Ja dat gebeurt een hoop - Apple spul gebruikt ook allerlei ad-hoc IPv6 netwerken, tussen je iPhone en oordopjes, watch enzo.
Ja, maar het is wel leuk. Zo gebruik Matter het ook en als ik sniff zie ik dat Hue ook veel met IPv6 doet.Dreamvoid schreef op maandag 29 november 2021 @ 18:42:
Ja dat gebeurt een hoop - Apple spul gebruikt ook allerlei ad-hoc IPv6 netwerken, tussen je iPhone en oordopjes, watch enzo.
Het is jammer dat zo weinig mensen de kracht van IPv6 zien op dat gebied.
Het is niet zo'n probleem om over te stappen van netstat naar ss .
Maar je hebt dit probleem op veel meer plaatsen.
Bijvoorbeeld in tmux kon je eerst rechtsonder het IP-adres (IPv4) zetten via #(hostname -I)
en dat past nu dus niet meer (ik heb het vervangen door een awk script).
Maar je hebt dit probleem op veel meer plaatsen.
Bijvoorbeeld in tmux kon je eerst rechtsonder het IP-adres (IPv4) zetten via #(hostname -I)
en dat past nu dus niet meer (ik heb het vervangen door een awk script).
„Ik kan ook ICT, want heel moeilijk is dit niet”
Dat het nieuwer en/of moderner is zal best, maar wat zijn de daadwerkelijke redenen om dat te doenVerwijderd schreef op maandag 29 november 2021 @ 12:24:
Begin op zijn minst met netstat te vervangen voor ss
Doe meteen ifconfig vervangen door ip
Ik vind het ip commando echt een draak vergeleken met ifconfig -a en dan meteen alles weten wat je wilde weten!
Dat ss commando ben ik nog nergens tegengekomen dus dat ga ik eens uitzoeken als netstat -a & netstat -an verslaafde zijnde!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Verwijderd
Dat oude commando’s met de tijd verdwijnen. 🤷🏻♂️nero355 schreef op maandag 29 november 2021 @ 23:40:
[...]
Dat het nieuwer en/of moderner is zal best, maar wat zijn de daadwerkelijke redenen om dat te doen
Ik vind het ip commando echt een draak vergeleken met ifconfig -a en dan meteen alles weten wat je wilde weten!
Dat ss commando ben ik nog nergens tegengekomen dus dat ga ik eens uitzoeken als netstat -a & netstat -an verslaafde zijnde!
En ip kan veel meer dan ifconfig kon.
Niet alleen het IP en MAC, maar ook link status, routes, neighbors, monitoring, tunnels.
Voor beide het grootste voordeel: minder tikken 👌😂
Mndr tkknVerwijderd schreef op dinsdag 30 november 2021 @ 07:29:
[...]
Dat oude commando’s met de tijd verdwijnen. 🤷🏻♂️
En ip kan veel meer dan ifconfig kon.
Niet alleen het IP en MAC, maar ook link status, routes, neighbors, monitoring, tunnels.
Voor beide het grootste voordeel: minder tikken 👌😂

:strip_exif()/f/image/wFYjy61MVkooWbs5x39NPriT.jpg?f=fotoalbum_large)
Lesdictische is mijn hash#
Super! Ik woon in Limburg en kan gelijk bij twee buren dit even aan gaan zetten. Zelf heb ik Ziggo Zakelijk Pro en had ik dus al IPv6, maar zij hebben een Unifi Secure Gateway als router. Even bij hen langs en IPv6 aan zetten in de USG.Dutch2007 schreef op maandag 29 november 2021 @ 23:37:
En nu native IPv6 via Ziggo (regio Zuid-limburg; fZiggo gebied; in brigde mode
[Afbeelding]
Even snel bij bij de buren aanzettenSnow_King schreef op dinsdag 30 november 2021 @ 08:01:
[...]
Super! Ik woon in Limburg en kan gelijk bij twee buren dit even aan gaan zetten. Zelf heb ik Ziggo Zakelijk Pro en had ik dus al IPv6, maar zij hebben een Unifi Secure Gateway als router. Even bij hen langs en IPv6 aan zetten in de USG.

Leer je ze ook opnieuw de firewall inrichten of ga jij hun vlan management en onderhouden doen?
En wat (welk voordeel heeft ) de buurman (draaien ) dat zo hij direct overhaast met zij usg over moet op ipv6?Jje weet dat bij een usg ipv4 en ipv6 default zonder firewall regels staat ingesteld en dat all custom ipv4 regel niet op ipv6 van toepassing zijn. Dus dat even ipv6 aanzetten betekent dat er geen vlan isolation meer is alles publieke toegankelijk wordt?
En wat draait er bijv al ipv6 lokaal je wil geen conflicten/dat 1 keer bellen mijn bla bla bla werkt niet meer ? ipv6 nooit configureren omdat je niet gebruikt is niet het zelfde als ipv6 uitschakelen omdat je nooit gebruikt

Niet/nooit geconfigureerd betekent niet dat er bijv door IoT of Apple apparaten zonder het als gebruiker te weken al een ipv6 netwerk op de achtergrond draait.
Maar ipv6 even
bij
Even iets snel de buren aanzetten is nooit een goed idee. Mijn ervaring is dat het vanwege Sinterklaas nooit even snel is omdat altijd een verrassing uit de network tree kunnen vallen
[ Voor 30% gewijzigd door xbeam op 30-11-2021 18:32 ]
Lesdictische is mijn hash#
Als je dit topic een beetje volgt weet je dat ik heel, heel, heel veel met IPv6 en networking werk.xbeam schreef op dinsdag 30 november 2021 @ 08:13:
[...]
Even bij de buren aanzetten![]()
Leer je ze ook de firewall inrichten of ga jij hun vlan management en onderhouden doen?
En wat heeft (voordeel heeft ) de buurman (draaien ) dat zo hij direct overhaast hij met zij usg over moet op ipv6. je weet dat bij een usg ipv4 default zonder firewall regels staat ingesteld en dat all custom ipv4 regel niet op ipv6 van toepassing zijn. Dus dat ipv6 even aanzetten betekent dat er geen vlan isolation meer is alles publieke toegankelijk wordt.
Je geeft ook in je eigen post aan "over op IPv6" en dat is gewoon niet correct. Ze krijgen IPv6 NAAST IPv4. Dual-Stack dus.
In hun huizen draait al een gehele Unifi setup met USG, Switches en Access Points en daar hebben we eerder gekozen het modem in bridge te zetten wachtende op IPv6 daar.
Firewalling met IPv6 is allemaal niet zo lastig en prima in te regelen op een USG. Zo spannend is het allemaal niet.
Ik zeg ook niet dat spannend is. Maar Ik waarschuw dat je het niet moet vergeten en die waarschuwing is ook een beetje tegen de unifi massa consumer die hopelijk komt om kijken hoe je ipv6 moet aanvinken op een usg/UDM. Zo dat ze het niet zoals vele vergeet. Vele zetten gewoon ipv6 dhcp en vinkje ipv6 in lan config aan en klaar.Snow_King schreef op dinsdag 30 november 2021 @ 08:16:
[...]
Als je dit topic een beetje volgt weet je dat ik heel, heel, heel veel met IPv6 en networking werk.
Je geeft ook in je eigen post aan "over op IPv6" en dat is gewoon niet correct. Ze krijgen IPv6 NAAST IPv4. Dual-Stack dus.
In hun huizen draait al een gehele Unifi setup met USG, Switches en Access Points en daar hebben we eerder gekozen het modem in bridge te zetten wachtende op IPv6 daar.
Firewalling met IPv6 is allemaal niet zo lastig en prima in te regelen op een USG. Zo spannend is het allemaal niet.


Dus zo van zelf sprekend is het allemaal niet.
[ Voor 33% gewijzigd door xbeam op 30-11-2021 09:18 ]
Lesdictische is mijn hash#
Ik heb meerdere vlans welke IPv6 kunnen praten, maar deze kunnen niet met elkaar communiceren.xbeam schreef op dinsdag 30 november 2021 @ 08:13:
[...]
Dus dat ipv6 even aanzetten betekent dat er geen vlan isolation meer is alles publieke toegankelijk wordt.
[...]
gebruik dan geen Unifi gateway (welke by default, vlans volledige toegang tot alles geven)
Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.
Dat stukje wordt dus bij een USG/UDM vaak vergeten of gewoon door onwetendheid niet ingericht. Welke andere routers wel of niet gelijk de ipv6 firewall regels mee schrijven bij het creëren van een VLAN weet ik niet. Ik waarschuw alleen dat een Unifi USG en UDM het niet doen.geenwindows schreef op dinsdag 30 november 2021 @ 11:14:
[...]
Ik heb meerdere vlans welke IPv6 kunnen praten, maar deze kunnen niet met elkaar communiceren.
gebruik dan geen Unifi gateway (welke by default, vlans volledige toegang tot alles geven)
[ Voor 3% gewijzigd door xbeam op 01-12-2021 00:54 ]
Lesdictische is mijn hash#
ah zo, de Unifi Gateways doen voor zo ver ik weet, bij het aan maken van een nieuw netwerk (o.a. vlans) de firewall regels standaard instellen dat 't volledige toegang heeft tot Alles. doe mij maar wat PF/OPN-sense doet, Geen firewall regels toegepast = netwerk Geen enkele toegang.xbeam schreef op dinsdag 30 november 2021 @ 14:04:
[...]
Dat stukje wordt dus vaak een USG/UDM vergeten of gewoon door onwetendheid niet ingericht. Welke andere routers wel of niet gelijk de ipv6 firewall regels mee schrijven bij het creëren van VLAN weet ik niet. Ik waarschuw alleen dat een Unifi USG en UDM het niet doen.
Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.
Oww... dan leer ik ze dan wel!Verwijderd schreef op dinsdag 30 november 2021 @ 07:29:
Dat oude commando’s met de tijd verdwijnen.
/Flauw...
Hmm... OK...En ip kan veel meer dan ifconfig kon.
Niet alleen het IP en MAC, maar ook link status, routes, neighbors, monitoring, tunnels.
Maar een hoop dingen deed ik dan weer met andere commando's zoals route -n en zo
Ik heb juist het idee dat ik meer moet tikken met ip link en ip address enz.Voor beide het grootste voordeel: minder tikken
Als het toch al anders moet dan zie ik liever een Cisco/HP/H3C/Ubiquiti/enz. achtige networking CLI die voor mij in ieder geval logischer is :
show ip
show ip route
show interfaces
enz.
Dat ligt aan het type VLAN wat je aanmaakt : VLAN Only/Enterprise/Guest/enz.geenwindows schreef op dinsdag 30 november 2021 @ 11:14:
Unifi gateway (welke by default, vlans volledige toegang tot alles geven)
Dingen voor anderen instellen/bouwen/onderhouden leer je vanzelf wel een keer af als het je niks meer oplevert of in ieder geval niet genoeg vergeleken met de tijd toen je een tiener was!xbeam schreef op dinsdag 30 november 2021 @ 08:13:
Even snel bij bij de buren aanzetten![]()
Leer je ze ook opnieuw de firewall inrichten of ga jij hun vlan management en onderhouden doen?
En wat (welk voordeel heeft ) de buurman (draaien ) dat zo hij direct overhaast met zij usg over moet op ipv6?
Ik dacht dat we laatst de conclusie hadden getrokken dat die regels juist default aanwezig waren en alles blokkeerdenJje weet dat bij een usg ipv4 en ipv6 default zonder firewall regels staat ingesteld en dat all custom ipv4 regel niet op ipv6 van toepassing zijn.
Zie : ed1703 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Gaat dat niet om LAN? Wat de USG default dropt is alleen WAN. Tussen VLANS onderling zitten geen firewall-rules. Dit is default bij een USG, zowel v4 als v6. Dit is nu precies de reden waarom Unifi eigenlijk helemaal niet geschikt is voor een doorsnee gebruiker zonder goede netwerk en firewall-kennis.nero355 schreef op dinsdag 30 november 2021 @ 14:40:
[...]
Ik dacht dat we laatst de conclusie hadden getrokken dat die regels juist default aanwezig waren en alles blokkeerden
Zie : ed1703 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"
[ Voor 12% gewijzigd door ed1703 op 30-11-2021 14:49 ]
Maar als je een Guest VLAN aanmaakt dan worden er toch meteen Firewall Rules aangemaakt waardoor dat VLAN alleen richting het Internet kan pratened1703 schreef op dinsdag 30 november 2021 @ 14:47:
Gaat dat niet om LAN? Wat de USG default dropt is alleen WAN.
Tussen VLANS onderling zitten geen firewall-rules. Dit is default bij een USG, zowel v4 als v6.
Dit is nu precies de reden waarom Unifi eigenlijk helemaal niet geschikt is voor een doorsnee gebruiker zonder goede netwerk en firewall-kennis.
Gebeurt er niet precies hetzelfde voor IPv6 dan ?!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Ga die pf-sense bak van je dan eens inruilen voor een VYOS baknero355 schreef op dinsdag 30 november 2021 @ 14:40:
[...]
[...]
Ik heb juist het idee dat ik meer moet tikken met ip link en ip address enz.
Als het toch al anders moet dan zie ik liever een Cisco/HP/H3C/Ubiquiti/enz. achtige networking CLI die voor mij in ieder geval logischer is :
show ip
show ip route
show interfaces
enz.
https://vyos.io/
Does VyOS Provide a Graphic Interface?
There is no official GUI for VyOS yet.
VyControl is a community driven interface to manage a single or multiple VyOS routers via the HTTP API.
Een guest network is geen default vlan[...]
Dat ligt aan het type VLAN wat je aanmaakt : VLAN Only/Enterprise/Guest/enz.
ubnt zou de vlan communicatie onderling standaard dicht moeten zetten en niet zoals nu open (zorgt wel extra werk om het overal op te lossen )[...]
Dingen voor anderen instellen/bouwen/onderhouden leer je vanzelf wel een keer af als het je niks meer oplevert of in ieder geval niet genoeg vergeleken met de tijd toen je een tiener was!
[...]
Ik dacht dat we laatst de conclusie hadden getrokken dat die regels juist default aanwezig waren en alles blokkeerden
Zie : ed1703 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"
[ Voor 17% gewijzigd door xbeam op 01-12-2021 00:58 ]
Lesdictische is mijn hash#
Verwijderd
ip anero355 schreef op dinsdag 30 november 2021 @ 14:40:ip link en ip address enz.
ip l
Of druk eens op [tab]
Hoe vaak zie mensen in ubnt forum /topic het guest network voor hun IoT gebruiken? Ik bijna nooit veel te complex en dat is toch alleen voor visite en goed voor het tony stark gevoel :-)nero355 schreef op dinsdag 30 november 2021 @ 15:05:
[...]
Maar als je een Guest VLAN aanmaakt dan worden er toch meteen Firewall Rules aangemaakt waardoor dat VLAN alleen richting het Internet kan praten
Gebeurt er niet precies hetzelfde voor IPv6 dan ?!
Lesdictische is mijn hash#
Jawel.nero355 schreef op dinsdag 30 november 2021 @ 15:05:
[...]
Maar als je een Guest VLAN aanmaakt dan worden er toch meteen Firewall Rules aangemaakt waardoor dat VLAN alleen richting het Internet kan praten
Gebeurt er niet precies hetzelfde voor IPv6 dan ?!
code:
1
| -A GUESTv6_IN -m comment --comment GUESTv6_IN-3001 -m set --match-set corporate_networkv6 dst -j DROP |
Maar wie heeft het daarover?
Je zou juist iets moeten ondernemen om zaken open te zetten bij corporate networks, niet dicht zetten.
geenwindows schreef op dinsdag 30 november 2021 @ 11:14:
[...]
Ik heb meerdere vlans welke IPv6 kunnen praten, maar deze kunnen niet met elkaar communiceren.
gebruik dan geen Unifi gateway (welke by default, vlans volledige toegang tot alles geven)
pfSense draait voorlopig alleen af en toe als een VM dus daar is voorlopig geen sprake van : USG 3P FTW!!!xbeam schreef op dinsdag 30 november 2021 @ 15:08:
Ga die pf-sense bak van je dan eens inruilen voor een VYOS bak
https://vyos.io/
Maar als die een keer aan zijn einde komt of EOL raakt dan is het wel iets om te overwegen inderdaad!
Dat is ook weer zo!
Helemaal vergeten!

Volgens mij zijn er door de tijd heen genoeg mensen geweest die het hebben toegepast/opgebouwdxbeam schreef op dinsdag 30 november 2021 @ 15:21:
Hoe vaak zie mensen in ubnt forum topic het guest network voor hun IoT gebruiken?
Ik bijna nooit veel te complex en dat is toch alleen voor visite en goed voor het tony stark gevoel :-)
Zelfs door de Firewall Rules zelf op te bouwen aan de hand van allerlei Tutorials/HowTo's
Dat ze misschien in de minderheid zijn... tja... dat is het hedendaagse Tweakers en GoT helaas...
We hadden het toch over regels tussen VLAN'sed1703 schreef op dinsdag 30 november 2021 @ 15:23:
Jawel.
code:
1 -A GUESTv6_IN -m comment --comment GUESTv6_IN-3001 -m set --match-set corporate_networkv6 dst -j DROP
Maar wie heeft het daarover?
Dat dan weer wel...Je zou juist iets moeten ondernemen om zaken open te zetten bij corporate networks, niet dicht zetten.
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Kleine n00b-vraag, ik zou nu IPv6 native moeten kunnen krijgen bij Ziggo, ik heb het modem herstart en DHCPv6 aangezet op mijn router maar lijk geen prefix te krijgen. Is er heel toevallig iemand die dit op een Mikrotik-router geconfigureerd heeft en me de goede kant op kan helpen?
Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done
Kan je de output eens posten van:Demo schreef op dinsdag 30 november 2021 @ 17:19:
Kleine n00b-vraag, ik zou nu IPv6 native moeten kunnen krijgen bij Ziggo, ik heb het modem herstart en DHCPv6 aangezet op mijn router maar lijk geen prefix te krijgen. Is er heel toevallig iemand die dit op een Mikrotik-router geconfigureerd heeft en me de goede kant op kan helpen?
code:
1
| /ipv6 export |
Ben benieuwd wat daar staat.
Heb hier mee al bijna IPv6 aan de praat op Ziggo met een Edgerouter.Qlimaxxx schreef op vrijdag 19 november 2021 @ 19:01:
[...]
Je hebt sowieso 1 commando dubbel. Daarnaast geef je nu hetzelfde prefix-id mee aan ETH1 (zonder VLAN) en ETH1.3 (dus VLAN 3 op ETH1). Aangezien Edgerouters geen onderscheid maken tussen interfaces en virtuele interfaces in dat opzicht is dat hetzelfde als dat je voor ETH1 en ETH2 hetzelfde prefix-id gebruikt.
Verder klopt het geloof ik wel aardig.
Enigszins niet gerelateerd aan bovenstaande:
Heb me vandaag aardig lopen verdiepen in IPv6. Gisteren toevallig voor een klant een Ziggo zakelijk Pro opgeleverd omdat hij een vast IP nodig had (lang verhaal waarom precies). Daar dacht ik ook even mooi DHCPv6-PD te gebruiken, maar moest het uiteindelijk statisch instellen d.m.v. een specifiek IP op de WAN-interface, een static route naar het internet en op de switch0 interface een statisch IP i.c.m. IPv6 router adverts om op LAN SLAAC te doen.
Omdat m'n ouders nog een Ubee modem hadden en geen mail hebben gehad, net even de helpdesk van Ziggo besteld. Hun oude Ubee modem/router krijgt dus geen IPv6, ondanks dat hij in bridge mode staat en in fZiggo gebied hangt. Daarom krijgen ze nu een Connectbox (hou m'n hart vast).
Omdat in de mail van Ziggo een beetje vaag gedaan wordt over wanneer de switch precies plaatsvindt ("over 2 weken", "modem herstarten over 15 dagen") nog even gevraagd wanneer ik IPv6 nou daadwerkelijk kon gebruiken. Ze vertelde me dat het bij sommige modems al zou werken, dat de mail puur bedoeld was om klanten hierop attent te maken.
Ik dus de configuratie in m'n ER12 gezet en zowel router als modem herstart. Helaas... hoewel ik nu dus niet weet of het aan m'n config ligt of aan dat ik nog even geduld moet hebben.
Configuratie die ik toegepast heb:
code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 ethernet eth9 { address dhcp description Internet dhcpv6-pd { no-dns pd 0 { interface switch0.10 { host-address ::1 no-dns prefix-id :1 service slaac } prefix-length /56 } rapid-commit enable } duplex auto firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } out { name WAN_OUT } } ipv6 { address { } dup-addr-detect-transmits 1 }
Heb ook deze firewall regels ingesteld: https://community.ui.com/...d2-4677-83c9-e90d2b7c3fbe
Mijn router heeft een ipv6 adres en kan pingen naar ipv6 adressen op internet.
Op mijn eth interface zie ik ook een ipv6 range met /64.
Wat wel vreemd is is dat alleen maar de eerste 9 tekens hetzelfde zijn als het ip van m'n router, ik zou verwachten de eerste 14 ofzo.
Mijn computer heeft ook een ipv6 adres. Alleen als ik ping naar google.com zie ik wel dat hij probeert te pingen naar een ipv6 adres alleen krijg ik geen respons.
Edit: het werkt inmiddels!
Ik heb zelf (of via de wizard) een switch interface geconfigureerd, waar ook de ipv4 dhcp op staat, en had zoals in de voorbeeldjes de ipv6 op de eth poort gedefinieerd, maar dat moest ik op de switch interface doen.
[ Voor 3% gewijzigd door maarten_v op 30-11-2021 21:33 ]
Alleen de dhcp-client config komt van mijn hand, de firewall heb ik verder niet aan gezeten. Volgens Ziggo krijg ik een Prefix Delegation van /56, daarom de pool-prefix-length=56 maar ik heb even iets te weinig kennis/ervaring met IPv6 om te begrijpen wat ik nou echt aan het doen ben. Via Tunnelbroker en nog langer geleden via SixXS (toen was mijn Debian server nog router) werkte het prima, maar toen moest alles handmatig geconfigureerd worden.Snow_King schreef op dinsdag 30 november 2021 @ 18:32:
[...]
Kan je de output eens posten van:
code:
1 /ipv6 export
Ben benieuwd wat daar staat.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
| /ipv6 dhcp-client add add-default-route=yes interface=ether1 pool-name=ziggo-ipv6 pool-prefix-length=56 request=address,prefix use-peer-dns=no /ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6 add address=::1/128 comment="defconf: lo" list=bad_ipv6 add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6 add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6 add address=100::/64 comment="defconf: discard only " list=bad_ipv6 add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6 add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6 /ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN /ipv6 settings set accept-router-advertisements=yes |
[ Voor 3% gewijzigd door Demo op 30-11-2021 21:20 ]
Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done
Verwijderd
Ik heb dus een soortgelijke config staan, maar ook nog geen adres van de dhcp server gekregen. 😢Demo schreef op dinsdag 30 november 2021 @ 21:18:
[...]
Alleen de dhcp-client config komt van mijn hand, de firewall heb ik verder niet aan gezeten. Volgens Ziggo krijg ik een Prefix Delegation van /56, daarom de pool-prefix-length=56 maar ik heb even iets te weinig kennis/ervaring met IPv6 om te begrijpen wat ik nou echt aan het doen ben. Via Tunnelbroker en nog langer geleden via SixXS (toen was mijn Debian server nog router) werkte het prima, maar toen moest alles handmatig geconfigureerd worden.
code:
1 2 /ipv6 dhcp-client add add-default-route=yes interface=ether1 pool-name=ziggo-ipv6 pool-prefix-length=56 request=address,prefix use-peer-dns=no
Ik mis nog een paar stukken in je config:Demo schreef op dinsdag 30 november 2021 @ 21:18:
[...]
Alleen de dhcp-client config komt van mijn hand, de firewall heb ik verder niet aan gezeten. Volgens Ziggo krijg ik een Prefix Delegation van /56, daarom de pool-prefix-length=56 maar ik heb even iets te weinig kennis/ervaring met IPv6 om te begrijpen wat ik nou echt aan het doen ben. Via Tunnelbroker en nog langer geleden via SixXS (toen was mijn Debian server nog router) werkte het prima, maar toen moest alles handmatig geconfigureerd worden.
code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 /ipv6 dhcp-client add add-default-route=yes interface=ether1 pool-name=ziggo-ipv6 pool-prefix-length=56 request=address,prefix use-peer-dns=no /ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6 add address=::1/128 comment="defconf: lo" list=bad_ipv6 add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6 add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6 add address=100::/64 comment="defconf: discard only " list=bad_ipv6 add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6 add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6 add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6 /ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="defconf: accept HIP" protocol=139 add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN /ipv6 settings set accept-router-advertisements=yes
- Waar geef je je LAN een IPv6 adres?
- Je moet niet /56 als pool length gebruiken, maar /64
- Je hoeft enkel om een prefix te vragen, een address is niet nodig bij de DHCP client
Voor het laatste zie: https://wiki.mikrotik.com...ng_IPv6_Prefix_delegation
Je stopt dus het subnet wat je van Ziggo krijgt in die pool en je geeft aan dat je er /64's uit wil uitdelen.
Denk dus aan iets als: (ether2 is je LAN?):
code:
1
| /ipv6 address add from-pool=ziggo interface=LAN |
Zie mijn reply hier boven :-)Verwijderd schreef op woensdag 1 december 2021 @ 09:31:
[...]
Ik heb dus een soortgelijke config staan, maar ook nog geen adres van de dhcp server gekregen. 😢
Probleem is dat de DHCP-client eindeloos op 'Searching' blijft staan, dus ik loop bij de eerste stap al vast. Als ik passthrough rules aanmaak die al het UDP-verkeer loggen, zie ik: udp6 output: in:(unknown 0) out:ether1, proto UDP, [fe80::c6ad:34ff:fe6b:edb2]:546->[ff02::1:2]:547, dus er wordt iets gevraagd. Er komt echter geen antwoord op terug. Heb het modem vandaag opnieuw gereset maar ook daarna hetzelfde resultaat.Snow_King schreef op woensdag 1 december 2021 @ 11:49:
[...]
Ik mis nog een paar stukken in je config:
- Waar geef je je LAN een IPv6 adres?
- Je moet niet /56 als pool length gebruiken, maar /64
- Je hoeft enkel om een prefix te vragen, een address is niet nodig bij de DHCP client
Voor het laatste zie: https://wiki.mikrotik.com...ng_IPv6_Prefix_delegation
Je stopt dus het subnet wat je van Ziggo krijgt in die pool en je geeft aan dat je er /64's uit wil uitdelen.
Denk dus aan iets als: (ether2 is je LAN?):
code:
1 /ipv6 address add from-pool=ziggo interface=LAN
Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done
Verwijderd
precies dit...Demo schreef op woensdag 1 december 2021 @ 18:16:
[...]
Probleem is dat de DHCP-client eindeloos op 'Searching' blijft staan, dus ik loop bij de eerste stap al vast. Als ik passthrough rules aanmaak die al het UDP-verkeer loggen, zie ik: udp6 output: in:(unknown 0) out:ether1, proto UDP, [fe80::c6ad:34ff:fe6b:edb2]:546->[ff02::1:2]:547, dus er wordt iets gevraagd. Er komt echter geen antwoord op terug. Heb het modem vandaag opnieuw gereset maar ook daarna hetzelfde resultaat.
ook op router advertisement reageert ziggo niet.
Dan denk ik dat Ziggo het nog niet aan heeft staan.Demo schreef op woensdag 1 december 2021 @ 18:16:
[...]
Probleem is dat de DHCP-client eindeloos op 'Searching' blijft staan, dus ik loop bij de eerste stap al vast. Als ik passthrough rules aanmaak die al het UDP-verkeer loggen, zie ik: udp6 output: in:(unknown 0) out:ether1, proto UDP, [fe80::c6ad:34ff:fe6b:edb2]:546->[ff02::1:2]:547, dus er wordt iets gevraagd. Er komt echter geen antwoord op terug. Heb het modem vandaag opnieuw gereset maar ook daarna hetzelfde resultaat.
Verwijderd
Yes! Werkend!
Modem nog even gereset, ethernet1 disabled/enabled en toen had ik link
Mocht je meerdere vla's hebben:
(Uiteraard je firewall goed zetten
)
En dan even naar test-ipv6.com
Modem nog even gereset, ethernet1 disabled/enabled en toen had ik link
code:
1
2
| /ipv6 dhcp-client add add-default-route=yes interface=ether01-gateway pool-name=ziggo-v6 rapid-commit=no request=address,prefix use-peer-dns=no |
Mocht je meerdere vla's hebben:
code:
1
2
3
4
5
6
7
8
9
10
11
| /ipv6 address add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-guest add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-iot add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-local add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-media /ipv6 nd add interface=vlan-local add interface=vlan-guest add interface=vlan-media add interface=vlan-iot |
(Uiteraard je firewall goed zetten
En dan even naar test-ipv6.com
[ Voor 4% gewijzigd door Verwijderd op 01-12-2021 20:40 . Reden: code ]
Inmiddels ook IPv6 bij Ziggo werkend op mijn RB4011 met RouterOS 6.48.5
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
| /ipv6 address add address=::1 from-pool=ziggo-ipv6 interface=bridge /ipv6 dhcp-client add add-default-route=yes interface=ether1 pool-name=ziggo-ipv6 pool-prefix-length=56 request=prefix /ipv6 firewall address-list add address=::/128 comment="unspecified address" list=bad_ipv6 add address=::1/128 comment=lo list=bad_ipv6 add address=fec0::/10 comment=site-local list=bad_ipv6 add address=::ffff:0.0.0.0/96 comment=ipv4-mapped list=bad_ipv6 add address=::/96 comment=" ipv4 compat" list=bad_ipv6 add address=100::/64 comment="discard only " list=bad_ipv6 add address=2001:db8::/32 comment=documentation list=bad_ipv6 add address=2001:10::/28 comment=ORCHID list=bad_ipv6 add address=3ffe::/16 comment=6bone list=bad_ipv6 add address=::224.0.0.0/100 comment=other list=bad_ipv6 add address=::127.0.0.0/104 comment=other list=bad_ipv6 add address=::/104 comment=other list=bad_ipv6 add address=::255.0.0.0/104 comment=other list=bad_ipv6 /ipv6 firewall filter add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=input comment="drop invalid" connection-state=invalid add action=accept chain=input comment="accept ICMPv6" protocol=icmpv6 add action=accept chain=input comment="accept UDP traceroute" port=33434-33534 protocol=udp add action=accept chain=input comment="accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10 add action=accept chain=input comment="accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=input comment="accept ipsec AH" protocol=ipsec-ah add action=accept chain=input comment="accept ipsec ESP" protocol=ipsec-esp add action=accept chain=input comment="accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=input comment="drop everything else not coming from LAN" in-interface-list=!LAN add action=accept chain=forward comment="accept established,related,untracked" connection-state=established,related,untracked add action=drop chain=forward comment="drop invalid" connection-state=invalid add action=drop chain=forward comment="drop packets with bad src ipv6" src-address-list=bad_ipv6 add action=drop chain=forward comment="drop packets with bad dst ipv6" dst-address-list=bad_ipv6 add action=drop chain=forward comment="rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6 add action=accept chain=forward comment="accept ICMPv6" protocol=icmpv6 add action=accept chain=forward comment="accept HIP" protocol=139 add action=accept chain=forward comment="accept IKE" dst-port=500,4500 protocol=udp add action=accept chain=forward comment="accept ipsec AH" protocol=ipsec-ah add action=accept chain=forward comment="accept ipsec ESP" protocol=ipsec-esp add action=accept chain=forward comment="accept all that matches ipsec policy" ipsec-policy=in,ipsec add action=drop chain=forward comment="drop everything else not coming from LAN" in-interface-list=!LAN /ipv6 nd set [ find default=yes ] hop-limit=64 /ipv6 settings set accept-router-advertisements=yes |
Lees ook RFC4890 even goed.Verwijderd schreef op woensdag 1 december 2021 @ 20:34:
Yes! Werkend!
Modem nog even gereset, ethernet1 disabled/enabled en toen had ik link
code:
1 2 /ipv6 dhcp-client add add-default-route=yes interface=ether01-gateway pool-name=ziggo-v6 rapid-commit=no request=address,prefix use-peer-dns=no
Mocht je meerdere vla's hebben:
code:
1 2 3 4 5 6 7 8 9 10 11 /ipv6 address add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-guest add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-iot add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-local add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-media /ipv6 nd add interface=vlan-local add interface=vlan-guest add interface=vlan-media add interface=vlan-iot
(Uiteraard je firewall goed zetten)
En dan even naar test-ipv6.com
Simpele antwoord: ICMPv6 gewoon allemaal doorlaten. Eventueel nog op een max packet size van zeg 64 bytes, maar meer niet.
Op je forward en input chain het allemaal toestaan.
Verwijderd
ICMPv6 staat open, let wel op dat sommige OS-en het blokkeren in stealth modus op de firewall (OS X b.v.)Snow_King schreef op woensdag 1 december 2021 @ 21:37:
[...]
Lees ook RFC4890 even goed.
Simpele antwoord: ICMPv6 gewoon allemaal doorlaten. Eventueel nog op een max packet size van zeg 64 bytes, maar meer niet.
Op je forward en input chain het allemaal toestaan.
Maar had al jaren v6 via HE.net en daar voor Sixxs, dus dat stuk zit wel goed
Nu native, toch een stuk sneller dan een tunnel
MacOS zal ook in stealth mode wel specifieke ICMPv6 doorlaten. Echo requests wellicht niet, maar oa Packet Too Big zal er wel doorheen komen.Verwijderd schreef op woensdag 1 december 2021 @ 21:43:
[...]
ICMPv6 staat open, let wel op dat sommige OS-en het blokkeren in stealth modus op de firewall (OS X b.v.)
Maar had al jaren v6 via HE.net en daar voor Sixxs, dus dat stuk zit wel goed
Nu native, toch een stuk sneller dan een tunnel
Iemand IPv6 + Edgerouter + Ziggo aan de praat gekregen? Hoe heb je het ingesteld op de Edgerouter?
Ik heb:
krijg echter geen IPv6 toegewezen.
/edit
Ik heb trouwens geen brief ontvangen van Ziggo dat ik IPv6 zou krijgen.
Ik heb:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
| interfaces { ethernet eth0 { address dhcp description Internet dhcpv6-pd { pd 0 { interface switch0 { host-address ::1 prefix-id :1 service slaac } prefix-length /56 } rapid-commit enable } duplex auto firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } speed auto } |
krijg echter geen IPv6 toegewezen.
/edit
Ik heb trouwens geen brief ontvangen van Ziggo dat ik IPv6 zou krijgen.
[ Voor 83% gewijzigd door c-nan op 03-12-2021 10:03 ]
EU DNS: 86.54.11.100
Als je geen brief hebt gekregen zit je waarschijnlijk in het ex UPC gebied of heb je een modem die het niet ondersteunt.
Welke modem heb je nu? In welke plaats?
En zie je met deze instelling al wel een ipv6 adres op je internet poort in het dashboard van je router?
Welke modem heb je nu? In welke plaats?
En zie je met deze instelling al wel een ipv6 adres op je internet poort in het dashboard van je router?
Ik zit niet in voormalig UPC-gebied, althans niet dat ik weet. Voorheen was het Casema, toen Wanadoo en nu Ziggo, maar dit was op verschillende adressen (maar wel altijd binnen Delft).maarten_v schreef op vrijdag 3 december 2021 @ 12:00:
Als je geen brief hebt gekregen zit je waarschijnlijk in het ex UPC gebied of heb je een modem die het niet ondersteunt.
Welke modem heb je nu? In welke plaats?
En zie je met deze instelling al wel een ipv6 adres op je internet poort in het dashboard van je router?
Ik heb een Cisco EPC3928 modem, in Delft.
Ik zie enkel een link-local adres.
code:
1
2
3
4
5
6
| 4: eth0@itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether 18:e8:29:xx:xx:xx brd ff:ff:ff:ff:ff:ff inet 83.84.x.x/23 brd 255.255.255.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::1ae8:29ff:fe24:486/64 scope link valid_lft forever preferred_lft forever |
EU DNS: 86.54.11.100
Dat modem is niet geschikt. Aanvragen nieuw modem kan via dit topic: https://community.ziggo.n...-Bridge-modus/td-p/869035c-nan schreef op vrijdag 3 december 2021 @ 12:10:
[...]
Ik zit niet in voormalig UPC-gebied, althans niet dat ik weet. Voorheen was het Casema, toen Wanadoo en nu Ziggo, maar dit was op verschillende adressen (maar wel altijd binnen Delft).
Ik heb een Cisco EPC3928 modem, in Delft.
Ik zie enkel een link-local adres.
code:
1 2 3 4 5 6 4: eth0@itf0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP group default qlen 1000 link/ether 18:e8:29:xx:xx:xx brd ff:ff:ff:ff:ff:ff inet 83.84.x.x/23 brd 255.255.255.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::1ae8:29ff:fe24:486/64 scope link valid_lft forever preferred_lft forever
Postcode invullen in je profiel en richten aan aan ziggomedewerker Mark of Alex.
Staan voorbeelden genoeg van abonnees die dat ook gedaan hebben. Een Ubee vragen heeft de voorkeur.
Als je router geen prefix delegation ondersteund. Is het dan nog wel mogelijk om handmatig IPv6 op het Ziggo netwerk te activeren?
Mijn WAN adres krijgt nu via DHCP een 2001:1c06:2000:0:xxx:xxxx:xxxx:xxx2/64, is het dan de bedoeling dat ik de prefix delegation: 2001:1c06:2009 zelf intern toewijs en router advertisement aanzet op elke intern vlan.
Mijn WAN adres krijgt nu via DHCP een 2001:1c06:2000:0:xxx:xxxx:xxxx:xxx2/64, is het dan de bedoeling dat ik de prefix delegation: 2001:1c06:2009 zelf intern toewijs en router advertisement aanzet op elke intern vlan.
Heb toch wat vreemds met m'n config.
SSH --> router IP
ETH0 = WAN
ETH1 = LAN
ETH2 = LAN2
Heb enkele VLAN's via ETH1 lopen.
De "gateways" op elk VLAN krijgen wel een IP adres
ETH1: xxxx:yyyy:zzzz:1401::1/64
ETH2: xxxx:yyyy:zzzz:1402::1/64
ETH1.3 xxxx:yyyy:zzzz:1403::1/64
...
...
ETH1.7 xxxx:yyyy:zzzz:1407::1/64
Devices die via "ETH1" verbinden krijgen een IPv4+IPv6, maar bijv op vlan 3 (ETH1.3); Iot devices, krijgen geen IPv6 ip adres.
Mis ik iets? of is dit de bekende ziggo fout dat er maar effectief gezien van die /56 maar 1 /64 helemaal werkende is? (of is het meer/eerder een fout in de DHCPv6-PD feature van ubiquitit?)
SSH --> router IP
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
| Configure set firewall ipv6-name WAN_INBOUND default-action drop set firewall ipv6-name WAN_INBOUND rule 10 action accept set firewall ipv6-name WAN_INBOUND rule 10 description "Accept Established/Related" set firewall ipv6-name WAN_INBOUND rule 10 protocol all set firewall ipv6-name WAN_INBOUND rule 10 state established enable set firewall ipv6-name WAN_INBOUND rule 10 state related enable set firewall ipv6-name WAN_INBOUND rule 20 action accept set firewall ipv6-name WAN_INBOUND rule 20 description "Accept ICMP" set firewall ipv6-name WAN_INBOUND rule 20 protocol icmpv6 set interfaces ethernet eth0 firewall in ipv6-name WAN_INBOUND set firewall ipv6-name WAN_LOCAL default-action drop set firewall ipv6-name WAN_LOCAL rule 10 action accept set firewall ipv6-name WAN_LOCAL rule 10 description "Accept Established/Related" set firewall ipv6-name WAN_LOCAL rule 10 protocol all set firewall ipv6-name WAN_LOCAL rule 10 state established enable set firewall ipv6-name WAN_LOCAL rule 10 state related enable set firewall ipv6-name WAN_LOCAL rule 20 action accept set firewall ipv6-name WAN_LOCAL rule 20 description "Accept ICMP" set firewall ipv6-name WAN_LOCAL rule 20 protocol icmpv6 set firewall ipv6-name WAN_LOCAL rule 30 action accept set firewall ipv6-name WAN_LOCAL rule 30 description "Accept DHCP" set firewall ipv6-name WAN_LOCAL rule 30 protocol udp set firewall ipv6-name WAN_LOCAL rule 30 destination port 546 set firewall ipv6-name WAN_LOCAL rule 30 source port 547 set interfaces ethernet eth0 firewall local ipv6-name WAN_LOCAL set interfaces ethernet eth0 dhcpv6-pd prefix-only set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 56 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 prefix-id :1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 host-address ::1 i set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 prefix-id :2 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 prefix-id :3 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 service slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 prefix-id :4 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 prefix-id :5 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 prefix-id :6 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 prefix-id :7 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 prefix-id :8 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 slaac commit save |
ETH0 = WAN
ETH1 = LAN
ETH2 = LAN2
Heb enkele VLAN's via ETH1 lopen.
De "gateways" op elk VLAN krijgen wel een IP adres
ETH1: xxxx:yyyy:zzzz:1401::1/64
ETH2: xxxx:yyyy:zzzz:1402::1/64
ETH1.3 xxxx:yyyy:zzzz:1403::1/64
...
...
ETH1.7 xxxx:yyyy:zzzz:1407::1/64
Devices die via "ETH1" verbinden krijgen een IPv4+IPv6, maar bijv op vlan 3 (ETH1.3); Iot devices, krijgen geen IPv6 ip adres.
Mis ik iets? of is dit de bekende ziggo fout dat er maar effectief gezien van die /56 maar 1 /64 helemaal werkende is? (of is het meer/eerder een fout in de DHCPv6-PD feature van ubiquitit?)
@Dutch2007 bij eth 1.3 staat service slaap, bij de overige allen slaap. Is dat het?
@medu80 Nee, zo eenvoudig werkt dat niet. Mijn router heeft een WAN adres buiten de /56. Alle verkeer voor de/56 wordt dan naar mijn WAN IPv6 adres gerouteerd. Welke router heb je? Beetje raar dat PD niet ondersteund zou worden.
@medu80 Nee, zo eenvoudig werkt dat niet. Mijn router heeft een WAN adres buiten de /56. Alle verkeer voor de/56 wordt dan naar mijn WAN IPv6 adres gerouteerd. Welke router heb je? Beetje raar dat PD niet ondersteund zou worden.
Ik zit in het voormalig casema gebied gok ik
Rijswijk ZH hier...
Nog geen aankondiging over bridge mode en IPv6...
Wel een mail met aankondiging dat op 16 december werkzaamheden gaan zijn...
Ik heb mijn Cisco router thuis alvast geconfigureerd zoals ik debk dat het moet zijn...er advies van internet en aantal hier in dit topic...
Ik wacht het even af nog
Rijswijk ZH hier...
Nog geen aankondiging over bridge mode en IPv6...
Wel een mail met aankondiging dat op 16 december werkzaamheden gaan zijn...
Ik heb mijn Cisco router thuis alvast geconfigureerd zoals ik debk dat het moet zijn...er advies van internet en aantal hier in dit topic...
Ik wacht het even af nog
Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW
Kun je uitleggen hoe het dan wel zou moeten? En hoe je dit handmatig zou kunnen instellen? Klopt mijn beredenering dan totaal niet?valkenier schreef op vrijdag 3 december 2021 @ 21:44:
@medu80 Nee, zo eenvoudig werkt dat niet. Mijn router heeft een WAN adres buiten de /56. Alle verkeer voor de/56 wordt dan naar mijn WAN IPv6 adres gerouteerd. Welke router heb je? Beetje raar dat PS niet ondersteund zou worden.
Als de gateway wel een adres heeft, kan je eens kijken met een tool als Wireshark in dat netwerk of er ook echt een Router Advertisement wordt gestuurd?Dutch2007 schreef op vrijdag 3 december 2021 @ 19:07:
Heb toch wat vreemds met m'n config.
SSH --> router IP
code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 Configure set firewall ipv6-name WAN_INBOUND default-action drop set firewall ipv6-name WAN_INBOUND rule 10 action accept set firewall ipv6-name WAN_INBOUND rule 10 description "Accept Established/Related" set firewall ipv6-name WAN_INBOUND rule 10 protocol all set firewall ipv6-name WAN_INBOUND rule 10 state established enable set firewall ipv6-name WAN_INBOUND rule 10 state related enable set firewall ipv6-name WAN_INBOUND rule 20 action accept set firewall ipv6-name WAN_INBOUND rule 20 description "Accept ICMP" set firewall ipv6-name WAN_INBOUND rule 20 protocol icmpv6 set interfaces ethernet eth0 firewall in ipv6-name WAN_INBOUND set firewall ipv6-name WAN_LOCAL default-action drop set firewall ipv6-name WAN_LOCAL rule 10 action accept set firewall ipv6-name WAN_LOCAL rule 10 description "Accept Established/Related" set firewall ipv6-name WAN_LOCAL rule 10 protocol all set firewall ipv6-name WAN_LOCAL rule 10 state established enable set firewall ipv6-name WAN_LOCAL rule 10 state related enable set firewall ipv6-name WAN_LOCAL rule 20 action accept set firewall ipv6-name WAN_LOCAL rule 20 description "Accept ICMP" set firewall ipv6-name WAN_LOCAL rule 20 protocol icmpv6 set firewall ipv6-name WAN_LOCAL rule 30 action accept set firewall ipv6-name WAN_LOCAL rule 30 description "Accept DHCP" set firewall ipv6-name WAN_LOCAL rule 30 protocol udp set firewall ipv6-name WAN_LOCAL rule 30 destination port 546 set firewall ipv6-name WAN_LOCAL rule 30 source port 547 set interfaces ethernet eth0 firewall local ipv6-name WAN_LOCAL set interfaces ethernet eth0 dhcpv6-pd prefix-only set interfaces ethernet eth0 dhcpv6-pd pd 0 prefix-length 56 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 prefix-id :1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1 host-address ::1 i set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 prefix-id :2 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth2 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 prefix-id :3 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.3 service slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 prefix-id :4 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.4 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 prefix-id :5 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.5 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 prefix-id :6 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.6 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 prefix-id :7 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.7 slaac set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 prefix-id :8 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 host-address ::1 set interfaces ethernet eth0 dhcpv6-pd pd 0 interface eth1.8 slaac commit save
ETH0 = WAN
ETH1 = LAN
ETH2 = LAN2
Heb enkele VLAN's via ETH1 lopen.
De "gateways" op elk VLAN krijgen wel een IP adres
ETH1: xxxx:yyyy:zzzz:1401::1/64
ETH2: xxxx:yyyy:zzzz:1402::1/64
ETH1.3 xxxx:yyyy:zzzz:1403::1/64
...
...
ETH1.7 xxxx:yyyy:zzzz:1407::1/64
Devices die via "ETH1" verbinden krijgen een IPv4+IPv6, maar bijv op vlan 3 (ETH1.3); Iot devices, krijgen geen IPv6 ip adres.
Mis ik iets? of is dit de bekende ziggo fout dat er maar effectief gezien van die /56 maar 1 /64 helemaal werkende is? (of is het meer/eerder een fout in de DHCPv6-PD feature van ubiquitit?)
Via PD krijg je je prefix lijkt het, ook je interfaces configureren zichzelf, maar daarna moet er via RA ook wel wat uitgestuurd worden.
Nee, dat kan niet zoals al aangegeven. Je moet een router met PD ondersteuning hebben.medu80 schreef op vrijdag 3 december 2021 @ 18:21:
Als je router geen prefix delegation ondersteund. Is het dan nog wel mogelijk om handmatig IPv6 op het Ziggo netwerk te activeren?
Mijn WAN adres krijgt nu via DHCP een 2001:1c06:2000:0:xxx:xxxx:xxxx:xxx2/64, is het dan de bedoeling dat ik de prefix delegation: 2001:1c06:2009 zelf intern toewijs en router advertisement aanzet op elke intern vlan.
Je krijgt op je WAN ook niet via DHCP een IPv6 adres, maar via SLAAC genereert je router die zelf.
Via PD moet je router om een prefix vragen, de Ziggo routers configureren vervolgens een route dat de /56 naar het WAN IP van je router toe moet worden gerouteerd.
Wat ik vooral merk bij IPv6 is dat bij veel mensen de basiskennis van routeren ontbreekt. Men is gewend met NAT te werken en heeft dan weinig te maken met routeren.
Of het nu v4 of v6 is, de basis van routeren is het zelfde. Doordat het stukje rondom routing ontbreekt is het soms lastige materie voor mensen.
Ik ben geen netwerk engineer. Ik ben Linux/Infra engineer met 10+ jaar ervaring, grotendeels in de hosting branche. Als Linux engineer krijg je vaak te maken netwerk vraagstukken. Zo heb ik met een ACI omgeving mogen werken, het een en ander mogen doen met VXLAN. Trainingen gehad vanuit Juniper en Cisco betreft OSPF/MPLS/BGP.Snow_King schreef op zaterdag 4 december 2021 @ 09:55:
[...]
Nee, dat kan niet zoals al aangegeven. Je moet een router met PD ondersteuning hebben.
Je krijgt op je WAN ook niet via DHCP een IPv6 adres, maar via SLAAC genereert je router die zelf.
Via PD moet je router om een prefix vragen, de Ziggo routers configureren vervolgens een route dat de /56 naar het WAN IP van je router toe moet worden gerouteerd.
Wat ik vooral merk bij IPv6 is dat bij veel mensen de basiskennis van routeren ontbreekt. Men is gewend met NAT te werken en heeft dan weinig te maken met routeren.
Of het nu v4 of v6 is, de basis van routeren is het zelfde. Doordat het stukje rondom routing ontbreekt is het soms lastige materie voor mensen.
Maar IPv6? Dat is voor mij ook nog redelijk onbekend terrein. Ongeacht dat ik min of meer weet hoe routering werkt, vind ik IPv6 nog redelijk lastig. Komt voornamelijk doordat ik er bijna nooit mee heb mogen werken, ja behalve static IPv6 instellen op wat servertjes.
Kan je een boek, artikel of video adviseren om het allemaal wat beter te begrijpen? Ik weet namelijk dat jij best actief bent betreft IPv6 (en ook met Ceph
Met ip4 weet ik bijvoorbeeld dat dmv broadcasting de hosts binnen een subnet elkaar kunnen vinden en de mac adres in hun arp tabel opnemen. Hoe werkt dit bij IPv6 bijvoorbeeld?
Bij ip4 heb je een default gateway om buiten je eigen netwerk te komen, in een thuis situatie is dat je router (die het weer doorzet naar je ISP). Hoe zit dat met IPv6? Is dat ook je router of is het (in dit geval met Ziggo) direct je ISP?
Bij ip4 & dhcp stuurt de client een broadcast uit, een dhcp server pikt dit op en begint te communiceren met de client en voorziet de client op deze manier van een IP. Hoe werkt dat bij ipv6? Hoe weet de client bij wie het moet zijn om een ipv6 te krijgen (zonder dhcp)?
[ Voor 17% gewijzigd door c-nan op 04-12-2021 10:39 ]
EU DNS: 86.54.11.100
Had ik ook gezien, wellicht was ik toe aan slaapvalkenier schreef op vrijdag 3 december 2021 @ 21:44:
@Dutch2007 bij eth 1.3 staat service slaap, bij de overige allen slaap. Is dat het?
@medu80 Nee, zo eenvoudig werkt dat niet. Mijn router heeft een WAN adres buiten de /56. Alle verkeer voor de/56 wordt dan naar mijn WAN IPv6 adres gerouteerd. Welke router heb je? Beetje raar dat PS niet ondersteund zou worden.
Regeltje nog eens ingevoerd in de terminal met SLAAC, maar ook dan blijft 't issue aanwezig.
slaapDutch2007 schreef op zaterdag 4 december 2021 @ 11:17:
[...]
Had ik ook gezien, wellicht was ik toe aan slaap![]()
Regeltje nog eens ingevoerd in de terminal met SLAAC, maar ook dan blijft 't issue aanwezig.



[ Voor 3% gewijzigd door valkenier op 04-12-2021 11:37 ]
Ik heb gisteravond even een uurtje gezeten om te testen of ik IPv6 kon ontvangen op mijn Ziggo verbinding en is het redelijk snel gelukt.
- Zelf heb ik de e-mail of brief niet ontvangen, maar zit wel in origineel Ziggo gebied en maak gebruik van een Ubee UBC1318ZG (Zakelijke aansluiting in Bridge).
- Als firewall/router gebruik ik een Fortigate, zorg er voor dat de firmware up-to-date is gezien Prefix Delegation functionaliteit later is toegevoegd (ergens in de hoge versie 5 van FortiOS, als je op 6 of hoger zit is dus prima)
Voor de mensen die het op een Fortigate werkend willen krijgen, ik heb het nu met SLAAC + stateless DHCPv6 ingesteld met de volgende configuratie:
Op de interface met de Ziggo verbinding, dit kan wan, wan1, wan2 etc zijn, vervang dit door de naam van de interface. Ik heb alleen ping toegestaan, verder geen toegang, dit kun je zelf uitbreiden wanneer nodig (https bijvoorbeeld).
Dan op de LAN interface waar jouw devices zitten, verander hier jouw interne interface naam, vergeet ook hier niet de correcte naam van de WAN verbinding aan te geven, anders werkt het niet! We geven het eerste /64 subnet met het 1e ip ::1 aan als adres van de router op deze interface. We stellen SLAAC in en daarnaast geven we aan dat er een DHCPv6 is voor verdere additionele configuratie (ik heb mijn eigen DNS servers).
Als laatste de DHCPv6 server voor DNS server informatie, stel wederom de interne interface naam in en geef de DNS servers in IPv6 aan (Cloudflare: 2606:4700:4700::1111 en 2606:4700:4700::1001; Google: 2001:4860:4860::8888 en 2001:4860:4860::8844)
Als alles ingesteld is kunnen we de ranges ophalen (dit moet geforceerd, gaat niet automatisch tenzij je de Fortigate herstart), geef ook hier de WAN interface op.
Als laatste zijn er nog wat IPv6 firewall policies nodig. Allereerst verkeer toestaan vanuit je LAN naar WAN (kun je kopieren vanuit je IPv4 policy) en als tweede sta je ALL_ICMPv6 service toe van WAN naar LAN any/any. Vergeet niet om je NAT uit te schakelen op de firewall regels, dit is niet meer nodig!
Als het goed is heb je nu onmiddellijk IPv6 connectiviteit op al je clients in je netwerk.
Hoop dat het iemand helpt!
- Zelf heb ik de e-mail of brief niet ontvangen, maar zit wel in origineel Ziggo gebied en maak gebruik van een Ubee UBC1318ZG (Zakelijke aansluiting in Bridge).
- Als firewall/router gebruik ik een Fortigate, zorg er voor dat de firmware up-to-date is gezien Prefix Delegation functionaliteit later is toegevoegd (ergens in de hoge versie 5 van FortiOS, als je op 6 of hoger zit is dus prima)
Voor de mensen die het op een Fortigate werkend willen krijgen, ik heb het nu met SLAAC + stateless DHCPv6 ingesteld met de volgende configuratie:
Op de interface met de Ziggo verbinding, dit kan wan, wan1, wan2 etc zijn, vervang dit door de naam van de interface. Ik heb alleen ping toegestaan, verder geen toegang, dit kun je zelf uitbreiden wanneer nodig (https bijvoorbeeld).
code:
1
2
3
4
5
6
7
8
9
10
| config system interface edit "wan" config ipv6 set ip6-mode dhcp set ip6-allowaccess ping set dhcp6-prefix-delegation enable set dhcp6-prefix-hint ::/56 end next end |
Dan op de LAN interface waar jouw devices zitten, verander hier jouw interne interface naam, vergeet ook hier niet de correcte naam van de WAN verbinding aan te geven, anders werkt het niet! We geven het eerste /64 subnet met het 1e ip ::1 aan als adres van de router op deze interface. We stellen SLAAC in en daarnaast geven we aan dat er een DHCPv6 is voor verdere additionele configuratie (ik heb mijn eigen DNS servers).
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| config system interface edit "lan" config ipv6 set ip6-mode delegated set ip6-allowaccess ping https ssh snmp set ip6-send-adv enable set ip6-other-flag enable set ip6-upstream-interface "wan" set ip6-subnet ::1/64 config ip6-delegated-prefix-list edit 1 set upstream-interface "wan" set autonomous-flag enable set onlink-flag enable set subnet ::/64 next end end next end |
Als laatste de DHCPv6 server voor DNS server informatie, stel wederom de interne interface naam in en geef de DNS servers in IPv6 aan (Cloudflare: 2606:4700:4700::1111 en 2606:4700:4700::1001; Google: 2001:4860:4860::8888 en 2001:4860:4860::8844)
code:
1
2
3
4
5
6
7
| config system dhcp6 server edit 1 set interface "lan" set dns-server1 2606:4700:4700::1111 set dns-server2 2606:4700:4700::1001 next end |
Als alles ingesteld is kunnen we de ranges ophalen (dit moet geforceerd, gaat niet automatisch tenzij je de Fortigate herstart), geef ook hier de WAN interface op.
code:
1
| execute interface dhcp6client-renew wan |
Als laatste zijn er nog wat IPv6 firewall policies nodig. Allereerst verkeer toestaan vanuit je LAN naar WAN (kun je kopieren vanuit je IPv4 policy) en als tweede sta je ALL_ICMPv6 service toe van WAN naar LAN any/any. Vergeet niet om je NAT uit te schakelen op de firewall regels, dit is niet meer nodig!
Als het goed is heb je nu onmiddellijk IPv6 connectiviteit op al je clients in je netwerk.
Hoop dat het iemand helpt!
[ Voor 6% gewijzigd door drocona op 04-12-2021 12:17 ]
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.
Omdat dat is wat Ziggo heeft aangegeven en laten we eerlijk zijn hoeveel huishoudens hebben nog een 2e router? Begrijp je punt wel trouwens en voor zakelijk zie ik het ook wel, maar voor huishoudens niet echt...Muis666 schreef op zaterdag 4 december 2021 @ 13:13:
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.
Ik heb via de klantenservice een nieuw modem aangevraagd en een Compal Connectbox gekregen. IPv6 werkt en verder loop ik niet tegen problemen aan. Waarom heeft een Ubee aanvragen de voorkeur? Gaat dit alleen om het stroomverbruik (omdat er minder hardware in zit) of zijn er ook nog andere voordelen?ed1703 schreef op vrijdag 3 december 2021 @ 12:18:
[...]
Dat modem is niet geschikt. Aanvragen nieuw modem kan via dit topic: https://community.ziggo.n...-Bridge-modus/td-p/869035
Postcode invullen in je profiel en richten aan aan ziggomedewerker Mark of Alex.
Staan voorbeelden genoeg van abonnees die dat ook gedaan hebben. Een Ubee vragen heeft de voorkeur.
Enig idee hoe ik dat dan alsnog kan omwisselen? Is het überhaupt mogelijk om modems om te wisselen en een verzoek te doen voor een specifiek type modem?
------
Gisteren trouwens voor de lol even IPv4 uitgezet op mijn laptop. Gewoon om te kijken hoe functioneel IPv6 only zou zijn. Daar schrik je dan toch van. Zelfs veel grote partijen hebben gewoon 0 IPv6 support. Zo is microsoft.com niet via IPv6 te bereiken maar gek genoeg www.microsoft.com wel.
Mijn ervaring is dat het voor een server toch relatief eenvoudig is om deze via IPv6 bereikbaar te maken. Zeker als het om websites of een VPS gaat. Soms zelfs een kwestie van een AAAA-record toevoegen en je bent klaar.
Het enige dat ik me kan bedenken waarom het wellicht wat complexer is (zoals het voor een lokaal netwerk ook kan zijn) is het gebruik van load-balancers en een scala een servers waarbij je de hele stack dus dubbel moet gaan uitvoeren en testen?
Het kan aan mij liggen, maar ik begrijp beter waarom een provider voor eindgebruikers moeite heeft om IPv6 uit te rollen dan een partij die er juist belang bij heeft om zo goed mogelijk bereikbaar te zijn. Niet in de laatste plaats omdat een provider voor eindgebruikers vaak te maken heeft met mensen die de ballen verstand hebben van hoe het internet überhaupt werkt. Je mag toch hopen dat de mensen die servers en services beheren verstand hebben van de techniek.
[ Voor 8% gewijzigd door Qlimaxxx op 04-12-2021 13:40 ]
Oke, laat ik het anders verwoorden. Ik krijg een /64 adres op mijn WAN. Tevens zie ik wat mijn /56 prefix delegation is, helaas ondersteunt de firewall geen PD. Dus heb ik de RA geactiveerd en op het interne LAN een adres handmatig toegekend aan de LAN. De apparaten op dit VLAN krijgen inderdaad een adres van dit /64 blokje. Ik kan met deze apparaten ook verbinding maken met het internet. Mijn vraag is, klopt het dat je WAN adres verschilt van je PD subnet? Ik was namelijk van mening dat je WAN adres ergens in het /56 prefix zou vallen.Snow_King schreef op zaterdag 4 december 2021 @ 09:55:
[...]
Nee, dat kan niet zoals al aangegeven. Je moet een router met PD ondersteuning hebben.
Je krijgt op je WAN ook niet via DHCP een IPv6 adres, maar via SLAAC genereert je router die zelf.
Via PD moet je router om een prefix vragen, de Ziggo routers configureren vervolgens een route dat de /56 naar het WAN IP van je router toe moet worden gerouteerd.
Wat ik vooral merk bij IPv6 is dat bij veel mensen de basiskennis van routeren ontbreekt. Men is gewend met NAT te werken en heeft dan weinig te maken met routeren.
Of het nu v4 of v6 is, de basis van routeren is het zelfde. Doordat het stukje rondom routing ontbreekt is het soms lastige materie voor mensen.
WAN adres: 2001:1c06:2000/64
Delegated Prefix: 2001:1c06:2009/56
Zie het ziggo ervaringen topic. In de Compal zit een Puma chipset waar hardware fouten in zitten. Dit kan soms tot rare hickups leiden.Qlimaxxx schreef op zaterdag 4 december 2021 @ 13:36:
[...]
Ik heb via de klantenservice een nieuw modem aangevraagd en een Compal Connectbox gekregen. IPv6 werkt en verder loop ik niet tegen problemen aan. Waarom heeft een Ubee aanvragen de voorkeur?
Ja, dat klopt. Het WAN subnet is een interconnect subnet tussen jouw router en die van Ziggo.medu80 schreef op zaterdag 4 december 2021 @ 13:45:
[...]
Oke, laat ik het anders verwoorden. Ik krijg een /64 adres op mijn WAN. Tevens zie ik wat mijn /56 prefix delegation is, helaas ondersteunt de firewall geen PD. Dus heb ik de RA geactiveerd en op het interne LAN een adres handmatig toegekend aan de LAN. De apparaten op dit VLAN krijgen inderdaad een adres van dit /64 blokje. Ik kan met deze apparaten ook verbinding maken met het internet. Mijn vraag is, klopt het dat je WAN adres verschilt van je PD subnet? Ik was namelijk van mening dat je WAN adres ergens in het /56 prefix zou vallen.
WAN adres: 2001:1c06:2000/64
Delegated Prefix: 2001:1c06:2009/56
Die valt niet binnen je /56.
Nou IPv6 aan de praat met hulp een Tweaker op discord. Toch wel wat raars, af en toe stopt IPv4 er mee?!
Dit met een edgerouter 3, en dan valt het op hoe weinig apparatuur eigenlijk maar IPv6 ondersteund. Alleen de 6 computers, 4 servers en 2 laptops. De rest krijgt geen IPv6.
Dit met een edgerouter 3, en dan valt het op hoe weinig apparatuur eigenlijk maar IPv6 ondersteund. Alleen de 6 computers, 4 servers en 2 laptops. De rest krijgt geen IPv6.
Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"
Wat is “de rest”?prutser001 schreef op zaterdag 4 december 2021 @ 14:04:
Nou IPv6 aan de praat met hulp een Tweaker op discord. Toch wel wat raars, af en toe stopt IPv4 er mee?!
Dit met een edgerouter 3, en dan valt het op hoe weinig apparatuur eigenlijk maar IPv6 ondersteund. Alleen de 6 computers, 4 servers en 2 laptops. De rest krijgt geen IPv6.
Van iot zooi en wat mediaspelers is bekend dat ze dit matig ondersteunen. Ik vind ook eigenlijk dat hier eens regels voor opgesteld moeten worden.
Anders zijn we over 50 jaar nog bezig.
Achter een consumentenrouter wil je toch juist slaac’n?Muis666 schreef op zaterdag 4 december 2021 @ 13:13:
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.
Uitzonderingen daargelaten.
[ Voor 24% gewijzigd door ed1703 op 04-12-2021 14:16 ]
TV's, tablets, telefoons, iot spul, Google home hub en mini's.ed1703 schreef op zaterdag 4 december 2021 @ 14:13:
[...]
Wat is “de rest”?
Van iot zooi en wat mediaspelers is bekend dat ze dit matig ondersteunen. Ik vind ook eigenlijk dat hier eens regels voor opgesteld moeten worden.
Anders zijn we over 50 jaar nog bezig.
[...]
Achter een consumentenrouter wil je toch juist slaac’n?
Uitzonderingen daargelaten.
Switches, AP's...
Zal nog wel wat vergeten zijn.
Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"
Wat voor TV's, tablets en telefoons heb je dan zoal?prutser001 schreef op zaterdag 4 december 2021 @ 14:27:
[...]
TV's, tablets, telefoons, iot spul, Google home hub en mini's.
Switches, AP's...
Zal nog wel wat vergeten zijn.
Kan me amper voorstellen dat telefoons en tablets geen IPv6 ondersteuning hebben.
Net even getest, hoewel je het weliswaar handmatig in moet schakelen op zowel mijn LG Oled uit 2018 als een Sony smart TV van 8 jaar oud, werken ze allebei gewoon met IPv6. Of de verouderde Netflix app op die oudere tv ook gebruik gaat maken van IPv6 is natuurlijk nog de vraag, maar op hardware en OS-niveau is de ondersteuning er zeker.
De discussie SLAAC vs DHCPv6 heeft volgens mij niets met mijn vraag te maken.ed1703 schreef op zaterdag 4 december 2021 @ 14:13:
[...]
Achter een consumentenrouter wil je toch juist slaac’n?
Uitzonderingen daargelaten.
Switches en AP's hebben hier gewoon een ipv6-adres. Al zet ik dat liever uit.prutser001 schreef op zaterdag 4 december 2021 @ 14:27:
[...]
TV's, tablets, telefoons, iot spul, Google home hub en mini's.
Switches, AP's...
Zal nog wel wat vergeten zijn.
Ik zie niet zo in waarom je een verdere verdeling van je prefix op een consumentenaansluting zou willen.Muis666 schreef op zaterdag 4 december 2021 @ 15:36:
[...]
De discussie SLAAC vs DHCPv6 heeft volgens mij niets met mijn vraag te maken.
Wat zou zoiets toevoegen? Het speeleffect misschien?
Ik denk dat we juist snel klaar zijn, want op een bepaald moment gaan we IPv4 zien als een netwerk exclusief voor oude en slecht beveiligde apparaten. Niet omdat er regels voor zijn, maar omdat het zo geworden is. Ze kunnen best blijven werken, maar dan zonder IPv4 verkeer van/naar internet, alleen nog via een jumpserver.ed1703 schreef op zaterdag 4 december 2021 @ 14:13:
[...]
Van iot zooi en wat mediaspelers is bekend dat ze dit matig ondersteunen. Ik vind ook eigenlijk dat hier eens regels voor opgesteld moeten worden.
Anders zijn we over 50 jaar nog bezig.
Ik zou graag helemaal over willen op IPv6, echter:
Ik heb het nu net nog een keer gecontroleerd, maar T-mobile op 4G geeft nog geen IPv6 adres, alleen IPv4.
MotionEyeOS ondersteunt ook al jaren lang standaard geen IPv6.
[ Voor 3% gewijzigd door aawe mwan op 04-12-2021 16:57 ]
„Ik kan ook ICT, want heel moeilijk is dit niet”
De reden dat ik een /64 heb gebruikt in het voorbeeld is omdat die situatie ten eerste voor de meeste mensen zal werken. Ten tweede zie ik niet in waarom een VLAN meer adressen nodig heeft dan een /64 op dit moment.Muis666 schreef op zaterdag 4 december 2021 @ 13:13:
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.
Daarnaast is door het gebruik van een /64 het natuurlijk niet uitgesloten dat ik op een ander VLAN geen /60 delegatie toe kan kennen die ik weer ophaal vanaf de router in mijn virtuele omgeving, welke vervolgens weer /64 uit kan delen. Ik moet hierdoor ook weer van SLAAC af stappen gezien ik DDNS nodig heb voor de automatische AAAA records (tenzij iemand zegt dat het wel met SLAAC kan maar zover ben ik zelf dan weer niet).
Ik begrijp je vraag, ik ga zelf ook met /60 aan de slag vanwege bovenstaande reden, maar op mijn standaard netwerk heb ik geen /60 nodig gezien daar geen verdere splitsing plaats vindt. Mijn voorbeeld was dan ook voor mensen die er wellicht minder verstand van hebben en het gewoon werkend willen krijgen op een simpele manier.
- ARP onder IPv4 (Broadcast) wordt Neighbor Discovery onder IPv6 (Multicast)c-nan schreef op zaterdag 4 december 2021 @ 10:32:
[...]
Ik ben geen netwerk engineer. Ik ben Linux/Infra engineer met 10+ jaar ervaring, grotendeels in de hosting branche. Als Linux engineer krijg je vaak te maken netwerk vraagstukken. Zo heb ik met een ACI omgeving mogen werken, het een en ander mogen doen met VXLAN. Trainingen gehad vanuit Juniper en Cisco betreft OSPF/MPLS/BGP.
Maar IPv6? Dat is voor mij ook nog redelijk onbekend terrein. Ongeacht dat ik min of meer weet hoe routering werkt, vind ik IPv6 nog redelijk lastig. Komt voornamelijk doordat ik er bijna nooit mee heb mogen werken, ja behalve static IPv6 instellen op wat servertjes.
Kan je een boek, artikel of video adviseren om het allemaal wat beter te begrijpen? Ik weet namelijk dat jij best actief bent betreft IPv6 (en ook met Ceph)
Met ip4 weet ik bijvoorbeeld dat dmv broadcasting de hosts binnen een subnet elkaar kunnen vinden en de mac adres in hun arp tabel opnemen. Hoe werkt dit bij IPv6 bijvoorbeeld?
Bij ip4 heb je een default gateway om buiten je eigen netwerk te komen, in een thuis situatie is dat je router (die het weer doorzet naar je ISP). Hoe zit dat met IPv6? Is dat ook je router of is het (in dit geval met Ziggo) direct je ISP?
Bij ip4 & dhcp stuurt de client een broadcast uit, een dhcp server pikt dit op en begint te communiceren met de client en voorziet de client op deze manier van een IP. Hoe werkt dat bij ipv6? Hoe weet de client bij wie het moet zijn om een ipv6 te krijgen (zonder dhcp)?
- Default gateway (0.0.0.0/0 wordt gewoon nog een default gateway (::/0)
- DHCP onder IPv4 via Broadcast, Router Advertisement via Multicast onder IPv6
Ga eens met wireshark kijken op je laptop/desktop om te zien wat voor een IPv6 verkeer er binnen komt.
Uiteindelijk is jouw router de default gateway voor jouw devices. De default gateway (::/0) voor jouw router is weer een router van Ziggo en vermoedelijk heeft ook die router weer een (default) gateway waar hij zijn verkeer heen stuurt.
Dat is net zoals met IPv4 het zelfde. Alleen zit er geen NAT.
Je hebt wat mij betreft ook niet echt een LAN meer. Elk device is gewoon onderdeel van het internet! Raspberry Pi aanzetten, webserver er op en je bent bereikbaar voor de wereld!
Je router kan ook nog een 2e functie als statefull firewall hebben waar je bepaald verkeer wel of niet door laat.
Maar dan is het een router met firewalling functie. Dat doe ik ook op mijn MikroTik router, maar ICMP staat open, poort 22 en ook 80 en 443 richting een aantal IPv6 adressen zodat ik bij onder andere mijn P1Mon kan die ik heb draaien evenals mijn Unifi Controller.
Waarom? Ik vind het juist fijn. Zo kan ik met SNMP via IPv6 mijn Switches en AP's monitoren vanaf een VPS ergens in Amsterdam.ed1703 schreef op zaterdag 4 december 2021 @ 16:26:
[...]
Switches en AP's hebben hier gewoon een ipv6-adres. Al zet ik dat liever uit.
Verwijderd
Default in IPv6. De /64 is gekozen in verband met router advertisements. Is al 20 jaar de standaard in IPv6 land. 🙈Muis666 schreef op zaterdag 4 december 2021 @ 13:13:
Waarom zie ik allemaal Ziggo voorbeelden waar de ::/56 wordt verdeeld in 256 ::/64 ? Ik zou dit opdelen in 16 ::/60 zodat een eventuele downstream router dit nog verder kan opdelen.
En hoeveel mensen hebben een downstream router in hun thuisnetwerk? (Al kun je prima /60’s uitdelen, maar nagenoeg niemand die dat nodig heeft)
[ Voor 15% gewijzigd door Verwijderd op 04-12-2021 22:53 ]
Google & Facebook zijn wel het beste wat dat betreft.Qlimaxxx schreef op zaterdag 4 december 2021 @ 13:36:
[...]
Gisteren trouwens voor de lol even IPv4 uitgezet op mijn laptop. Gewoon om te kijken hoe functioneel IPv6 only zou zijn. Daar schrik je dan toch van. Zelfs veel grote partijen hebben gewoon 0 IPv6 support. Zo is microsoft.com niet via IPv6 te bereiken maar gek genoeg www.microsoft.com wel.
Mijn ervaring is dat het voor een server toch relatief eenvoudig is om deze via IPv6 bereikbaar te maken. Zeker als het om websites of een VPS gaat. Soms zelfs een kwestie van een AAAA-record toevoegen en je bent klaar.
Het enige dat ik me kan bedenken waarom het wellicht wat complexer is (zoals het voor een lokaal netwerk ook kan zijn) is het gebruik van load-balancers en een scala een servers waarbij je de hele stack dus dubbel moet gaan uitvoeren en testen?
Het kan aan mij liggen, maar ik begrijp beter waarom een provider voor eindgebruikers moeite heeft om IPv6 uit te rollen dan een partij die er juist belang bij heeft om zo goed mogelijk bereikbaar te zijn. Niet in de laatste plaats omdat een provider voor eindgebruikers vaak te maken heeft met mensen die de ballen verstand hebben van hoe het internet überhaupt werkt. Je mag toch hopen dat de mensen die servers en services beheren verstand hebben van de techniek.
Het is niet moeilijk met IPv6, echt niet. Het is veelal geen prioriteit, onkunde of laksheid.
Voor een goede netwerk engineer is IPv6 echt niet moeilijk en veelal doen alle backbones al lang IPv6.
Het zit hem vaak in de beheerder die het AAAA-record gewoon niet aan maakt. Luiheid, onwetendheid of wat anders.
Waar ik werk hosten we rond de 1M websites en daar staat IPv6 gewoon standaard aan. Ook alle VPS'en die we opleveren staat IPv6 standaard aan.
Maar wat zien we? Klanten maken een A-record aan richting hun VPS en niet dat AAAA-record. Zonde!
Uit een /56 kan je prima de eerste /60 reserveren voor je /64 LAN netwerken. De volgende /60's voor PD.Verwijderd schreef op zaterdag 4 december 2021 @ 22:51:
[...]
Default in IPv6. De /64 is gekozen in verband met router advertisements. Is al 20 jaar de standaard in IPv6 land. 🙈
En hoeveel mensen hebben een downstream router in hun thuisnetwerk? (Al kun je prima /60’s uitdelen, maar nagenoeg niemand die dat nodig heeft)
Zo kan je bijvoorbeeld een /60 (/80 is eigenlijk maar nodig!) naar je Docker host routeren om zo je Docker containers een IPv6 adres te geven.
Als je RIPE-lid bent schijnen de training daar ook een goede basis te zijn voor de kennis. In ieder geval als beginpunt. Ik weet niet of kosten aan vast zitten - maar het is vast goedkoper dan een commerciële trainingspartij.Snow_King schreef op zondag 5 december 2021 @ 12:30:
[...]
Google & Facebook zijn wel het beste wat dat betreft.
Het is niet moeilijk met IPv6, echt niet. Het is veelal geen prioriteit, onkunde of laksheid.
Voor een goede netwerk engineer is IPv6 echt niet moeilijk en veelal doen alle backbones al lang IPv6.
Het zit hem vaak in de beheerder die het AAAA-record gewoon niet aan maakt. Luiheid, onwetendheid of wat anders.
Vooral een kwestie van gevoel. Ik hou wel van dubbele beveiliging (zowel op edge als intern) en niet op alle laag2-netwerkdevices is dit goed te realiseren. Maar vooral dat er een globaal adres op huist geeft mij een ongemakkelijk gevoel. Voor de werking van het device niet nodig, voor beheer maakt het een stuk eenvoudiger natuurlijk.Snow_King schreef op zaterdag 4 december 2021 @ 18:55:
Waarom? Ik vind het juist fijn. Zo kan ik met SNMP via IPv6 mijn Switches en AP's monitoren vanaf een VPS ergens in Amsterdam.
Zo na een nachtje doorhalen en paar uurtjes slaap heb ik het min of meer werkend gekregen op een van mijn VLANs op mijn Layer 3 switch
Niet schrikken...
Ik zal hier wat boel code neerzetten om uit te leggen wat ik heb gedaan
Niet schrikken...
Ik zal hier wat boel code neerzetten om uit te leggen wat ik heb gedaan
- CISCO ROUTER
- Natuurlijk allereerst IPv6 routing aanzetten
code:1
ipv6 unicast-routing
- Eerst even de WAN interface - Gi0/0/0 van ipv6 config voorzien
code:1 2 3 4 5 6 7 8 9 10
interface GigabitEthernet0/0/0 description WAN_CONNECTBOX_ZIGGO ip address dhcp hostname RTR_C1117-mind ip nat outside ip access-group WAN_IN in negotiation auto ipv6 address dhcp ipv6 enable ipv6 dhcp client pd hint ::/56 ipv6 dhcp client pd ISP_IPv6-PREFIX
- Als tweede op interface gi0/0/0 (WAN interface) kijken wat de link-local adres is van het Ziggo modem dat de DHCP-v6-PD doet
code:1 2 3 4 5 6
sh ipv6 routers Router FE80::201:5CFF:FE70:9446 on GigabitEthernet0/0/0, last update 0 min Hops 0, Lifetime 1800 sec, AddrFlag=1, OtherFlag=1 HomeAgentFlag=0, Preference=Medium Reachable time 3600000 msec, Retransmit time 0 (unspecified)
- Static default ipv6 route configureren met dat Link-local adres
code:1
ipv6 route ::/0 GigabitEthernet0/0/0 FE80::201:5CFF:FE70:9446 track 1 name WAN_ZIGGO_IPv6
- IPv6 Prefix opvragen geleerd via DHCPv6-PD via modem dus
code:1 2 3 4 5
sh ipv6 general-prefix IPv6 Prefix ISP_IPv6-PREFIX, acquired via DHCP PD 2001:1C00:2508:9A00::/56 Valid lifetime 56876, preferred lifetime 28076 Vlan255 (Address command)
- Nu een IPv6 DHCP pool maken op basis van wat eigen DNS servers mee geven - 2x dns.watch en 1 OpenNIC.
ook een LOCAL IPv6 prefix pool te maken zometeen
code:1 2 3 4 5 6
ipv6 dhcp pool LOCAL_IPv6-CONFIG prefix-delegation pool LOCAL_IPv6-PREFIX dns-server 2001:1608:10:25::1C04:B12F dns-server 2001:1608:10:25::9249:D69B dns-server 2A03:4000:4D:C92:88C0:96FF:FEC6:B9D domain-name mindwarper-IPv6.local
- Config van VLAN255 aanpassen naar IPv6 - dat is het uplink VLAN (voor global routing table) naar mijn Cisco Layer 3 switch, waar mijn clients op zitten op andere SVIs - VLAN interfaces...
Dat VLAN doet ook dynamic routing (EIGRP) naar Layer 3 Switch ook op VLAN 255
Heb zelf een handmatig IPv6 link-local adres ook gemaakt - IPv4 adres naar HEX en FFFE er tussen gezet
Dat VLAN geeft dus in server mode die LOCAL_IPv6-CONFIG IPv6 DHCP pool door naar Layer 3 switch
code:1 2 3 4 5 6 7 8 9 10 11
interface Vlan255 description *** VLAN 255 - RTR-LAN *** ip address 192.168.255.2 255.255.255.252 ip nat inside ip access-group RTR-LAN-252-255_IN_RESTRICT_ALT in ipv6 address FE80::FF:C0:A8FF:FEFF:2 link-local ipv6 address ISP_IPv6-PREFIX ::FF:C0:A8:FF:2/64 ipv6 enable ipv6 nd managed-config-flag ipv6 nd other-config-flag ipv6 dhcp server LOCAL_IPv6-CONFIG
- Een eigen local IPv6 Prefix pool maken - want mijn Cisco Router moet zelf weer DHCPv6 server zijn voor mijn Layer 3 switches - SVIs - anders krijgen die geen Global IPv6 op een of andere manier...
Ik knip dus de /56 niet op in /64 stukken voor downstream.... Is okay voor nu
Zie edited post onder deze...
Edit 1: toch niet denk ikTwijfel nog een beetje
Wat is handig om later alle mijn VLAN interfaces van IPv6 adressen te voorzien ?
Misschien ook op de interfaces kleinere masks ?
Ik weet het (nog) niet - graag wat hulp / advies
EDIT 2: Ik maak hier bewust een iets andere lokale prefix... eens kijken of dat iets helpt...
Heb wat gezocht over IPv6 subnetting - nu wordt het me meer en meer duidelijk wat ik wil bereiken
code:1
ipv6 local pool LOCAL_IPv6-PREFIX 2001:1C00:2508:9A01::/56 56
- Dynamic routing aanpassen op IPv6.
Hier static routes en connected redistribueren en de neighbor is Layer 3 switch VLAN255 interface IPv6 link-local adres (ook weer handmatig - zie ook B hieronder)
code:1 2 3 4 5 6 7 8 9
router eigrp MIND-ROUTE address-family ipv6 unicast autonomous-system 1000 ! topology base redistribute static redistribute connected exit-af-topology neighbor FE80::FF:C0:A8FF:FEFF:1 Vlan255 exit-address-family
- Natuurlijk allereerst IPv6 routing aanzetten
- CISCO Layer 3 SWITCH - 2x 3750X stacked
- Switch SDM profile aanpassen & reload - Deze is nu actief
code:1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
sh sdm prefer The current template is "desktop IPv4 and IPv6 default" template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 2K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 3K number of directly-connected IPv4 hosts: 2K number of indirect IPv4 routes: 1K number of IPv6 multicast groups: 1K number of IPv6 unicast routes: 3K number of directly-connected IPv6 addresses: 2K number of indirect IPv6 unicast routes: 1K number of IPv4 policy based routing aces: 0 number of IPv4/MAC qos aces: 0.5K number of IPv4/MAC security aces: 1K number of IPv6 policy based routing aces: 0 number of IPv6 qos aces: 0.5K number of IPv6 security aces: 0.5K
- Natuurlijk ook hier weer IPv6 routing aanzetten
code:1
ipv6 unicast-routing
- Config van VLAN255 aanpassen naar IPv6 - dat is het downlink VLAN (voor global routing table) naar mijn Cisco Router van boven
Op deze switch zitten mijn clients op, op andere SVIs - VLAN interfaces...
Dat VLAN doet ook dynamic routing (EIGRP) naar Cisco router terug ook op VLAN 255
Heb zelf een handmatig IPv6 link-local adres ook gemaakt - IPv4 adres naar HEX en FFFE er tussen gezet.
Hier is dus het VLAN255 een client en kan het IPv6 adres automatisch configureren.
Tevens doet het ook hier op zijn beurt weer Prefix doorgeven (PD dus) op basis van de LOCAL_IPv6-PREFIX handmatige local pool op router - zie boven...
code:1 2 3 4 5 6 7 8 9 10 11 12 13
interface Vlan255 description *** VLAN 255 - RTR-LAN | To Cisco C1117-4P Router ==> INTERNET *** ip address 192.168.255.1 255.255.255.252 ip access-group RTR-VLAN255_IN_RESTRICT in no ip redirects no ip unreachables no ip proxy-arp no ip route-cache no ip mroute-cache ipv6 address FE80::FF:C0:A8FF:FEFF:1 link-local ipv6 address autoconfig default ipv6 enable ipv6 dhcp client pd LOCAL_IPv6-PREFIX
- Nu mijn uitgaande SVI - VLAN20 waar mijn PC in zit zodaniog IPv6 configureren dat de DHCP ontvangen wordt
Dus a.h.w. deze VLAN interface in ipv6 dchp RELAY mode zetten
Hier mag dus een adres uit eigen LOCAL_IPv6-PREFIX van boven gehaald worden
Bron geraadpleegd voor inspiratie: https://networkengineerin...n-through-an-organisation
code:1 2 3 4 5 6 7 8 9 10
interface Vlan20 description *** VLAN 20 - COMPUTERS *** ip address 192.168.20.14 255.255.255.240 ip access-group VLAN20_IN_RESTRICT_ALT-18 in ip pim sparse-dense-mode ip igmp access-group IGMP-RECEIVE_ALLOW ipv6 address FE80::14:C0:A8FF:FE14:E link-local ipv6 address LOCAL_IPv6-PREFIX ::14:C0:A8:14:E/64 ipv6 enable ipv6 dhcp relay destination FE80::FF:C0:A8FF:FEFF:1
Krijg hier wel een warning
code:1
% Warning: Bits overlapping with general prefix LOCAL_IPv6-PREFIX will be truncated
Kan ik later wellicht naar kijken - iemand een idee wat ik fout doe hier ?
Denk dat ik LOCAL_IPv6-PREFIX op /60 kan zetten en daaruit /64 subnets kan halen...
EDIT 2: Ipv6 subnetting uitzoeken en goed begrijpen heeft me geholpen - Dynamic routing aanpassen op IPv6.
Hier static routes en connected redistribueren en de neighbor is Cisco Router VLAN255 interface IPv6 link-local adres (ook weer handmatig - zie ook A hierboven)
code:1 2 3 4 5 6 7 8 9
router eigrp MIND-ROUTE address-family ipv6 unicast autonomous-system 1000 ! topology base redistribute static redistribute connected exit-af-topology neighbor FE80::FF:C0:A8FF:FEFF:2 Vlan255 exit-address-family
- Switch SDM profile aanpassen & reload - Deze is nu actief
- CONTROLES
- Cisco Router IPv6 interface info - voor leesbaarheid de brief info
code:1 2 3 4 5 6 7 8 9 10 11
sh ipv6 int br GigabitEthernet0/0/0 [up/up] FE80::7A0C:F0FF:FEFC:BF00 2001:1C00:2500:0:B872:28D2:7659:D7DF (...) Vlan255 [up/up] FE80::FF:C0:A8FF:FEFF:2 2001:1C00:2508:9AFF:C0:A8:FF:2
- Cisco Router IPv6 ping naar Google DNS met Gi/0/0/0 van router als source
code:1 2 3 4 5 6 7
ping ipv6 2001:4860:4860::8844 source gi0/0/0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds: Packet sent with a source address of 2001:1C00:2500:0:B872:28D2:7659:D7DF !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/12/20 ms
- Cisco Router IPv6 ping naar Google DNS met VLAN255 van router als source
code:1 2 3 4 5 6 7
ping ipv6 2001:4860:4860::8844 source vlan255 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds: Packet sent with a source address of 2001:1C00:2508:9AFF:C0:A8:FF:2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/16 ms
- Cisco Layer 3 switch IPv6 interface info - voor leesbaarheid de brief info
code:1 2 3 4 5 6 7 8 9 10 11
sh ipv6 int br Vlan20 [up/up] FE80::14:C0:A8FF:FE14:E 2001:1C00:2508:9A14:C0:A8:14:E (...) Vlan255 [up/up] FE80::FF:C0:A8FF:FEFF:1 2001:1C00:2508:9AFF:C0:A8FF:FEFF:1
- Cisco Layer 3 switch IPv6 ping naar Google DNS met VLAN255 van switch als source
code:1 2 3 4 5 6 7
ping ipv6 2001:4860:4860::8844 source vlan255 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds: Packet sent with a source address of 2001:1C00:2508:9AFF:C0:A8FF:FEFF:1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/17 ms
- Cisco Layer 3 switch IPv6 ping naar Google DNS met VLAN20 van switch als source
code:1 2 3 4 5 6 7
ping ipv6 2001:4860:4860::8844 source vlan20 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds: Packet sent with a source address of 2001:1C00:2508:9A14:C0:A8:14:E !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/17 ms
- PC IPv6 Ping ping naar Google DNS dus op machine in VLAN20
code:1 2 3 4 5 6 7 8 9 10 11 12
ping 2001:4860:4860::8844 Pinging 2001:4860:4860::8844 with 32 bytes of data: Reply from 2001:4860:4860::8844: time=24ms Reply from 2001:4860:4860::8844: time=10ms Reply from 2001:4860:4860::8844: time=8ms Reply from 2001:4860:4860::8844: time=9ms Ping statistics for 2001:4860:4860::8844: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 8ms, Maximum = 24ms, Average = 12ms
- PC - ipconfig informatie
code:1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
ipconfig /all (...) Ethernet adapter Ethernet 2: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek PCIe 2.5GbE Family Controller Physical Address. . . . . . . . . : <MAC> DHCP Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IPv6 Address. . . . . . . . . . . : 2001:1c00:2508:9a14:417b:<MAC EUI64>(Preferred) Temporary IPv6 Address. . . . . . : 2001:1c00:2508:9a14:cc87:b0de:518b:4d43(Preferred) Link-local IPv6 Address . . . . . : fe80::417b:x:y:z%12(Preferred) IPv4 Address. . . . . . . . . . . : 192.168.20.1(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.240 Lease Obtained. . . . . . . . . . : zondag 5 december 2021 15:40:08 Lease Expires . . . . . . . . . . : zondag 5 december 2021 19:40:09 Default Gateway . . . . . . . . . : fe80::14:c0:a8ff:fe14:e%12 192.168.20.14 DHCP Server . . . . . . . . . . . : 192.168.20.14 DHCPv6 IAID . . . . . . . . . . . : 334507892 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-C8-14-42-F0-2F-74-AD-B8-8F DNS Servers . . . . . . . . . . . : 84.200.69.80 84.200.70.40 194.36.144.87 192.168.252.2 NetBIOS over Tcpip. . . . . . . . : Enabled
- PC route informatie
code:1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
route print (...) IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 12 281 ::/0 fe80::14:c0:a8ff:fe14:e 1 331 ::1/128 On-link 12 281 2001:1c00:2508:9a14::/64 On-link 12 281 2001:1c00:2508:9a14:417b:8c62:4854:f92c/128 On-link 12 281 2001:1c00:2508:9a14:cc87:b0de:518b:4d43/128 On-link 12 281 fe80::/64 On-link 12 281 fe80::417b:8c62:4854:f92c/128 On-link 1 331 ff00::/8 On-link 12 281 ff00::/8 On-link =========================================================================== Persistent Routes: None
- Cisco Router IPv6 interface info - voor leesbaarheid de brief info
[ Voor 13% gewijzigd door mindwarper op 06-12-2021 08:34 . Reden: layout en extra informatie ]
Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW
Heb nu wel een issue met IPv6 adressen toewijzen aan bijvoorbeeld VLAN 30
Wellicht mis ik gewoon iets simpels nu....
Graag wat advies ?
Ik moet wat gaan opknippen, maar ben nog niet helemaal thuis nog in Pv6...
Gaat wel steeds beter... Maar nu ook wat sleep-deprived
EDIT: Bovenstaande post aangepast - IPv6 subnetting heeft me wat wegwijs gemaakt..
Ik wil dus in mij eigen lokale pool gewoon nog steeds de /56 Prefix blijven gebruiken, zodat ik dus dan zelf /64 subnets kan maken op een mooie notatie manier, zodat ik gelijk het subnet herken aan de HEX waarde wat dan overeenkomt met (gedeelte van) het IPv4 adres van het zelfde VLAN
code:
1
| 000645: Dec 5 2021 17:48:32.412 NED: %IPV6_ADDRESS-3-ADDRESS_CFG: 2001:1C00:251C:400:0:14:14:14/64 can not be configured on Vlan30, 2001:1C00:251C:400::/64 is overlapping with 2001:1C00:251C:400::/64 on Vlan20 |
Wellicht mis ik gewoon iets simpels nu....
Graag wat advies ?
Ik moet wat gaan opknippen, maar ben nog niet helemaal thuis nog in Pv6...
Gaat wel steeds beter... Maar nu ook wat sleep-deprived
EDIT: Bovenstaande post aangepast - IPv6 subnetting heeft me wat wegwijs gemaakt..
Ik wil dus in mij eigen lokale pool gewoon nog steeds de /56 Prefix blijven gebruiken, zodat ik dus dan zelf /64 subnets kan maken op een mooie notatie manier, zodat ik gelijk het subnet herken aan de HEX waarde wat dan overeenkomt met (gedeelte van) het IPv4 adres van het zelfde VLAN
[ Voor 26% gewijzigd door mindwarper op 06-12-2021 00:26 . Reden: Extra info ]
Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW
Dat globale adres is juist het mooie van het internet!ed1703 schreef op zondag 5 december 2021 @ 15:56:
[...]
Vooral een kwestie van gevoel. Ik hou wel van dubbele beveiliging (zowel op edge als intern) en niet op alle laag2-netwerkdevices is dit goed te realiseren. Maar vooral dat er een globaal adres op huist geeft mij een ongemakkelijk gevoel. Voor de werking van het device niet nodig, voor beheer maakt het een stuk eenvoudiger natuurlijk.
Voorop: Je hebt een firewall in je router waarmee je weg kan filteren dat het internet bij je device kan. Expliciet geef je dan aan dat bepaalde hosts het wel mogen. Denk aan een VPS die je ergens huurt of het subnet van een goede vriend van je.
Ten tweede: Scans zijn met IPv6 echt verleden tijd. Niemand gaat je switch of AP zo maar automatisch vinden. Geen security by obscurity, maar meer dat jouw /56 afscannen gewoon onbegonnen werk is. Latency en tijd maken dat onhaalbaar.
Hier kloppen volgens mij twee dingen niet:mindwarper schreef op zondag 5 december 2021 @ 17:12:
Zo na een nachtje doorhalen en paar uurtjes slaap heb ik het min of meer werkend gekregen op een van mijn VLANs op mijn Layer 3 switch
Niet schrikken...
Ik zal hier wat boel code neerzetten om uit te leggen wat ik heb gedaan
[list=A]
• CISCO ROUTER
[list=1]
• Natuurlijk allereerst IPv6 routing aanzetten
code:
1 ipv6 unicast-routing
• Eerst even de WAN interface - Gi0/0/0 van ipv6 config voorzien
code:
1 2 3 4 5 6 7 8 9 10 interface GigabitEthernet0/0/0 description WAN_CONNECTBOX_ZIGGO ip address dhcp hostname RTR_C1117-mind ip nat outside ip access-group WAN_IN in negotiation auto ipv6 address dhcp ipv6 enable ipv6 dhcp client pd hint ::/56 ipv6 dhcp client pd ISP_IPv6-PREFIX
• Als tweede op interface gi0/0/0 (WAN interface) kijken wat de link-local adres is van het Ziggo modem dat de DHCP-v6-PD doet
code:
1 2 3 4 5 6 sh ipv6 routers Router FE80::201:5CFF:FE70:9446 on GigabitEthernet0/0/0, last update 0 min Hops 0, Lifetime 1800 sec, AddrFlag=1, OtherFlag=1 HomeAgentFlag=0, Preference=Medium Reachable time 3600000 msec, Retransmit time 0 (unspecified)
• Static default ipv6 route configureren met dat Link-local adres
code:
1 ipv6 route ::/0 GigabitEthernet0/0/0 FE80::201:5CFF:FE70:9446 track 1 name WAN_ZIGGO_IPv6
[
- Je moet je IPv6 adres op WAN/outside niet via DHCP verkrijgen
- Het moet niet nodig zijn zelf een default gateway te configureren
code:
1
2
| ipv6 address autoconfig default ipv6 enable |
Dat moet voldoende zijn.
Het Link-Local adres van Ziggo voor je gateway kan zo maar veranderen en die moet je niet statisch willen configureren.
Voor de Mikrotik gebruikers onder ons, zorg dat je pool-prefix-length op 64 staat, zodat je /64 subnetten aan je address-en kunt hangen:
-> Als Interface een 'bridge' werkt helaas niet.
Mijn FW regels (als het beter kan, let me know!):
(wel natuurlijk de juiste (in-)interface gebruiken ...)
code:
1
2
3
4
5
6
7
| /ipv6 dhcp-client add add-default-route=yes interface=ether1 pool-name=ZiggoPool pool-prefix-length=64 prefix-hint=::/56 request=address,prefix use-peer-dns=yes /ipv6 address add from-pool=ZiggoPool interface=vlan-clients add from-pool=ZiggoPool interface=vlan-domotica add from-pool=ZiggoPool interface=vlan-gast |
-> Als Interface een 'bridge' werkt helaas niet.
Mijn FW regels (als het beter kan, let me know!):
code:
1
2
3
4
5
6
7
8
| /ipv6 firewall filter add action=accept chain=forward connection-state=established,related in-interface=ether1 add action=accept chain=forward in-interface=ether1 protocol=icmpv6 add action=accept chain=input connection-state=established,related in-interface=ether1 add action=accept chain=input in-interface=ether1 protocol=icmpv6 add action=accept chain=input dst-port=546 in-interface=ether1 protocol=udp add action=drop chain=forward in-interface=ether1 add action=drop chain=input in-interface=ether1 |
(wel natuurlijk de juiste (in-)interface gebruiken ...)
Vreemd, kun je geen IP-adres aan een bridge koppelen of geen dhcpv6-client? Wat gebeurt er dan? Hier hangen de adressen nl. wel aan bridges maar gebruik ik geen vlans.airell schreef op maandag 6 december 2021 @ 09:50:
-> Als Interface een 'bridge' werkt helaas niet.
Er staat in de default config een firewall-set gebaseerd op interface lists. Als je ether1 aan WAN knoopt en je vlans aan LAN is dit eigenlijk de aanbevolen ruleset.Mijn FW regels (als het beter kan, let me know!)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
| /system default-configuration print /ipv6 firewall { address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address" address-list add list=bad_ipv6 address=::1 comment="defconf: lo" address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local" address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped" address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat" address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only " address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation" address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID" address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone" address-list add list=bad_ipv6 address=::224.0.0.0/100 comment="defconf: other" address-list add list=bad_ipv6 address=::127.0.0.0/104 comment="defconf: other" address-list add list=bad_ipv6 address=::/104 comment="defconf: other" address-list add list=bad_ipv6 address=::255.0.0.0/104 comment="defconf: other" filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked" filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid" filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6" filter add chain=input action=accept protocol=udp port=33434-33534 comment="defconf: accept UDP traceroute" filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="defconf: accept DHCPv6-Client prefix delegation." filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE" filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH" filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP" filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy" filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN" filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked" filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid" filter add chain=forward action=drop src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6" filter add chain=forward action=drop dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6" filter add chain=forward action=drop protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1" filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6" filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP" filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE" filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH" filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP" filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy" filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN" } |
* Barca zweert ook bij fixedsys... althans bij mIRC de rest is comic sans
Ik gebruik deze regels:airell schreef op maandag 6 december 2021 @ 09:50:
Voor de Mikrotik gebruikers onder ons, zorg dat je pool-prefix-length op 64 staat, zodat je /64 subnetten aan je address-en kunt hangen:
Mijn FW regels (als het beter kan, let me know!):
code:
1 2 3 4 5 6 7 8 /ipv6 firewall filter add action=accept chain=forward connection-state=established,related in-interface=ether1 add action=accept chain=forward in-interface=ether1 protocol=icmpv6 add action=accept chain=input connection-state=established,related in-interface=ether1 add action=accept chain=input in-interface=ether1 protocol=icmpv6 add action=accept chain=input dst-port=546 in-interface=ether1 protocol=udp add action=drop chain=forward in-interface=ether1 add action=drop chain=input in-interface=ether1
(wel natuurlijk de juiste (in-)interface gebruiken ...)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| /ipv6 firewall filter add action=accept chain=forward packet-size=0-65535 protocol=icmpv6 add action=accept chain=forward connection-state=established,related add action=accept chain=forward protocol=tcp tcp-flags=syn,ack add action=accept chain=forward protocol=tcp tcp-flags=psh,ack add action=accept chain=forward protocol=tcp tcp-flags=ack add action=accept chain=forward protocol=tcp tcp-flags=rst add action=accept chain=forward protocol=tcp tcp-flags=fin add action=accept chain=forward in-interface-list=LAN add action=accept chain=forward dst-port=161 protocol=udp src-address-list=\ monitoring add action=accept chain=input packet-size=0-65535 protocol=icmpv6 add action=accept chain=input dst-port=161 in-interface-list=WAN protocol=udp \ src-address-list=monitoring add action=accept chain=input dst-port=22 protocol=tcp src-address-list=\ management add action=reject chain=input log=yes log-prefix="ipv6 input drop:" \ reject-with=icmp-admin-prohibited add action=reject chain=forward log=yes log-prefix="ipv6 forward drop:" \ reject-with=icmp-admin-prohibited |
Vandaag vervangende modem ontvangen van Ziggo. Aangesloten en IPv6 werkt directc-nan schreef op vrijdag 3 december 2021 @ 09:45:
Iemand IPv6 + Edgerouter + Ziggo aan de praat gekregen? Hoe heb je het ingesteld op de Edgerouter?
Ik heb:
code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 interfaces { ethernet eth0 { address dhcp description Internet dhcpv6-pd { pd 0 { interface switch0 { host-address ::1 prefix-id :1 service slaac } prefix-length /56 } rapid-commit enable } duplex auto firewall { in { ipv6-name WANv6_IN name WAN_IN } local { ipv6-name WANv6_LOCAL name WAN_LOCAL } } speed auto }
krijg echter geen IPv6 toegewezen.
/edit
Ik heb trouwens geen brief ontvangen van Ziggo dat ik IPv6 zou krijgen.
Nu nog mn DNS server (pihole) IPv6 aware maken.
EU DNS: 86.54.11.100
Ik had al de autoconfig geprobeerd, maar nog niet met default erachter....Snow_King schreef op maandag 6 december 2021 @ 09:09:
[...]
Hier kloppen volgens mij twee dingen niet:
- Je moet je IPv6 adres op WAN/outside niet via DHCP verkrijgen
- Het moet niet nodig zijn zelf een default gateway te configureren
code:
1 2 ipv6 address autoconfig default ipv6 enable
Dat moet voldoende zijn.
Het Link-Local adres van Ziggo voor je gateway kan zo maar veranderen en die moet je niet statisch willen configureren.
Dat met autoconfig lukte toen niet om op die manier een IPv6 adres te krijgen op mijn gi0/0/0 interface, met dhcp wel blijkbaar...
IPv6 enable is nodig op een interface om IPv6 ook echt "aan" te zetten op die interface...
Om dus te kunnen gebruiken is het nodig
Als test had ik al eens de modem paar keer uit en weer aan gedaan...
De prefix via PD verandert telkens op die manier ja, maar telkens weer wat het IPv6 link-local adres FE80:: van de modem steeds weer identiek...
Dus verandert die niet telkens na een herstart van modem zelf....
Dus vandaar dat adres
Maar bedankt voor je tips...
Ik heb dit nu gemaakt eerste keer zo... En ik ben er trots op dat me dat is gelukt.
Tuurlijk kan ik nog verder fine tunen met je tips...
En ook IPv6 ACLs erop zetten ook nog op alle interfaces...
Dat is voor een volgende keer
Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW
Een switch of AP vinden is misschien moeilijk, maar een desktop vinden is niet direct moeilijk. Ongetwijfeld dat er farms komen die real-time ip-adressen gaan harvesten (bijvoorbeeld via advertentienetwerken). Ook al zijn die ip's tijdelijk (indien SLAAC), maar een beetje aanvaller heeft geen weken nodig om een gevonden ip aan te vallen.Snow_King schreef op zondag 5 december 2021 @ 17:56:
[...]
Ten tweede: Scans zijn met IPv6 echt verleden tijd. Niemand gaat je switch of AP zo maar automatisch vinden. Geen security by obscurity, maar meer dat jouw /56 afscannen gewoon onbegonnen werk is. Latency en tijd maken dat onhaalbaar.
Nog steeds niets aan de hand, daar zijn firewalls voor.
Wil je dan heel graag 2 lagen security, dan enable je een firewall op zowel je router als je workstation. Problem solved
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Houd er rekening mee dat het fe80:: adres aan de Ziggo zijde NIET stabiel is. Ofwel, als Ziggo daar een router vervangt of je verkeer om routeert naar een andere router kan dit adres zo maar ineens veranderen.mindwarper schreef op maandag 6 december 2021 @ 18:10:
[...]
Ik had al de autoconfig geprobeerd, maar nog niet met default erachter....
Dat met autoconfig lukte toen niet om op die manier een IPv6 adres te krijgen op mijn gi0/0/0 interface, met dhcp wel blijkbaar...
IPv6 enable is nodig op een interface om IPv6 ook echt "aan" te zetten op die interface...
Om dus te kunnen gebruiken is het nodig
Als test had ik al eens de modem paar keer uit en weer aan gedaan...
De prefix via PD verandert telkens op die manier ja, maar telkens weer wat het IPv6 link-local adres FE80:: van de modem steeds weer identiek...
Dus verandert die niet telkens na een herstart van modem zelf....
Dus vandaar dat adres
Maar bedankt voor je tips...
Ik heb dit nu gemaakt eerste keer zo... En ik ben er trots op dat me dat is gelukt.
Tuurlijk kan ik nog verder fine tunen met je tips...
En ook IPv6 ACLs erop zetten ook nog op alle interfaces...
Dat is voor een volgende keer
Wellicht moet je dan doen:
code:
1
| ipv6 address dhcp default |
In ieder geval moet je router zelf de default route via Ziggo leren en statisch configureren moet niet nodig zijn.
2 lagen is sowieso niets mis mee. Want zo voorkom je ook als Malware je Layer 2 domein bereikt het niet alsnog bepaalde PC's in komt.Freeaqingme schreef op maandag 6 december 2021 @ 18:17:
[...]
Een switch of AP vinden is misschien moeilijk, maar een desktop vinden is niet direct moeilijk. Ongetwijfeld dat er farms komen die real-time ip-adressen gaan harvesten (bijvoorbeeld via advertentienetwerken). Ook al zijn die ip's tijdelijk (indien SLAAC), maar een beetje aanvaller heeft geen weken nodig om een gevonden ip aan te vallen.
Nog steeds niets aan de hand, daar zijn firewalls voor.
Wil je dan heel graag 2 lagen security, dan enable je een firewall op zowel je router als je workstation. Problem solved
Op mijn Mac en Linux systemen staat de firewall gewoon aan, ook op het interne netwerk.
Ik zei 't een beetje onhandig, maar helemaal mee eens!Snow_King schreef op maandag 6 december 2021 @ 18:50:
[...]
2 lagen is sowieso niets mis mee. Want zo voorkom je ook als Malware je Layer 2 domein bereikt het niet alsnog bepaalde PC's in komt.
Op mijn Mac en Linux systemen staat de firewall gewoon aan, ook op het interne netwerk.
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Gebeurde al, shodan had een paar jaar geleden hosts in de NTP poolsFreeaqingme schreef op maandag 6 december 2021 @ 18:17:
[...]
Een switch of AP vinden is misschien moeilijk, maar een desktop vinden is niet direct moeilijk. Ongetwijfeld dat er farms komen die real-time ip-adressen gaan harvesten (bijvoorbeeld via advertentienetwerken). Ook al zijn die ip's tijdelijk (indien SLAAC), maar een beetje aanvaller heeft geen weken nodig om een gevonden ip aan te vallen.
En dan is:Nog steeds niets aan de hand, daar zijn firewalls voor.
Wil je dan heel graag 2 lagen security, dan enable je een firewall op zowel je router als je workstation. Problem solved
- De "inkomend niet-ICMP blokkeren" regel de effectievere varaint van dezelfde bescherming die NAT geeft bij IPv4
- De host firewall die op source IP filtert de echte acl
offtopic:
Heb zelf geëxperimenteerd met single-stack voor machines. Mijn conclusie is dat ik dan liever meteen al het http via een proxy doe ipv NAT64. Die proxy geeft je wéér een makkelijk punt om makkelijk flows te filteren
Heb zelf geëxperimenteerd met single-stack voor machines. Mijn conclusie is dat ik dan liever meteen al het http via een proxy doe ipv NAT64. Die proxy geeft je wéér een makkelijk punt om makkelijk flows te filteren
[ Voor 9% gewijzigd door ANdrode op 06-12-2021 19:44 ]
Grappig dat je 't zegt. Toevallig ben ik recentelijk ook uitgebreid bezig geweest met NAT64. Het resultaat vond ik op een Linux stack allemaal net te fragiel, waardoor ik ook gewoon uitkwam op het inrichten van een Squid-server. Is ook leuk voor compliance eventueel.ANdrode schreef op maandag 6 december 2021 @ 19:42:
[...]
offtopic:
Heb zelf geëxperimenteerd met single-stack voor machines. Mijn conclusie is dat ik dan liever meteen al het http via een proxy doe ipv NAT64. Die proxy geeft je wéér een makkelijk punt om makkelijk flows te filteren
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Op mijn Samsung tablet uit 2017 duurt het heel lang voordat er bv in de ad app artikelen geladen wordenQlimaxxx schreef op zaterdag 4 december 2021 @ 15:14:
[...]
Wat voor TV's, tablets en telefoons heb je dan zoal?
Kan me amper voorstellen dat telefoons en tablets geen IPv6 ondersteuning hebben.
Net even getest, hoewel je het weliswaar handmatig in moet schakelen op zowel mijn LG Oled uit 2018 als een Sony smart TV van 8 jaar oud, werken ze allebei gewoon met IPv6. Of de verouderde Netflix app op die oudere tv ook gebruik gaat maken van IPv6 is natuurlijk nog de vraag, maar op hardware en OS-niveau is de ondersteuning er zeker.
@drocona Welke versie van FortiOS gebruik je? Want ik probeer dit ook op mijn Fortigate 60E te doen (FortiOS 7.0.2) maar ik krijg het niet voor elkaar met die dhcp6-prefix-hint op mijn wan verbinding. Hij pakt hem niet.
drocona schreef op zaterdag 4 december 2021 @ 12:06:
Ik heb gisteravond even een uurtje gezeten om te testen of ik IPv6 kon ontvangen op mijn Ziggo verbinding en is het redelijk snel gelukt.
- Zelf heb ik de e-mail of brief niet ontvangen, maar zit wel in origineel Ziggo gebied en maak gebruik van een Ubee UBC1318ZG (Zakelijke aansluiting in Bridge).
- Als firewall/router gebruik ik een Fortigate, zorg er voor dat de firmware up-to-date is gezien Prefix Delegation functionaliteit later is toegevoegd (ergens in de hoge versie 5 van FortiOS, als je op 6 of hoger zit is dus prima)
Voor de mensen die het op een Fortigate werkend willen krijgen, ik heb het nu met SLAAC + stateless DHCPv6 ingesteld met de volgende configuratie:
Op de interface met de Ziggo verbinding, dit kan wan, wan1, wan2 etc zijn, vervang dit door de naam van de interface. Ik heb alleen ping toegestaan, verder geen toegang, dit kun je zelf uitbreiden wanneer nodig (https bijvoorbeeld).
code:
1 2 3 4 5 6 7 8 9 10 config system interface edit "wan" config ipv6 set ip6-mode dhcp set ip6-allowaccess ping set dhcp6-prefix-delegation enable set dhcp6-prefix-hint ::/56 end next end
Dan op de LAN interface waar jouw devices zitten, verander hier jouw interne interface naam, vergeet ook hier niet de correcte naam van de WAN verbinding aan te geven, anders werkt het niet! We geven het eerste /64 subnet met het 1e ip ::1 aan als adres van de router op deze interface. We stellen SLAAC in en daarnaast geven we aan dat er een DHCPv6 is voor verdere additionele configuratie (ik heb mijn eigen DNS servers).
code:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 config system interface edit "lan" config ipv6 set ip6-mode delegated set ip6-allowaccess ping https ssh snmp set ip6-send-adv enable set ip6-other-flag enable set ip6-upstream-interface "wan" set ip6-subnet ::1/64 config ip6-delegated-prefix-list edit 1 set upstream-interface "wan" set autonomous-flag enable set onlink-flag enable set subnet ::/64 next end end next end
Als laatste de DHCPv6 server voor DNS server informatie, stel wederom de interne interface naam in en geef de DNS servers in IPv6 aan (Cloudflare: 2606:4700:4700::1111 en 2606:4700:4700::1001; Google: 2001:4860:4860::8888 en 2001:4860:4860::8844)
code:
1 2 3 4 5 6 7 config system dhcp6 server edit 1 set interface "lan" set dns-server1 2606:4700:4700::1111 set dns-server2 2606:4700:4700::1001 next end
Als alles ingesteld is kunnen we de ranges ophalen (dit moet geforceerd, gaat niet automatisch tenzij je de Fortigate herstart), geef ook hier de WAN interface op.
code:
1 execute interface dhcp6client-renew wan
Als laatste zijn er nog wat IPv6 firewall policies nodig. Allereerst verkeer toestaan vanuit je LAN naar WAN (kun je kopieren vanuit je IPv4 policy) en als tweede sta je ALL_ICMPv6 service toe van WAN naar LAN any/any. Vergeet niet om je NAT uit te schakelen op de firewall regels, dit is niet meer nodig!
Als het goed is heb je nu onmiddellijk IPv6 connectiviteit op al je clients in je netwerk.
Hoop dat het iemand helpt!
The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.
Misschien is het vlan/bridge technisch, maar als ik de addresses rule aan de 'vlan bridge' koppel, dan krijgen mijn clients geen ip adres. Koppel ik deze direct aan de vlan interface, dan gaat het prima:nescafe schreef op maandag 6 december 2021 @ 10:02:
[...]
Vreemd, kun je geen IP-adres aan een bridge koppelen of geen dhcpv6-client? Wat gebeurt er dan? Hier hangen de adressen nl. wel aan bridges maar gebruik ik geen vlans.
[...]
code:
1
2
3
4
5
6
7
8
9
10
11
12
| /interface vlan add comment=guest interface=the-lan-bridge name=vlan-27 vlan-id=27 /interface bridge add fast-forward=no name=the-lan-bridge vlan-filtering=yes /interface bridge vlan add bridge=the-lan-bridge comment=guest tagged=the-lan-bridge,vlan-27 vlan-ids=27 /ipv6 address add from-pool=ZiggoPool interface=vlan-27 add disabled=yes from-pool=ZiggoPool interface=the-lan-bridge |
^^^^ de laatste regel werkt dus niet. Verder geen issue nu, want ik kan ze ook aan een vlan direct zetten.
Super dank je!nescafe schreef op maandag 6 december 2021 @ 10:02:
Er staat in de default config een firewall-set gebaseerd op interface lists. Als je ether1 aan WAN knoopt en je vlans aan LAN is dit eigenlijk de aanbevolen ruleset.
[ Voor 24% gewijzigd door airell op 07-12-2021 14:59 ]
@Robvef Gisteren een korte chat gehad met Fortinet support. Hierbij de tip gekregen om gebruik te maken van config dhcp6-iapd-list. Dit schijnt nieuw te zijn sinds FortiOS 7.0.x. Heb het helaas nog niet werkend gekregen.
https://docs.fortinet.com...0/config-system-interface
Mocht je het werkend gekregen hebben hoor ik het graag.
https://docs.fortinet.com...0/config-system-interface
Mocht je het werkend gekregen hebben hoor ik het graag.
Robvef schreef op dinsdag 7 december 2021 @ 14:02:
@drocona Welke versie van FortiOS gebruik je? Want ik probeer dit ook op mijn Fortigate 60E te doen (FortiOS 7.0.2) maar ik krijg het niet voor elkaar met die dhcp6-prefix-hint op mijn wan verbinding. Hij pakt hem niet.
[...]
https://www.hetzner.com/news/12-21-ipv6-only/
Hetzner biedt nu ipv6-only servers:
Edit: Ook even gekeken wat zo'n IP dan kost. Je kan 1.70 euro ex btw (2.02 eur inc. MWST) besparen door 'm bij 't bestellen uit te vinken.
Hetzner biedt nu ipv6-only servers:
Ben benieuwd hoeveel dit in eerste instantie afgenomen wordt, maar wel fijn te zien dat dit meer en meer common-place begint te worden.IPV6 ONLY OPTION FOR DEDICATED ROOT SERVERS
We are always working on providing you with the best solutions. Therefore, to make things more flexible for you, our dedicated root servers support IPv6 only.
You now have the option to order a server with just an IPv6 /64 subnet. Our dedicated root servers will still include an IPv4 Addon by default, but you can now easily remove it during the ordering process.
We will continue to improve this new solution and are already working on an IPv6 only solution for cloud servers, too.
Edit: Ook even gekeken wat zo'n IP dan kost. Je kan 1.70 euro ex btw (2.02 eur inc. MWST) besparen door 'm bij 't bestellen uit te vinken.
[ Voor 8% gewijzigd door Freeaqingme op 07-12-2021 22:20 ]
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
@Vizor Dank je voor deze aanwijzing, krijg nu al meer te zien in mijn configuratie. Heb daarna ook nog deze post gevonden, misschien dat jij daar ook iets aan hebt? Of misschien kende je hem al?
https://community.fortine...LAN-interface/td-p/199091
https://community.fortine...LAN-interface/td-p/199091
Vizor schreef op dinsdag 7 december 2021 @ 15:12:
@Robvef Gisteren een korte chat gehad met Fortinet support. Hierbij de tip gekregen om gebruik te maken van config dhcp6-iapd-list. Dit schijnt nieuw te zijn sinds FortiOS 7.0.x. Heb het helaas nog niet werkend gekregen.
https://docs.fortinet.com...0/config-system-interface
Mocht je het werkend gekregen hebben hoor ik het graag.
[...]
The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.
Ik zit zelf op versie 6.x, dus met het antwoord van @Vizor komt dat inderdaad overeen.Robvef schreef op dinsdag 7 december 2021 @ 14:02:
@drocona Welke versie van FortiOS gebruik je? Want ik probeer dit ook op mijn Fortigate 60E te doen (FortiOS 7.0.2) maar ik krijg het niet voor elkaar met die dhcp6-prefix-hint op mijn wan verbinding. Hij pakt hem niet.
[...]
Hoop dat het met zijn antwoord lukt @Robvef!
Tof!Freeaqingme schreef op dinsdag 7 december 2021 @ 15:27:
https://www.hetzner.com/news/12-21-ipv6-only/
Hetzner biedt nu ipv6-only servers:
[...]
Ben benieuwd hoeveel dit in eerste instantie afgenomen wordt, maar wel fijn te zien dat dit meer en meer common-place begint te worden.
Sowieso goed om daarmee te experimenteren en te werken.
Ik heb het nu half werkend, ik krijg op mijn desktop computer inderdaad een IPv6 address bestaande uit de prefix en subnet wat ik heb aangemaakt. Heb hiervoor ook een firewall rule zonder NAT aangemaakt, maar het lukt me nog niet om een ipv6 test succesvol te voldoen.drocona schreef op dinsdag 7 december 2021 @ 20:46:
[...]
Ik zit zelf op versie 6.x, dus met het antwoord van @Vizor komt dat inderdaad overeen.
Hoop dat het met zijn antwoord lukt @Robvef!
Ik ga er morgen weer meer verder, maar kom dus dichterbij een werkende oplossing
@Vizor dank je voor je input
@drocona Dank je voor je reply
The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.
De nieuwe RouterOS 7.1 versie van Mikrotik ondersteund IPv6 NAT66. Wel handig als je ULA adressen gebruikt icm een wireguard vps.
Laat mijn cursusleider dit maar niet horen, NAT66.zx9r_mario schreef op donderdag 9 december 2021 @ 11:42:
De nieuwe RouterOS 7.1 versie van Mikrotik ondersteund IPv6 NAT66. Wel handig als je ULA adressen gebruikt icm een wireguard vps.
Ik ben er eens verder ingedoken en heb het nu ook werkend voor een Fortigate (60E) met FortiOS 7.0.2
De configuratie hierin is net even wat anders als in lagere versies van FortiOS.
Wat is sowieso van te voren heb gedaan, is eerst het modem een reboot gegeven. Daarna na het configureren van de WAN-interface ook de Fortigate een reboot gegeven.
De code is voortzetting van @drocona met input van @Vizor en mijn eigen input.
De oplossing zat in de WAN-interface config dhcp6-iapd-list en daaronder het nummer wat genoemd wordt te refereren in de interface op de LAN-zijde onder set ip6-delegated-prefix-iaid <nummer uit dhcp6-iapd-list>
Op de LAN interfaces komt de dhcp6-iapd-list weer terug. Pas daar waar nodig de interface aan voor het subnet dat je wil instellen. In de code hieronder zie je dus dat bij set ip6-delegated-prefix-iaid het nummer genoemd wordt wat bij config dhcp6-iapd-list terugkomen.
Wat je daarna ook nog moet doen is bij config ip6-delegated-prefix-list de /64 prefix neerzetten die je terug vindt in de GUI onder de interface configuratie bij IPv6 Address/Prefix. Wat in mijn geval 2001:1c03:xxxx:xxxx::/64 is
Heb je nu meerdere vlans aangemaakt onder een fysieke interface is dat ook geen probleem, moet je alleen een andere ::/64 verzinnen. Hieronder een voorbeeld van hoe dat bij 1 van mijn vlans is gedaan. Let hierbij op set ip6-subnet regel.
Daarna een ipv6 policy aangemaakt in de GUI. Die kun je alleen aanmaken als je ipv6 goed geconfigureerd is heb ik gemerkt.
En daarna getest met bijv. ip.bieringer.net en ipv6test.google.com
Hoop dat dit mensen helpt die ook een Fortigate hebben
De configuratie hierin is net even wat anders als in lagere versies van FortiOS.
Wat is sowieso van te voren heb gedaan, is eerst het modem een reboot gegeven. Daarna na het configureren van de WAN-interface ook de Fortigate een reboot gegeven.
De code is voortzetting van @drocona met input van @Vizor en mijn eigen input.
De oplossing zat in de WAN-interface config dhcp6-iapd-list en daaronder het nummer wat genoemd wordt te refereren in de interface op de LAN-zijde onder set ip6-delegated-prefix-iaid <nummer uit dhcp6-iapd-list>
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| config system interface edit "wan1" set vdom "root" set mode dhcp set allowaccess fabric set type physical set monitor-bandwidth enable set role wan set snmp-index 1 config ipv6 set ip6-mode dhcp set ip6-allowaccess fabric set dhcp6-prefix-delegation enable config dhcp6-iapd-list edit 5 set prefix-hint ::/56 next edit 6 next end end next |
Op de LAN interfaces komt de dhcp6-iapd-list weer terug. Pas daar waar nodig de interface aan voor het subnet dat je wil instellen. In de code hieronder zie je dus dat bij set ip6-delegated-prefix-iaid het nummer genoemd wordt wat bij config dhcp6-iapd-list terugkomen.
Wat je daarna ook nog moet doen is bij config ip6-delegated-prefix-list de /64 prefix neerzetten die je terug vindt in de GUI onder de interface configuratie bij IPv6 Address/Prefix. Wat in mijn geval 2001:1c03:xxxx:xxxx::/64 is
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
| config system interface edit "internal" config ipv6 set ip6-mode delegated set ip6-allowaccess ping https ssh snmp set ip6-delegated-prefix-iaid 5 set ip6-send-adv enable set ip6-other-flag enable set ip6-upstream-interface "wan1" set ip6-subnet ::1/64 config ip6-prefix-list edit 2001:1c03:xxxx:xxxx::/64 next end config ip6-delegated-prefix-list edit 1 set upstream-interface "wan1" set subnet ::/64 next end end next end |
Heb je nu meerdere vlans aangemaakt onder een fysieke interface is dat ook geen probleem, moet je alleen een andere ::/64 verzinnen. Hieronder een voorbeeld van hoe dat bij 1 van mijn vlans is gedaan. Let hierbij op set ip6-subnet regel.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| edit "<vlan naam>" config ipv6 set ip6-mode delegated set ip6-delegated-prefix-iaid 5 set ip6-send-adv enable set ip6-manage-flag enable set ip6-other-flag enable set ip6-upstream-interface "wan1" set ip6-subnet ::3:0:0:0:1/64 config ip6-prefix-list edit 2001:1c03:xxxx:xxx3::/64 next end config ip6-delegated-prefix-list edit 1 set upstream-interface "wan1" set subnet ::/64 next end end |
Daarna een ipv6 policy aangemaakt in de GUI. Die kun je alleen aanmaken als je ipv6 goed geconfigureerd is heb ik gemerkt.
En daarna getest met bijv. ip.bieringer.net en ipv6test.google.com
Hoop dat dit mensen helpt die ook een Fortigate hebben
The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.
Tja, ik was ook naar het kijken naar wireguard en IPv6 en het viel me op dat alle voorbeelden die ik kon vinden met NAT werkten. Dus voorlopig ben ik maar even IPv4 only gebleven (voor wireguard dan).Vorkie schreef op donderdag 9 december 2021 @ 11:49:
[...]
Laat mijn cursusleider dit maar niet horen, NAT66.
Ik heb gewoon in WG een /64 subnet doorgezet. Zij het statisch toegewezen natuurlijk.Muis666 schreef op donderdag 9 december 2021 @ 11:57:
[...]
Tja, ik was ook naar het kijken naar wireguard en IPv6 en het viel me op dat alle voorbeelden die ik kon vinden met NAT werkten. Dus voorlopig ben ik maar even IPv4 only gebleven (voor wireguard dan).
:1 is de WG interface en dan alle clients opvolgend ::2 of iets leuks, zoals mijn mobiel ::1337 heeft.
Hoe heb je WG geregeld als ik vragen mag, is dat op een vps met een eigen /64 subnet?Vorkie schreef op donderdag 9 december 2021 @ 12:11:
[...]
Ik heb gewoon in WG een /64 subnet doorgezet. Zij het statisch toegewezen natuurlijk.
:1 is de WG interface en dan alle clients opvolgend ::2 of iets leuks, zoals mijn mobiel ::1337 heeft.
Nee thuis uit mijn /48, maar als je VPS een /64 hebt is het al wat lastiger natuurlijkzx9r_mario schreef op donderdag 9 december 2021 @ 12:20:
[...]
Hoe heb je WG geregeld als ik vragen mag, is dat op een vps met een eigen /64 subnet?
Let op:
Let op: Blijf netjes reageren, en laat dit topic niet verzanden in een "wellus / nietus" discussie.. Opmerkingen als "het werkt hier ook" zijn ook niet gewenst.
Let op: Blijf netjes reageren, en laat dit topic niet verzanden in een "wellus / nietus" discussie.. Opmerkingen als "het werkt hier ook" zijn ook niet gewenst.