Het grote IPv6 topic

Snow_King schreef op zondag 1 mei 2022 @ 09:52:

De telefoon krijgt via 5G een /64 via Prefix Delegation en kan deze dus weer gebruiken voor zijn hotspot functie.

Mooi om te zien dat dit gewoon werkt!

Roetzen schreef op zondag 1 mei 2022 @ 11:56:
[...]

Zijn die IPv6 adressen ook van buitenaf bereikbaar (te maken)?

• Doet KPN dan aan firewalling?
• Doet wellicht iOS bij de hotspot functie aan firewalling?

Snow_King schreef op maandag 2 mei 2022 @ 09:03:
[...]

Dat moet ik nog testen, weer even telefoon van mijn vrouw lenen

Maar wel bedenk ik mij, als een inbound connectie niet lukt:

• Doet KPN dan aan firewalling?
• Doet wellicht iOS bij de hotspot functie aan firewalling?

Wellicht werkt het wel gewoon, maar als het dus niet werkt kan dit aan KPN en/of iOS liggen.

Roetzen schreef op zondag 1 mei 2022 @ 11:56:
[...]

Zijn die IPv6 adressen ook van buitenaf bereikbaar (te maken)?

jk-5 schreef op maandag 2 mei 2022 @ 09:37:
[...]


Om eerlijk te zijn zou ik het wel normaal vinden als KPN een inbound stateful firewall ertussen zet, waardoor alleen maar verkeer wordt toegestaan naar poorten die door de telefoon zelf zijn geopend. Met de 'advancedinternet' APN kon je bij KPN altijd al een publiek ipv4 adres op je telefoon krijgen, en ook daar zat een soortgelijke stateful firewall tussen. In principe is het voor een gemiddelde klant niet nodig om inbound verkeer op een telefoon te ontvangen.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

Hop limit                 :          255 (      0xff)
Stateful address conf.    :           No
Stateful other conf.      :          Yes
Mobile home agent         :           No
Router preference         :       medium
Neighbor discovery proxy  :           No
Router lifetime           :         9000 (0x00002328) seconds
Reachable time            :        35000 (0x000088b8) milliseconds
Retransmit time           :         1000 (0x000003e8) milliseconds
 Source link-layer address: EA:78:65:9B:B7:64
 MTU                      :         1450 bytes (valid)
 Prefix                   : 2a02:a420:10:51d7::/64
  On-link                 :          Yes
  Autonomous address conf.:          Yes
  Valid time              :     infinite (0xffffffff)
  Pref. time              :     infinite (0xffffffff)
 Recursive DNS server     : fe80::e878:65ff:fe9b:b764
  DNS server lifetime     :          270 (0x0000010e) seconds
 from fe80::e878:65ff:fe9b:b764

jk-5 schreef op maandag 2 mei 2022 @ 09:37:
In principe is het voor een gemiddelde klant niet nodig om inbound verkeer op een telefoon te ontvangen.

Snow_King schreef op maandag 2 mei 2022 @ 10:34:
[...]
Ik heb getest vanaf een externe host:

- Geen ICMPv6 Echo Requests (ping)
- Geen enkel inbound pakket komt er doorheen

Roetzen schreef op woensdag 4 mei 2022 @ 11:34:
Toch jammer dat mobiel internet ook met IPv6 beperkt blijft tot het vermaledijde client.server model waar het Internet steeds verder naar afglijdt. Dat is niet zoals het ooit bedoeld was.

ANdrode schreef op woensdag 4 mei 2022 @ 22:02:
[...]


Dit zie ik ook.

Weet iemand ook of het gedrag van de stateful firewall is aangepast? Ik heb het vermoeden dat wanneer ik van een femtocell af roam mijn TCP(6) verbindingen verlies.

Ik heb nog niet gekeken of de prefix op dat moment ook wisselt.

Snow_King schreef op maandag 9 mei 2022 @ 19:51:
[...]

Lijkt mij sterk dat de femtocell de firewalling doet.

Hoe heb je dit getest?

ANdrode schreef op dinsdag 10 mei 2022 @ 19:15:
[...]


Ik verlies bij elk station mijn TCP verbindingen en UDP gebaseerde VPN
S22 ultra + KPN

Ik zal binnenkort kijken wat er gebeurt. Ik ben ook benieuwd of je dezelfde prefix houdt als je fysiek verplaatst.

jk-5 schreef op dinsdag 10 mei 2022 @ 19:16:
[...]


Wat voor femtocell bedoel je trouwens? Daadwerkelijk een cell van de publieke netwerkoperators? Of iets anders?

[Voor 15% gewijzigd door ANdrode op 10-05-2022 21:18]

ANdrode schreef op dinsdag 10 mei 2022 @ 21:17:
[...]


Ik bedoelde cellen van de publieke netwerkoperators.

Ik zal probeer binnenkort mijn ipv6 prefix te loggen en te kijken of die wisselt, of dat ik het ergens anders moet zoeken.

De ervaring is in ieder geval erg slecht

ANdrode schreef op dinsdag 10 mei 2022 @ 19:15:
[...]


Ik verlies bij elk station mijn TCP verbindingen en UDP gebaseerde VPN
S22 ultra + KPN

Ik zal binnenkort kijken wat er gebeurt. Ik ben ook benieuwd of je dezelfde prefix houdt als je fysiek verplaatst.

Snow_King schreef op dinsdag 10 mei 2022 @ 22:28:
[...]
Ik heb er met Vodafone in ieder geval nooit last van. TCP sessies blijven gewoon open. Heb ook een Sim in mijn laptop die gewoon altijd werkt.

• De ipv6 prefix én ipv4 NAT gateway regelmatig wisselen
• Vermoedelijk locatie gebaseerd, hogere dichtheid van wisselingen rondom grote steden
• Worst case elke vijf minuten een nieuwe prefix
• Een aantal masten lijkt single stack, ipv4 werkt dan wel, v6 niet. Bij herhaalde curls in een loop, waar ik eerst v4 forceer en daarna v6: v4+v6 werkt, v4 werkt, v4 werkt, v4+v6 werkt

ANdrode schreef op woensdag 11 mei 2022 @ 18:40:
[...]

Vodafone en T-Mobile geven bij mij ook geen problemen (T-Mobile op zelfde toestel).

Het lijkt er op dat:

• De ipv6 prefix én ipv4 NAT gateway regelmatig wisselen
• Vermoedelijk locatie gebaseerd, hogere dichtheid van wisselingen rondom grote steden
• Worst case elke vijf minuten een nieuwe prefix
• Een aantal masten lijkt single stack, ipv4 werkt dan wel, v6 niet. Bij herhaalde curls in een loop, waar ik eerst v4 forceer en daarna v6: v4+v6 werkt, v4 werkt, v4 werkt, v4+v6 werkt

Het komt dus niet door handoffs van femtocellen omdat de wisseling voor zover het mij is opgevallen niet terug gaat naar het vorige IP. Wel had ik (vermoed ik) twee keer een wissel rondom station Amersfoort.

Deze wisselingen zijn vooral vervelend voor SSH of verouderde/corporate VPN oplossingen.

Als iemand tips heeft voor hoe je dit goed ligt: graag! Curl in een loop is geen handige methode voor dataverzameling

Eiríkr schreef op woensdag 11 mei 2022 @ 19:22:
[...]


Ik heb de laatste tijd regelmatig even geen internet met KPN 4G. Soms moet ik zelfs Airplane Mode inschakelen en uitschakelen om weer online te komen. Zou eigenlijk eens moeten controleren of het alleen IPv6 connecties betreft.

Bij jou ook KPN?

@stormfly vind dit ook een leuk onderwerp gok ik

ANdrode schreef op woensdag 11 mei 2022 @ 19:34:
[...]


Ook KPN. Welk toestel gebruik je? Ik een recent Android toestel met 5G (S22 ultra).

Ik zie tijdens een treinrit veel wisselingen van IPv4 extern ip en IPv6 prefix (wat dus alle verbindingen reset).
Verder zie ik momenten waarop er geen IPv6 is. Maar dat zou voor een browser happy eyeballs op moeten lossen.

Als een device wel denkt dat er een global adres is maar het verkeer is niet routeerbaar dan geeft dat zonder happy eyeballs problemen.

@stormfly vind dit ook een leuk onderwerp gok ik

ANdrode schreef op woensdag 11 mei 2022 @ 19:34:
[...]


Ook KPN. Welk toestel gebruik je? Ik een recent Android toestel met 5G (S22 ultra).

Ik zie tijdens een treinrit veel wisselingen van IPv4 extern ip en IPv6 prefix (wat dus alle verbindingen reset).
Verder zie ik momenten waarop er geen IPv6 is. Maar dat zou voor een browser happy eyeballs op moeten lossen.

Als een device wel denkt dat er een global adres is maar het verkeer is niet routeerbaar dan geeft dat zonder happy eyeballs problemen.

@stormfly vind dit ook een leuk onderwerp gok ik

Eiríkr schreef op woensdag 11 mei 2022 @ 20:07:
[...]


iPhone 11 Pro. Ik zit morgen toevallig in de trein. Zal het eens in de gaten houden!

while true; do; date; curl --connect-timeout 5 -4 https://ifconfig.io/ip; curl --connect-timeout 5 -6 https://ifconfig.io/ip ; sleep 15; done >> ~/Desktop/log.txt
# eventueel met "&;" om curl op de achtergrond te draaien maar zo heb ik niet getest.

stormfly schreef op woensdag 11 mei 2022 @ 21:21:
[...]


IPv6 is op het KPN netwerk? T-Mobile heeft nog geen IPv6 op mobiel toch? Ik blijf even meelezen inderdaad een leuk onderwerp.

ANdrode schreef op woensdag 11 mei 2022 @ 21:33:
[...]


Als je tethered is de test simpel vanaf een unix-systeem. Met WSL niet geprobeerd:

while true; do; date; curl --connect-timeout 5 -4 https://ifconfig.io/ip; curl --connect-timeout 5 -6 https://ifconfig.io/ip ; sleep 15; done >> ~/Desktop/log.txt
# eventueel met "&;" om curl op de achtergrond te draaien maar zo heb ik niet getest.

Dit doet elke 15s twee http requests naar een API die het IP dat ze zien echoed. één keer met IPv6, daarna met IPv4.


[...]


Voor zover ik weet doet alleen KPN IPv6 op mobiel op dit moment. Mijn laptop krijgt een IP uit dezelfde /64 waarin mijn telefoon zijn IP kiest. Ik weet niet hoe groot de prefix is die mijn telefoon krijgt, ik verwacht een /64.

ANdrode schreef op woensdag 11 mei 2022 @ 21:33:
Voor zover ik weet doet alleen KPN IPv6 op mobiel op dit moment. Mijn laptop krijgt een IP uit dezelfde /64 waarin mijn telefoon zijn IP kiest. Ik weet niet hoe groot de prefix is die mijn telefoon krijgt, ik verwacht een /64.

Eiríkr schreef op donderdag 12 mei 2022 @ 11:57:
[...]


Ik had (helaas) geen macOS of Linux laptop bij me dus heb maar even een tool op mijn iPhone geïnstalleerd. IPv6 ping blijft tijdens de treinrit aardig stabiel en het IPv6-adres blijft hetzelfde.

Dreamvoid schreef op donderdag 12 mei 2022 @ 12:22:
[...]

/64 is gebruikelijk voor telefoons, zie paragraaf 4.2.4 hier: https://www.ripe.net/publ...ted-pool-of-ipv6-prefixes

ANdrode schreef op donderdag 12 mei 2022 @ 13:00:
[...]


Welk IP adres? Het IP adres waar de pings heen gingen, of dat waar jouw pakketten vandaan kwamen?
Ik weet helaas geen makkelijke manier om het adres dat een telefoon krijgt te loggen.


[...]


CPE staat in de brede zin voor customer premises equipment. Kan een telefoon zijn of een router thuis.

Voor een mobiele telefoon lijkt mij een /64 prima (je gaat er geen hiërarchische subnetten achter maken). Voor een thuisnetwerk (of voor een VLAN) vind ik het beperkend - gelukkig geven de ISPs meer.

[Voor 6% gewijzigd door Eiríkr op 12-05-2022 15:39]

ANdrode schreef op woensdag 11 mei 2022 @ 21:33:
Als je tethered is de test simpel vanaf een unix-systeem. Met WSL niet geprobeerd:

while true; do; date; curl --connect-timeout 5 -4 https://ifconfig.io/ip; curl --connect-timeout 5 -6 https://ifconfig.io/ip ; sleep 15; done >> ~/Desktop/log.txt
# eventueel met "&;" om curl op de achtergrond te draaien maar zo heb ik niet getest.

Dit doet elke 15s twee http requests naar een API die het IP dat ze zien echoed. één keer met IPv6, daarna met IPv4.

Voor zover ik weet doet alleen KPN IPv6 op mobiel op dit moment. Mijn laptop krijgt een IP uit dezelfde /64 waarin mijn telefoon zijn IP kiest. Ik weet niet hoe groot de prefix is die mijn telefoon krijgt, ik verwacht een /64.

Eiríkr schreef op donderdag 12 mei 2022 @ 14:44:
Dit is wat ik zie in de app in iOS.

[Afbeelding]

nero355 schreef op donderdag 12 mei 2022 @ 15:11:
[...]

Jammer dat ik geen KPN en/of Data abonnement heb bij mijn huidige provider, want dan zou ik eens kunnen kijken of zoiets ook een beetje werkt op een Ubuntu Touch of Jolla Sailfish telefoon

Echte Linux in je broekzak dus dat zou moeten werken!


[...]

Die afbeelding mag wel wat minder "schermruimtevretender"

Eiríkr schreef op donderdag 12 mei 2022 @ 15:23:
Ik kreeg geen waarschuwing dat de afbeelding te groot is. Ligt het niet aan je scherm?

[Voor 5% gewijzigd door nero355 op 12-05-2022 15:31]

Dreamvoid schreef op donderdag 12 mei 2022 @ 16:57:
Telefoons een /64, zodra je er een router aan hangt zou dat idd een /48 of /56 moeten zijn idd maar dat is nog relatief zeldzaam.

Groter probleem is dat veel mobiele telco's al het inkomend verkeer firewallen, dus ook al krijg je een leuke /56, van buitenaf bereikbaar ben je niet.

bird-of-prey schreef op vrijdag 13 mei 2022 @ 13:39:
[...]


Ziggo modem 20 seconden van de stroom gehaald en ipv4 en ipv6 snelheden zijn weer normaal...

aawe mwan schreef op vrijdag 13 mei 2022 @ 17:00:
Heeft KPN mobiel echt altijd IPv6?

Omdat mijn vaste internet abonnement overgezet is van XS4ALL naar KPN, heb ik voor mobiel internet nu ook een nieuwe SIM gekregen op het KPN netwerk. Die gebruik ik in een pricewatch: TP-Link Archer MR200 V4.

Ik heb "PDP Type" ingesteld op "IPv4 & IPv6" en de APN op "internet", maar dan krijgt hij nog steeds alleen een IPv4 adres. Ga ik naar test-ipv6.com dan zie ik daar "Geen IPv6 adres gedetecteerd".

Is er verder nog iets specifieks dat ik moet instellen op de MR200, is het een bug misschien, of is er iets bijzonders met de KPN SIM die de XS4ALL SIM vervangt?

(De hardwareversie van de Archer MR200 die ik heb is versie 4 en ik heb de nieuwste firmware geladen.)

aawe mwan schreef op vrijdag 13 mei 2022 @ 17:00:
Heeft KPN mobiel echt altijd IPv6?

[Voor 15% gewijzigd door Dreamvoid op 15-05-2022 16:09]

Dreamvoid schreef op zondag 15 mei 2022 @ 15:36:
[...]

Overigens, ik geloof dat KPN alleen single-stack IPv4 of single-stack IPv6 doet, geen dual stack IPv4+IPv6, dus wellicht moet je de optie IPv6-only instellen.

[Voor 31% gewijzigd door Dreamvoid op 23-05-2022 14:37]

Jay-B schreef op donderdag 2 juni 2022 @ 21:48:
@Roetzen Doe jij nog metingen? Heb vernomen dat Ziggo sindskort nieuwe klanten standaard full ds geeft. Dat moet wel impact hebben op je grafiekje.

Snow_King schreef op vrijdag 13 mei 2022 @ 11:56:
[...]

Opzich is naar een mobiele router een /64 ook al voldoende. Wellicht een /63 of /62 zou leuk zijn. De use-case voor heel veel netwerken daar achter is klein, maar goed, hij kan wel aanwezig zijn.

Die inbound firewalling zie ik op mobiel helaas niet snel weg gaan.

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150

❯ curl -v --header 'Host: ab.tweakers.nl' -Lko- 'https://[2600:9000:21d7:2c00:1d:12f5:3940:21]/sf/r.html' * Trying 2600:9000:21d7:2c00:1d:12f5:3940:21:443... * Connected to 2600:9000:21d7:2c00:1d:12f5:3940:21 (2600:9000:21d7:2c00:1d:12f5:3940:21) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem * CApath: none * (304) (OUT), TLS handshake, Client hello (1): * (304) (IN), TLS handshake, Server hello (2): * (304) (IN), TLS handshake, Unknown (8): * (304) (IN), TLS handshake, Certificate (11): * (304) (IN), TLS handshake, CERT verify (15): * (304) (IN), TLS handshake, Finished (20): * (304) (OUT), TLS handshake, Finished (20): * SSL connection using TLSv1.3 / AEAD-AES128-GCM-SHA256 * ALPN, server did not agree to a protocol * Server certificate: * subject: CN=*.cloudfront.net * start date: Feb 1 00:00:00 2022 GMT * expire date: Jan 31 23:59:59 2023 GMT * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. > GET /sf/r.html HTTP/1.1 > Host: ab.tweakers.nl > User-Agent: curl/7.79.1 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Content-Type: text/html < Content-Length: 946 < Connection: keep-alive < Last-Modified: Wed, 02 Sep 2020 10:03:44 GMT < Accept-Ranges: bytes < Server: AmazonS3 < Date: Fri, 03 Jun 2022 22:10:49 GMT < Cache-Control: max-age=3600 < ETag: "5197b7712caa12186538182f23691982" < X-Cache: Hit from cloudfront < Via: 1.1 3fb11c5fe1841d9ab25fe106cf3eca38.cloudfront.net (CloudFront) < X-Amz-Cf-Pop: BRU50-C1 < X-Amz-Cf-Id: bNJpCFn-vb5jlyH8n_tWegVMKKeFt5nYdfpkgjYAUoeVw9X3Td41rw== < Age: 3287 < <!DOCTYPE html> <html> <head> <meta http-equiv="Cache-Control" content="public" /> <meta http-equiv="Expires" content="Mon, 16 Nov 2020 00:00:01 GMT" /> <meta http-equiv="imagetoolbar" content="no" /> <meta http-equiv="imagetoolbar" content="false" /> <meta name="ROBOTS" content="NOINDEX" /> <meta name="ROBOTS" content="NOFOLLOW" /> <meta name="ROBOTS" content="NOARCHIVE" /> <meta name="ROBOTS" content="NOSNIPPET" /> <meta name="ROBOTS" content="NOODP " /> <base target="_top" /> <title></title> <script type="text/javascript"> window.onerror = function() { return true; }; </script> <style type="text/css"> #sf_body { margin:0px;padding:0px;background-color:transparent; } img {max-width:100%; height:auto;} </style> </head> <body id="sf_body"> <div id="sf_align" class="sf"> <script src="/sf/js/lib/base.js" class="sf"></script> <script src="/sf/js/ext/ext.js" class="sf"></script> </div> </body> </html> ❯ curl -v --header 'Host: ab.tweakers.nl' -Lko- 'https://13.225.20.176/sf/r.html' * Trying 13.225.20.176:443... * Connected to 13.225.20.176 (13.225.20.176) port 443 (#0) * ALPN, offering h2 * ALPN, offering http/1.1 * successfully set certificate verify locations: * CAfile: /etc/ssl/cert.pem * CApath: none * (304) (OUT), TLS handshake, Client hello (1): * (304) (IN), TLS handshake, Server hello (2): * (304) (IN), TLS handshake, Unknown (8): * (304) (IN), TLS handshake, Certificate (11): * (304) (IN), TLS handshake, CERT verify (15): * (304) (IN), TLS handshake, Finished (20): * (304) (OUT), TLS handshake, Finished (20): * SSL connection using TLSv1.3 / AEAD-AES128-GCM-SHA256 * ALPN, server did not agree to a protocol * Server certificate: * subject: CN=*.cloudfront.net * start date: Feb 1 00:00:00 2022 GMT * expire date: Jan 31 23:59:59 2023 GMT * issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon * SSL certificate verify ok. > GET /sf/r.html HTTP/1.1 > Host: ab.tweakers.nl > User-Agent: curl/7.79.1 > Accept: */* > * Mark bundle as not supporting multiuse < HTTP/1.1 200 OK < Content-Type: text/html < Content-Length: 946 < Connection: keep-alive < Last-Modified: Wed, 02 Sep 2020 10:03:44 GMT < Accept-Ranges: bytes < Server: AmazonS3 < Date: Fri, 03 Jun 2022 22:10:49 GMT < Cache-Control: max-age=3600 < ETag: "5197b7712caa12186538182f23691982" < X-Cache: Hit from cloudfront < Via: 1.1 99578e20c0b3a3e3de02b1f1fe508f98.cloudfront.net (CloudFront) < X-Amz-Cf-Pop: BRU50-C1 < X-Amz-Cf-Id: Q1QEV1n5YISC0tXHGbCt94DWij7Lcqaw_c_0E3hz35pZ_m4Qqt2a8A== < Age: 3355 < <!DOCTYPE html> <html> <head> <meta http-equiv="Cache-Control" content="public" /> <meta http-equiv="Expires" content="Mon, 16 Nov 2020 00:00:01 GMT" /> <meta http-equiv="imagetoolbar" content="no" /> <meta http-equiv="imagetoolbar" content="false" /> <meta name="ROBOTS" content="NOINDEX" /> <meta name="ROBOTS" content="NOFOLLOW" /> <meta name="ROBOTS" content="NOARCHIVE" /> <meta name="ROBOTS" content="NOSNIPPET" /> <meta name="ROBOTS" content="NOODP " /> <base target="_top" /> <title></title> <script type="text/javascript"> window.onerror = function() { return true; }; </script> <style type="text/css"> #sf_body { margin:0px;padding:0px;background-color:transparent; } img {max-width:100%; height:auto;} </style> </head> <body id="sf_body"> <div id="sf_align" class="sf"> <script src="/sf/js/lib/base.js" class="sf"></script> <script src="/sf/js/ext/ext.js" class="sf"></script> </div> </body> </html> * Connection #0 to host 13.225.20.176 left intact

[Voor 0% gewijzigd door dovo op 07-06-2022 12:31. Reden: quotes rond modern weggehaald]

dovo schreef op zaterdag 4 juni 2022 @ 01:37:
Het vernieuwde Tweakers advertentie systeem, nu met 100% legacy technologie.

dovo schreef op zaterdag 4 juni 2022 @ 01:37:
Hopelijk krijgt dit "moderne" advertentie system alsnog op korte termijn ondersteuning voor IPv6.

aawe mwan schreef op vrijdag 8 april 2022 @ 18:08:
Ubuntu 21.10 (64 bits) op de Pi400 heb ik een paar weken geleden geupgrade naar 22.04, omdat het kon (want deze versie is officieel nog niet gereleased).

Bij het upgradeproces werd de vaste IPv6 adres instelling spontaan geconverteerd naar privacy adressen. Gelukkig lijken die nu eindelijk goed te werken: [...]

Kernel release: 5.15.0-1004-raspi

[Voor 14% gewijzigd door aawe mwan op 19-06-2022 09:23]

Ik hoop dat deze e-mail u goed treft. Ik heb een update ontvangen van de deskundige die aan uw zaak werkt. Hij wil graag weten of u kunt bevestigen dat u het volgende hebt geregeld voordat we de wijziging doorvoeren?

Microsoft 365 organizations with Exchange Online mailboxes and standalone Exchange Online Protection (EOP) organizations without Exchange Online mailboxes support anonymous inbound email over IPv6. The source IPv6 email server must meet both of the following requirements:

• The source IPv6 address must have a valid reverse DNS lookup (PTR) record that allows the destination to find the domain name from the IPv6 address.
• The sender must pass either SPF verification (defined in RFC 7208) or DKIM verification (defined in RFC 6376)
Add support for anonymous inbound email over IPv6 - Office 365 | Microsoft Docs

zx9r_mario schreef op dinsdag 14 juni 2022 @ 09:30:
Om IPv6 voor inbound mail te krijgen voor MS365 Exchange Online moet je een request indienen bij Microsoft. Daar gaat al een aantal dagen overheen en intussen moet je bevestigen of het volgende geregeld is


[...]

[Voor 8% gewijzigd door xbeam op 14-06-2022 10:00]

xbeam schreef op dinsdag 14 juni 2022 @ 09:57:
[...]

Thanks had al een paar keer gezocht hoe en wat maar kreeg alleen oude nieuws berichten dat MS het in gaat schakelen en in azure/ms365 kan ik ook geen zet aan vinkje vinden.

Weet jij dan ook toevallig ook hoe of waar je je Dane in kan schakelen voor MS365

zx9r_mario schreef op dinsdag 14 juni 2022 @ 19:15:
Even gechecked via DNSlytics mbt aantal mailservers die op de betreffende inbound mailserver zitten (heeft 2 IP adressen)

IPv4: ca 250k
IPv6: ca 150

zx9r_mario schreef op dinsdag 14 juni 2022 @ 09:30:
Om IPv6 voor inbound mail te krijgen voor MS365 Exchange Online moet je een request indienen bij Microsoft. Daar gaat al een aantal dagen overheen en intussen moet je bevestigen of het volgende geregeld is


[...]

zx9r_mario schreef op dinsdag 14 juni 2022 @ 09:30:
Om IPv6 voor inbound mail te krijgen voor MS365 Exchange Online moet je een request indienen bij Microsoft. Daar gaat al een aantal dagen overheen en intussen moet je bevestigen of het volgende geregeld is


[...]

Bigs schreef op woensdag 15 juni 2022 @ 09:11:
[...]


Klopt, er wordt echt een hoop FUD veroorzaakt daar. Heb het al jaren aan staan en nog nooit een mailtje gemist door IPv6 problemen. Denk ik Zou me ook verbazen aangezien het niet heel zeldzaam meer is om IPv6 mail exchangers tegen te komen.

Dreamvoid schreef op woensdag 15 juni 2022 @ 10:50:
Moet je niet ook met IPv4 een geldige PTR record/etc hebben?

nero355 schreef op woensdag 15 juni 2022 @ 16:52:
[...]

Als het goed is wel!

Daarom is tegenwoordig het zelf hosten van een mailserver eigenlijk geen goed plan, tenzij je ISP mee wil werken aan zulke dingen of het gewoon een zakelijk lijntje is inclusief alle voordelen die daarbij horen!

RobertMe schreef op woensdag 15 juni 2022 @ 17:24:
Of selfhosten op een VPS

Dreamvoid schreef op woensdag 15 juni 2022 @ 10:50:
[...]

Moet je niet ook met IPv4 een geldige PTR record/etc hebben?

$ host ziggo.nl
ziggo.nl has address 213.46.237.24
ziggo.nl has IPv6 address 64:ff9b::d52e:ed18
ziggo.nl mail is handled by 5 mxin5.ziggo.nl.
ziggo.nl mail is handled by 10 mxin10.ziggo.nl.

[Voor 53% gewijzigd door ANdrode op 18-06-2022 15:30]

ANdrode schreef op zaterdag 18 juni 2022 @ 14:46:
Het lijkt er op dat KPN nat64 heeft aangezet. Als je een v4-only host opvraagt:

$ host ziggo.nl
ziggo.nl has address 213.46.237.24
ziggo.nl has IPv6 address 64:ff9b::d52e:ed18
ziggo.nl mail is handled by 5 mxin5.ziggo.nl.
ziggo.nl mail is handled by 10 mxin10.ziggo.nl.

[Voor 5% gewijzigd door Dreamvoid op 19-06-2022 23:34]

ANdrode schreef op zaterdag 18 juni 2022 @ 14:46:
Het lijkt er op dat KPN nat64 heeft aangezet. Als je een v4-only host opvraagt:

$ host ziggo.nl
ziggo.nl has address 213.46.237.24
ziggo.nl has IPv6 address 64:ff9b::d52e:ed18
ziggo.nl mail is handled by 5 mxin5.ziggo.nl.
ziggo.nl mail is handled by 10 mxin10.ziggo.nl.

Dreamvoid schreef op maandag 20 juni 2022 @ 14:46:
Mobile gebruikt inderdaad DNS64/NAT64, het zou me wel verbazen als de KPN DNS servers van de vaste lijn abonnees dat ook doen.

zx9r_mario schreef op maandag 20 juni 2022 @ 15:22:
[...]


Als de IPv4 adressen voor de vaste lijnen opraken, is DNS64/NAT64 de volgende stap (of CGNAT).

zx9r_mario schreef op maandag 20 juni 2022 @ 15:22:
[...]


Als de IPv4 adressen voor de vaste lijnen opraken, is DNS64/NAT64 de volgende stap (of CGNAT).

jk-5 schreef op maandag 20 juni 2022 @ 09:02:
[...]


Is dit op een vaste verbinding of mobiel? Mobiel deden ze het al, en op een vaste verbinding zie ik helaas niet hetzelfde. Zou wel een interessante ontwikkeling zijn.

Dreamvoid schreef op zondag 19 juni 2022 @ 23:32:
[...]

Welke DNS server geeft dit terug?

En kan je 64:ff9b::d52e:ed18 ook daadwerkelijk pingen?

$ dig portal.slac.stanford.edu

; <<>> DiG 9.10.6 <<>> portal.slac.stanford.edu
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40071
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;portal.slac.stanford.edu.	IN	A

;; ANSWER SECTION:
portal.slac.stanford.edu. 86309	IN	CNAME	lb-portal.slac.stanford.edu.
lb-portal.slac.stanford.edu. 86309 IN	A	134.79.138.86

;; Query time: 62 msec
;; SERVER: 2a02:a420:50:f4b1::af#53(2a02:a420:50:f4b1::af)
;; WHEN: Mon Jun 20 19:59:11 CEST 2022
;; MSG SIZE  rcvd: 99


$ ping -c 5 portal.slac.stanford.edu
PING lb-portal.slac.stanford.edu (134.79.138.86): 56 data bytes
64 bytes from 134.79.138.86: icmp_seq=0 ttl=228 time=194.383 ms
64 bytes from 134.79.138.86: icmp_seq=1 ttl=228 time=199.293 ms
64 bytes from 134.79.138.86: icmp_seq=2 ttl=228 time=422.318 ms
64 bytes from 134.79.138.86: icmp_seq=3 ttl=228 time=179.273 ms
64 bytes from 134.79.138.86: icmp_seq=4 ttl=228 time=198.249 ms

--- lb-portal.slac.stanford.edu ping statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 179.273/238.703/422.318/92.087 ms

$ ping6 -c 5 portal.slac.stanford.edu
PING6(56=40+8+8 bytes) 2a02:a420:50:f4b1:696c:2d6b:f056:ddfe --> 64:ff9b::864f:8a56
16 bytes from 64:ff9b::864f:8a56, icmp_seq=0 hlim=228 time=202.858 ms
16 bytes from 64:ff9b::864f:8a56, icmp_seq=1 hlim=228 time=185.894 ms
16 bytes from 64:ff9b::864f:8a56, icmp_seq=2 hlim=228 time=190.639 ms
16 bytes from 64:ff9b::864f:8a56, icmp_seq=3 hlim=228 time=203.239 ms
16 bytes from 64:ff9b::864f:8a56, icmp_seq=4 hlim=228 time=187.173 ms

--- lb-portal.slac.stanford.edu ping6 statistics ---
5 packets transmitted, 5 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 185.894/193.961/203.239/7.582 ms

Vorkie schreef op dinsdag 21 juni 2022 @ 09:09:
Stomme vragen bestaan niet ;

Maar hoe forwarden jullie met KPN IPv6 verkeer naar bijvoorbeeld de service Wireguard op een PFsense router / OPNsense router?

WAN heeft geen extern IP adres, maar alleen de Link-Local....
fe80::a236:xxxx:xxxx:xxxx%pppoe0

Niet dat ik het nu perse nodig hebt, maar bedacht mij dit mocht ik het wel willen gaan gebruiken.

Snow_King schreef op dinsdag 21 juni 2022 @ 10:25:
[...]

Naar het LAN adres van de router bijvoorbeeld. Dat is vaak ::1 van je LAN subnet.

Is effectief het zelfde als je WAN adres.

Vorkie schreef op dinsdag 21 juni 2022 @ 10:33:
[...]


Klinkt logisch, ik ga daar eens van de week mee testen!

Thx!

[Voor 4% gewijzigd door martdj op 29-06-2022 11:25]

martdj schreef op woensdag 29 juni 2022 @ 11:17:
Ik heb de volgende huidige situatie:
- 1 server met 4 VMs en een hoop containers

- 2 raspberry PI's die ik ook van buitenaf wil kunnen bereiken op poort 443

- Op de server draait nginx als reverse proxy voor zowel de VMs als de containers en de Pi's

- Daarnaast draait er een DNS server op mijn server. Al mijn clients thuis gebruiken deze server als DNS server (ingesteld via de router)

- Op de server staan meer firewall poorten open dan ik naar buiten open zou willen hebben (smb, nfs bijvoorbeeld). Die zijn alleen voor het LAN bedoeld

- Hoe zorg ik dat mijn servers bereikbaar zijn op hun IPv6 adres?

Ze hadden al een IPv6 adres (mijn eigen router stond voorheen in de DMZ van het Ziggo modem), maar dat veranderde om de haverklap

- Hoe stel ik mijn DNS in, zodat al mijn servers direct bereikbaar zijn op hun IPv6 adres?

- Is het logisch om mijn servers in een ander subnet te zetten dan mijn clients?

Zo ja, hoe doe ik dat?

- Waar moet ik voor oppassen?

Een apart VLAN wat dus ook betekent dat je elke keer je verkeer tussen die twee subnets over je Router heen zal lopen : Wil je dat wel ?!

[Voor 13% gewijzigd door martdj op 30-06-2022 11:01]

martdj schreef op donderdag 30 juni 2022 @ 11:00:
Wat ik nog niet goed snap: Ik heb op mijn server 5 inet6 adressen. 2 die beginnen met fd64.

2 die beginnen met mijn prefix (2001 etc) en 1 fe80 adres. De laatste is mijn local link adres.
Welke moet ik waar gebruiken.

Alleen die 2001-adressen zijn van buitenaf bereikbaar, dus die is duidelijk, maar wat gebruik ik binnen mijn lan?

nero355 schreef op donderdag 30 juni 2022 @ 15:29:
[...]

Dat zou een Wikipedia: IPv6 address - Unique Local Address kunnen zijn


[...]

Het ligt er een beetje aan hoe je het een en ander opzet :
- Link-Local kan je gebruiken zolang je binnen hetzelfde subnet of VLAN zit.
- Adressen uit je Global Prefix ook, maar die kunnen dus veranderen in jouw geval en dan is het veiliger om voor bijvoorbeeld DNS communicatie gewoon het Link-Local adres te gebruiken
- Voor communicatie tussen je VLAN's kan je zowel Global Prefix adressen gebruiken als Unique Local adressen!

Dus de keuze is aan jou

Snow_King schreef op donderdag 30 juni 2022 @ 15:43:
Hoe wil je een DNS entry verwijzen naar Link-Local toe? Je kan in de DNS entry de scope niet meegeven en tevens is die per client ook anders.

Ik heb alles gewoon naar mijn globale adressen verwijzen. Als de prefix dan een keer veranderd is het een bulk DNS update en klaar.

Snow_King schreef op donderdag 30 juni 2022 @ 15:43:
[...]
Hoe wil je een DNS entry verwijzen naar Link-Local toe? Je kan in de DNS entry de scope niet meegeven en tevens is die per client ook anders.

Ik heb alles gewoon naar mijn globale adressen verwijzen. Als de prefix dan een keer veranderd is het een bulk DNS update en klaar.

[Voor 3% gewijzigd door ed1703 op 30-06-2022 16:12]

bento1 schreef op dinsdag 19 juli 2022 @ 17:06:
Ik merkte vandaag dat ik als ik mijn iPhone met KPN abbo gebruik als hotspot, mijn laptop alleen een IPv6 adres krijgt en geen v4.

bento1 schreef op dinsdag 19 juli 2022 @ 17:06:
Ik merkte vandaag dat ik als ik mijn iPhone met KPN abbo gebruik als hotspot, mijn laptop alleen een IPv6 adres krijgt en geen v4.

Ik kan ook niets op het internet bereiken wat geen v6 adres heeft via de laptop, wel iPhone.

Is pas sinds een week of twee ofzo. Heeft KPN iets gewijzigd of ligt dit aan mij?

[Voor 5% gewijzigd door ReBr op 19-07-2022 18:19]

[Voor 11% gewijzigd door bento1 op 19-07-2022 19:33]

[Voor 17% gewijzigd door ReBr op 20-07-2022 12:14]

Raven schreef op woensdag 20 juli 2022 @ 14:12:
Waarom is het voor Android apparaten zo moeilijk om terug te vallen op IPv4 wanneer IPv6 niet werkt?

Raven schreef op woensdag 20 juli 2022 @ 19:01:
't is alleen jammer dat ik geen foutmelding kan vinden om op te zoeken.

nero355 schreef op woensdag 20 juli 2022 @ 19:02:
[...]

Ook niet via een ADB Shell

Desnoods de boel rooten en dan verder kijken ?!

[Voor 7% gewijzigd door Raven op 20-07-2022 19:07]

Raven schreef op woensdag 20 juli 2022 @ 19:05:
Euh, waarschijnlijk was ik niet geheel duidelijk, de router-pc zelf heeft niet eens toegang via IPv6

nero355 schreef op woensdag 20 juli 2022 @ 21:28:
[...]

Leuk misverstand inderdaad!

[Voor 11% gewijzigd door Raven op 22-07-2022 14:51]

Raven schreef op maandag 25 juli 2022 @ 19:52:
...Het vermoeden is dat de poging van Tweak om IPv6 aan te zetten daar de oorzaak van is geweest, maar hoe dit heeft kunnen gebeuren terwijl DHCPv6 niet eens werd toegestaan door de firewall....

Brahiewahiewa schreef op dinsdag 26 juli 2022 @ 10:43:
[...]

Omdat de distributie van ipv6 adressen via RADV gaat, ipv DHCP?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

Ethernet II, Src: 6a:63:fc:33:b1:41 (6a:63:fc:33:b1:41), Dst: IPv6mcast_01 (33:33:00:00:00:01)
Internet Protocol Version 6, Src: fe80::6863:fcff:fe33:b141, Dst: ff02::1
Internet Control Message Protocol v6
    Type: Router Advertisement (134)
    Code: 0
    Checksum: 0x06ed [correct]
    [Checksum Status: Good]
    Cur hop limit: 64
    Flags: 0x80, Managed address configuration, Prf (Default Router Preference): Medium
        1... .... = Managed address configuration: Set
        .0.. .... = Other configuration: Not set
        ..0. .... = Home Agent: Not set
        ...0 0... = Prf (Default Router Preference): Medium (0)
        .... .0.. = Proxy: Not set
        .... ..0. = Reserved: 0
    Router lifetime (s): 1800
    Reachable time (ms): 0
    Retrans timer (ms): 0
    ICMPv6 Option (Source link-layer address : 6a:63:fc:33:b1:41)
        Type: Source link-layer address (1)
        Length: 1 (8 bytes)
        Link-layer address: 6a:63:fc:33:b1:41 (6a:63:fc:33:b1:41)

[Voor 3% gewijzigd door nescafe op 26-07-2022 11:41]

Dreamvoid schreef op zondag 15 mei 2022 @ 15:36:
[...]

KPN whitelist bepaalde telefoonmodellen op basis van hun IMEI. Voor zover ik weet kan je nog niet forceren dat een telefoon/router IPv6 krijgt.

Dit is hetzelfde verhaal als met VoLTE, waar telefoons/routers die het wel ondersteunen maar niet expliciet whitelisted zijn, nooit toegelaten worden door de telco.

Overigens, ik geloof dat KPN alleen single-stack IPv4 of single-stack IPv6 doet, geen dual stack IPv4+IPv6, dus wellicht moet je de optie IPv6-only instellen.