Het grote IPv6 topic

L0g0ff schreef op donderdag 30 december 2021 @ 07:31:

Nu is mijn ipv4 adres bij ziggo de afgelopen 5 jaar naar 1x veranderd. En ik ga toch wel vanuit dat dit ook zo zit met ipv6.

Roetzen schreef op donderdag 30 december 2021 @ 14:52:
[...]

Mijn ervaring met de (Arris) Connectbox in router mode is dat de IPv6 prefix vaker wijzigt dan eens in de vijf jaar. Het zou in bridge mode anders kunnen zijn, daar heb ik nog geen ervaring mee.

Brahiewahiewa schreef op donderdag 30 december 2021 @ 18:06:
[...]

Bij de invoering destijds - zo'n 2½ jaar geleden - is m'n prefix 3 keer gewijzigd. Sindsdien al 2 jaar stabiel

Roetzen schreef op donderdag 30 december 2021 @ 23:22:
[...]

Invoering van wat? Ipv6? Ik heb al native IPv6 van Ziggo sinds 2016. (fZiggo gebied)

Sinds maart 2019 heb ik een Arris Connectbox. Sindsdien is mijn IPv6 prefix 15 keer gewijzigd. Voor het laatst op 1 december j.l. na een firmware update.

Brahiewahiewa schreef op vrijdag 31 december 2021 @ 00:12:
[...]
Maar mijn Compal is na die eerste hick-ups dus stabiel vwb z'n prefix

[ Voor 10% gewijzigd door Roetzen op 31-12-2021 00:22 ]

Roetzen schreef op vrijdag 31 december 2021 @ 00:20:
[...]

Opmerkelijk. Zou het een specifiek verschil tussen de Compal en de Arris zijn of is het fZiggo vs fUPC

Brahiewahiewa schreef op vrijdag 31 december 2021 @ 00:23:
[...]

offtopic:
Euh fCasema is nadrukkelijk niet fUPC; je gaat een Rotterdammer niet vertellen dat-ie in Amsterdam woont ;o)

kroonen schreef op donderdag 30 december 2021 @ 21:59:
Hoi,

Ik heb een edgerouter x heb ipv6 nu goed werkend erop en mijn clients op de verschillen vlans krijgen ook netjes ipv6 adressen.

Nu wil ik alleen de dns zelf bepalen, en heb ik op de interface al --no-dns staan (eth4 is mijn koppeling naar ziggo, switch0.10 is vlan 10))

set interfaces ethernet eth4 dhcpv6-pd pd 1 interface switch0 no-dns
set interfaces ethernet eth4 dhcpv6-pd pd 1 interface switch0.10 no-dns

Nu krijg ik nog steeds ipv6 dns , dus iets gaat niet goed, en de vraag is hoe ik kan zorgen dat ik ook mijn pihole als dns weer kan zetten.

is dit met dit of is meer nodig?

set interfaces switch switch0 ipv6 router-advert name-server fe80 enz?
set interfaces switch switch0.10 ipv6 router-advert name-server fe80 enz?
set interfaces switch switch0.10 ipv6 router-advert send-advert true
set interfaces switch switch0 ipv6 router-advert send-advert true

1

dhcp-option=option6:dns-server,[2001:xxxxxxx]

[ Voor 4% gewijzigd door L0g0ff op 31-12-2021 07:13 ]

L0g0ff schreef op vrijdag 31 december 2021 @ 07:05:
[...]


Ik ken Edgerouter x verder niet. Wat ik wel weet is dat SLAAC bij mij default een dns uitdeelde. Dit was het publieke ipv6 (2001:) adres van mijn eigen router.

Op mijn router stond vervolgens een dns forwarder ingesteld naar mijn pi.hole.

Voor pi.hole is dit niet handig want hierdoor komen alle dns requests van mijn router terwijl ik wil kunnen zien van welk device een request komt.

Ik heb toen dhcpv6 ingesteld met de volgende optie:

code:

1	dhcp-option=option6:dns-server,[2001:xxxxxxx]

De SLAAC dns heb ik daarna uitgezet.

Al mijn ipv6 devices krijgen nu netjes het ipadres van mijn pihole uitgedeeld.

Brahiewahiewa schreef op vrijdag 31 december 2021 @ 10:48:
[...]

Het is mij niet helemaal duidelijk wat je nu gedaan hebt. Het lijkt er op dat je nu èn SLAAC draait èn DHCPv6. Dat wordt inderdaad geacht te werken; zie https://datatracker.ietf.org/doc/html/rfc8106
Maar het is voor jou dubbel werk.

Andere optie zou zijn om jouw router er van te overtuigen om niet z'n eigen adres als DNS server te broadcasten maar het ip-adres van de pi-hole. Maar ik ken jouw router niet dus ik weet niet of zijn UI dat toelaat.

Als jouw router alleen de keuze heeft om z'n eigen DNS server wel of niet te broadcasten, kun je op de pi-hole een RAD gaan draaien die enkel DNS announcements doet

vanaalten schreef op vrijdag 31 december 2021 @ 12:59:
... het IP adres van de server ...

L0g0ff schreef op vrijdag 31 december 2021 @ 13:14:
Ik heb pihole wel in docker draaien dus even kijken of dat zonder 3th party modules gaat werken.

Accretion schreef op vrijdag 31 december 2021 @ 15:16:
Is het zo dat mensen op IPv4 niet kunnen verbinden met een server op IPv6?

RobertMe schreef op vrijdag 31 december 2021 @ 14:21:
Maar hoe ik het thuis ga aanpakken met Pi-Hole in Docker ben ik ook nog niet over uit.

Of ik ook daarbij voor DNAT ga, of ik de container met macvlan rechtstreeks aan het netwerk hang, of iets anders.

RobertMe schreef op vrijdag 31 december 2021 @ 14:21:
[...]

Docker en IPv6 bedoel je dan? Best worse case thing dat ik laatst zelf op een VPS heb gedaan was de Docker containers in een private IPv6 range plaatsen en Docker DNAT laten toepassen op IPv6, hetzelfde als dat voor IPv4 standaard wordt gedaan. Maar dat is dus NATen en voelt nasty. En het IPv6 NAT verhaal zit tegenwoordig in Docker ingebakken, daar waar veel voorbeelden tot nog toe verwijzen naar een 3th party Docker container om dat te regelen.

Maar hoe ik het thuis ga aanpakken met Pi-Hole in Docker ben ik ook nog niet over uit. Of ik ook daarbij voor DNAT ga, of ik de container met macvlan rechtstreeks aan het netwerk hang, of iets anders.
Iets anders zou dan neerkomen op ook weer in Docker een IPv6 netwerk maken, maar dat binnen het netwerk ook routeerbaar maken met het host OS als route er naartoe. Of wat volgens mij ook kan is een Docker netwerk maken met een kleiner subnet dan de host heeft, en vervolgens "ARP van IPv6" laten proxien door het host OS.

Voor mij als "netwerk hobbiest / prutser" (ben programmeuvan beroep) lastig om daar de juiste oplossing in te vinden dus.

Keiichi schreef op vrijdag 31 december 2021 @ 15:26:
[...]


Zonder verdere context, dat klopt

Wat de praktijk is dat servers die ipv6 hebben, ook nog ipv4 hebben waarop wel verbonden kan worden.

[ Voor 7% gewijzigd door Accretion op 01-01-2022 00:39 ]

L0g0ff schreef op vrijdag 31 december 2021 @ 17:52:
Ik heb docker rechtsreeks op poort 53 en 8080 van de host draaien. En die host is een synology.

[ Voor 15% gewijzigd door nero355 op 01-01-2022 17:01 ]

nero355 schreef op zaterdag 1 januari 2022 @ 16:40:
[...]

Wablief

1
2
3
4
5
6
7
8
9
10

docker run -d --name=pihole \
-e WEB_PORT=8080 \
-e WEBPASSWORD=yourpassword \
-e ServerIP=IPSynology \
-e DNSMASQ_LISTENING=local \
-v /volume1/docker/pihole/dnsmasq.d:/etc/dnsmasq.d \
-v /volume1/docker/pihole/pihole:/etc/pihole \
--net=host \
--restart always \
pihole/pihole

[ Voor 17% gewijzigd door L0g0ff op 01-01-2022 16:51 ]

Accretion schreef op zaterdag 1 januari 2022 @ 00:39:
Ja, de provider probeert mij richting IPv6 te drukken, maar uit jou reactie komt eigenlijk dat ik IPv4 moet hebben?

(Als ik mijn eigen server host en IPv4 toe wil laten?)

Qlimaxxx schreef op vrijdag 17 december 2021 @ 12:41:
[...]
Doet me denken aan Google producten. Als je iets van Google wil gebruiken, kun je het gebruik van Pihole vergeten. Local discovery van een product dat Google assistant ondersteunt doet het gewoon niet als je Google's praktijken probeert in te dammen. Ik snap best dat het product niet werkt, maar het is toch te zot voor woorden hoe ver ze hier in gaan.

BushWhacker schreef op zondag 2 januari 2022 @ 11:30:
[...]

Klopt. En hij weigert oook je lokale dns-instelingen te gebruiken gaat altijd naar de Google DNS-Servers.
Enige wat helpt is een DNAT-Rule, die alle requests die niet naar je pi.hole gaan (behalve die vanaf de pi.hole komen) te DNAT-ten naar je pi.hole.

nescafe schreef op vrijdag 31 december 2021 @ 12:59:
@babbelbox ik begrijp je vraag niet helemaal.. en vermoedelijk heb je nog niet gegoogled naar iets als IPv6 DNS entry? Waar kom je precies niet uit?

Qlimaxxx schreef op zondag 2 januari 2022 @ 14:20:
DNAT is wel een interessante, hoewel je natuurlijk ook gewoon enkel voor de pihole DNS-verkeer naar een specifieke public DNS-server kan toestaan in je firewall (blokkeer gewoon UDP poort 53 van andere clients en/of naar andere DNS-servers).

Maar ja, het is een kwestie van tijd voordat ze dan overstappen op DNS over HTTPS.

Best ironisch: een van de redenen om DNS-verkeer te encrypten is toch wel om tracking tegen te gaan, en juist die techniek wordt dan tegen je gebruikt.

babbelbox schreef op zondag 2 januari 2022 @ 15:12:
Klopt dat ik nog niet echt onderzoek heb gedaan naar DNS icm IPv6

Wat voor mij dus nog niet duidelijk is:

Hoe kan ik ervoor zorgen dat ik over IPv6 gebruik kan maken van bijvoorbeeld hostname hass.home.domain.tld en verbinding krijg met een home assistant docker installatie die thuis draait.

ik heb dus domain.tld geregistreerd en voor IPv4 heb ik een A record geconfigureerd bij m'n provider die naar m'n externe IPv4 huis address verwijst.
Ik heb nu ook voor home.domain.tld een AAAA record geconfigureerd, die verwijst naar m'n router, maar hoe nu verder?

babbelbox schreef op zondag 2 januari 2022 @ 15:12:
Hoe kan ik ervoor zorgen dat ik over IPv6 gebruik kan maken van bijvoorbeeld hostname hass.home.domain.tld en verbinding krijg met een home assistant docker installatie die thuis draait.
[..]
Ik heb nu ook voor home.domain.tld een AAAA record geconfigureerd, die verwijst naar m'n router, maar hoe nu verder?

nescafe schreef op zondag 2 januari 2022 @ 16:47:
[...]


Als je Home Assistant wilt kunnen benaderen via IPv6 dien je het ip-adres van de server waar Home Assistant op draait als AAAA-record op te nemen. Tevens zorg je ervoor dat je server bereikbaar is via poort 80 en 443, je moet de firewalls op zowel je server als je gateway voorzien van de nodige allow-rules.

Niet het ip-adres van de router gebruiken, want dan moet je gaan port forwarden en dat is bij IPv6 niet echt gebruikelijk.

[ Voor 7% gewijzigd door babbelbox op 02-01-2022 16:53 ]

BushWhacker schreef op zondag 2 januari 2022 @ 17:34:
Dat zou ik niet doen.
Ik zou nginx op 1 server zetten als reverse-proxy en die alles laten afhandelen.

En nog veel beter. Helemaal niets open zetten en alleen via een VPN-verbinding werken.

L0g0ff schreef op zondag 2 januari 2022 @ 17:24:
Ik heb dat ook een tijdje gedaan. Al het poort 53 verkeer naar buiten geblokkeerd alleen mijn pihole mocht nog naar buiten.

Op zich werkte dit wel maar ik had elke keer nadat ik iets vroeg aan Google home een seconden of 7 extra vertraging. En alleen bij mijn eerste vraag wat duidelijk liet zien dat het dns gerelateerd was.

In mijn logging zag ik gewoon dat die Google devices eerst 8.8.8.8 proberen te benaderen. En pas daarna de dns die ik uitdeelde via dhcp.

Ik heb nu die regel er weer afgehaald. Snelheid voor zorgvuldigheid zeg maar...

nero355 schreef op maandag 3 januari 2022 @ 00:25:
[...]

Ik zou een echte Proxy dat soort dingen laten doen

borft schreef op maandag 3 januari 2022 @ 12:38:
Waarom (en wat vind jij een echte proxy dan)?

nginx als reverse proxy is een vrij standaard oplossing om backend services te exposen (en eventueel te load balancen / ssl termination te doen). Er zijn redelijk standaard docker images voor die nagenoeg geen configuratie nodig hebben.

RobertMe schreef op maandag 3 januari 2022 @ 14:31:
Ik heb PiHole nu draaien met een macvlan pootje in elk VLAN.

Probleem daarbij bleek achteraf dat PiHole (/dnsmasq) by default alleen op eth0 luistert terwijl ik dus eth0 t/m eth5 of iets dergelijks heb.

Maar de boel werkte dus niet, waarbij de container niet naar buiten kon communiceren over deze interfaces / VLANs en ik ook niet met de container kon communiceren. Na vele vormen van trial & error bleek de oplossing dus tweeledig te zijn. Proxmox moest wel de interfaces voor de VLANs aanmaken en die dan ook gebruiken als parent voor het macvlan netwerk in Docker, en daarnaast DNSMasq op alle interfaces laten werken. Waarbij ik achteraf gezien dus met de trial & error tegen steeds een van deze twee problemen aan liep, maar niet door had dat het twee ongerelateerde issues waren.

[ Voor 40% gewijzigd door nero355 op 03-01-2022 14:43 ]

nero355 schreef op maandag 3 januari 2022 @ 14:34:
[...]

Had effe "voorbijgefietst' in het Pi-Hole Topic dan hadden we je dat meteen verteld!

[...]

Let er ook op dat je niet meerdere Gateways gebruikt en dus meerdere Default Routes naar buiten hebt!

Ohh en vergeet je Services/Daemons zoals SSH en LigHTTPd niet op één bepaalde Interface te binden!

RobertMe schreef op maandag 3 januari 2022 @ 14:59:
ip route show heb ik meer dan eens uitgevoerd, en leverde netjes één enkele default route op. So no issues there.

Of juist wel. Deze LXC bevat alleen maar infrastructuur. Dus juist alles wat er op draait zou alleen in het default VLAN beschikbaar moeten zijn. Iets dat nu niet het geval is en ik nog moet fixen.

Beetje knullig dat de USG zijn firewall wél verkeer tussen de VLANs blokkeert zodat IoT spul dus niet aan bv OCs kan komen, maar de "server" (/LXC) waar ook de UniFi Controller in draait een IP in elk VLAN heeft en IoT hardware dus wel de UniFi Controller zou kunnen opvragen. Of zoals je aangeeft, SSH kunnen doen naar die server / LXC.

nero355 schreef op maandag 3 januari 2022 @ 14:34:
[...]

Wat @L0g0ff en @RobertMe al hebben gepost :

- http://www.squid-cache.org/
Bestaat al heel lang en is zo'n beetje de meest bekende oplossing IMHO
- [Traefik - Proxy/Loadbalancer] Ervaringen & Discussie
Vooral populair bij de Docker gebruikers voor zover ik dat goed heb begrepen...
- https://www.haproxy.org/
Schijnt van alles en nog wat te kunnen naast het Proxy gebeuren, maar nog steeds een betere keuze dan een willekeurige HTTPd

borft schreef op maandag 3 januari 2022 @ 15:15:
Squid is helemaal niet een bekende reverse proxy oplossing. We hebben het hier over het opvangen van inkomend verkeer, niet over een uitgaande caching proxy.

HAProxy loopt ver achter op nginx, het heeft bijvoorbeeld jaren geduurd voordat ze uberhaupt ssl-termination ondersteunden. Het is een leuke oplossing voor load balancing, maar als je in de docker wereld gaat kijken, kom je veel eerder bij oplossingen als nginx of inderdaad traefik (vooral als ingress bij bv k8s) uit.

Overigens nginx is niet een willekeurige httpd, reverse proxying is precies een van de toepassingen waar het voor geschreven is.

nero355 schreef op maandag 3 januari 2022 @ 15:26:
[...]

Squid is al 20+ jaar "de Proxy der Proxies" zo'n beetje en doet wel meer dan alleen wat caching!


[...]

Wat betreft HAProxy : Zou best kunnen, want de ex-collega's die er lyrisch over waren deden vooral Load Balancing en nog wat andere zaken

Maar als ik een Proxy nodig zou hebben dan zou ik eerder voor Traefik kiezen dan NginX om de simpele reden dat ik vreselijk veel klanten heb gehad die het toch echt vooral als Webserver gebruikten en voor zover ik weet NginX ook als Apache concurrent is ontwikkeld


[...]

Dat heb ik destijds dus niet zo ervaren...

quote: https://nginx.org/en/

nginx [engine x] is an HTTP and reverse proxy server, a mail proxy server, and a generic TCP/UDP proxy server, originally written by Igor Sysoev.

quote: http://www.squid-cache.org/

Website Content Acceleration and Distribution
Thousands of web-sites around the Internet use Squid to drastically increase their content delivery. Squid can reduce your server load and improve delivery speeds to clients.

[ Voor 4% gewijzigd door mrdemc op 03-01-2022 16:06 ]

nero355 schreef op maandag 3 januari 2022 @ 15:26:
[...]

Squid is al 20+ jaar "de Proxy der Proxies" zo'n beetje en doet wel meer dan alleen wat caching!


[...]

Wat betreft HAProxy : Zou best kunnen, want de ex-collega's die er lyrisch over waren deden vooral Load Balancing en nog wat andere zaken

Maar als ik een Proxy nodig zou hebben dan zou ik eerder voor Traefik kiezen dan NginX om de simpele reden dat ik vreselijk veel klanten heb gehad die het toch echt vooral als Webserver gebruikten en voor zover ik weet NginX ook als Apache concurrent is ontwikkeld


[...]

Dat heb ik destijds dus niet zo ervaren...

nero355 schreef op maandag 3 januari 2022 @ 15:26:
[...]

mrdemc schreef op maandag 3 januari 2022 @ 16:05:
[...]

borft schreef op woensdag 5 januari 2022 @ 17:41:
[...]

Snow_King schreef op donderdag 6 januari 2022 @ 08:44:
[...]


[...]


[...]

Of je nu HAProxy, Apache HTTPd, Nginx, Squid of Traefik gebruikt (ik heb ze allemaal gebruikt): Het ligt aan de operator hoe je het in zet, vaak niet aan de software.

Alles heeft voordelen en nadelen, maar het belangrijkste is hoe je de tool in zet en niet welke tool.

Het ondersteund allemaal IPv6 en daar gaat het toch vooral om in dit topic?

nero355 schreef op maandag 3 januari 2022 @ 15:26:
Squid is al 20+ jaar "de Proxy der Proxies" zo'n beetje en doet wel meer dan alleen wat caching!

Paul schreef op donderdag 6 januari 2022 @ 10:17:
Ik denk: "Die komt met Citrix of F5 aanzetten", maar nee, met oude meuQ

"Ik doe dingen met HA Proxy binnen een paar uur waar ik met zo'n F5 meerdere dagen voor nodig heb!"

RnB schreef op donderdag 13 januari 2022 @ 20:00:
Sinds een paar dagen heb ik naast een IPv4, ook een IPv6 adres op de interface naar het internet.
Middels Prefix Delegation hebben al mijn clients in mijn VLANs ook een IPv6 adres.
Alles lijkt prima te werken: websites die IPv6 ondersteunen, bereik ik met mijn IPv6 adres, websites die het niet ondersteunen bereik ik met mijn IPv4 adres. Ook in mijn interne netwerk kan ik alle devices die IPv6 ondersteunen op hun adres bereiken.

Nu viel het mij op dat de IPv6 adressen van mijn clients, niet op basis van EUI-64 zijn, maar totaal random. Her en der lees ik dat dit in ieder geval onder MacOS een doel heeft, namelijk dat je IPv6 adres randomly wordt gegenereerd vanwege privacy redenen. Daar kan ik inkomen, echter kan ik hier geen bevestiging van Apple zelf van vinden. Ook mijn Windows clients gebruiken een random gegenereerd adres, maar misschien is het ook onder Windows vanwege privacy redenen.
Uiteraard ben ik in de config van de clients gedoken, maar nergens heb ik de mogelijkheid tot het kiezen van hoe mijn adressen gegenereerd worden. Ook mijn firewall geeft me hierin geen keuze, anders dan dat ik mijn adressen uitdeel middels Prefix Delegation.

Mijn IPv6 kennis is nog beperkt, heb er heel kort wat mee gespeeld toen ik drie jaar geleden voor mijn CCNA ging. Naar mijn weten kunnen clients een IPv6 adres krijgen door een Statefull DHCPv6 server of door SLAAC, waarbij het laatste een makkelijk te herkennen adres geeft, want ergens in het adres komt FFFE voor en een gedeelte van het MAC adres van de client.

Mis ik nu iets of kunnen mijn adressen inderdaad random gegenereerd zijn vanwege privacy redenen? Herkent iemand dit?

[ Voor 6% gewijzigd door mrdemc op 13-01-2022 20:50 ]

[ Voor 39% gewijzigd door RnB op 13-01-2022 21:07 ]

TIP: The NTP pools starting with 2 point to IPv6-ready servers.
2.pool.ntp.org has servers with IPv6 connectivity while 1.pool.ntp.org and 3.pool.ntp.org do NOT.

Similarly, 2.europe.pool.ntp.org supports IPv6. 1.europe.pool.ntp.org and 3.europe.pool.ntp.org do NOT support IPv6.

DDX schreef op maandag 24 januari 2022 @ 16:07:
nos.nl heeft zover ik kan zien geen AAAA record ?

Roetzen schreef op maandag 24 januari 2022 @ 16:33:
[...]

Nu niet meer inderdaad. Maar tot een paar dagen geleden was dat er wel. En dat was al minstens vijf jaar zo.

Keiichi schreef op maandag 24 januari 2022 @ 15:19:
Ben bezig met ipv6 only servers en heb standaard eigenlijk een ntp source te weinig op deze manier.

nero355 schreef op maandag 24 januari 2022 @ 18:23:
[...]

Ik misbruik altijd de volgende twee als ik effe snel een NTP Source nodig heb :
- time.windows.com
- ntp.ubuntu.com

Dus misschien is dat een idee

[ Voor 4% gewijzigd door Keiichi op 24-01-2022 18:54 ]

Keiichi schreef op maandag 24 januari 2022 @ 18:53:
Jawel, maar moet dat nu elke keer gaan configgen als ik een server config. Althans, voor het meeste grut heb ik ansible waar ik basis config mee maak, die moet ik nu uitbreiden met een ansible-role

time.windows.com heeft geen v6 records

Nakebod schreef op maandag 24 januari 2022 @ 18:59:
Zo te zien geen IPv6 (meer) op nos.nl, maar nog wel cookies.nos.nl en adcdn.ster.nl

AW_Bos schreef op dinsdag 25 januari 2022 @ 23:21:
...
Wat gebeurt er hier, en hoe kan het dat er meer hops zijn? En waarom zou je dit willen?

1
2

  7    15 ms    15 ms    14 ms  br0.nikhef.nl.fusixnetworks.net [37.139.139.240]
  8    15 ms    16 ms    13 ms  cr0.eunets.nl.fusixnetworks.net [37.139.139.25]

Brahiewahiewa schreef op woensdag 26 januari 2022 @ 01:07:
[...]

Waarom zou de ipv6 routing precies zo moeten lopen als de ip4 routing? De ene keer zal de ipv6 route meer hops hebben, de andere keer zal de ip4 route meer hops hebben.

btw:

code:

1 2	7 15 ms 15 ms 14 ms br0.nikhef.nl.fusixnetworks.net [37.139.139.240] 8 15 ms 16 ms 13 ms cr0.eunets.nl.fusixnetworks.net [37.139.139.25]

[ Voor 28% gewijzigd door AW_Bos op 26-01-2022 01:17 ]

AW_Bos schreef op woensdag 26 januari 2022 @ 01:15:
[...]

Hm, het gaat dus met regelmaat zie ik?
Via IPv4 kom ik hier niet langs.

AW_Bos schreef op woensdag 26 januari 2022 @ 01:15:
[...]

Hm, het gaat dus met regelmaat zie ik?
Via IPv4 kom ik hier niet langs.

c-nan schreef op woensdag 26 januari 2022 @ 10:22:
Zijn er nog leuke extensies voor Chrome om makkelijk te kunnen zien of je via IPv4 of via IPv6 op een website zit?

Snow_King schreef op dinsdag 25 januari 2022 @ 10:37:
[...]

Lekker is dat zeg! Ik vind het een vreemde gang van zaken dat zoiets gedaan is.

Ik zou even mailen met hostmaster@npo.nl (reageren snel!)

Het klopt dat nos.nl geen IPv6 meer heeft. En nog wel meer sites van publieke omroepen maken zo'n zelfde verhuizing mee.

De veranderde onderliggende techniek die nu gebruikt wordt heeft helaas (nog) geen IPv6 ondersteuning.

In de toekomst keert IPv6 vast wel weer terug, maar dat is momenteel helaas niet in handen van NPO of NOS, en er valt dus ook geen planning op af te geven.

Snow_King schreef op woensdag 26 januari 2022 @ 11:21:
[...]

@Nakebod Ik heb gemailed met hostmaster@npo.nl en kreeg terug:


[...]


Ik heb al een reactie gegeven dat ik het een vreemde gang van zaken vind. Anno 2022 vind ik het zeker voor een website als nos.nl een hele rare move. Zo zien we dus hoe serieus het genomen wordt door een aantal mensen.

c-nan schreef op woensdag 26 januari 2022 @ 11:29:
[...]

Kennelijk nemen ze IPv6 niet op in hun requirements list bij een move/migratie naar een ander platform/omgeving.

Roetzen schreef op woensdag 26 januari 2022 @ 13:44:
[...]

En dat is dan een grote misser.

Onze overheidsdiensten hadden allemaal per 1 jan van dit jaar via IPv6 bereikbaar moeten zijn.Dat dit niet geldt voor een publieke organisatie die grotendeels door belastinggeld wordt gefinancierd vind ik kwalijk.

Vinnienerd schreef op woensdag 26 januari 2022 @ 13:59:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

dig AAAA nos.nl ; <<>> DiG 9.10.6 <<>> AAAA nos.nl ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 33180 ;; flags: qr rd ra; QUERY: 1, ANSWER: 8, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ;; QUESTION SECTION: ;nos.nl. IN AAAA ;; ANSWER SECTION: nos.nl. 0 IN AAAA 2600:9000:2315:9600:f:425b:9b80:93a1 nos.nl. 0 IN AAAA 2600:9000:2315:5800:f:425b:9b80:93a1 nos.nl. 0 IN AAAA 2600:9000:2315:d200:f:425b:9b80:93a1 nos.nl. 0 IN AAAA 2600:9000:2315:b200:f:425b:9b80:93a1 nos.nl. 0 IN AAAA 2600:9000:2315:4e00:f:425b:9b80:93a1 nos.nl. 0 IN AAAA 2600:9000:2315:4200:f:425b:9b80:93a1 nos.nl. 0 IN AAAA 2600:9000:2315:1e00:f:425b:9b80:93a1 nos.nl. 0 IN AAAA 2600:9000:2315:fc00:f:425b:9b80:93a1

code:

1 2 3 4

curl -6 https://nos.nl -v -s > /dev/null * Trying 2600:9000:2204:6000:f:425b:9b80:93a1:443... * TCP_NODELAY set * Connected to nos.nl (2600:9000:2204:6000:f:425b:9b80:93a1) port 443 (#0)

Mis ik iets?

Snow_King schreef op woensdag 26 januari 2022 @ 14:05:
[...]


Deze ochtend heen en weer lopen mailen met de NPO en nu staat magisch IPv6 weer aan!

Roetzen schreef op donderdag 27 januari 2022 @ 12:01:
[...]

Nadat ik Firefox opnieuw had opgestart krijg ik hier nos.nl ook weer via IPv6.

Mooi dat het opgelost is. Maar wel opmerkelijk dat er een Tweaker aan te pas moest komen. Aan de andere kant: de providers roepen graag dat "je' van de overgang naar IPv6 niets zal merken. En voor wie geen Tweaker is klopt dat dus. Zelfs voor de IT afdeling van de NOS.

1
2
3
4
5
6
7
8
9
10
11
12

config system interface
    edit "wan1"
        config ipv6
            set ip6-mode dhcp
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 1
                    set prefix-hint ::/56
                next
            end
        end
    next

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21

config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping
            set ip6-delegated-prefix-iaid 1
            set ip6-send-adv enable
            set ip6-manage-flag enable
            set ip6-other-flag enable
            set ip6-upstream-interface "wan1"
            set ip6-subnet ::3:0:0:0:1/64 
            config ip6-prefix-list
                edit 2a02:1c03:d08:4603::/64
                next
            end
            config ip6-delegated-prefix-list
                edit 1
                    set upstream-interface "wan1"
                    set subnet ::/64
                    set rdnss 2a02:xx:xxx:xxx::1
                next
            end
        end

RnB schreef op zondag 30 januari 2022 @ 10:28:
@Robvef Ik zag dat jij in december een werkende configuratie op een 60E hebt kunnen krijgen.

Ik heb een werkende situatie gehad op mijn 60F met OS 6.4.8, maar sinds ik over ben naar 7.0.4 krijg ik het niet meer voor elkaar. Althans, deels werkt het niet.

Met de volgende config heeft het dus gewerkt onder 6.4.8:

Config wan1:

code:

1 2 3 4 5 6 7 8 9

config ipv6 set ip6-mode dhcp set dhcp6-prefix-delegation enable config dhcp6-iapd-list edit 1 set prefix-hint ::/60 next end end

Config een van de vlans:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

config ipv6 set ip6-mode delegated set ip6-allowaccess ping set ip6-delegated-prefix-iaid 1 set ip6-send-adv enable set ip6-manage-flag enable set ip6-other-flag enable set ip6-upstream-interface "wan1" set ip6-subnet ::3:0:0:0:1/64 config ip6-delegated-prefix-list edit 1 set upstream-interface "wan1" set subnet 0:0:0:3::/64 set rdnss 2a02:xx:xxx:xxx::1 next end end

code:

1 2 3 4 5

FortiGate_60F # diagnose ipv6 address list dev=5 devname=wan1 flag=P scope=0 prefix=128 addr=2a02:xx:x:x::xx dev=5 devname=wan1 flag=P scope=253 prefix=64 addr=fe80::aef2:c5ff:feed:eb83 dev=24 devname=Private Wi-Fi flag= scope=0 prefix=64 addr=2a02:xx:xx:xxxx::1 dev=24 devname=Private Wi-Fi flag=P scope=253 prefix=64 addr=fe80::6d5:90ff:feca:86bd

Mijn subinterfaces krijgen netjes een adres, maar alle clients in dat netwerk doen niets. Ik heb mijn config naast de jouwe gelegd en naast vele andere configs die op het web zijn te vinden en ik zie niet waar het mis gaat.

Met WireShark zie ik de RA's langskomen, maar vanuit mijn clients gebeurd er vrij weinig.

Heb jij (of iemand anders die met een FortiGate meekijkt) nog ideeën?

Keiichi schreef op maandag 31 januari 2022 @ 16:01:
In mijn netwerk thuis aak ik gebruik van DNS64/NAT64.

Als ik nu naar pagina's ga om te zien wat mijn v4 en v6 adres zijn, dan geeft ie bij m'n v4 adres, de NAT64 gateway aan.

Ik snap denk ik even niet hoe het nu werkt.. ik dacht dat het IP adres opgehaald werd aan de hand van een v4 geforceerde verbinding, maar blijkbaar toch weer niet.

Dreamvoid schreef op vrijdag 4 februari 2022 @ 12:26:
[...]

Dat is toch logisch? De IPv4 verbinding begint pas bij de NAT64 gateway, dus websites zullen altijd dat adres detecteren.

1
2
3
4
5
6
7

# Server
$ nc -n -l -v 1.2.3.4 1234
Connection from 4.3.2.1 45308 received!

# client
$ nc -4 -vz hostname  1234
Connection to 1.2.3.4 1234 port [tcp/*] succeeded!

1
2

$ curl -4 https://keiichi.vps/mijnip/
4.3.2.1

Keiichi schreef op vrijdag 4 februari 2022 @ 14:04:
[...]


Maar hoe word je v4 verbinding gemaakt dan? over v6? dat klinkt onlogisch....

Keiichi schreef op vrijdag 4 februari 2022 @ 14:46:
Maar waarom word er dan een ipv6 verbinding gemaakt om mijn v4 adres te kunnen ophalen?

Een NAT64 acteert niet uit zichzelf, die werkt samen met DNS(64), die voegt een AAAA record toe vervolgens maak ik een ipv6 verbinding met NAT64prefix::$ipv4stukje en die nat64 proxied de boel door.

Dus als ik een verbinding naar mijn host maak op 1.2.3.4 , dan gaat deze echt niet door de nat64 bak heen

Keiichi schreef op vrijdag 4 februari 2022 @ 14:46:
Dus als ik een verbinding naar mijn host maak op 1.2.3.4 , dan gaat deze echt niet door de nat64 bak heen

Keiichi schreef op vrijdag 4 februari 2022 @ 14:46:
Dus als ik een verbinding naar mijn host maak op 1.2.3.4 , dan gaat deze echt niet door de nat64 bak heen

[ Voor 8% gewijzigd door Dreamvoid op 04-02-2022 15:36 ]

1
2
3
4
5
6
7

server {
    listen 80 default_server;

    server_name _;

    return 301 https://$host$request_uri;
}

[ Voor 31% gewijzigd door zx9r_mario op 07-02-2022 12:19 ]

supayoshi schreef op donderdag 10 februari 2022 @ 07:59:
Beste mensen in de IPV6 topic, ik heb sinds gisteren IPV6 enabled op mijn KPN lijn, dat werkt.
Alleen kan ik mijn pihole niet instellen als DNS server op ipv6 omdat de devices in het LAN nu een SLAAC adres krijgen (standaard)

supayoshi schreef op donderdag 10 februari 2022 @ 07:59:
Nu wil ik DHCPv6 gaan gebruiken om de controle terug te krijgen, maar lees dat je hier een /64 voor nodig hebt en KPN slechts een /48 uitdeelt? Hoe nu verder, ik maak gebruik van OPNsense en wil IPV6 graag gebruiken maar wel de DNS server kunnen instellen voor mijn clients tbh

[ Voor 6% gewijzigd door fvbommel op 10-02-2022 08:54 ]

supayoshi schreef op donderdag 10 februari 2022 @ 07:59:
Beste mensen in de IPV6 topic, ik heb sinds gisteren IPV6 enabled op mijn KPN lijn, dat werkt.
Alleen kan ik mijn pihole niet instellen als DNS server op ipv6 omdat de devices in het LAN nu een SLAAC adres krijgen (standaard)

Nu wil ik DHCPv6 gaan gebruiken om de controle terug te krijgen, maar lees dat je hier een /64 voor nodig hebt en KPN slechts een /48 uitdeelt? Hoe nu verder, ik maak gebruik van OPNsense en wil IPV6 graag gebruiken maar wel de DNS server kunnen instellen voor mijn clients tbh

fvbommel schreef op donderdag 10 februari 2022 @ 08:42:
[...]


Het normale probleem met globale IPv6 adressen is dat als je provider de prefix veranderd, de IPv6-adressen van al je apparaten mee veranderen.

Als het goed is krijgen apparaten trouwens meer dan één adres: op z'n minst krijgen ze een link-local adres, beginnend met 'fe80', wat normaal niet veranderd maar onhandig in het gebruik is omdat de netwerk-interface erbij opgegeven moet worden (gescheiden met een '%'), en die interface apparaat-afhankelijk is.

Verder krijg je één of meer globale adressen, momenteel altijd beginnend met een '2'.

Als ze maar één (globaal) SLAAC adres krijgen is het waarschijnlijk een "modified EUI-64" adres waarbij de laatste 64 bits afgeleid worden van het MAC-adres van de netwerkkaart en dus alleen de prefix kan veranderen. Deze hebben "ff:fe" midden in de laatste 64 bits staan.

De meeste apparaten gebruiken echter niet modified EUI-64 maar zogenaamde privacy adressen, waar van één permanent (zolang de prefix niet verandert tenminste) en 1+ tijdelijk.

Als de prefix niet verandert ben je dus klaar: zet je modified EUI-64 of permanent privacy adres in DNS. Aangenomen je daar niet op wilt vertrouwen heb je ook nog de optie om ULA (Unique Local Addresses) aan te zetten door een apparaat op je netwerk (kan je router zijn als die de optie heeft, maar hoeft niet) een prefix in fd00::/8 (technisch fc00::/7, maar de eerste helft is reserved) aan te laten kondigen. Omdat je deze prefix zelf onder controle hebt, kun je garanderen dat deze niet verandert. Je apparaten geven zichzelf dan óók 1 of meer adressen uit deze prefix, en die kun je gewoon in je lokale DNS opnemen. (Ze zullen de provider-adressen nog steeds gebruiken om met het Internet te praten, want daarvoor zijn ULA-adressen niet bruikbaar) Als je meerdere lokale subnetten hebt kun je daarop verschillende ULA-prefixes aankondigen (liefst met de eerste 48 bits hetzelfde, als ik me goed herinner).

Er zijn ook routers die zelf een lokale DNS-naam (gebaseerd op hostnames) geeft aan alle apparaten (mijn Fritz!Box geeft ieder apparaat bijvoorbeeld "hostname.fritz.box", al kan je die hostname nog aanpassen). Eventueel kun je in de pihole daar misschien zelfs CNAME records naar aanmaken.

Als laatste redmiddel kun je in het lokale DNS gewoon ouderwets alleen IPv4-adressen zetten natuurlijk, dat blijft voorlopig prima werken...

RnB schreef op donderdag 10 februari 2022 @ 09:04:
Als je dit nu extrapoleert naar firewall rules of ACL's, hoe zou je dan te werk gaan in combinatie met de privacy adressen?

Ik heb eens nagedacht over wat als ik mijn rules wil hardenen door ze op host ipv subnet/prefix te creëren, hoe ga ik dat doen met het tijdelijke en permanente privacy adres? Ik liep tegen hetzelfde aan met mijn interne DNS, ik zie geen mogelijkheid om de database te vullen, omdat het adres steeds wijzigt.

RnB schreef op donderdag 10 februari 2022 @ 09:04:
In mijn traffic logs zie ik nooit het permanente privacy adres voorbij komen, altijd het dynamische adres. Ik heb daaruit de conclusie gekomen dat voor outgoing verkeer, altijd het dynamische adres wordt gebruikt en dat je voor incoming verkeer het permanente adres kunt gebruiken. Dat is een + voor mijn DNS database, maar what about mijn firewall rules en ACL's?

RnB schreef op donderdag 10 februari 2022 @ 09:04:
[...]


Mooie uitleg @fvbommel !
Als je dit nu extrapoleert naar firewall rules of ACL's, hoe zou je dan te werk gaan in combinatie met de privacy adressen?

Ik heb eens nagedacht over wat als ik mijn rules wil hardenen door ze op host ipv subnet/prefix te creëren, hoe ga ik dat doen met het tijdelijke en permanente privacy adres? Ik liep tegen hetzelfde aan met mijn interne DNS, ik zie geen mogelijkheid om de database te vullen, omdat het adres steeds wijzigt.

In mijn traffic logs zie ik nooit het permanente privacy adres voorbij komen, altijd het dynamische adres. Ik heb daaruit de conclusie gekomen dat voor outgoing verkeer, altijd het dynamische adres wordt gebruikt en dat je voor incoming verkeer het permanente adres kunt gebruiken. Dat is een + voor mijn DNS database, maar what about mijn firewall rules en ACL's?

Zeer benieuwd naar jouw visie hierop.

fvbommel schreef op donderdag 10 februari 2022 @ 09:22:
[...]


Eerlijk gezegd gebruik ik IPv6 alleen op mijn thuisnetwerk, het klinkt alsof jij op iets grotere schaal bezig bent.


[...]


Het tijdelijke adres is inderdaad bedoeld voor uitgaand verkeer en het permanente voor inkomend verkeer.

Hoe het met de firewall en zo moet weet ik eigenlijk niet, ik heb zelf ook pas sinds kort IPv6 en heb nog geen prefix-wijziging hoeven overleven.

Wel kan ik zien dat mijn routertje (bovengenoemde Fritz!Box) meerdere adressen voor ieder apparaat kent, en van de apparaten waar ik het verschil zie zit daar ook het permanente adres tussen. Waarschijnlijk door duplicate address detection messages te onthouden (en te sorteren op MAC-adres)? Maar er staat geen indicatie van lifetime bij, dus het lijkt er niet op dat hij wéét welke permanent zijn en welke niet...