Ja dat gebeurt een hoop - Apple spul gebruikt ook allerlei ad-hoc IPv6 netwerken, tussen je iPhone en oordopjes, watch enzo.
:strip_exif()/u/26026/snowrabb.gif?f=community)
/u/74128/crop565aea651dd0a_cropped.png?f=community)
:fill(white):strip_exif()/f/image/c7WmP36qFjCYty2EalzwdJDx.png?f=user_large)
:strip_exif()/u/49248/DPCkoeienUD.gif?f=community)
Dat het nieuwer en/of moderner is zal best, maar wat zijn de daadwerkelijke redenen om dat te doen:
Begin op zijn minst met netstat te vervangen voor ss
Doe meteen ifconfig vervangen door ip
Ik vind het ip commando echt een draak vergeleken met ifconfig -a en dan meteen alles weten wat je wilde weten!
Dat ss commando ben ik nog nergens tegengekomen dus dat ga ik eens uitzoeken als netstat -a & netstat -an verslaafde zijnde!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Verwijderd
Dat oude commando’s met de tijd verdwijnen. 🤷🏻♂️:
[...]
Dat het nieuwer en/of moderner is zal best, maar wat zijn de daadwerkelijke redenen om dat te doen
Ik vind het ip commando echt een draak vergeleken met ifconfig -a en dan meteen alles weten wat je wilde weten!
Dat ss commando ben ik nog nergens tegengekomen dus dat ga ik eens uitzoeken als netstat -a & netstat -an verslaafde zijnde!
En ip kan veel meer dan ifconfig kon.
Niet alleen het IP en MAC, maar ook link status, routes, neighbors, monitoring, tunnels.
Voor beide het grootste voordeel: minder tikken 👌😂
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/wFYjy61MVkooWbs5x39NPriT.jpg?f=user_large)
Even snel bij bij de buren aanzetten
Leer je ze ook opnieuw de firewall inrichten of ga jij hun vlan management en onderhouden doen?
En wat (welk voordeel heeft ) de buurman (draaien ) dat zo hij direct overhaast met zij usg over moet op ipv6?Jje weet dat bij een usg ipv4 en ipv6 default zonder firewall regels staat ingesteld en dat all custom ipv4 regel niet op ipv6 van toepassing zijn. Dus dat even ipv6 aanzetten betekent dat er geen vlan isolation meer is alles publieke toegankelijk wordt?
En wat draait er bijv al ipv6 lokaal je wil geen conflicten/dat 1 keer bellen mijn bla bla bla werkt niet meer ? ipv6 nooit configureren omdat je niet gebruikt is niet het zelfde als ipv6 uitschakelen omdat je nooit gebruikt
Niet/nooit geconfigureerd betekent niet dat er bijv door IoT of Apple apparaten zonder het als gebruiker te weken al een ipv6 netwerk op de achtergrond draait.
Maar ipv6 even
bij
Even iets snel de buren aanzetten is nooit een goed idee. Mijn ervaring is dat het vanwege Sinterklaas nooit even snel is omdat altijd een verrassing uit de network tree kunnen vallen
[ Voor 30% gewijzigd door xbeam op 30-11-2021 18:32 ]
Lesdictische is mijn hash#
Als je dit topic een beetje volgt weet je dat ik heel, heel, heel veel met IPv6 en networking werk.:
[...]
Even bij de buren aanzetten
Leer je ze ook de firewall inrichten of ga jij hun vlan management en onderhouden doen?
En wat heeft (voordeel heeft ) de buurman (draaien ) dat zo hij direct overhaast hij met zij usg over moet op ipv6. je weet dat bij een usg ipv4 default zonder firewall regels staat ingesteld en dat all custom ipv4 regel niet op ipv6 van toepassing zijn. Dus dat ipv6 even aanzetten betekent dat er geen vlan isolation meer is alles publieke toegankelijk wordt.
Je geeft ook in je eigen post aan "over op IPv6" en dat is gewoon niet correct. Ze krijgen IPv6 NAAST IPv4. Dual-Stack dus.
In hun huizen draait al een gehele Unifi setup met USG, Switches en Access Points en daar hebben we eerder gekozen het modem in bridge te zetten wachtende op IPv6 daar.
Firewalling met IPv6 is allemaal niet zo lastig en prima in te regelen op een USG. Zo spannend is het allemaal niet.
Ik zeg ook niet dat spannend is. Maar Ik waarschuw dat je het niet moet vergeten en die waarschuwing is ook een beetje tegen de unifi massa consumer die hopelijk komt om kijken hoe je ipv6 moet aanvinken op een usg/UDM. Zo dat ze het niet zoals vele vergeet. Vele zetten gewoon ipv6 dhcp en vinkje ipv6 in lan config aan en klaar.
ik kom zelf regelmatig netwerken gebouwd (vinkjes bij elkaar geklikt) ) door kassa/camera/electro boeren tegen waar bijv wel vlan zijn aanmaken maar niet met bij behoren firewall regels uitgerold als er überhaupt al iets in devfirewall staat. En je dan met glazige ogen staan aan te kijken waneer er shit is “hoe kan dat nou dat de camera’s en kassa niet meer werken. ze zitten toch op vlan” . Blijkt ook nog eens die zelfde grote kassa leverancier nooit software updates voor windows 7 kassa”s heeft gedaan. Want zit toch op een vlan. 
Dus zo van zelf sprekend is het allemaal niet.
[ Voor 33% gewijzigd door xbeam op 30-11-2021 09:18 ]
Lesdictische is mijn hash#
Oww... dan leer ik ze dan wel!
/Flauw...
Hmm... OK...
Maar een hoop dingen deed ik dan weer met andere commando's zoals route -n en zo
Ik heb juist het idee dat ik meer moet tikken met ip link en ip address enz.
Als het toch al anders moet dan zie ik liever een Cisco/HP/H3C/Ubiquiti/enz. achtige networking CLI die voor mij in ieder geval logischer is :
show ip
show ip route
show interfaces
enz.
Dat ligt aan het type VLAN wat je aanmaakt : VLAN Only/Enterprise/Guest/enz.
Dingen voor anderen instellen/bouwen/onderhouden leer je vanzelf wel een keer af als het je niks meer oplevert of in ieder geval niet genoeg vergeleken met de tijd toen je een tiener was!:
Even snel bij bij de buren aanzetten
Leer je ze ook opnieuw de firewall inrichten of ga jij hun vlan management en onderhouden doen?
En wat (welk voordeel heeft ) de buurman (draaien ) dat zo hij direct overhaast met zij usg over moet op ipv6?
Ik dacht dat we laatst de conclusie hadden getrokken dat die regels juist default aanwezig waren en alles blokkeerden
Zie : ed1703 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
:strip_icc():strip_exif()/u/340735/crop6448f8f93e3de.jpg?f=community)
Gaat dat niet om LAN? Wat de USG default dropt is alleen WAN. Tussen VLANS onderling zitten geen firewall-rules. Dit is default bij een USG, zowel v4 als v6. Dit is nu precies de reden waarom Unifi eigenlijk helemaal niet geschikt is voor een doorsnee gebruiker zonder goede netwerk en firewall-kennis.:
[...]
Ik dacht dat we laatst de conclusie hadden getrokken dat die regels juist default aanwezig waren en alles blokkeerden
Zie : ed1703 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"
[ Voor 12% gewijzigd door ed1703 op 30-11-2021 14:49 ]
Maar als je een Guest VLAN aanmaakt dan worden er toch meteen Firewall Rules aangemaakt waardoor dat VLAN alleen richting het Internet kan praten
Gebeurt er niet precies hetzelfde voor IPv6 dan ?!
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
Ga die pf-sense bak van je dan eens inruilen voor een VYOS bak:
[...]
[...]
Ik heb juist het idee dat ik meer moet tikken met ip link en ip address enz.
Als het toch al anders moet dan zie ik liever een Cisco/HP/H3C/Ubiquiti/enz. achtige networking CLI die voor mij in ieder geval logischer is :
show ip
show ip route
show interfaces
enz.
https://vyos.io/
Een guest network is geen default vlan[...]
Dat ligt aan het type VLAN wat je aanmaakt : VLAN Only/Enterprise/Guest/enz.
ubnt zou de vlan communicatie onderling standaard dicht moeten zetten en niet zoals nu open (zorgt wel extra werk om het overal op te lossen )[...]
Dingen voor anderen instellen/bouwen/onderhouden leer je vanzelf wel een keer af als het je niks meer oplevert of in ieder geval niet genoeg vergeleken met de tijd toen je een tiener was!
[...]
Ik dacht dat we laatst de conclusie hadden getrokken dat die regels juist default aanwezig waren en alles blokkeerden
Zie : ed1703 in "[Ubiquiti-Netwerkapparatuur] Ervaringen & Discussie - Deel 4"
[ Voor 17% gewijzigd door xbeam op 01-12-2021 00:58 ]
Lesdictische is mijn hash#
Hoe vaak zie mensen in ubnt forum /topic het guest network voor hun IoT gebruiken? Ik bijna nooit veel te complex en dat is toch alleen voor visite en goed voor het tony stark gevoel :-):
[...]
Maar als je een Guest VLAN aanmaakt dan worden er toch meteen Firewall Rules aangemaakt waardoor dat VLAN alleen richting het Internet kan praten
Gebeurt er niet precies hetzelfde voor IPv6 dan ?!
Lesdictische is mijn hash#
Jawel.:
[...]
Maar als je een Guest VLAN aanmaakt dan worden er toch meteen Firewall Rules aangemaakt waardoor dat VLAN alleen richting het Internet kan praten
Gebeurt er niet precies hetzelfde voor IPv6 dan ?!
code:
1
| -A GUESTv6_IN -m comment --comment GUESTv6_IN-3001 -m set --match-set corporate_networkv6 dst -j DROP |
Maar wie heeft het daarover?
Je zou juist iets moeten ondernemen om zaken open te zetten bij corporate networks, niet dicht zetten.
pfSense draait voorlopig alleen af en toe als een VM dus daar is voorlopig geen sprake van : USG 3P FTW!!!
Maar als die een keer aan zijn einde komt of EOL raakt dan is het wel iets om te overwegen inderdaad!
Dat is ook weer zo!:
ip a
ip l
Of druk eens op [tab]
Helemaal vergeten!
Terwijl ik eigenlijk constant zit te tabben... Volgens mij zijn er door de tijd heen genoeg mensen geweest die het hebben toegepast/opgebouwd
Zelfs door de Firewall Rules zelf op te bouwen aan de hand van allerlei Tutorials/HowTo's
Dat ze misschien in de minderheid zijn... tja... dat is het hedendaagse Tweakers en GoT helaas...
We hadden het toch over regels tussen VLAN's
Dat dan weer wel...
|| Stem op mooiere Topic Search linkjes! :) " || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||
:strip_exif()/u/8077/jerney.gif?f=community)
Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done
Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done
Unix doesn't prevent a user from doing stupid things, because that would necessarily prevent them from doing brilliant things.
while true ; do echo -n "bla" ; sleep 1 ; done
Verwijderd
Yes! Werkend!
Modem nog even gereset, ethernet1 disabled/enabled en toen had ik link
Mocht je meerdere vla's hebben:
(Uiteraard je firewall goed zetten )
En dan even naar test-ipv6.com
Modem nog even gereset, ethernet1 disabled/enabled en toen had ik link
code:
1
2
| /ipv6 dhcp-client add add-default-route=yes interface=ether01-gateway pool-name=ziggo-v6 rapid-commit=no request=address,prefix use-peer-dns=no |
Mocht je meerdere vla's hebben:
code:
1
2
3
4
5
6
7
8
9
10
11
| /ipv6 address add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-guest add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-iot add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-local add address=::1 eui-64=yes from-pool=ziggo-v6 interface=vlan-media /ipv6 nd add interface=vlan-local add interface=vlan-guest add interface=vlan-media add interface=vlan-iot |
(Uiteraard je firewall goed zetten
)En dan even naar test-ipv6.com
[ Voor 4% gewijzigd door Verwijderd op 01-12-2021 20:40 . Reden: code ]
:strip_exif()/u/1688208/crop61a7d9775c1d3_cropped.webp?f=community)
Lees ook RFC4890 even goed.:
Yes! Werkend!
Modem nog even gereset, ethernet1 disabled/enabled en toen had ik link
code:
Mocht je meerdere vla's hebben:
code:
(Uiteraard je firewall goed zetten
En dan even naar test-ipv6.com
Simpele antwoord: ICMPv6 gewoon allemaal doorlaten. Eventueel nog op een max packet size van zeg 64 bytes, maar meer niet.
Op je forward en input chain het allemaal toestaan.
Verwijderd
ICMPv6 staat open, let wel op dat sommige OS-en het blokkeren in stealth modus op de firewall (OS X b.v.)
Maar had al jaren v6 via HE.net en daar voor Sixxs, dus dat stuk zit wel goed
Nu native, toch een stuk sneller dan een tunnel
MacOS zal ook in stealth mode wel specifieke ICMPv6 doorlaten. Echo requests wellicht niet, maar oa Packet Too Big zal er wel doorheen komen.:
[...]
ICMPv6 staat open, let wel op dat sommige OS-en het blokkeren in stealth modus op de firewall (OS X b.v.)
Maar had al jaren v6 via HE.net en daar voor Sixxs, dus dat stuk zit wel goed
Nu native, toch een stuk sneller dan een tunnel
:strip_icc():strip_exif()/u/301812/BioHazard_60x60.jpg?f=community)
Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW
Ik ben geen netwerk engineer. Ik ben Linux/Infra engineer met 10+ jaar ervaring, grotendeels in de hosting branche. Als Linux engineer krijg je vaak te maken netwerk vraagstukken. Zo heb ik met een ACI omgeving mogen werken, het een en ander mogen doen met VXLAN. Trainingen gehad vanuit Juniper en Cisco betreft OSPF/MPLS/BGP.
Maar IPv6? Dat is voor mij ook nog redelijk onbekend terrein. Ongeacht dat ik min of meer weet hoe routering werkt, vind ik IPv6 nog redelijk lastig. Komt voornamelijk doordat ik er bijna nooit mee heb mogen werken, ja behalve static IPv6 instellen op wat servertjes.
Kan je een boek, artikel of video adviseren om het allemaal wat beter te begrijpen? Ik weet namelijk dat jij best actief bent betreft IPv6 (en ook met Ceph
)Met ip4 weet ik bijvoorbeeld dat dmv broadcasting de hosts binnen een subnet elkaar kunnen vinden en de mac adres in hun arp tabel opnemen. Hoe werkt dit bij IPv6 bijvoorbeeld?
Bij ip4 heb je een default gateway om buiten je eigen netwerk te komen, in een thuis situatie is dat je router (die het weer doorzet naar je ISP). Hoe zit dat met IPv6? Is dat ook je router of is het (in dit geval met Ziggo) direct je ISP?
Bij ip4 & dhcp stuurt de client een broadcast uit, een dhcp server pikt dit op en begint te communiceren met de client en voorziet de client op deze manier van een IP. Hoe werkt dat bij ipv6? Hoe weet de client bij wie het moet zijn om een ipv6 te krijgen (zonder dhcp)?
[ Voor 17% gewijzigd door c-nan op 04-12-2021 10:39 ]
EU DNS: 86.54.11.100
Had ik ook gezien, wellicht was ik toe aan slaap
Regeltje nog eens ingevoerd in de terminal met SLAAC, maar ook dan blijft 't issue aanwezig.
slaap:
[...]
Had ik ook gezien, wellicht was ik toe aan slaap
Regeltje nog eens ingevoerd in de terminal met SLAAC, maar ook dan blijft 't issue aanwezig.
rappoclappo typen
[ Voor 3% gewijzigd door valkenier op 04-12-2021 11:37 ]
:strip_icc():strip_exif()/u/33065/crop59d32fcf38790_cropped.jpeg?f=community)
:strip_icc():strip_exif()/u/127590/crop5cce81c658561_cropped.jpeg?f=community)
Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"
Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"
- ARP onder IPv4 (Broadcast) wordt Neighbor Discovery onder IPv6 (Multicast):
[...]
Ik ben geen netwerk engineer. Ik ben Linux/Infra engineer met 10+ jaar ervaring, grotendeels in de hosting branche. Als Linux engineer krijg je vaak te maken netwerk vraagstukken. Zo heb ik met een ACI omgeving mogen werken, het een en ander mogen doen met VXLAN. Trainingen gehad vanuit Juniper en Cisco betreft OSPF/MPLS/BGP.
Maar IPv6? Dat is voor mij ook nog redelijk onbekend terrein. Ongeacht dat ik min of meer weet hoe routering werkt, vind ik IPv6 nog redelijk lastig. Komt voornamelijk doordat ik er bijna nooit mee heb mogen werken, ja behalve static IPv6 instellen op wat servertjes.
Kan je een boek, artikel of video adviseren om het allemaal wat beter te begrijpen? Ik weet namelijk dat jij best actief bent betreft IPv6 (en ook met Ceph
Met ip4 weet ik bijvoorbeeld dat dmv broadcasting de hosts binnen een subnet elkaar kunnen vinden en de mac adres in hun arp tabel opnemen. Hoe werkt dit bij IPv6 bijvoorbeeld?
Bij ip4 heb je een default gateway om buiten je eigen netwerk te komen, in een thuis situatie is dat je router (die het weer doorzet naar je ISP). Hoe zit dat met IPv6? Is dat ook je router of is het (in dit geval met Ziggo) direct je ISP?
Bij ip4 & dhcp stuurt de client een broadcast uit, een dhcp server pikt dit op en begint te communiceren met de client en voorziet de client op deze manier van een IP. Hoe werkt dat bij ipv6? Hoe weet de client bij wie het moet zijn om een ipv6 te krijgen (zonder dhcp)?
- Default gateway (0.0.0.0/0 wordt gewoon nog een default gateway (::/0)
- DHCP onder IPv4 via Broadcast, Router Advertisement via Multicast onder IPv6
Ga eens met wireshark kijken op je laptop/desktop om te zien wat voor een IPv6 verkeer er binnen komt.
Uiteindelijk is jouw router de default gateway voor jouw devices. De default gateway (::/0) voor jouw router is weer een router van Ziggo en vermoedelijk heeft ook die router weer een (default) gateway waar hij zijn verkeer heen stuurt.
Dat is net zoals met IPv4 het zelfde. Alleen zit er geen NAT.
Je hebt wat mij betreft ook niet echt een LAN meer. Elk device is gewoon onderdeel van het internet! Raspberry Pi aanzetten, webserver er op en je bent bereikbaar voor de wereld!
Je router kan ook nog een 2e functie als statefull firewall hebben waar je bepaald verkeer wel of niet door laat.
Maar dan is het een router met firewalling functie. Dat doe ik ook op mijn MikroTik router, maar ICMP staat open, poort 22 en ook 80 en 443 richting een aantal IPv6 adressen zodat ik bij onder andere mijn P1Mon kan die ik heb draaien evenals mijn Unifi Controller.
Waarom? Ik vind het juist fijn. Zo kan ik met SNMP via IPv6 mijn Switches en AP's monitoren vanaf een VPS ergens in Amsterdam.
Zo na een nachtje doorhalen en paar uurtjes slaap heb ik het min of meer werkend gekregen op een van mijn VLANs op mijn Layer 3 switch
Niet schrikken...
Ik zal hier wat boel code neerzetten om uit te leggen wat ik heb gedaan
Niet schrikken...
Ik zal hier wat boel code neerzetten om uit te leggen wat ik heb gedaan
- CISCO ROUTER
- Natuurlijk allereerst IPv6 routing aanzetten
code:1
ipv6 unicast-routing
- Eerst even de WAN interface - Gi0/0/0 van ipv6 config voorzien
code:1 2 3 4 5 6 7 8 9 10
interface GigabitEthernet0/0/0 description WAN_CONNECTBOX_ZIGGO ip address dhcp hostname RTR_C1117-mind ip nat outside ip access-group WAN_IN in negotiation auto ipv6 address dhcp ipv6 enable ipv6 dhcp client pd hint ::/56 ipv6 dhcp client pd ISP_IPv6-PREFIX
- Als tweede op interface gi0/0/0 (WAN interface) kijken wat de link-local adres is van het Ziggo modem dat de DHCP-v6-PD doet
code:1 2 3 4 5 6
sh ipv6 routers Router FE80::201:5CFF:FE70:9446 on GigabitEthernet0/0/0, last update 0 min Hops 0, Lifetime 1800 sec, AddrFlag=1, OtherFlag=1 HomeAgentFlag=0, Preference=Medium Reachable time 3600000 msec, Retransmit time 0 (unspecified)
- Static default ipv6 route configureren met dat Link-local adres
code:1
ipv6 route ::/0 GigabitEthernet0/0/0 FE80::201:5CFF:FE70:9446 track 1 name WAN_ZIGGO_IPv6
- IPv6 Prefix opvragen geleerd via DHCPv6-PD via modem dus
code:1 2 3 4 5
sh ipv6 general-prefix IPv6 Prefix ISP_IPv6-PREFIX, acquired via DHCP PD 2001:1C00:2508:9A00::/56 Valid lifetime 56876, preferred lifetime 28076 Vlan255 (Address command)
- Nu een IPv6 DHCP pool maken op basis van wat eigen DNS servers mee geven - 2x dns.watch en 1 OpenNIC.
ook een LOCAL IPv6 prefix pool te maken zometeen
code:1 2 3 4 5 6
ipv6 dhcp pool LOCAL_IPv6-CONFIG prefix-delegation pool LOCAL_IPv6-PREFIX dns-server 2001:1608:10:25::1C04:B12F dns-server 2001:1608:10:25::9249:D69B dns-server 2A03:4000:4D:C92:88C0:96FF:FEC6:B9D domain-name mindwarper-IPv6.local
- Config van VLAN255 aanpassen naar IPv6 - dat is het uplink VLAN (voor global routing table) naar mijn Cisco Layer 3 switch, waar mijn clients op zitten op andere SVIs - VLAN interfaces...
Dat VLAN doet ook dynamic routing (EIGRP) naar Layer 3 Switch ook op VLAN 255
Heb zelf een handmatig IPv6 link-local adres ook gemaakt - IPv4 adres naar HEX en FFFE er tussen gezet
Dat VLAN geeft dus in server mode die LOCAL_IPv6-CONFIG IPv6 DHCP pool door naar Layer 3 switch
code:1 2 3 4 5 6 7 8 9 10 11
interface Vlan255 description *** VLAN 255 - RTR-LAN *** ip address 192.168.255.2 255.255.255.252 ip nat inside ip access-group RTR-LAN-252-255_IN_RESTRICT_ALT in ipv6 address FE80::FF:C0:A8FF:FEFF:2 link-local ipv6 address ISP_IPv6-PREFIX ::FF:C0:A8:FF:2/64 ipv6 enable ipv6 nd managed-config-flag ipv6 nd other-config-flag ipv6 dhcp server LOCAL_IPv6-CONFIG
- Een eigen local IPv6 Prefix pool maken - want mijn Cisco Router moet zelf weer DHCPv6 server zijn voor mijn Layer 3 switches - SVIs - anders krijgen die geen Global IPv6 op een of andere manier...
Ik knip dus de /56 niet op in /64 stukken voor downstream.... Is okay voor nu
Zie edited post onder deze...
Edit 1: toch niet denk ik
Twijfel nog een beetje
Wat is handig om later alle mijn VLAN interfaces van IPv6 adressen te voorzien ?
Misschien ook op de interfaces kleinere masks ?
Ik weet het (nog) niet - graag wat hulp / advies
EDIT 2: Ik maak hier bewust een iets andere lokale prefix... eens kijken of dat iets helpt...
Heb wat gezocht over IPv6 subnetting - nu wordt het me meer en meer duidelijk wat ik wil bereiken
code:1
ipv6 local pool LOCAL_IPv6-PREFIX 2001:1C00:2508:9A01::/56 56
- Dynamic routing aanpassen op IPv6.
Hier static routes en connected redistribueren en de neighbor is Layer 3 switch VLAN255 interface IPv6 link-local adres (ook weer handmatig - zie ook B hieronder)
code:1 2 3 4 5 6 7 8 9
router eigrp MIND-ROUTE address-family ipv6 unicast autonomous-system 1000 ! topology base redistribute static redistribute connected exit-af-topology neighbor FE80::FF:C0:A8FF:FEFF:1 Vlan255 exit-address-family
- Natuurlijk allereerst IPv6 routing aanzetten
- CISCO Layer 3 SWITCH - 2x 3750X stacked
- Switch SDM profile aanpassen & reload - Deze is nu actief
code:1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22
sh sdm prefer The current template is "desktop IPv4 and IPv6 default" template. The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 2K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 3K number of directly-connected IPv4 hosts: 2K number of indirect IPv4 routes: 1K number of IPv6 multicast groups: 1K number of IPv6 unicast routes: 3K number of directly-connected IPv6 addresses: 2K number of indirect IPv6 unicast routes: 1K number of IPv4 policy based routing aces: 0 number of IPv4/MAC qos aces: 0.5K number of IPv4/MAC security aces: 1K number of IPv6 policy based routing aces: 0 number of IPv6 qos aces: 0.5K number of IPv6 security aces: 0.5K - Natuurlijk ook hier weer IPv6 routing aanzetten
code:1
ipv6 unicast-routing
- Config van VLAN255 aanpassen naar IPv6 - dat is het downlink VLAN (voor global routing table) naar mijn Cisco Router van boven
Op deze switch zitten mijn clients op, op andere SVIs - VLAN interfaces...
Dat VLAN doet ook dynamic routing (EIGRP) naar Cisco router terug ook op VLAN 255
Heb zelf een handmatig IPv6 link-local adres ook gemaakt - IPv4 adres naar HEX en FFFE er tussen gezet.
Hier is dus het VLAN255 een client en kan het IPv6 adres automatisch configureren.
Tevens doet het ook hier op zijn beurt weer Prefix doorgeven (PD dus) op basis van de LOCAL_IPv6-PREFIX handmatige local pool op router - zie boven...
code:1 2 3 4 5 6 7 8 9 10 11 12 13
interface Vlan255 description *** VLAN 255 - RTR-LAN | To Cisco C1117-4P Router ==> INTERNET *** ip address 192.168.255.1 255.255.255.252 ip access-group RTR-VLAN255_IN_RESTRICT in no ip redirects no ip unreachables no ip proxy-arp no ip route-cache no ip mroute-cache ipv6 address FE80::FF:C0:A8FF:FEFF:1 link-local ipv6 address autoconfig default ipv6 enable ipv6 dhcp client pd LOCAL_IPv6-PREFIX
- Nu mijn uitgaande SVI - VLAN20 waar mijn PC in zit zodaniog IPv6 configureren dat de DHCP ontvangen wordt
Dus a.h.w. deze VLAN interface in ipv6 dchp RELAY mode zetten
Hier mag dus een adres uit eigen LOCAL_IPv6-PREFIX van boven gehaald worden
Bron geraadpleegd voor inspiratie: https://networkengineerin...n-through-an-organisation
code:1 2 3 4 5 6 7 8 9 10
interface Vlan20 description *** VLAN 20 - COMPUTERS *** ip address 192.168.20.14 255.255.255.240 ip access-group VLAN20_IN_RESTRICT_ALT-18 in ip pim sparse-dense-mode ip igmp access-group IGMP-RECEIVE_ALLOW ipv6 address FE80::14:C0:A8FF:FE14:E link-local ipv6 address LOCAL_IPv6-PREFIX ::14:C0:A8:14:E/64 ipv6 enable ipv6 dhcp relay destination FE80::FF:C0:A8FF:FEFF:1
Krijg hier wel een warning
code:1
% Warning: Bits overlapping with general prefix LOCAL_IPv6-PREFIX will be truncated
Kan ik later wellicht naar kijken - iemand een idee wat ik fout doe hier ?
Denk dat ik LOCAL_IPv6-PREFIX op /60 kan zetten en daaruit /64 subnets kan halen...
EDIT 2: Ipv6 subnetting uitzoeken en goed begrijpen heeft me geholpen - Dynamic routing aanpassen op IPv6.
Hier static routes en connected redistribueren en de neighbor is Cisco Router VLAN255 interface IPv6 link-local adres (ook weer handmatig - zie ook A hierboven)
code:1 2 3 4 5 6 7 8 9
router eigrp MIND-ROUTE address-family ipv6 unicast autonomous-system 1000 ! topology base redistribute static redistribute connected exit-af-topology neighbor FE80::FF:C0:A8FF:FEFF:2 Vlan255 exit-address-family
- Switch SDM profile aanpassen & reload - Deze is nu actief
- CONTROLES
- Cisco Router IPv6 interface info - voor leesbaarheid de brief info
code:1 2 3 4 5 6 7 8 9 10 11
sh ipv6 int br GigabitEthernet0/0/0 [up/up] FE80::7A0C:F0FF:FEFC:BF00 2001:1C00:2500:0:B872:28D2:7659:D7DF (...) Vlan255 [up/up] FE80::FF:C0:A8FF:FEFF:2 2001:1C00:2508:9AFF:C0:A8:FF:2 - Cisco Router IPv6 ping naar Google DNS met Gi/0/0/0 van router als source
code:1 2 3 4 5 6 7
ping ipv6 2001:4860:4860::8844 source gi0/0/0 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds: Packet sent with a source address of 2001:1C00:2500:0:B872:28D2:7659:D7DF !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/12/20 ms
- Cisco Router IPv6 ping naar Google DNS met VLAN255 van router als source
code:1 2 3 4 5 6 7
ping ipv6 2001:4860:4860::8844 source vlan255 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds: Packet sent with a source address of 2001:1C00:2508:9AFF:C0:A8:FF:2 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/9/16 ms
- Cisco Layer 3 switch IPv6 interface info - voor leesbaarheid de brief info
code:1 2 3 4 5 6 7 8 9 10 11
sh ipv6 int br Vlan20 [up/up] FE80::14:C0:A8FF:FE14:E 2001:1C00:2508:9A14:C0:A8:14:E (...) Vlan255 [up/up] FE80::FF:C0:A8FF:FEFF:1 2001:1C00:2508:9AFF:C0:A8FF:FEFF:1 - Cisco Layer 3 switch IPv6 ping naar Google DNS met VLAN255 van switch als source
code:1 2 3 4 5 6 7
ping ipv6 2001:4860:4860::8844 source vlan255 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds: Packet sent with a source address of 2001:1C00:2508:9AFF:C0:A8FF:FEFF:1 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/17 ms
- Cisco Layer 3 switch IPv6 ping naar Google DNS met VLAN20 van switch als source
code:1 2 3 4 5 6 7
ping ipv6 2001:4860:4860::8844 source vlan20 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8844, timeout is 2 seconds: Packet sent with a source address of 2001:1C00:2508:9A14:C0:A8:14:E !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 8/11/17 ms
- PC IPv6 Ping ping naar Google DNS dus op machine in VLAN20
code:1 2 3 4 5 6 7 8 9 10 11 12
ping 2001:4860:4860::8844 Pinging 2001:4860:4860::8844 with 32 bytes of data: Reply from 2001:4860:4860::8844: time=24ms Reply from 2001:4860:4860::8844: time=10ms Reply from 2001:4860:4860::8844: time=8ms Reply from 2001:4860:4860::8844: time=9ms Ping statistics for 2001:4860:4860::8844: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 8ms, Maximum = 24ms, Average = 12ms - PC - ipconfig informatie
code:1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
ipconfig /all (...) Ethernet adapter Ethernet 2: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Realtek PCIe 2.5GbE Family Controller Physical Address. . . . . . . . . : <MAC> DHCP Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IPv6 Address. . . . . . . . . . . : 2001:1c00:2508:9a14:417b:<MAC EUI64>(Preferred) Temporary IPv6 Address. . . . . . : 2001:1c00:2508:9a14:cc87:b0de:518b:4d43(Preferred) Link-local IPv6 Address . . . . . : fe80::417b:x:y:z%12(Preferred) IPv4 Address. . . . . . . . . . . : 192.168.20.1(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.240 Lease Obtained. . . . . . . . . . : zondag 5 december 2021 15:40:08 Lease Expires . . . . . . . . . . : zondag 5 december 2021 19:40:09 Default Gateway . . . . . . . . . : fe80::14:c0:a8ff:fe14:e%12 192.168.20.14 DHCP Server . . . . . . . . . . . : 192.168.20.14 DHCPv6 IAID . . . . . . . . . . . : 334507892 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-27-C8-14-42-F0-2F-74-AD-B8-8F DNS Servers . . . . . . . . . . . : 84.200.69.80 84.200.70.40 194.36.144.87 192.168.252.2 NetBIOS over Tcpip. . . . . . . . : Enabled - PC route informatie
code:1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
route print (...) IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 12 281 ::/0 fe80::14:c0:a8ff:fe14:e 1 331 ::1/128 On-link 12 281 2001:1c00:2508:9a14::/64 On-link 12 281 2001:1c00:2508:9a14:417b:8c62:4854:f92c/128 On-link 12 281 2001:1c00:2508:9a14:cc87:b0de:518b:4d43/128 On-link 12 281 fe80::/64 On-link 12 281 fe80::417b:8c62:4854:f92c/128 On-link 1 331 ff00::/8 On-link 12 281 ff00::/8 On-link =========================================================================== Persistent Routes: None
- Cisco Router IPv6 interface info - voor leesbaarheid de brief info
[ Voor 13% gewijzigd door mindwarper op 06-12-2021 08:34 . Reden: layout en extra informatie ]
Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW
Heb nu wel een issue met IPv6 adressen toewijzen aan bijvoorbeeld VLAN 30
Wellicht mis ik gewoon iets simpels nu....
Graag wat advies ?
Ik moet wat gaan opknippen, maar ben nog niet helemaal thuis nog in Pv6...
Gaat wel steeds beter... Maar nu ook wat sleep-deprived
EDIT: Bovenstaande post aangepast - IPv6 subnetting heeft me wat wegwijs gemaakt..
Ik wil dus in mij eigen lokale pool gewoon nog steeds de /56 Prefix blijven gebruiken, zodat ik dus dan zelf /64 subnets kan maken op een mooie notatie manier, zodat ik gelijk het subnet herken aan de HEX waarde wat dan overeenkomt met (gedeelte van) het IPv4 adres van het zelfde VLAN
code:
1
| 000645: Dec 5 2021 17:48:32.412 NED: %IPV6_ADDRESS-3-ADDRESS_CFG: 2001:1C00:251C:400:0:14:14:14/64 can not be configured on Vlan30, 2001:1C00:251C:400::/64 is overlapping with 2001:1C00:251C:400::/64 on Vlan20 |
Wellicht mis ik gewoon iets simpels nu....
Graag wat advies ?
Ik moet wat gaan opknippen, maar ben nog niet helemaal thuis nog in Pv6...
Gaat wel steeds beter... Maar nu ook wat sleep-deprived
EDIT: Bovenstaande post aangepast - IPv6 subnetting heeft me wat wegwijs gemaakt..
Ik wil dus in mij eigen lokale pool gewoon nog steeds de /56 Prefix blijven gebruiken, zodat ik dus dan zelf /64 subnets kan maken op een mooie notatie manier, zodat ik gelijk het subnet herken aan de HEX waarde wat dan overeenkomt met (gedeelte van) het IPv4 adres van het zelfde VLAN
[ Voor 26% gewijzigd door mindwarper op 06-12-2021 00:26 . Reden: Extra info ]
Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW
/u/35505/flx_70x70.png?f=community)
:strip_icc():strip_exif()/u/19784/crop5602e6447372a_cropped.jpeg?f=community)
Vandaag vervangende modem ontvangen van Ziggo. Aangesloten en IPv6 werkt direct
Nu nog mn DNS server (pihole) IPv6 aware maken.
EU DNS: 86.54.11.100
Enthoo Primo || Ryzen 9 5900X || Asus VIII Dark Hero || TridentZ Royal Silver F4-3600C14D-32GTRS Samsung B-Die || Radeon 6800 XT || Kraken X73 w/ 6x NF-A12x25 || 2x WD Black SN850 1TB || WD-HGST 6TB en 18TB || Seasonic Prime Titanium Ultra 1kW
/u/172597/crop5e1225c8b1011.png?f=community)
Een switch of AP vinden is misschien moeilijk, maar een desktop vinden is niet direct moeilijk. Ongetwijfeld dat er farms komen die real-time ip-adressen gaan harvesten (bijvoorbeeld via advertentienetwerken). Ook al zijn die ip's tijdelijk (indien SLAAC), maar een beetje aanvaller heeft geen weken nodig om een gevonden ip aan te vallen.
Nog steeds niets aan de hand, daar zijn firewalls voor.
Wil je dan heel graag 2 lagen security, dan enable je een firewall op zowel je router als je workstation. Problem solved
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Houd er rekening mee dat het fe80:: adres aan de Ziggo zijde NIET stabiel is. Ofwel, als Ziggo daar een router vervangt of je verkeer om routeert naar een andere router kan dit adres zo maar ineens veranderen.
Wellicht moet je dan doen:
code:
1
| ipv6 address dhcp default |
In ieder geval moet je router zelf de default route via Ziggo leren en statisch configureren moet niet nodig zijn.
2 lagen is sowieso niets mis mee. Want zo voorkom je ook als Malware je Layer 2 domein bereikt het niet alsnog bepaalde PC's in komt.:
[...]
Een switch of AP vinden is misschien moeilijk, maar een desktop vinden is niet direct moeilijk. Ongetwijfeld dat er farms komen die real-time ip-adressen gaan harvesten (bijvoorbeeld via advertentienetwerken). Ook al zijn die ip's tijdelijk (indien SLAAC), maar een beetje aanvaller heeft geen weken nodig om een gevonden ip aan te vallen.
Nog steeds niets aan de hand, daar zijn firewalls voor.
Wil je dan heel graag 2 lagen security, dan enable je een firewall op zowel je router als je workstation. Problem solved
Op mijn Mac en Linux systemen staat de firewall gewoon aan, ook op het interne netwerk.
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
Gebeurde al, shodan had een paar jaar geleden hosts in de NTP pools
En dan is:Nog steeds niets aan de hand, daar zijn firewalls voor.
Wil je dan heel graag 2 lagen security, dan enable je een firewall op zowel je router als je workstation. Problem solved
- De "inkomend niet-ICMP blokkeren" regel de effectievere varaint van dezelfde bescherming die NAT geeft bij IPv4
- De host firewall die op source IP filtert de echte acl
offtopic:
Heb zelf geëxperimenteerd met single-stack voor machines. Mijn conclusie is dat ik dan liever meteen al het http via een proxy doe ipv NAT64. Die proxy geeft je wéér een makkelijk punt om makkelijk flows te filteren
Heb zelf geëxperimenteerd met single-stack voor machines. Mijn conclusie is dat ik dan liever meteen al het http via een proxy doe ipv NAT64. Die proxy geeft je wéér een makkelijk punt om makkelijk flows te filteren
[ Voor 9% gewijzigd door ANdrode op 06-12-2021 19:44 ]
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
:strip_icc():strip_exif()/u/127677/282152.jpg?f=community)
The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.
:strip_icc():strip_exif()/u/261039/crop5710b5eeabb9b_cropped.jpeg?f=community)
No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.
The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.
The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.
/u/127261/crop5dcd39ec2f45d_cropped.png?f=community)
/u/35508/crop61e6aa7b579e2_cropped.png?f=community)
Ik ben er eens verder ingedoken en heb het nu ook werkend voor een Fortigate (60E) met FortiOS 7.0.2
De configuratie hierin is net even wat anders als in lagere versies van FortiOS.
Wat is sowieso van te voren heb gedaan, is eerst het modem een reboot gegeven. Daarna na het configureren van de WAN-interface ook de Fortigate een reboot gegeven.
De code is voortzetting van @drocona met input van @Vizor en mijn eigen input.
De oplossing zat in de WAN-interface config dhcp6-iapd-list en daaronder het nummer wat genoemd wordt te refereren in de interface op de LAN-zijde onder set ip6-delegated-prefix-iaid <nummer uit dhcp6-iapd-list>
Op de LAN interfaces komt de dhcp6-iapd-list weer terug. Pas daar waar nodig de interface aan voor het subnet dat je wil instellen. In de code hieronder zie je dus dat bij set ip6-delegated-prefix-iaid het nummer genoemd wordt wat bij config dhcp6-iapd-list terugkomen.
Wat je daarna ook nog moet doen is bij config ip6-delegated-prefix-list de /64 prefix neerzetten die je terug vindt in de GUI onder de interface configuratie bij IPv6 Address/Prefix. Wat in mijn geval 2001:1c03:xxxx:xxxx::/64 is
Heb je nu meerdere vlans aangemaakt onder een fysieke interface is dat ook geen probleem, moet je alleen een andere ::/64 verzinnen. Hieronder een voorbeeld van hoe dat bij 1 van mijn vlans is gedaan. Let hierbij op set ip6-subnet regel.
Daarna een ipv6 policy aangemaakt in de GUI. Die kun je alleen aanmaken als je ipv6 goed geconfigureerd is heb ik gemerkt.
En daarna getest met bijv. ip.bieringer.net en ipv6test.google.com
Hoop dat dit mensen helpt die ook een Fortigate hebben
De configuratie hierin is net even wat anders als in lagere versies van FortiOS.
Wat is sowieso van te voren heb gedaan, is eerst het modem een reboot gegeven. Daarna na het configureren van de WAN-interface ook de Fortigate een reboot gegeven.
De code is voortzetting van @drocona met input van @Vizor en mijn eigen input.
De oplossing zat in de WAN-interface config dhcp6-iapd-list en daaronder het nummer wat genoemd wordt te refereren in de interface op de LAN-zijde onder set ip6-delegated-prefix-iaid <nummer uit dhcp6-iapd-list>
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
| config system interface
edit "wan1"
set vdom "root"
set mode dhcp
set allowaccess fabric
set type physical
set monitor-bandwidth enable
set role wan
set snmp-index 1
config ipv6
set ip6-mode dhcp
set ip6-allowaccess fabric
set dhcp6-prefix-delegation enable
config dhcp6-iapd-list
edit 5
set prefix-hint ::/56
next
edit 6
next
end
end
next |
Op de LAN interfaces komt de dhcp6-iapd-list weer terug. Pas daar waar nodig de interface aan voor het subnet dat je wil instellen. In de code hieronder zie je dus dat bij set ip6-delegated-prefix-iaid het nummer genoemd wordt wat bij config dhcp6-iapd-list terugkomen.
Wat je daarna ook nog moet doen is bij config ip6-delegated-prefix-list de /64 prefix neerzetten die je terug vindt in de GUI onder de interface configuratie bij IPv6 Address/Prefix. Wat in mijn geval 2001:1c03:xxxx:xxxx::/64 is
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
| config system interface
edit "internal"
config ipv6
set ip6-mode delegated
set ip6-allowaccess ping https ssh snmp
set ip6-delegated-prefix-iaid 5
set ip6-send-adv enable
set ip6-other-flag enable
set ip6-upstream-interface "wan1"
set ip6-subnet ::1/64
config ip6-prefix-list
edit 2001:1c03:xxxx:xxxx::/64
next
end
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
set subnet ::/64
next
end
end
next
end |
Heb je nu meerdere vlans aangemaakt onder een fysieke interface is dat ook geen probleem, moet je alleen een andere ::/64 verzinnen. Hieronder een voorbeeld van hoe dat bij 1 van mijn vlans is gedaan. Let hierbij op set ip6-subnet regel.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
| edit "<vlan naam>"
config ipv6
set ip6-mode delegated
set ip6-delegated-prefix-iaid 5
set ip6-send-adv enable
set ip6-manage-flag enable
set ip6-other-flag enable
set ip6-upstream-interface "wan1"
set ip6-subnet ::3:0:0:0:1/64
config ip6-prefix-list
edit 2001:1c03:xxxx:xxx3::/64
next
end
config ip6-delegated-prefix-list
edit 1
set upstream-interface "wan1"
set subnet ::/64
next
end
end |
Daarna een ipv6 policy aangemaakt in de GUI. Die kun je alleen aanmaken als je ipv6 goed geconfigureerd is heb ik gemerkt.
En daarna getest met bijv. ip.bieringer.net en ipv6test.google.com
Hoop dat dit mensen helpt die ook een Fortigate hebben
The kids next door have challenged me to a water fight... I'm just updating my status while I wait for the kettle to boil.
Tja, ik was ook naar het kijken naar wireguard en IPv6 en het viel me op dat alle voorbeelden die ik kon vinden met NAT werkten. Dus voorlopig ben ik maar even IPv4 only gebleven (voor wireguard dan).:
[...]
Laat mijn cursusleider dit maar niet horen, NAT66.