allemaal wat beter te begrijpen? Ik weet namelijk dat jij best actief bent betreft IPv6 (en ook met Ceph :P )

Met ip4 weet ik bijvoorbeeld dat dmv broadcasting de hosts binnen een subnet elkaar kunnen vinden en de mac adres in hun arp tabel opnemen. Hoe werkt dit bij IPv6 bijvoorbeeld?
Bij ip4 heb je een default gateway om buiten je eigen netwerk te komen, in een thuis situatie is dat je router (die het weer doorzet naar je ISP). Hoe zit dat met IPv6? Is dat ook je router of is het (in dit geval met Ziggo) direct je ISP?
Bij ip4 & dhcp stuurt de client een broadcast uit, een dhcp server pikt dit op en begint te communiceren met de client en voorziet de client op deze manier van een IP. Hoe werkt dat bij ipv6? Hoe weet de client bij wie het moet zijn om een ipv6 te krijgen (zonder dhcp)?

[ Voor 17% gewijzigd door c-nan op 04-12-2021 10:39 ]

EU DNS: 86.54.11.100


Acties:
  • 0 Henk 'm!

  • Dutch2007
  • Registratie: September 2005
  • Laatst online: 10:39
valkenier schreef op vrijdag 3 december 2021 @ 21:44:
@Dutch2007 bij eth 1.3 staat service slaap, bij de overige allen slaap. Is dat het?

@medu80 Nee, zo eenvoudig werkt dat niet. Mijn router heeft een WAN adres buiten de /56. Alle verkeer voor de/56 wordt dan naar mijn WAN IPv6 adres gerouteerd. Welke router heb je? Beetje raar dat PS niet ondersteund zou worden.
Had ik ook gezien, wellicht was ik toe aan slaap :P

Regeltje nog eens ingevoerd in de terminal met SLAAC, maar ook dan blijft 't issue aanwezig.

Acties:
  • 0 Henk 'm!

  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 23-09 09:48
Dutch2007 schreef op zaterdag 4 december 2021 @ 11:17:
[...]


Had ik ook gezien, wellicht was ik toe aan slaap :P

Regeltje nog eens ingevoerd in de terminal met SLAAC, maar ook dan blijft 't issue aanwezig.
slaap 8)7 :O :z rappoclappo typen

[ Voor 3% gewijzigd door valkenier op 04-12-2021 11:37 ]


Acties:
  • +2 Henk 'm!

  • drocona
  • Registratie: September 2018
  • Laatst online: 19-09 08:59
Ik heb gisteravond even een uurtje gezeten om te testen of ik IPv6 kon ontvangen op mijn Ziggo verbinding en is het redelijk snel gelukt.

- Zelf heb ik de e-mail of brief niet ontvangen, maar zit wel in origineel Ziggo gebied en maak gebruik van een Ubee UBC1318ZG (Zakelijke aansluiting in Bridge).
- Als firewall/router gebruik ik een Fortigate, zorg er voor dat de firmware up-to-date is gezien Prefix Delegation functionaliteit later is toegevoegd (ergens in de hoge versie 5 van FortiOS, als je op 6 of hoger zit is dus prima)

Voor de mensen die het op een Fortigate werkend willen krijgen, ik heb het nu met SLAAC + stateless DHCPv6 ingesteld met de volgende configuratie:

Op de interface met de Ziggo verbinding, dit kan wan, wan1, wan2 etc zijn, vervang dit door de naam van de interface. Ik heb alleen ping toegestaan, verder geen toegang, dit kun je zelf uitbreiden wanneer nodig (https bijvoorbeeld).
code:
1
2
3
4
5
6
7
8
9
10
config system interface
    edit "wan"
        config ipv6
            set ip6-mode dhcp
            set ip6-allowaccess ping
            set dhcp6-prefix-delegation enable
            set dhcp6-prefix-hint ::/56
        end
    next
end


Dan op de LAN interface waar jouw devices zitten, verander hier jouw interne interface naam, vergeet ook hier niet de correcte naam van de WAN verbinding aan te geven, anders werkt het niet! We geven het eerste /64 subnet met het 1e ip ::1 aan als adres van de router op deze interface. We stellen SLAAC in en daarnaast geven we aan dat er een DHCPv6 is voor verdere additionele configuratie (ik heb mijn eigen DNS servers).
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
config system interface
    edit "lan"
        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping https ssh snmp
            set ip6-send-adv enable
            set ip6-other-flag enable
            set ip6-upstream-interface "wan"
            set ip6-subnet ::1/64
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan"
                    set autonomous-flag enable
                    set onlink-flag enable
                    set subnet ::/64
                next
            end
        end
    next
end


Als laatste de DHCPv6 server voor DNS server informatie, stel wederom de interne interface naam in en geef de DNS servers in IPv6 aan (Cloudflare: 2606:4700:4700::1111 en 2606:4700:4700::1001; Google: 2001:4860:4860::8888 en 2001:4860:4860::8844)
code:
1
2
3
4
5
6
7
config system dhcp6 server
    edit 1
        set interface "lan"
        set dns-server1 2606:4700:4700::1111
        set dns-server2 2606:4700:4700::1001
    next
end


Als alles ingesteld is kunnen we de ranges ophalen (dit moet geforceerd, gaat niet automatisch tenzij je de Fortigate herstart), geef ook hier de WAN interface op.
code:
1
execute interface dhcp6client-renew wan


Als laatste zijn er nog wat IPv6 firewall policies nodig. Allereerst verkeer toestaan vanuit je LAN naar WAN (kun je kopieren vanuit je IPv4 policy) en als tweede sta je ALL_ICMPv6 service toe van WAN naar LAN any/any. Vergeet niet om je NAT uit te schakelen op de firewall regels, dit is niet meer nodig!

Als het goed is heb je nu onmiddellijk IPv6 connectiviteit op al je clients in je netwerk.
Hoop dat het iemand helpt!

[ Voor 6% gewijzigd door drocona op 04-12-2021 12:17 ]


Acties:
  • 0 Henk 'm!

  • Muis666
  • Registratie: December 2007
  • Laatst online: 07:19
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.

Acties:
  • +2 Henk 'm!

  • darkrain
  • Registratie: Augustus 2001
  • Nu online

darkrain

Moderator Discord

Geniet

Muis666 schreef op zaterdag 4 december 2021 @ 13:13:
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.
Omdat dat is wat Ziggo heeft aangegeven en laten we eerlijk zijn hoeveel huishoudens hebben nog een 2e router? Begrijp je punt wel trouwens en voor zakelijk zie ik het ook wel, maar voor huishoudens niet echt...

Tweakers Discord


Acties:
  • +1 Henk 'm!

  • Qlimaxxx
  • Registratie: April 2008
  • Laatst online: 23-09 17:49
ed1703 schreef op vrijdag 3 december 2021 @ 12:18:
[...]

Dat modem is niet geschikt. Aanvragen nieuw modem kan via dit topic: https://community.ziggo.n...-Bridge-modus/td-p/869035
Postcode invullen in je profiel en richten aan aan ziggomedewerker Mark of Alex.
Staan voorbeelden genoeg van abonnees die dat ook gedaan hebben. Een Ubee vragen heeft de voorkeur.
Ik heb via de klantenservice een nieuw modem aangevraagd en een Compal Connectbox gekregen. IPv6 werkt en verder loop ik niet tegen problemen aan. Waarom heeft een Ubee aanvragen de voorkeur? Gaat dit alleen om het stroomverbruik (omdat er minder hardware in zit) of zijn er ook nog andere voordelen?

Enig idee hoe ik dat dan alsnog kan omwisselen? Is het überhaupt mogelijk om modems om te wisselen en een verzoek te doen voor een specifiek type modem?

------

Gisteren trouwens voor de lol even IPv4 uitgezet op mijn laptop. Gewoon om te kijken hoe functioneel IPv6 only zou zijn. Daar schrik je dan toch van. Zelfs veel grote partijen hebben gewoon 0 IPv6 support. Zo is microsoft.com niet via IPv6 te bereiken maar gek genoeg www.microsoft.com wel.

Mijn ervaring is dat het voor een server toch relatief eenvoudig is om deze via IPv6 bereikbaar te maken. Zeker als het om websites of een VPS gaat. Soms zelfs een kwestie van een AAAA-record toevoegen en je bent klaar.

Het enige dat ik me kan bedenken waarom het wellicht wat complexer is (zoals het voor een lokaal netwerk ook kan zijn) is het gebruik van load-balancers en een scala een servers waarbij je de hele stack dus dubbel moet gaan uitvoeren en testen?

Het kan aan mij liggen, maar ik begrijp beter waarom een provider voor eindgebruikers moeite heeft om IPv6 uit te rollen dan een partij die er juist belang bij heeft om zo goed mogelijk bereikbaar te zijn. Niet in de laatste plaats omdat een provider voor eindgebruikers vaak te maken heeft met mensen die de ballen verstand hebben van hoe het internet überhaupt werkt. Je mag toch hopen dat de mensen die servers en services beheren verstand hebben van de techniek.

[ Voor 8% gewijzigd door Qlimaxxx op 04-12-2021 13:40 ]


Acties:
  • 0 Henk 'm!

  • medu80
  • Registratie: Augustus 2004
  • Laatst online: 09:07
Snow_King schreef op zaterdag 4 december 2021 @ 09:55:
[...]

Nee, dat kan niet zoals al aangegeven. Je moet een router met PD ondersteuning hebben.

Je krijgt op je WAN ook niet via DHCP een IPv6 adres, maar via SLAAC genereert je router die zelf.

Via PD moet je router om een prefix vragen, de Ziggo routers configureren vervolgens een route dat de /56 naar het WAN IP van je router toe moet worden gerouteerd.

Wat ik vooral merk bij IPv6 is dat bij veel mensen de basiskennis van routeren ontbreekt. Men is gewend met NAT te werken en heeft dan weinig te maken met routeren.

Of het nu v4 of v6 is, de basis van routeren is het zelfde. Doordat het stukje rondom routing ontbreekt is het soms lastige materie voor mensen.
Oke, laat ik het anders verwoorden. Ik krijg een /64 adres op mijn WAN. Tevens zie ik wat mijn /56 prefix delegation is, helaas ondersteunt de firewall geen PD. Dus heb ik de RA geactiveerd en op het interne LAN een adres handmatig toegekend aan de LAN. De apparaten op dit VLAN krijgen inderdaad een adres van dit /64 blokje. Ik kan met deze apparaten ook verbinding maken met het internet. Mijn vraag is, klopt het dat je WAN adres verschilt van je PD subnet? Ik was namelijk van mening dat je WAN adres ergens in het /56 prefix zou vallen.

WAN adres: 2001:1c06:2000/64
Delegated Prefix: 2001:1c06:2009/56

Acties:
  • +1 Henk 'm!

  • Muis666
  • Registratie: December 2007
  • Laatst online: 07:19
Qlimaxxx schreef op zaterdag 4 december 2021 @ 13:36:
[...]


Ik heb via de klantenservice een nieuw modem aangevraagd en een Compal Connectbox gekregen. IPv6 werkt en verder loop ik niet tegen problemen aan. Waarom heeft een Ubee aanvragen de voorkeur?
Zie het ziggo ervaringen topic. In de Compal zit een Puma chipset waar hardware fouten in zitten. Dit kan soms tot rare hickups leiden.

Acties:
  • +1 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
medu80 schreef op zaterdag 4 december 2021 @ 13:45:
[...]


Oke, laat ik het anders verwoorden. Ik krijg een /64 adres op mijn WAN. Tevens zie ik wat mijn /56 prefix delegation is, helaas ondersteunt de firewall geen PD. Dus heb ik de RA geactiveerd en op het interne LAN een adres handmatig toegekend aan de LAN. De apparaten op dit VLAN krijgen inderdaad een adres van dit /64 blokje. Ik kan met deze apparaten ook verbinding maken met het internet. Mijn vraag is, klopt het dat je WAN adres verschilt van je PD subnet? Ik was namelijk van mening dat je WAN adres ergens in het /56 prefix zou vallen.

WAN adres: 2001:1c06:2000/64
Delegated Prefix: 2001:1c06:2009/56
Ja, dat klopt. Het WAN subnet is een interconnect subnet tussen jouw router en die van Ziggo.

Die valt niet binnen je /56.

Acties:
  • 0 Henk 'm!

  • prutser001
  • Registratie: Oktober 2004
  • Laatst online: 11-09 22:54

prutser001

Vaak zit het tegen en soms zi

Nou IPv6 aan de praat met hulp een Tweaker op discord. Toch wel wat raars, af en toe stopt IPv4 er mee?!

Dit met een edgerouter 3, en dan valt het op hoe weinig apparatuur eigenlijk maar IPv6 ondersteund. Alleen de 6 computers, 4 servers en 2 laptops. De rest krijgt geen IPv6.

Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"


Acties:
  • +1 Henk 'm!

  • ed1703
  • Registratie: Januari 2010
  • Niet online
prutser001 schreef op zaterdag 4 december 2021 @ 14:04:
Nou IPv6 aan de praat met hulp een Tweaker op discord. Toch wel wat raars, af en toe stopt IPv4 er mee?!

Dit met een edgerouter 3, en dan valt het op hoe weinig apparatuur eigenlijk maar IPv6 ondersteund. Alleen de 6 computers, 4 servers en 2 laptops. De rest krijgt geen IPv6.
Wat is “de rest”?

Van iot zooi en wat mediaspelers is bekend dat ze dit matig ondersteunen. Ik vind ook eigenlijk dat hier eens regels voor opgesteld moeten worden.
Anders zijn we over 50 jaar nog bezig.
Muis666 schreef op zaterdag 4 december 2021 @ 13:13:
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.
Achter een consumentenrouter wil je toch juist slaac’n?
Uitzonderingen daargelaten.

[ Voor 24% gewijzigd door ed1703 op 04-12-2021 14:16 ]


Acties:
  • 0 Henk 'm!

  • prutser001
  • Registratie: Oktober 2004
  • Laatst online: 11-09 22:54

prutser001

Vaak zit het tegen en soms zi

ed1703 schreef op zaterdag 4 december 2021 @ 14:13:
[...]

Wat is “de rest”?

Van iot zooi en wat mediaspelers is bekend dat ze dit matig ondersteunen. Ik vind ook eigenlijk dat hier eens regels voor opgesteld moeten worden.
Anders zijn we over 50 jaar nog bezig.


[...]

Achter een consumentenrouter wil je toch juist slaac’n?
Uitzonderingen daargelaten.
TV's, tablets, telefoons, iot spul, Google home hub en mini's.

Switches, AP's...

Zal nog wel wat vergeten zijn.

Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"


Acties:
  • +1 Henk 'm!

  • Qlimaxxx
  • Registratie: April 2008
  • Laatst online: 23-09 17:49
prutser001 schreef op zaterdag 4 december 2021 @ 14:27:
[...]


TV's, tablets, telefoons, iot spul, Google home hub en mini's.

Switches, AP's...

Zal nog wel wat vergeten zijn.
Wat voor TV's, tablets en telefoons heb je dan zoal?

Kan me amper voorstellen dat telefoons en tablets geen IPv6 ondersteuning hebben.

Net even getest, hoewel je het weliswaar handmatig in moet schakelen op zowel mijn LG Oled uit 2018 als een Sony smart TV van 8 jaar oud, werken ze allebei gewoon met IPv6. Of de verouderde Netflix app op die oudere tv ook gebruik gaat maken van IPv6 is natuurlijk nog de vraag, maar op hardware en OS-niveau is de ondersteuning er zeker.

Acties:
  • 0 Henk 'm!

  • Muis666
  • Registratie: December 2007
  • Laatst online: 07:19
ed1703 schreef op zaterdag 4 december 2021 @ 14:13:
[...]
Achter een consumentenrouter wil je toch juist slaac’n?
Uitzonderingen daargelaten.
De discussie SLAAC vs DHCPv6 heeft volgens mij niets met mijn vraag te maken.

Acties:
  • 0 Henk 'm!

  • ed1703
  • Registratie: Januari 2010
  • Niet online
prutser001 schreef op zaterdag 4 december 2021 @ 14:27:
[...]


TV's, tablets, telefoons, iot spul, Google home hub en mini's.

Switches, AP's...

Zal nog wel wat vergeten zijn.
Switches en AP's hebben hier gewoon een ipv6-adres. Al zet ik dat liever uit.
Muis666 schreef op zaterdag 4 december 2021 @ 15:36:
[...]

De discussie SLAAC vs DHCPv6 heeft volgens mij niets met mijn vraag te maken.
Ik zie niet zo in waarom je een verdere verdeling van je prefix op een consumentenaansluting zou willen.
Wat zou zoiets toevoegen? Het speeleffect misschien?

Acties:
  • 0 Henk 'm!

  • aawe mwan
  • Registratie: December 2002
  • Laatst online: 08:18

aawe mwan

Wat ook leuk is:

ed1703 schreef op zaterdag 4 december 2021 @ 14:13:
[...]
Van iot zooi en wat mediaspelers is bekend dat ze dit matig ondersteunen. Ik vind ook eigenlijk dat hier eens regels voor opgesteld moeten worden.
Anders zijn we over 50 jaar nog bezig.
Ik denk dat we juist snel klaar zijn, want op een bepaald moment gaan we IPv4 zien als een netwerk exclusief voor oude en slecht beveiligde apparaten. Niet omdat er regels voor zijn, maar omdat het zo geworden is. Ze kunnen best blijven werken, maar dan zonder IPv4 verkeer van/naar internet, alleen nog via een jumpserver.

Ik zou graag helemaal over willen op IPv6, echter:

Ik heb het nu net nog een keer gecontroleerd, maar T-mobile op 4G geeft nog geen IPv6 adres, alleen IPv4.

MotionEyeOS ondersteunt ook al jaren lang standaard geen IPv6.

[ Voor 3% gewijzigd door aawe mwan op 04-12-2021 16:57 ]

„Ik kan ook ICT, want heel moeilijk is dit niet”


Acties:
  • 0 Henk 'm!

  • drocona
  • Registratie: September 2018
  • Laatst online: 19-09 08:59
Muis666 schreef op zaterdag 4 december 2021 @ 13:13:
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.
De reden dat ik een /64 heb gebruikt in het voorbeeld is omdat die situatie ten eerste voor de meeste mensen zal werken. Ten tweede zie ik niet in waarom een VLAN meer adressen nodig heeft dan een /64 op dit moment.

Daarnaast is door het gebruik van een /64 het natuurlijk niet uitgesloten dat ik op een ander VLAN geen /60 delegatie toe kan kennen die ik weer ophaal vanaf de router in mijn virtuele omgeving, welke vervolgens weer /64 uit kan delen. Ik moet hierdoor ook weer van SLAAC af stappen gezien ik DDNS nodig heb voor de automatische AAAA records (tenzij iemand zegt dat het wel met SLAAC kan maar zover ben ik zelf dan weer niet).

Ik begrijp je vraag, ik ga zelf ook met /60 aan de slag vanwege bovenstaande reden, maar op mijn standaard netwerk heb ik geen /60 nodig gezien daar geen verdere splitsing plaats vindt. Mijn voorbeeld was dan ook voor mensen die er wellicht minder verstand van hebben en het gewoon werkend willen krijgen op een simpele manier.

Acties:
  • +1 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
c-nan schreef op zaterdag 4 december 2021 @ 10:32:
[...]

Ik ben geen netwerk engineer. Ik ben Linux/Infra engineer met 10+ jaar ervaring, grotendeels in de hosting branche. Als Linux engineer krijg je vaak te maken netwerk vraagstukken. Zo heb ik met een ACI omgeving mogen werken, het een en ander mogen doen met VXLAN. Trainingen gehad vanuit Juniper en Cisco betreft OSPF/MPLS/BGP.

Maar IPv6? Dat is voor mij ook nog redelijk onbekend terrein. Ongeacht dat ik min of meer weet hoe routering werkt, vind ik IPv6 nog redelijk lastig. Komt voornamelijk doordat ik er bijna nooit mee heb mogen werken, ja behalve static IPv6 instellen op wat servertjes.

Kan je een boek, artikel of video adviseren om het allemaal wat beter te begrijpen? Ik weet namelijk dat jij best actief bent betreft IPv6 (en ook met Ceph :P )

Met ip4 weet ik bijvoorbeeld dat dmv broadcasting de hosts binnen een subnet elkaar kunnen vinden en de mac adres in hun arp tabel opnemen. Hoe werkt dit bij IPv6 bijvoorbeeld?
Bij ip4 heb je een default gateway om buiten je eigen netwerk te komen, in een thuis situatie is dat je router (die het weer doorzet naar je ISP). Hoe zit dat met IPv6? Is dat ook je router of is het (in dit geval met Ziggo) direct je ISP?
Bij ip4 & dhcp stuurt de client een broadcast uit, een dhcp server pikt dit op en begint te communiceren met de client en voorziet de client op deze manier van een IP. Hoe werkt dat bij ipv6? Hoe weet de client bij wie het moet zijn om een ipv6 te krijgen (zonder dhcp)?
- ARP onder IPv4 (Broadcast) wordt Neighbor Discovery onder IPv6 (Multicast)
- Default gateway (0.0.0.0/0 wordt gewoon nog een default gateway (::/0)
- DHCP onder IPv4 via Broadcast, Router Advertisement via Multicast onder IPv6

Ga eens met wireshark kijken op je laptop/desktop om te zien wat voor een IPv6 verkeer er binnen komt.

Uiteindelijk is jouw router de default gateway voor jouw devices. De default gateway (::/0) voor jouw router is weer een router van Ziggo en vermoedelijk heeft ook die router weer een (default) gateway waar hij zijn verkeer heen stuurt.

Dat is net zoals met IPv4 het zelfde. Alleen zit er geen NAT.

Je hebt wat mij betreft ook niet echt een LAN meer. Elk device is gewoon onderdeel van het internet! Raspberry Pi aanzetten, webserver er op en je bent bereikbaar voor de wereld!

Je router kan ook nog een 2e functie als statefull firewall hebben waar je bepaald verkeer wel of niet door laat.

Maar dan is het een router met firewalling functie. Dat doe ik ook op mijn MikroTik router, maar ICMP staat open, poort 22 en ook 80 en 443 richting een aantal IPv6 adressen zodat ik bij onder andere mijn P1Mon kan die ik heb draaien evenals mijn Unifi Controller.
ed1703 schreef op zaterdag 4 december 2021 @ 16:26:
[...]

Switches en AP's hebben hier gewoon een ipv6-adres. Al zet ik dat liever uit.
Waarom? Ik vind het juist fijn. Zo kan ik met SNMP via IPv6 mijn Switches en AP's monitoren vanaf een VPS ergens in Amsterdam.

Acties:
  • +1 Henk 'm!

Verwijderd

Muis666 schreef op zaterdag 4 december 2021 @ 13:13:
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.
Default in IPv6. De /64 is gekozen in verband met router advertisements. Is al 20 jaar de standaard in IPv6 land. 🙈

En hoeveel mensen hebben een downstream router in hun thuisnetwerk? (Al kun je prima /60’s uitdelen, maar nagenoeg niemand die dat nodig heeft)

[ Voor 15% gewijzigd door Verwijderd op 04-12-2021 22:53 ]


Acties:
  • +1 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Qlimaxxx schreef op zaterdag 4 december 2021 @ 13:36:
[...]

Gisteren trouwens voor de lol even IPv4 uitgezet op mijn laptop. Gewoon om te kijken hoe functioneel IPv6 only zou zijn. Daar schrik je dan toch van. Zelfs veel grote partijen hebben gewoon 0 IPv6 support. Zo is microsoft.com niet via IPv6 te bereiken maar gek genoeg www.microsoft.com wel.

Mijn ervaring is dat het voor een server toch relatief eenvoudig is om deze via IPv6 bereikbaar te maken. Zeker als het om websites of een VPS gaat. Soms zelfs een kwestie van een AAAA-record toevoegen en je bent klaar.

Het enige dat ik me kan bedenken waarom het wellicht wat complexer is (zoals het voor een lokaal netwerk ook kan zijn) is het gebruik van load-balancers en een scala een servers waarbij je de hele stack dus dubbel moet gaan uitvoeren en testen?

Het kan aan mij liggen, maar ik begrijp beter waarom een provider voor eindgebruikers moeite heeft om IPv6 uit te rollen dan een partij die er juist belang bij heeft om zo goed mogelijk bereikbaar te zijn. Niet in de laatste plaats omdat een provider voor eindgebruikers vaak te maken heeft met mensen die de ballen verstand hebben van hoe het internet überhaupt werkt. Je mag toch hopen dat de mensen die servers en services beheren verstand hebben van de techniek.
Google & Facebook zijn wel het beste wat dat betreft.

Het is niet moeilijk met IPv6, echt niet. Het is veelal geen prioriteit, onkunde of laksheid.

Voor een goede netwerk engineer is IPv6 echt niet moeilijk en veelal doen alle backbones al lang IPv6.

Het zit hem vaak in de beheerder die het AAAA-record gewoon niet aan maakt. Luiheid, onwetendheid of wat anders.

Waar ik werk hosten we rond de 1M websites en daar staat IPv6 gewoon standaard aan. Ook alle VPS'en die we opleveren staat IPv6 standaard aan.

Maar wat zien we? Klanten maken een A-record aan richting hun VPS en niet dat AAAA-record. Zonde!
Verwijderd schreef op zaterdag 4 december 2021 @ 22:51:
[...]


Default in IPv6. De /64 is gekozen in verband met router advertisements. Is al 20 jaar de standaard in IPv6 land. 🙈

En hoeveel mensen hebben een downstream router in hun thuisnetwerk? (Al kun je prima /60’s uitdelen, maar nagenoeg niemand die dat nodig heeft)
Uit een /56 kan je prima de eerste /60 reserveren voor je /64 LAN netwerken. De volgende /60's voor PD.

Zo kan je bijvoorbeeld een /60 (/80 is eigenlijk maar nodig!) naar je Docker host routeren om zo je Docker containers een IPv6 adres te geven.

Acties:
  • +1 Henk 'm!

  • ANdrode
  • Registratie: Februari 2003
  • Niet online
Snow_King schreef op zondag 5 december 2021 @ 12:30:
[...]
Google & Facebook zijn wel het beste wat dat betreft.

Het is niet moeilijk met IPv6, echt niet. Het is veelal geen prioriteit, onkunde of laksheid.

Voor een goede netwerk engineer is IPv6 echt niet moeilijk en veelal doen alle backbones al lang IPv6.

Het zit hem vaak in de beheerder die het AAAA-record gewoon niet aan maakt. Luiheid, onwetendheid of wat anders.
Als je RIPE-lid bent schijnen de training daar ook een goede basis te zijn voor de kennis. In ieder geval als beginpunt. Ik weet niet of kosten aan vast zitten - maar het is vast goedkoper dan een commerciële trainingspartij.

Acties:
  • +1 Henk 'm!

  • ed1703
  • Registratie: Januari 2010
  • Niet online
Snow_King schreef op zaterdag 4 december 2021 @ 18:55:
Waarom? Ik vind het juist fijn. Zo kan ik met SNMP via IPv6 mijn Switches en AP's monitoren vanaf een VPS ergens in Amsterdam.
Vooral een kwestie van gevoel. Ik hou wel van dubbele beveiliging (zowel op edge als intern) en niet op alle laag2-netwerkdevices is dit goed te realiseren. Maar vooral dat er een globaal adres op huist geeft mij een ongemakkelijk gevoel. Voor de werking van het device niet nodig, voor beheer maakt het een stuk eenvoudiger natuurlijk.

Acties:
  • +1 Henk 'm!

  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 09:24
Zo na een nachtje doorhalen en paar uurtjes slaap heb ik het min of meer werkend gekregen op een van mijn VLANs op mijn Layer 3 switch

Niet schrikken...
Ik zal hier wat boel code neerzetten om uit te leggen wat ik heb gedaan
  1. CISCO ROUTER
    1. Natuurlijk allereerst IPv6 routing aanzetten
      code:
      1
      
      ipv6 unicast-routing
    2. Eerst even de WAN interface - Gi0/0/0 van ipv6 config voorzien
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      
      interface GigabitEthernet0/0/0
       description WAN_CONNECTBOX_ZIGGO
       ip address dhcp hostname RTR_C1117-mind
       ip nat outside
       ip access-group WAN_IN in
       negotiation auto
       ipv6 address dhcp
       ipv6 enable
       ipv6 dhcp client pd hint ::/56
       ipv6 dhcp client pd ISP_IPv6-PREFIX
    3. Als tweede op interface gi0/0/0 (WAN interface) kijken wat de link-local adres is van het Ziggo modem dat de DHCP-v6-PD doet
      code:
      1
      2
      3
      4
      5
      6
      
      sh ipv6 routers
      
      Router FE80::201:5CFF:FE70:9446 on GigabitEthernet0/0/0, last update 0 min
        Hops 0, Lifetime 1800 sec, AddrFlag=1, OtherFlag=1
        HomeAgentFlag=0, Preference=Medium
        Reachable time 3600000 msec, Retransmit time 0 (unspecified)
    4. Static default ipv6 route configureren met dat Link-local adres
      code:
      1
      
      ipv6 route ::/0 GigabitEthernet0/0/0 FE80::201:5CFF:FE70:9446 track 1 name WAN_ZIGGO_IPv6
    5. IPv6 Prefix opvragen geleerd via DHCPv6-PD via modem dus
      code:
      1
      2
      3
      4
      5
      
      sh ipv6 general-prefix
      
      IPv6 Prefix ISP_IPv6-PREFIX, acquired via DHCP PD
        2001:1C00:2508:9A00::/56 Valid lifetime 56876, preferred lifetime 28076
         Vlan255 (Address command)
    6. Nu een IPv6 DHCP pool maken op basis van wat eigen DNS servers mee geven - 2x dns.watch en 1 OpenNIC.
      ook een LOCAL IPv6 prefix pool te maken zometeen
      code:
      1
      2
      3
      4
      5
      6
      
      ipv6 dhcp pool LOCAL_IPv6-CONFIG
       prefix-delegation pool LOCAL_IPv6-PREFIX
       dns-server 2001:1608:10:25::1C04:B12F
       dns-server 2001:1608:10:25::9249:D69B
       dns-server 2A03:4000:4D:C92:88C0:96FF:FEC6:B9D
       domain-name mindwarper-IPv6.local
    7. Config van VLAN255 aanpassen naar IPv6 - dat is het uplink VLAN (voor global routing table) naar mijn Cisco Layer 3 switch, waar mijn clients op zitten op andere SVIs - VLAN interfaces...
      Dat VLAN doet ook dynamic routing (EIGRP) naar Layer 3 Switch ook op VLAN 255
      Heb zelf een handmatig IPv6 link-local adres ook gemaakt - IPv4 adres naar HEX en FFFE er tussen gezet
      Dat VLAN geeft dus in server mode die LOCAL_IPv6-CONFIG IPv6 DHCP pool door naar Layer 3 switch
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      
      interface Vlan255
       description *** VLAN 255 - RTR-LAN ***
       ip address 192.168.255.2 255.255.255.252
       ip nat inside
       ip access-group RTR-LAN-252-255_IN_RESTRICT_ALT in
       ipv6 address FE80::FF:C0:A8FF:FEFF:2 link-local
       ipv6 address ISP_IPv6-PREFIX ::FF:C0:A8:FF:2/64
       ipv6 enable
       ipv6 nd managed-config-flag
       ipv6 nd other-config-flag
       ipv6 dhcp server LOCAL_IPv6-CONFIG
    8. Een eigen local IPv6 Prefix pool maken - want mijn Cisco Router moet zelf weer DHCPv6 server zijn voor mijn Layer 3 switches - SVIs - anders krijgen die geen Global IPv6 op een of andere manier...
      Ik knip dus de /56 niet op in /64 stukken voor downstream.... Is okay voor nu
      Zie edited post onder deze...

      Edit 1: toch niet denk ik :| :? Twijfel nog een beetje
      Wat is handig om later alle mijn VLAN interfaces van IPv6 adressen te voorzien ?
      Misschien ook op de interfaces kleinere masks ?
      Ik weet het (nog) niet - graag wat hulp / advies


      EDIT 2: Ik maak hier bewust een iets andere lokale prefix... eens kijken of dat iets helpt...
      Heb wat gezocht over IPv6 subnetting - nu wordt het me meer en meer duidelijk wat ik wil bereiken :)

      code:
      1
      
      ipv6 local pool LOCAL_IPv6-PREFIX 2001:1C00:2508:9A01::/56 56
    9. Dynamic routing aanpassen op IPv6.
      Hier static routes en connected redistribueren en de neighbor is Layer 3 switch VLAN255 interface IPv6 link-local adres (ook weer handmatig - zie ook B hieronder)
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      
      router eigrp MIND-ROUTE
       address-family ipv6 unicast autonomous-system 1000
        !
        topology base
         redistribute static
         redistribute connected
        exit-af-topology
        neighbor FE80::FF:C0:A8FF:FEFF:1 Vlan255
       exit-address-family
  2. CISCO Layer 3 SWITCH - 2x 3750X stacked
    1. Switch SDM profile aanpassen & reload - Deze is nu actief
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      14
      15
      16
      17
      18
      19
      20
      21
      22
      
      sh sdm prefer
      
       The current template is "desktop IPv4 and IPv6 default" template.
       The selected template optimizes the resources in
       the switch to support this level of features for
       8 routed interfaces and 1024 VLANs.
      
        number of unicast mac addresses:                  2K
        number of IPv4 IGMP groups + multicast routes:    1K
        number of IPv4 unicast routes:                    3K
          number of directly-connected IPv4 hosts:        2K
          number of indirect IPv4 routes:                 1K
        number of IPv6 multicast groups:                  1K
        number of IPv6 unicast routes:                    3K
          number of directly-connected IPv6 addresses:    2K
          number of indirect IPv6 unicast routes:         1K
        number of IPv4 policy based routing aces:         0
        number of IPv4/MAC qos aces:                      0.5K
        number of IPv4/MAC security aces:                 1K
        number of IPv6 policy based routing aces:         0
        number of IPv6 qos aces:                          0.5K
        number of IPv6 security aces:                     0.5K
    2. Natuurlijk ook hier weer IPv6 routing aanzetten
      code:
      1
      
      ipv6 unicast-routing
    3. Config van VLAN255 aanpassen naar IPv6 - dat is het downlink VLAN (voor global routing table) naar mijn Cisco Router van boven
      Op deze switch zitten mijn clients op, op andere SVIs - VLAN interfaces...
      Dat VLAN doet ook dynamic routing (EIGRP) naar Cisco router terug ook op VLAN 255
      Heb zelf een handmatig IPv6 link-local adres ook gemaakt - IPv4 adres naar HEX en FFFE er tussen gezet.
      Hier is dus het VLAN255 een client en kan het IPv6 adres automatisch configureren.
      Tevens doet het ook hier op zijn beurt weer Prefix doorgeven (PD dus) op basis van de LOCAL_IPv6-PREFIX handmatige local pool op router - zie boven...
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      
      interface Vlan255
       description *** VLAN 255 - RTR-LAN | To Cisco C1117-4P Router ==> INTERNET ***
       ip address 192.168.255.1 255.255.255.252
       ip access-group RTR-VLAN255_IN_RESTRICT in
       no ip redirects
       no ip unreachables
       no ip proxy-arp
       no ip route-cache
       no ip mroute-cache
       ipv6 address FE80::FF:C0:A8FF:FEFF:1 link-local
       ipv6 address autoconfig default
       ipv6 enable
       ipv6 dhcp client pd LOCAL_IPv6-PREFIX
    4. Nu mijn uitgaande SVI - VLAN20 waar mijn PC in zit zodaniog IPv6 configureren dat de DHCP ontvangen wordt
      Dus a.h.w. deze VLAN interface in ipv6 dchp RELAY mode zetten
      Hier mag dus een adres uit eigen LOCAL_IPv6-PREFIX van boven gehaald worden
      Bron geraadpleegd voor inspiratie: https://networkengineerin...n-through-an-organisation
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      
      interface Vlan20
       description *** VLAN 20 - COMPUTERS ***
       ip address 192.168.20.14 255.255.255.240
       ip access-group VLAN20_IN_RESTRICT_ALT-18 in
       ip pim sparse-dense-mode
       ip igmp access-group IGMP-RECEIVE_ALLOW
       ipv6 address FE80::14:C0:A8FF:FE14:E link-local
       ipv6 address LOCAL_IPv6-PREFIX ::14:C0:A8:14:E/64
       ipv6 enable
       ipv6 dhcp relay destination FE80::FF:C0:A8FF:FEFF:1

      Krijg hier wel een warning
      code:
      1
      
      % Warning: Bits overlapping with general prefix LOCAL_IPv6-PREFIX will be truncated


      Kan ik later wellicht naar kijken - iemand een idee wat ik fout doe hier ?
      Denk dat ik LOCAL_IPv6-PREFIX op /60 kan zetten en daaruit /64 subnets kan halen...


      EDIT 2: Ipv6 subnetting uitzoeken en goed begrijpen heeft me geholpen :)
    5. Dynamic routing aanpassen op IPv6.
      Hier static routes en connected redistribueren en de neighbor is Cisco Router VLAN255 interface IPv6 link-local adres (ook weer handmatig - zie ook A hierboven)
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      
      router eigrp MIND-ROUTE
       address-family ipv6 unicast autonomous-system 1000
        !
        topology base
         redistribute static
         redistribute connected
        exit-af-topology
        neighbor FE80::FF:C0:A8FF:FEFF:2 Vlan255
       exit-address-family
  3. CONTROLES
    1. Cisco Router IPv6 interface info - voor leesbaarheid de brief info
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      
      sh ipv6 int br
      
      GigabitEthernet0/0/0   [up/up]
          FE80::7A0C:F0FF:FEFC:BF00
          2001:1C00:2500:0:B872:28D2:7659:D7DF
       
      (...)
      
      Vlan255                [up/up]
          FE80::FF:C0:A8FF:FEFF:2
          2001:1C00:2508:9AFF:C0:A8:FF:2
    2. Cisco Router IPv6 ping naar Google DNS met Gi/0/0/0 van router als source
      code:
      1
      2
      3
      4
      5
      6
      7
      
      ping ipv6 2001:4860:4860::8844 source gi0/0/0
      
      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds:
      Packet sent with a source address of 2001:1C00:2500:0:B872:28D2:7659:D7DF
      !!!!!
      Success rate is 100 percent (5/5), round-trip min/avg/max = 8/12/20 ms
    3. Cisco Router IPv6 ping naar Google DNS met VLAN255 van router als source
      code:
      1
      2
      3
      4
      5
      6
      7
      
      ping ipv6 2001:4860:4860::8844 source vlan255
      
      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds:
      Packet sent with a source address of 2001:1C00:2508:9AFF:C0:A8:FF:2
      !!!!!
      Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/16 ms
    4. Cisco Layer 3 switch IPv6 interface info - voor leesbaarheid de brief info
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      
      sh ipv6 int br
      
      Vlan20                 [up/up]
          FE80::14:C0:A8FF:FE14:E
          2001:1C00:2508:9A14:C0:A8:14:E
       
      (...)
      
      Vlan255                [up/up]
          FE80::FF:C0:A8FF:FEFF:1
          2001:1C00:2508:9AFF:C0:A8FF:FEFF:1
    5. Cisco Layer 3 switch IPv6 ping naar Google DNS met VLAN255 van switch als source
      code:
      1
      2
      3
      4
      5
      6
      7
      
      ping ipv6 2001:4860:4860::8844 source vlan255
      
      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds:
      Packet sent with a source address of 2001:1C00:2508:9AFF:C0:A8FF:FEFF:1
      !!!!!
      Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/17 ms
    6. Cisco Layer 3 switch IPv6 ping naar Google DNS met VLAN20 van switch als source
      code:
      1
      2
      3
      4
      5
      6
      7
      
      ping ipv6 2001:4860:4860::8844 source vlan20
      
      Type escape sequence to abort.
      Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds:
      Packet sent with a source address of 2001:1C00:2508:9A14:C0:A8:14:E
      !!!!!
      Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/17 ms
    7. PC IPv6 Ping ping naar Google DNS dus op machine in VLAN20
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      
      ping 2001:4860:4860::8844
      
      Pinging 2001:4860:4860::8844 with 32 bytes of data:
      Reply from 2001:4860:4860::8844: time=24ms
      Reply from 2001:4860:4860::8844: time=10ms
      Reply from 2001:4860:4860::8844: time=8ms
      Reply from 2001:4860:4860::8844: time=9ms
      
      Ping statistics for 2001:4860:4860::8844:
          Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
      Approximate round trip times in milli-seconds:
          Minimum = 8ms, Maximum = 24ms, Average = 12ms
    8. PC - ipconfig informatie
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      14
      15
      16
      17
      18
      19
      20
      21
      22
      23
      24
      25
      26
      27
      28
      
      ipconfig /all
      
      (...)
      
      Ethernet adapter Ethernet 2:
      
         Connection-specific DNS Suffix  . :
         Description . . . . . . . . . . . : Realtek PCIe 2.5GbE Family Controller
         Physical Address. . . . . . . . . : <MAC>
         DHCP Enabled. . . . . . . . . . . : Yes
         Autoconfiguration Enabled . . . . : Yes
         IPv6 Address. . . . . . . . . . . : 2001:1c00:2508:9a14:417b:<MAC EUI64>(Preferred)
         Temporary IPv6 Address. . . . . . : 2001:1c00:2508:9a14:cc87:b0de:518b:4d43(Preferred)
         Link-local IPv6 Address . . . . . : fe80::417b:x:y:z%12(Preferred)
         IPv4 Address. . . . . . . . . . . : 192.168.20.1(Preferred)
         Subnet Mask . . . . . . . . . . . : 255.255.255.240
         Lease Obtained. . . . . . . . . . : zondag 5 december 2021 15:40:08
         Lease Expires . . . . . . . . . . : zondag 5 december 2021 19:40:09
         Default Gateway . . . . . . . . . : fe80::14:c0:a8ff:fe14:e%12
                                             192.168.20.14
         DHCP Server . . . . . . . . . . . : 192.168.20.14
         DHCPv6 IAID . . . . . . . . . . . : 334507892
         DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-C8-14-42-F0-2F-74-AD-B8-8F
         DNS Servers . . . . . . . . . . . : 84.200.69.80
                                             84.200.70.40
                                             194.36.144.87
                                             192.168.252.2
         NetBIOS over Tcpip. . . . . . . . : Enabled
    9. PC route informatie
      code:
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      14
      15
      16
      17
      18
      19
      20
      21
      22
      23
      
      route print
      
      (...)
      
      IPv6 Route Table
      ===========================================================================
      Active Routes:
       If Metric Network Destination      Gateway
       12    281 ::/0                     fe80::14:c0:a8ff:fe14:e
        1    331 ::1/128                  On-link
       12    281 2001:1c00:2508:9a14::/64 On-link
       12    281 2001:1c00:2508:9a14:417b:8c62:4854:f92c/128
                                          On-link
       12    281 2001:1c00:2508:9a14:cc87:b0de:518b:4d43/128
                                          On-link
       12    281 fe80::/64                On-link
       12    281 fe80::417b:8c62:4854:f92c/128
                                          On-link
        1    331 ff00::/8                 On-link
       12    281 ff00::/8                 On-link
      ===========================================================================
      Persistent Routes:
        None

[ Voor 13% gewijzigd door mindwarper op 06-12-2021 08:34 . Reden: layout en extra informatie ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW


Acties:
  • 0 Henk 'm!

  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 09:24
Heb nu wel een issue met IPv6 adressen toewijzen aan bijvoorbeeld VLAN 30
code:
1
000645: Dec  5 2021 17:48:32.412 NED: %IPV6_ADDRESS-3-ADDRESS_CFG: 2001:1C00:251C:400:0:14:14:14/64 can not be configured on Vlan30, 2001:1C00:251C:400::/64 is overlapping with 2001:1C00:251C:400::/64 on Vlan20


Wellicht mis ik gewoon iets simpels nu.... :?
Graag wat advies ?
Ik moet wat gaan opknippen, maar ben nog niet helemaal thuis nog in Pv6...
Gaat wel steeds beter... Maar nu ook wat sleep-deprived >:)

EDIT: Bovenstaande post aangepast - IPv6 subnetting heeft me wat wegwijs gemaakt..
Ik wil dus in mij eigen lokale pool gewoon nog steeds de /56 Prefix blijven gebruiken, zodat ik dus dan zelf /64 subnets kan maken op een mooie notatie manier, zodat ik gelijk het subnet herken aan de HEX waarde wat dan overeenkomt met (gedeelte van) het IPv4 adres van het zelfde VLAN :)

[ Voor 26% gewijzigd door mindwarper op 06-12-2021 00:26 . Reden: Extra info ]

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW


Acties:
  • +4 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
ed1703 schreef op zondag 5 december 2021 @ 15:56:
[...]

Vooral een kwestie van gevoel. Ik hou wel van dubbele beveiliging (zowel op edge als intern) en niet op alle laag2-netwerkdevices is dit goed te realiseren. Maar vooral dat er een globaal adres op huist geeft mij een ongemakkelijk gevoel. Voor de werking van het device niet nodig, voor beheer maakt het een stuk eenvoudiger natuurlijk.
Dat globale adres is juist het mooie van het internet!

Voorop: Je hebt een firewall in je router waarmee je weg kan filteren dat het internet bij je device kan. Expliciet geef je dan aan dat bepaalde hosts het wel mogen. Denk aan een VPS die je ergens huurt of het subnet van een goede vriend van je.

Ten tweede: Scans zijn met IPv6 echt verleden tijd. Niemand gaat je switch of AP zo maar automatisch vinden. Geen security by obscurity, maar meer dat jouw /56 afscannen gewoon onbegonnen werk is. Latency en tijd maken dat onhaalbaar.

Acties:
  • +2 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
mindwarper schreef op zondag 5 december 2021 @ 17:12:
Zo na een nachtje doorhalen en paar uurtjes slaap heb ik het min of meer werkend gekregen op een van mijn VLANs op mijn Layer 3 switch

Niet schrikken...
Ik zal hier wat boel code neerzetten om uit te leggen wat ik heb gedaan

[list=A]
CISCO ROUTER
[list=1]
• Natuurlijk allereerst IPv6 routing aanzetten
code:
1
ipv6 unicast-routing

• Eerst even de WAN interface - Gi0/0/0 van ipv6 config voorzien
code:
1
2
3
4
5
6
7
8
9
10
interface GigabitEthernet0/0/0
 description WAN_CONNECTBOX_ZIGGO
 ip address dhcp hostname RTR_C1117-mind
 ip nat outside
 ip access-group WAN_IN in
 negotiation auto
 ipv6 address dhcp
 ipv6 enable
 ipv6 dhcp client pd hint ::/56
 ipv6 dhcp client pd ISP_IPv6-PREFIX

• Als tweede op interface gi0/0/0 (WAN interface) kijken wat de link-local adres is van het Ziggo modem dat de DHCP-v6-PD doet
code:
1
2
3
4
5
6
sh ipv6 routers

Router FE80::201:5CFF:FE70:9446 on GigabitEthernet0/0/0, last update 0 min
  Hops 0, Lifetime 1800 sec, AddrFlag=1, OtherFlag=1
  HomeAgentFlag=0, Preference=Medium
  Reachable time 3600000 msec, Retransmit time 0 (unspecified)

• Static default ipv6 route configureren met dat Link-local adres
code:
1
ipv6 route ::/0 GigabitEthernet0/0/0 FE80::201:5CFF:FE70:9446 track 1 name WAN_ZIGGO_IPv6

[
Hier kloppen volgens mij twee dingen niet:

- Je moet je IPv6 adres op WAN/outside niet via DHCP verkrijgen
- Het moet niet nodig zijn zelf een default gateway te configureren

code:
1
2
ipv6 address autoconfig default
ipv6 enable


Dat moet voldoende zijn.

Het Link-Local adres van Ziggo voor je gateway kan zo maar veranderen en die moet je niet statisch willen configureren.

Acties:
  • +1 Henk 'm!

  • airell
  • Registratie: September 2001
  • Laatst online: 13-08 12:30
Voor de Mikrotik gebruikers onder ons, zorg dat je pool-prefix-length op 64 staat, zodat je /64 subnetten aan je address-en kunt hangen:

code:
1
2
3
4
5
6
7
/ipv6 dhcp-client
add add-default-route=yes interface=ether1 pool-name=ZiggoPool pool-prefix-length=64 prefix-hint=::/56 request=address,prefix use-peer-dns=yes

/ipv6 address
add from-pool=ZiggoPool interface=vlan-clients
add from-pool=ZiggoPool interface=vlan-domotica
add from-pool=ZiggoPool interface=vlan-gast


-> Als Interface een 'bridge' werkt helaas niet.

Mijn FW regels (als het beter kan, let me know!):

code:
1
2
3
4
5
6
7
8
/ipv6 firewall filter
add action=accept chain=forward connection-state=established,related in-interface=ether1
add action=accept chain=forward in-interface=ether1 protocol=icmpv6
add action=accept chain=input connection-state=established,related in-interface=ether1
add action=accept chain=input in-interface=ether1 protocol=icmpv6
add action=accept chain=input dst-port=546 in-interface=ether1 protocol=udp
add action=drop chain=forward in-interface=ether1
add action=drop chain=input in-interface=ether1


(wel natuurlijk de juiste (in-)interface gebruiken ...)

Acties:
  • +1 Henk 'm!

  • nescafe
  • Registratie: Januari 2001
  • Nu online
airell schreef op maandag 6 december 2021 @ 09:50:
-> Als Interface een 'bridge' werkt helaas niet.
Vreemd, kun je geen IP-adres aan een bridge koppelen of geen dhcpv6-client? Wat gebeurt er dan? Hier hangen de adressen nl. wel aan bridges maar gebruik ik geen vlans.
Mijn FW regels (als het beter kan, let me know!)
Er staat in de default config een firewall-set gebaseerd op interface lists. Als je ether1 aan WAN knoopt en je vlans aan LAN is dit eigenlijk de aanbevolen ruleset.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
/system default-configuration print

/ipv6 firewall {
  address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address"
  address-list add list=bad_ipv6 address=::1 comment="defconf: lo"
  address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local"
  address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped"
  address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat"
  address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only "
  address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation"
  address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID"
  address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone"
  address-list add list=bad_ipv6 address=::224.0.0.0/100 comment="defconf: other"
  address-list add list=bad_ipv6 address=::127.0.0.0/104 comment="defconf: other"
  address-list add list=bad_ipv6 address=::/104 comment="defconf: other"
  address-list add list=bad_ipv6 address=::255.0.0.0/104 comment="defconf: other"
  filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
  filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
  filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
  filter add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute"
  filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="defconf: accept DHCPv6-Client prefix delegation."
  filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
  filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
  filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
  filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
  filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
  filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
  filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
  filter add chain=forward action=drop src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6"
  filter add chain=forward action=drop dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6"
  filter add chain=forward action=drop protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1"
  filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
  filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP"
  filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
  filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
  filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
  filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
  filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
}

* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans


Acties:
  • +2 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
airell schreef op maandag 6 december 2021 @ 09:50:
Voor de Mikrotik gebruikers onder ons, zorg dat je pool-prefix-length op 64 staat, zodat je /64 subnetten aan je address-en kunt hangen:

Mijn FW regels (als het beter kan, let me know!):

code:
1
2
3
4
5
6
7
8
/ipv6 firewall filter
add action=accept chain=forward connection-state=established,related in-interface=ether1
add action=accept chain=forward in-interface=ether1 protocol=icmpv6
add action=accept chain=input connection-state=established,related in-interface=ether1
add action=accept chain=input in-interface=ether1 protocol=icmpv6
add action=accept chain=input dst-port=546 in-interface=ether1 protocol=udp
add action=drop chain=forward in-interface=ether1
add action=drop chain=input in-interface=ether1


(wel natuurlijk de juiste (in-)interface gebruiken ...)
Ik gebruik deze regels:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
/ipv6 firewall filter
add action=accept chain=forward packet-size=0-65535 protocol=icmpv6
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward protocol=tcp tcp-flags=syn,ack
add action=accept chain=forward protocol=tcp tcp-flags=psh,ack
add action=accept chain=forward protocol=tcp tcp-flags=ack
add action=accept chain=forward protocol=tcp tcp-flags=rst
add action=accept chain=forward protocol=tcp tcp-flags=fin
add action=accept chain=forward in-interface-list=LAN
add action=accept chain=forward dst-port=161 protocol=udp src-address-list=\
    monitoring
add action=accept chain=input packet-size=0-65535 protocol=icmpv6
add action=accept chain=input dst-port=161 in-interface-list=WAN protocol=udp \
    src-address-list=monitoring
add action=accept chain=input dst-port=22 protocol=tcp src-address-list=\
    management
add action=reject chain=input log=yes log-prefix="ipv6 input drop:" \
    reject-with=icmp-admin-prohibited
add action=reject chain=forward log=yes log-prefix="ipv6 forward drop:" \
    reject-with=icmp-admin-prohibited

Acties:
  • +2 Henk 'm!

  • c-nan
  • Registratie: Juni 2008
  • Laatst online: 10:21
c-nan schreef op vrijdag 3 december 2021 @ 09:45:
Iemand IPv6 + Edgerouter + Ziggo aan de praat gekregen? Hoe heb je het ingesteld op de Edgerouter?

Ik heb:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
 interfaces {
     ethernet eth0 {
         address dhcp
         description Internet
         dhcpv6-pd {
             pd 0 {
                 interface switch0 {
                     host-address ::1
                     prefix-id :1
                     service slaac
                 }
                 prefix-length /56
             }
             rapid-commit enable
         }
         duplex auto
         firewall {
             in {
                 ipv6-name WANv6_IN
                 name WAN_IN
             }
             local {
                 ipv6-name WANv6_LOCAL
                 name WAN_LOCAL
             }
         }
         speed auto
     }


krijg echter geen IPv6 toegewezen.

/edit
Ik heb trouwens geen brief ontvangen van Ziggo dat ik IPv6 zou krijgen.
Vandaag vervangende modem ontvangen van Ziggo. Aangesloten en IPv6 werkt direct _/-\o_
Nu nog mn DNS server (pihole) IPv6 aware maken.

EU DNS: 86.54.11.100


Acties:
  • 0 Henk 'm!

  • mindwarper
  • Registratie: Mei 2009
  • Laatst online: 09:24
Snow_King schreef op maandag 6 december 2021 @ 09:09:
[...]


Hier kloppen volgens mij twee dingen niet:

- Je moet je IPv6 adres op WAN/outside niet via DHCP verkrijgen
- Het moet niet nodig zijn zelf een default gateway te configureren

code:
1
2
ipv6 address autoconfig default
ipv6 enable


Dat moet voldoende zijn.

Het Link-Local adres van Ziggo voor je gateway kan zo maar veranderen en die moet je niet statisch willen configureren.
Ik had al de autoconfig geprobeerd, maar nog niet met default erachter....
Dat met autoconfig lukte toen niet om op die manier een IPv6 adres te krijgen op mijn gi0/0/0 interface, met dhcp wel blijkbaar...

IPv6 enable is nodig op een interface om IPv6 ook echt "aan" te zetten op die interface...
Om dus te kunnen gebruiken is het nodig

Als test had ik al eens de modem paar keer uit en weer aan gedaan...
De prefix via PD verandert telkens op die manier ja, maar telkens weer wat het IPv6 link-local adres FE80:: van de modem steeds weer identiek...
Dus verandert die niet telkens na een herstart van modem zelf....
Dus vandaar dat adres

Maar bedankt voor je tips...
Ik heb dit nu gemaakt eerste keer zo... En ik ben er trots op dat me dat is gelukt.
Tuurlijk kan ik nog verder fine tunen met je tips...
En ook IPv6 ACLs erop zetten ook nog op alle interfaces...
Dat is voor een volgende keer

Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW


Acties:
  • +1 Henk 'm!

  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 23-09 21:57
Snow_King schreef op zondag 5 december 2021 @ 17:56:
[...]
Ten tweede: Scans zijn met IPv6 echt verleden tijd. Niemand gaat je switch of AP zo maar automatisch vinden. Geen security by obscurity, maar meer dat jouw /56 afscannen gewoon onbegonnen werk is. Latency en tijd maken dat onhaalbaar.
Een switch of AP vinden is misschien moeilijk, maar een desktop vinden is niet direct moeilijk. Ongetwijfeld dat er farms komen die real-time ip-adressen gaan harvesten (bijvoorbeeld via advertentienetwerken). Ook al zijn die ip's tijdelijk (indien SLAAC), maar een beetje aanvaller heeft geen weken nodig om een gevonden ip aan te vallen.

Nog steeds niets aan de hand, daar zijn firewalls voor.

Wil je dan heel graag 2 lagen security, dan enable je een firewall op zowel je router als je workstation. Problem solved :)

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


Acties:
  • +1 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
mindwarper schreef op maandag 6 december 2021 @ 18:10:
[...]

Ik had al de autoconfig geprobeerd, maar nog niet met default erachter....
Dat met autoconfig lukte toen niet om op die manier een IPv6 adres te krijgen op mijn gi0/0/0 interface, met dhcp wel blijkbaar...

IPv6 enable is nodig op een interface om IPv6 ook echt "aan" te zetten op die interface...
Om dus te kunnen gebruiken is het nodig

Als test had ik al eens de modem paar keer uit en weer aan gedaan...
De prefix via PD verandert telkens op die manier ja, maar telkens weer wat het IPv6 link-local adres FE80:: van de modem steeds weer identiek...
Dus verandert die niet telkens na een herstart van modem zelf....
Dus vandaar dat adres

Maar bedankt voor je tips...
Ik heb dit nu gemaakt eerste keer zo... En ik ben er trots op dat me dat is gelukt.
Tuurlijk kan ik nog verder fine tunen met je tips...
En ook IPv6 ACLs erop zetten ook nog op alle interfaces...
Dat is voor een volgende keer
Houd er rekening mee dat het fe80:: adres aan de Ziggo zijde NIET stabiel is. Ofwel, als Ziggo daar een router vervangt of je verkeer om routeert naar een andere router kan dit adres zo maar ineens veranderen.

Wellicht moet je dan doen:

code:
1
ipv6 address dhcp default


In ieder geval moet je router zelf de default route via Ziggo leren en statisch configureren moet niet nodig zijn.
Freeaqingme schreef op maandag 6 december 2021 @ 18:17:
[...]


Een switch of AP vinden is misschien moeilijk, maar een desktop vinden is niet direct moeilijk. Ongetwijfeld dat er farms komen die real-time ip-adressen gaan harvesten (bijvoorbeeld via advertentienetwerken). Ook al zijn die ip's tijdelijk (indien SLAAC), maar een beetje aanvaller heeft geen weken nodig om een gevonden ip aan te vallen.

Nog steeds niets aan de hand, daar zijn firewalls voor.

Wil je dan heel graag 2 lagen security, dan enable je een firewall op zowel je router als je workstation. Problem solved :)
2 lagen is sowieso niets mis mee. Want zo voorkom je ook als Malware je Layer 2 domein bereikt het niet alsnog bepaalde PC's in komt.

Op mijn Mac en Linux systemen staat de firewall gewoon aan, ook op het interne netwerk.

Acties:
  • +1 Henk 'm!

  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 23-09 21:57
Snow_King schreef op maandag 6 december 2021 @ 18:50:

[...]

2 lagen is sowieso niets mis mee. Want zo voorkom je ook als Malware je Layer 2 domein bereikt het niet alsnog bepaalde PC's in komt.

Op mijn Mac en Linux systemen staat de firewall gewoon aan, ook op het interne netwerk.
Ik zei 't een beetje onhandig, maar helemaal mee eens!

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


Acties:
  • +2 Henk 'm!

  • ANdrode
  • Registratie: Februari 2003
  • Niet online
Freeaqingme schreef op maandag 6 december 2021 @ 18:17:
[...]


Een switch of AP vinden is misschien moeilijk, maar een desktop vinden is niet direct moeilijk. Ongetwijfeld dat er farms komen die real-time ip-adressen gaan harvesten (bijvoorbeeld via advertentienetwerken). Ook al zijn die ip's tijdelijk (indien SLAAC), maar een beetje aanvaller heeft geen weken nodig om een gevonden ip aan te vallen.
Gebeurde al, shodan had een paar jaar geleden hosts in de NTP pools :)
Nog steeds niets aan de hand, daar zijn firewalls voor.

Wil je dan heel graag 2 lagen security, dan enable je een firewall op zowel je router als je workstation. Problem solved :)
En dan is:
  • De "inkomend niet-ICMP blokkeren" regel de effectievere varaint van dezelfde bescherming die NAT geeft bij IPv4
  • De host firewall die op source IP filtert de echte acl
Uberhaupt wil je ACLs in een modern netwerk ook op je eindpunten hebben in plaats van alleen _in_ het netwerk/op routers. Je kan veel fijnmaziger filteren. In een netwerk-segment hoeft niet alles met elkaar te kunnen praten. Dat is alleen fijn voor de pen-testers en echte aanvallers.

offtopic:
Heb zelf geëxperimenteerd met single-stack voor machines. Mijn conclusie is dat ik dan liever meteen al het http via een proxy doe ipv NAT64. Die proxy geeft je wéér een makkelijk punt om makkelijk flows te filteren

[ Voor 9% gewijzigd door ANdrode op 06-12-2021 19:44 ]


Acties:
  • +1 Henk 'm!

  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 23-09 21:57
ANdrode schreef op maandag 6 december 2021 @ 19:42:
[...]


offtopic:
Heb zelf geëxperimenteerd met single-stack voor machines. Mijn conclusie is dat ik dan liever meteen al het http via een proxy doe ipv NAT64. Die proxy geeft je wéér een makkelijk punt om makkelijk flows te filteren
Grappig dat je 't zegt. Toevallig ben ik recentelijk ook uitgebreid bezig geweest met NAT64. Het resultaat vond ik op een Linux stack allemaal net te fragiel, waardoor ik ook gewoon uitkwam op het inrichten van een Squid-server. Is ook leuk voor compliance eventueel.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


Acties:
  • 0 Henk 'm!

  • TurboTon1973
  • Registratie: September 2010
  • Laatst online: 23-09 21:32
Qlimaxxx schreef op zaterdag 4 december 2021 @ 15:14:
[...]


Wat voor TV's, tablets en telefoons heb je dan zoal?

Kan me amper voorstellen dat telefoons en tablets geen IPv6 ondersteuning hebben.

Net even getest, hoewel je het weliswaar handmatig in moet schakelen op zowel mijn LG Oled uit 2018 als een Sony smart TV van 8 jaar oud, werken ze allebei gewoon met IPv6. Of de verouderde Netflix app op die oudere tv ook gebruik gaat maken van IPv6 is natuurlijk nog de vraag, maar op hardware en OS-niveau is de ondersteuning er zeker.
Op mijn Samsung tablet uit 2017 duurt het heel lang voordat er bv in de ad app artikelen geladen worden

Acties:
  • 0 Henk 'm!

  • Robvef
  • Registratie: November 2004
  • Laatst online: 26-08 15:05
@drocona Welke versie van FortiOS gebruik je? Want ik probeer dit ook op mijn Fortigate 60E te doen (FortiOS 7.0.2) maar ik krijg het niet voor elkaar met die dhcp6-prefix-hint op mijn wan verbinding. Hij pakt hem niet.
drocona schreef op zaterdag 4 december 2021 @ 12:06:
Ik heb gisteravond even een uurtje gezeten om te testen of ik IPv6 kon ontvangen op mijn Ziggo verbinding en is het redelijk snel gelukt.

- Zelf heb ik de e-mail of brief niet ontvangen, maar zit wel in origineel Ziggo gebied en maak gebruik van een Ubee UBC1318ZG (Zakelijke aansluiting in Bridge).
- Als firewall/router gebruik ik een Fortigate, zorg er voor dat de firmware up-to-date is gezien Prefix Delegation functionaliteit later is toegevoegd (ergens in de hoge versie 5 van FortiOS, als je op 6 of hoger zit is dus prima)

Voor de mensen die het op een Fortigate werkend willen krijgen, ik heb het nu met SLAAC + stateless DHCPv6 ingesteld met de volgende configuratie:

Op de interface met de Ziggo verbinding, dit kan wan, wan1, wan2 etc zijn, vervang dit door de naam van de interface. Ik heb alleen ping toegestaan, verder geen toegang, dit kun je zelf uitbreiden wanneer nodig (https bijvoorbeeld).
code:
1
2
3
4
5
6
7
8
9
10
config system interface
    edit "wan"
        config ipv6
            set ip6-mode dhcp
            set ip6-allowaccess ping
            set dhcp6-prefix-delegation enable
            set dhcp6-prefix-hint ::/56
        end
    next
end


Dan op de LAN interface waar jouw devices zitten, verander hier jouw interne interface naam, vergeet ook hier niet de correcte naam van de WAN verbinding aan te geven, anders werkt het niet! We geven het eerste /64 subnet met het 1e ip ::1 aan als adres van de router op deze interface. We stellen SLAAC in en daarnaast geven we aan dat er een DHCPv6 is voor verdere additionele configuratie (ik heb mijn eigen DNS servers).
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
config system interface
    edit "lan"
        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping https ssh snmp
            set ip6-send-adv enable
            set ip6-other-flag enable
            set ip6-upstream-interface "wan"
            set ip6-subnet ::1/64
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan"
                    set autonomous-flag enable
                    set onlink-flag enable
                    set subnet ::/64
                next
            end
        end
    next
end


Als laatste de DHCPv6 server voor DNS server informatie, stel wederom de interne interface naam in en geef de DNS servers in IPv6 aan (Cloudflare: 2606:4700:4700::1111 en 2606:4700:4700::1001; Google: 2001:4860:4860::8888 en 2001:4860:4860::8844)
code:
1
2
3
4
5
6
7
config system dhcp6 server
    edit 1
        set interface "lan"
        set dns-server1 2606:4700:4700::1111
        set dns-server2 2606:4700:4700::1001
    next
end


Als alles ingesteld is kunnen we de ranges ophalen (dit moet geforceerd, gaat niet automatisch tenzij je de Fortigate herstart), geef ook hier de WAN interface op.
code:
1
execute interface dhcp6client-renew wan


Als laatste zijn er nog wat IPv6 firewall policies nodig. Allereerst verkeer toestaan vanuit je LAN naar WAN (kun je kopieren vanuit je IPv4 policy) en als tweede sta je ALL_ICMPv6 service toe van WAN naar LAN any/any. Vergeet niet om je NAT uit te schakelen op de firewall regels, dit is niet meer nodig!

Als het goed is heb je nu onmiddellijk IPv6 connectiviteit op al je clients in je netwerk.
Hoop dat het iemand helpt!

The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.


Acties:
  • 0 Henk 'm!

  • airell
  • Registratie: September 2001
  • Laatst online: 13-08 12:30
nescafe schreef op maandag 6 december 2021 @ 10:02:
[...]
Vreemd, kun je geen IP-adres aan een bridge koppelen of geen dhcpv6-client? Wat gebeurt er dan? Hier hangen de adressen nl. wel aan bridges maar gebruik ik geen vlans.
[...]
Misschien is het vlan/bridge technisch, maar als ik de addresses rule aan de 'vlan bridge' koppel, dan krijgen mijn clients geen ip adres. Koppel ik deze direct aan de vlan interface, dan gaat het prima:

code:
1
2
3
4
5
6
7
8
9
10
11
12
/interface vlan
add comment=guest interface=the-lan-bridge name=vlan-27 vlan-id=27

/interface bridge
add fast-forward=no name=the-lan-bridge vlan-filtering=yes

/interface bridge vlan
add bridge=the-lan-bridge comment=guest tagged=the-lan-bridge,vlan-27 vlan-ids=27

/ipv6 address
add from-pool=ZiggoPool interface=vlan-27
add disabled=yes from-pool=ZiggoPool interface=the-lan-bridge

^^^^ de laatste regel werkt dus niet. Verder geen issue nu, want ik kan ze ook aan een vlan direct zetten.
nescafe schreef op maandag 6 december 2021 @ 10:02:
Er staat in de default config een firewall-set gebaseerd op interface lists. Als je ether1 aan WAN knoopt en je vlans aan LAN is dit eigenlijk de aanbevolen ruleset.
Super dank je!

[ Voor 24% gewijzigd door airell op 07-12-2021 14:59 ]


Acties:
  • +1 Henk 'm!

  • Vizor
  • Registratie: Mei 2008
  • Laatst online: 09:59
@Robvef Gisteren een korte chat gehad met Fortinet support. Hierbij de tip gekregen om gebruik te maken van config dhcp6-iapd-list. Dit schijnt nieuw te zijn sinds FortiOS 7.0.x. Heb het helaas nog niet werkend gekregen.

https://docs.fortinet.com...0/config-system-interface

Mocht je het werkend gekregen hebben hoor ik het graag.
Robvef schreef op dinsdag 7 december 2021 @ 14:02:
@drocona Welke versie van FortiOS gebruik je? Want ik probeer dit ook op mijn Fortigate 60E te doen (FortiOS 7.0.2) maar ik krijg het niet voor elkaar met die dhcp6-prefix-hint op mijn wan verbinding. Hij pakt hem niet.


[...]

Acties:
  • +1 Henk 'm!

  • Freeaqingme
  • Registratie: April 2006
  • Laatst online: 23-09 21:57
https://www.hetzner.com/news/12-21-ipv6-only/

Hetzner biedt nu ipv6-only servers:
IPV6 ONLY OPTION FOR DEDICATED ROOT SERVERS
We are always working on providing you with the best solutions. Therefore, to make things more flexible for you, our dedicated root servers support IPv6 only.

You now have the option to order a server with just an IPv6 /64 subnet. Our dedicated root servers will still include an IPv4 Addon by default, but you can now easily remove it during the ordering process.


We will continue to improve this new solution and are already working on an IPv6 only solution for cloud servers, too.
Ben benieuwd hoeveel dit in eerste instantie afgenomen wordt, maar wel fijn te zien dat dit meer en meer common-place begint te worden.

Edit: Ook even gekeken wat zo'n IP dan kost. Je kan 1.70 euro ex btw (2.02 eur inc. MWST) besparen door 'm bij 't bestellen uit te vinken.

[ Voor 8% gewijzigd door Freeaqingme op 07-12-2021 22:20 ]

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.


Acties:
  • 0 Henk 'm!

  • Robvef
  • Registratie: November 2004
  • Laatst online: 26-08 15:05
@Vizor Dank je voor deze aanwijzing, krijg nu al meer te zien in mijn configuratie. Heb daarna ook nog deze post gevonden, misschien dat jij daar ook iets aan hebt? Of misschien kende je hem al?

https://community.fortine...LAN-interface/td-p/199091
Vizor schreef op dinsdag 7 december 2021 @ 15:12:
@Robvef Gisteren een korte chat gehad met Fortinet support. Hierbij de tip gekregen om gebruik te maken van config dhcp6-iapd-list. Dit schijnt nieuw te zijn sinds FortiOS 7.0.x. Heb het helaas nog niet werkend gekregen.

https://docs.fortinet.com...0/config-system-interface

Mocht je het werkend gekregen hebben hoor ik het graag.


[...]

The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.


Acties:
  • 0 Henk 'm!

  • drocona
  • Registratie: September 2018
  • Laatst online: 19-09 08:59
Robvef schreef op dinsdag 7 december 2021 @ 14:02:
@drocona Welke versie van FortiOS gebruik je? Want ik probeer dit ook op mijn Fortigate 60E te doen (FortiOS 7.0.2) maar ik krijg het niet voor elkaar met die dhcp6-prefix-hint op mijn wan verbinding. Hij pakt hem niet.


[...]
Ik zit zelf op versie 6.x, dus met het antwoord van @Vizor komt dat inderdaad overeen.
Hoop dat het met zijn antwoord lukt @Robvef!

Acties:
  • 0 Henk 'm!

  • Snow_King
  • Registratie: April 2001
  • Laatst online: 11:00
Freeaqingme schreef op dinsdag 7 december 2021 @ 15:27:
https://www.hetzner.com/news/12-21-ipv6-only/

Hetzner biedt nu ipv6-only servers:

[...]


Ben benieuwd hoeveel dit in eerste instantie afgenomen wordt, maar wel fijn te zien dat dit meer en meer common-place begint te worden.
Tof!

Sowieso goed om daarmee te experimenteren en te werken.

Acties:
  • 0 Henk 'm!

  • Robvef
  • Registratie: November 2004
  • Laatst online: 26-08 15:05
drocona schreef op dinsdag 7 december 2021 @ 20:46:
[...]


Ik zit zelf op versie 6.x, dus met het antwoord van @Vizor komt dat inderdaad overeen.
Hoop dat het met zijn antwoord lukt @Robvef!
Ik heb het nu half werkend, ik krijg op mijn desktop computer inderdaad een IPv6 address bestaande uit de prefix en subnet wat ik heb aangemaakt. Heb hiervoor ook een firewall rule zonder NAT aangemaakt, maar het lukt me nog niet om een ipv6 test succesvol te voldoen.

Ik ga er morgen weer meer verder, maar kom dus dichterbij een werkende oplossing

@Vizor dank je voor je input
@drocona Dank je voor je reply

The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.


Acties:
  • +1 Henk 'm!

  • zx9r_mario
  • Registratie: Oktober 2004
  • Laatst online: 08:25
De nieuwe RouterOS 7.1 versie van Mikrotik ondersteund IPv6 NAT66. Wel handig als je ULA adressen gebruikt icm een wireguard vps.

Acties:
  • +1 Henk 'm!

  • Vorkie
  • Registratie: September 2001
  • Niet online
zx9r_mario schreef op donderdag 9 december 2021 @ 11:42:
De nieuwe RouterOS 7.1 versie van Mikrotik ondersteund IPv6 NAT66. Wel handig als je ULA adressen gebruikt icm een wireguard vps.
Laat mijn cursusleider dit maar niet horen, NAT66. :+

Acties:
  • +5 Henk 'm!

  • Robvef
  • Registratie: November 2004
  • Laatst online: 26-08 15:05
Ik ben er eens verder ingedoken en heb het nu ook werkend voor een Fortigate (60E) met FortiOS 7.0.2
De configuratie hierin is net even wat anders als in lagere versies van FortiOS.

Wat is sowieso van te voren heb gedaan, is eerst het modem een reboot gegeven. Daarna na het configureren van de WAN-interface ook de Fortigate een reboot gegeven.

De code is voortzetting van @drocona met input van @Vizor en mijn eigen input.

De oplossing zat in de WAN-interface config dhcp6-iapd-list en daaronder het nummer wat genoemd wordt te refereren in de interface op de LAN-zijde onder set ip6-delegated-prefix-iaid <nummer uit dhcp6-iapd-list>

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
config system interface
    edit "wan1"
        set vdom "root"
        set mode dhcp
        set allowaccess fabric
        set type physical
        set monitor-bandwidth enable
        set role wan
        set snmp-index 1
        config ipv6
            set ip6-mode dhcp
            set ip6-allowaccess fabric
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list  
                edit 5 
                    set prefix-hint ::/56
                next
                edit 6
                next
            end
        end
    next


Op de LAN interfaces komt de dhcp6-iapd-list weer terug. Pas daar waar nodig de interface aan voor het subnet dat je wil instellen. In de code hieronder zie je dus dat bij set ip6-delegated-prefix-iaid het nummer genoemd wordt wat bij config dhcp6-iapd-list terugkomen.

Wat je daarna ook nog moet doen is bij config ip6-delegated-prefix-list de /64 prefix neerzetten die je terug vindt in de GUI onder de interface configuratie bij IPv6 Address/Prefix. Wat in mijn geval 2001:1c03:xxxx:xxxx::/64 is

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
config system interface
    edit "internal"
        config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping https ssh snmp
            set ip6-delegated-prefix-iaid 5
            set ip6-send-adv enable
            set ip6-other-flag enable
            set ip6-upstream-interface "wan1"
            set ip6-subnet ::1/64
            config ip6-prefix-list
                edit 2001:1c03:xxxx:xxxx::/64
                next
            end
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan1"
                    set subnet ::/64
                next
            end
        end
    next
end


Heb je nu meerdere vlans aangemaakt onder een fysieke interface is dat ook geen probleem, moet je alleen een andere ::/64 verzinnen. Hieronder een voorbeeld van hoe dat bij 1 van mijn vlans is gedaan. Let hierbij op set ip6-subnet regel.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
edit "<vlan naam>"
        config ipv6
            set ip6-mode delegated
            set ip6-delegated-prefix-iaid 5
            set ip6-send-adv enable
            set ip6-manage-flag enable
            set ip6-other-flag enable
            set ip6-upstream-interface "wan1"
            set ip6-subnet ::3:0:0:0:1/64
            config ip6-prefix-list
                edit 2001:1c03:xxxx:xxx3::/64
                next
            end
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan1"
                    set subnet ::/64
                next
            end
        end


Daarna een ipv6 policy aangemaakt in de GUI. Die kun je alleen aanmaken als je ipv6 goed geconfigureerd is heb ik gemerkt.

En daarna getest met bijv. ip.bieringer.net en ipv6test.google.com

Hoop dat dit mensen helpt die ook een Fortigate hebben :*)

The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.


Acties:
  • 0 Henk 'm!

  • Muis666
  • Registratie: December 2007
  • Laatst online: 07:19
Vorkie schreef op donderdag 9 december 2021 @ 11:49:
[...]


Laat mijn cursusleider dit maar niet horen, NAT66. :+
Tja, ik was ook naar het kijken naar wireguard en IPv6 en het viel me op dat alle voorbeelden die ik kon vinden met NAT werkten. Dus voorlopig ben ik maar even IPv4 only gebleven (voor wireguard dan).

Acties:
  • +2 Henk 'm!

  • Vorkie
  • Registratie: September 2001
  • Niet online
Muis666 schreef op donderdag 9 december 2021 @ 11:57:
[...]

Tja, ik was ook naar het kijken naar wireguard en IPv6 en het viel me op dat alle voorbeelden die ik kon vinden met NAT werkten. Dus voorlopig ben ik maar even IPv4 only gebleven (voor wireguard dan).
Ik heb gewoon in WG een /64 subnet doorgezet. Zij het statisch toegewezen natuurlijk.

:1 is de WG interface en dan alle clients opvolgend ::2 of iets leuks, zoals mijn mobiel ::1337 heeft.

Acties:
  • 0 Henk 'm!

  • zx9r_mario
  • Registratie: Oktober 2004
  • Laatst online: 08:25
Vorkie schreef op donderdag 9 december 2021 @ 12:11:
[...]


Ik heb gewoon in WG een /64 subnet doorgezet. Zij het statisch toegewezen natuurlijk.

:1 is de WG interface en dan alle clients opvolgend ::2 of iets leuks, zoals mijn mobiel ::1337 heeft.
Hoe heb je WG geregeld als ik vragen mag, is dat op een vps met een eigen /64 subnet?

Acties:
  • 0 Henk 'm!

  • Vorkie
  • Registratie: September 2001
  • Niet online
zx9r_mario schreef op donderdag 9 december 2021 @ 12:20:
[...]


Hoe heb je WG geregeld als ik vragen mag, is dat op een vps met een eigen /64 subnet?
Nee thuis uit mijn /48, maar als je VPS een /64 hebt is het al wat lastiger natuurlijk :)
Pagina: 1 ... 113 ... 130 Laatste

Let op:
Let op: Blijf netjes reageren, en laat dit topic niet verzanden in een "wellus / nietus" discussie.. Opmerkingen als "het werkt hier ook" zijn ook niet gewenst.