Het grote IPv6 topic

xbeam schreef op zondag 11 december 2022 @ 20:26:
[...]
Dat zeg ik overheids ingrijpende werkt nooit gaat nu ook niet werken. (Je weet wat zelf regulering is? Aan je antwoord te zien niet )

[...]
Ow daar zijn we over eens. Mijn punt dat dat als we willen dat het sneller gaat. We moeten stopen om ons op de techniek te richten. Maar op op economische aspecten te richten en zorgen wij technische in controle blijven en geen speelbal gaan worden van de accountants en investeringens fondsen.

ANdrode schreef op maandag 12 december 2022 @ 10:33:
[...]


Overheidsingrijpen aan de vraagkant helpt in mijn ogen wel. Wil je aan de overheid leveren? IPv6.

Roetzen schreef op maandag 12 december 2022 @ 10:26:
Nee, jij bent degene die er niks van snapt. Beurswaarde ontstaat doordat kopers van aandelen een bepaalde waarde toekennen aan de aandelen.

xbeam schreef op vrijdag 9 december 2022 @ 10:18:
@Roetzen Daarom is het belangrijk te weten waar en wie bezit en hoeveel procent is nog over van die nog nooit gebruikt zeg maar kwijt 30% van de ipv4 adressen. Welke bedrijven bespelen de markt en waarom gaan provider als vodafone niet over zoals zoals Tmobile USA

Ik weet niet of je kunt stellen dat het "tipping point" al bereikt is, maar in elk geval groeit IPv6 en dat gaat doorzetten.

[ Voor 15% gewijzigd door Dreamvoid op 12-12-2022 11:22 ]

Dreamvoid schreef op maandag 12 december 2022 @ 11:17:
[...]

Je weet niet hoe het Vodafone core netwerk eruit ziet, misschien zit daar nog wat dure routers die geen IPv6 doen

ed1703 schreef op maandag 12 december 2022 @ 10:47:
[...]

Ik werk zelf bij een overheidsdienst en wij mogen bij nieuwe diensten naar de burger (icm een centrale overheidskoppeling) alleen nog aanbieden als daar ipv6 bij zit. https://www.logius.nl/act...ngen-bereikbaar-zijn-ipv6

ANdrode schreef op maandag 12 december 2022 @ 11:32:
[...]


En zoals ik het lees gaat het om IPv6 aan de edge. Niet wat er intern in een netwerk gebruikt wordt, maar in ieder geval bereikbaar op een v6 adres.

Dat is voor mij ook waar de waarde zit. Wat er achter aan load-balancer gebeurt maakt niet uit. Intern IPv6 doen is in de praktijk soms behoorlijk pijnlijk is mijn ervaring (VPN naar cloud providers, k8s, ...).

JackBol schreef op maandag 12 december 2022 @ 11:49:
[...]
Ik zie IPv4 voor interne netwerken voorlopig ook nog niet verdwijnen. En de requirement voor IPv6 op de edge is relatief eenvoudig. Proxy je website via een cloudedge partij zoals Fastly, Akamai of Cloudflare en je krijgt er gratis IPv6 bij.

[ Voor 34% gewijzigd door ANdrode op 12-12-2022 12:02 ]

ANdrode schreef op maandag 12 december 2022 @ 10:33:
[...]

Overheidsingrijpen aan de vraagkant helpt in mijn ogen wel. Wil je aan de overheid leveren? IPv6.

Dit is één van de redenen om dit als standaard te gaan vragen van leverancier. Het grootste nadeel van IPv4 gebruik is dat bepaalde businessmodellen nu door kosten per IP zo'n barriére tot toetreding hebben dat ze niet haalbaar zijn.

Roetzen schreef op maandag 12 december 2022 @ 12:46:
Wat ik dan weer niet begrijp is dat ze pe sé iedere klant een publiek IPv4 adres willen aanbieden. Het lijkt me dat juist de doelgroep van Freedom wel gevoelig is voor het argument dat we moeten leren leven met het gegeven dat er hoe dan ook niet genoeg IPv4 is om iedere wereldburger een eigen publiek IPv4 adres te geven en dat we daar net zo goed morgen mee kunnen beginnen. Dat ze de tijd nog niet rijp achten voor volledig IPv6 only kan ik me voorstellen, maar ze zouden de de keus aan de klant kunnen laten door een korting te geven bij afzien van een publiek IPv4 adres.

JackBol schreef op maandag 12 december 2022 @ 11:49:
[...]


Ik zie IPv4 voor interne netwerken voorlopig ook nog niet verdwijnen. En de requirement voor IPv6 op de edge is relatief eenvoudig. Proxy je website via een cloudedge partij zoals Fastly, Akamai of Cloudflare en je krijgt er gratis IPv6 bij.

[ Voor 8% gewijzigd door zx9r_mario op 12-12-2022 13:41 ]

zx9r_mario schreef op maandag 12 december 2022 @ 13:39:
IPv4 gaat via de nginx proxy, enige nadeel is dat je het nginx proxy IP adres zie in de logging. (Mocht iemand daar een oplossing voor hebben...)

[ Voor 12% gewijzigd door Dreamvoid op 12-12-2022 16:19 ]

Dreamvoid schreef op maandag 12 december 2022 @ 16:19:
[...]

request.getHeader("X-Forwarded-For")

Roetzen schreef op maandag 12 december 2022 @ 10:26:
[...]

Nee, jij bent degene die er niks van snapt. Beurswaarde ontstaat doordat kopers van aandelen een bepaalde waarde toekennen aan de aandelen. Die toekenning van waarde doen ze onder meer op basis van de bezittingen van het bedrijf. Voorraden IPv4 zouden daar bij kunnen behoren. Maar dan moeten de kopers van aandelen daarvan wel op de hoogte zijn. Niemand gaat toch een waarde toekennen aan iets waarvan hij/zij niet eens weet of het wel bestaat. Dat staat geheel los van een eventuele wettelijke publicatie plicht. Iets waarvan het bedrijf niet bekend maakt dat het er is genereert geen beurswaarde. Waarom is dat nou zo moeilijk te begrijpen?

[ Voor 25% gewijzigd door xbeam op 12-12-2022 20:00 ]

Paul schreef op maandag 12 december 2022 @ 10:50:
[...]
Zoek eens op waar de letters BV voor staan...

Omdat die procenten waarschijnlijk de partijen /aandeelhouders zijn die vanwege prijs speculaties of beurs waarde er baat hebben die overgang naar ipv6 tegen te werken/vertragen.

xbeam schreef op maandag 12 december 2022 @ 17:00:
[...]
dat je rest niet snap ik als dit al niet snapt is het zonde van mijn tijd om economische op je te reageren.
hierbij wel mijn verzoek om mocht hier in de toekomst weer over begingen deze discussie niet als complot of onzin af te doen. want dat is het namelijk niet alleen wil je dat niet in zin omdat het gewoon niet (wil ) begrijpen wat er onder je neus af speelt.
ik zeg dit als oud ISP / a VF sub brand netwerk beheerder/bouwer) die naast informatica als 2 studie commerciële economie heeft gedaan. ik weet echt wel iets van marktwerking bedrijfs strategieën.

zx9r_mario schreef op maandag 12 december 2022 @ 13:39:
Ik ben mijn huidige colocatie aan het uitfaseren en omzetten naar IPv6 only. Dat scheelt weer dubbel firewall beheer en de kosten van het IPv4 subnet wat ieder jaar stijgt in prijs.

Aangezien ik alleen webapplicaties doe, is alleen van belang dat port 80 en 443 voor IPv4 bereikbaar zijn. Dat doe ik met nginx (icm modules stream_ssl_preread en upstream naar IPv6 adres port 443). SSL certificaten staan op de IPv6 servers zelf. IPv6 verkeer komt dus rechtstreeks op de server uit, IPv4 gaat via de nginx proxy, enige nadeel is dat je het nginx proxy IP adres zie in de logging. (Mocht iemand daar een oplossing voor hebben...)

Outbound verkeer gaat via NAT64/DNS64 (vooral voor github bedoeld).

Roetzen schreef op maandag 12 december 2022 @ 17:52:
[...]

Tja, wat niet op de beurs verhandeld wordt kan uiteraard sowieso geen beurswaarde genereren. Maar deze subthread ging dan ook niet speciaal over de BV Vodafone maar was een reactie op deze uitspraak van @xbeam


[...]


I rest my case...

https://ipv4marketgroup.c...f-ipv4-addresses-so-high/

It also seems that there could be speculation on the part of some potential sellers, who are seeing the doubling of price in the past year, and wondering if it will continue to double each year. Thus, they are hesitating in coming to market. It may also be that many potential sellers are looking at the continued slow uptake of IPv6, and are hanging on to their IPv4 addresses, just in case they need them

https://technicalcaps.com...n-of-ipv4-handle-markets/

Some commentators have superior the view that an escalating value for IPv4 will increase the financial incentive for IPv6 adoption, and this will likely certainly be the case. Nonetheless, there are different potential substitutes which were used, most notably NATs (Community Handle Translators). Whereas NATs don’t get rid of the demand stress for IPv4, they will go a protracted solution to enhance the deal with utilization effectivity of IPv4 addresses. NATs enable the identical deal with for use by a number of prospects at completely different instances. The bigger the pool of consumers that share a standard pool of NAT addresses, the better the achievable multiplexing functionality. NATs usually are not simply an address-sharing functionality. A number of endpoints can use the identical deal with on the “inside” of the NAT. They use the transport protocol and inside port quantity, including an additional 16 bits to the efficient deal with dimension. If the timeshare part is fourfold (2 bits), then the whole end result of NATs is to extend the out there deal with capability in IPv4 from 4 billion endpoints (232) to some 1,000 trillion endpoints (250). Relying on the widespread definition of an end-site prefix, the usable deal with capability in IPv6 is someplace between 49 bits and 58 bits. This conclusion factors to the remark that the general carrying capability of IPv6 just isn’t all that completely different from that of a dense IPv4 deployment making extremely environment friendly use of NATs.

ANdrode schreef op maandag 12 december 2022 @ 11:57:
[...]

En zelfs die partijen hebben IPv6 nog niet volledig voor elkaar: Voor zover ik weet ondersteunt Fastly nog geen IPv6 naar origin.

ANdrode schreef op maandag 12 december 2022 @ 10:33:
[...]


Overheidsingrijpen aan de vraagkant helpt in mijn ogen wel. Wil je aan de overheid leveren? IPv6.

Paul schreef op maandag 12 december 2022 @ 16:31:
[...]
Aangezien de certificaten op de webservers zelf staan vermoed ik dat de reverse proxy de boel niet decrypt en re-encrypt. Een header toevoegen zal dan niet lukken.

Een optie is je reverse proxy als router in te richten voor de webservers en nginx het source-adres van het request te laten gebruiken in het request naar de webservers? Op Citrix ADC (voorheen Netscaler) heet dat Use Source IP (USIP) maar ik heb geen idee of nginx dat ook kan

Wel zou ik dat goed testen, want het is niet de meest standaard situatie Mogelijk is het simpeler / beter om de certificaten op de reverse proxy te zetten zodat je wel x-forwarded-for kunt gebruiken.

Origin Rules allow you to customize where the incoming traffic will go and with which parameters. Currently you can perform the following overrides:

Host header: Overrides the Host header of incoming requests.
Server Name Indication (SNI): Overrides the Server Name Indication (SNI) value of incoming requests.
DNS record: Overrides the resolved hostname of incoming requests.
Destination port: Overrides the resolved destination port of incoming requests.
The Origin Rule expression will determine when these overrides will be applied.

​​

[ Voor 124% gewijzigd door xbeam op 13-12-2022 09:04 ]

ANdrode schreef op maandag 12 december 2022 @ 10:33:
[...]

Overheidsingrijpen aan de vraagkant helpt in mijn ogen wel. Wil je aan de overheid leveren? IPv6.

[...]

Dit is één van de redenen om dit als standaard te gaan vragen van leverancier. Het grootste nadeel van IPv4 gebruik is dat bepaalde businessmodellen nu door kosten per IP zo'n barriére tot toetreding hebben dat ze niet haalbaar zijn.

Bij iot is IPv6 gewoon eleganter.
_{Verder zit er teveel in de standaard wat nu niet gebruikt wordt. Extension headers, IPsec support, zijn dingen die complexiteit geven en niet bruikbaar zijn, wat achteraf een vergissing lijkt.}

Airw0lf schreef op dinsdag 13 december 2022 @ 07:00:
Maar even los van een dwingende vraagkant en elegantie:
Wat zijn op dit moment de praktische voordelen om (naast IPv4) ook IPv6 te gebruiken?
Hetzij thuis/prive; hetzij zakelijk (mkb en/of large enterprise)?

En ja - de vraag is serieus bedoeld - ik ben serieus nieuwsgierig hoe jullie dit zien.

Airw0lf schreef op dinsdag 13 december 2022 @ 07:00:
[...]


Maar even los van een dwingende vraagkant en elegantie:
Wat zijn op dit moment de praktische voordelen om (naast IPv4) ook IPv6 te gebruiken?
Hetzij thuis/prive; hetzij zakelijk (mkb en/of large enterprise)?

En ja - de vraag is serieus bedoeld - ik ben serieus nieuwsgierig hoe jullie dit zien.

Airw0lf schreef op dinsdag 13 december 2022 @ 10:08:
Maar daarin zitten dan ook de risicofactoren: als ipv6 op grote schaal gebruikt wordt kloppen de Chinezen en Russen ook massaal op het Internet deurtje?

Airw0lf schreef op dinsdag 13 december 2022 @ 10:08:
Maar daarin zitten dan ook de risicofactoren: als ipv6 op grote schaal gebruikt wordt kloppen de Chinezen en Russen ook massaal op het Internet deurtje?

Dreamvoid schreef op dinsdag 13 december 2022 @ 09:31:
[...]

Enterprise:
- eenvoudiger netwerk structuur

[ Voor 25% gewijzigd door Dreamvoid op 13-12-2022 17:38 ]

Dreamvoid schreef op dinsdag 13 december 2022 @ 17:29:
Ja tis allemaal leuk als je netwerk statisch blijft, totdat je een bedrijf overneemt dat op overlappende 10.0.0.0/8 ranges zit en je de boel intern nog eens moet gaan lopen NATen.

Ik bedoel, tis allemaal wel te fixen, mensen doen dit al jaren. Maar het is wel een geknutsel op een gegeven moment.

xbeam schreef op dinsdag 13 december 2022 @ 17:40:
[...]

Bij een beetje multinational duurt zoon integratie een jaar of langer en kan je zeggen dan is subnet overlap niet exht je grootste probleem (uitdaging) waar je wakker van ligt.

ANdrode schreef op woensdag 14 december 2022 @ 10:25:

Subbnet overlap is toch ook geen probleem zolang het tussen kantoren is? Je moet de prefixes van gedeelde diensten alleen even slim routeren.

Wanneer RFC1918 op is kan je 100.64.0.0/10 gebruiken. Als dat niet meer lukt heb je 240/4 nog.

Roetzen schreef op woensdag 14 december 2022 @ 10:48:
[...]
"Alleen even slim routeren". Jaja...

[...]

100.64.0.0/10 gebruiken is niet handig want dat is gereserveerd voor de CGNAT van ISPs. Dan loop je het risico van een conflict. 240/4? Nou, veel geluk er mee. Ik denk dat overschakelen op IPv6 minder problemen geeft.

[ Voor 3% gewijzigd door ANdrode op 14-12-2022 11:04 ]

Roetzen schreef op woensdag 14 december 2022 @ 11:44:
@ANdrode
"Geen mooie oplossingen" is een eufemisme. Als je iets gaat gebruiken waarvoor het niet bedoeld is (DOD blok of 100.64/10) of iets wat gereserveerd is (240/4) loop je altijd het risico dat er vroeger of later een conflict ontstaat en dat je weer opnieuw kunt beginnen

[ Voor 27% gewijzigd door Dreamvoid op 14-12-2022 13:14 ]

Dreamvoid schreef op woensdag 14 december 2022 @ 13:12:
Workarounds genoeg, daar draaien we al 30+ jaar op Je wordt het alleen op een gegeven moment wel zat, al die onverwachte bijwerkingen en knutselconfigs die je allemaal weer moet gaan uitleggen aan anderen als er wat personeelsverloop is.

xbeam schreef op woensdag 14 december 2022 @ 13:30:
[...]

Gaat Ipv6 al het bestaande digitale Duc-tape opruimen en voorkomen dat we in de toekomst moeten Duc-Tapen?

xbeam schreef op woensdag 14 december 2022 @ 13:30:
Gaat Ipv6 al het bestaande digitale Duc-tape opruimen en voorkomen dat we in de toekomst moeten Duc-Tapen?

nero355 schreef op woensdag 14 december 2022 @ 14:48:
[...]

Laten we het hopen, want je personeel vragen om hun thuisnetwerk om te nummeren vanwege een conflict met de VPN Server IP Range is best wel lullig en straks hopelijk niet meer nodig!

xbeam schreef op woensdag 14 december 2022 @ 19:53:
[...]
In 99 procent van de gevallen (Developers en beheerders daar gelaten) hebben gebruikers alleen toegang tot een drive , Exchange en wat interne web applicaties nodig. Dat kan je veel beter via bijv ZTNA over het internet beschikbaar maken.

Dreamvoid schreef op woensdag 14 december 2022 @ 13:12:
Workarounds genoeg, daar draaien we al 30+ jaar op Je wordt het alleen op een gegeven moment wel zat, al die onverwachte bijwerkingen en knutselconfigs die je allemaal weer moet gaan uitleggen aan anderen als er wat personeelsverloop is.

ANdrode schreef op woensdag 14 december 2022 @ 21:03:

RFC1918 is niet groot genoeg voor één IP per device en IPv4 heb je toch nodig in de praktijk. Je kan niet NAT64+CLAT in het OS gebruiken als je windows endpoints hebt.

Kan je dat wel (mac, linux, iOS, Android) dan wordt het simpel. NAT64, geen DHCP lease per endpoint meer nodig.

[ Voor 3% gewijzigd door Airw0lf op 14-12-2022 22:21 ]

[ Voor 19% gewijzigd door Dreamvoid op 15-12-2022 12:31 ]

Airw0lf schreef op woensdag 14 december 2022 @ 22:16:
En hoe zit het met port forwarding? Is dat een-op-een om te zetten?

Paul schreef op donderdag 15 december 2022 @ 12:48:
[...]
Port-forwarding is iets van NAT, en dus (grotendeels) een IPv4-hack die bedacht is om met het gebrek aan adressen om te gaan.

Met IPv6 doe je dus niet aan port-forwarding. In plaats daarvan zet je in de firewall op je router (of net waar je edge-firewalling doet) een regel die verkeer toestaat van het internet naar de poort op het IPv6-adres van het "interne" device (zoals een webserver).

Dus ipv port forward (extern):443 -> (intern):443 wordt het src: any dst:(intern) service:443 action:allow

Het is dus niet zozeer omzetten naar een ander soort port forward, het is omzetten naar een firewall-regel. Toegegeven, bij een port forward hoort ook een firewall-regel, maar heel veel firewalls/routers doen dat onderwater (of hebben überhaupt geen firewall van WAN naar LAN omdat verkeer dat niet bij een NAT-regel of port forward hoort er toch niet door komt omdat de router niet weet waar het verkeer naartoe moet).

ShadowLord schreef op donderdag 15 december 2022 @ 15:16:
[...]

Vraag ik me wel af of er binnen IPv6 nog zaken bedacht zijn om iets als dit alsnog te kunnen doen. En daarme wil ik dus zeggen: een IP adres 'naar buiten' onafhankelijk laten zijn van welk stukje hardware 'binnen' het nu daadwerkelijk host.

Dan denk ik bijv. aan een webserver in je netwerk welke je ooit gaat vervangen met nieuwe hardware. Met standaard IPv6 krijgt de nieuwe machine een ander IP en zou je dus al je verwijzingen hiernaar (directe IP links, DNS entries, etc) moeten aanpassen. Dus dan zou het wel fijn zijn dat of je router hier wat aan vertaling doet of dat je ook een 2e 'vast' IP kan toekennen aan de vervangen hardware. En dat laatste dan het liefste via iets vergelijkbaar met een fixed DHCP entry, zodat je dit hele verhaal op 1 plek (je router) kan inrichten ipv. op verschillende plekken (op ieder apparaat los dingen instellen).

ShadowLord schreef op donderdag 15 december 2022 @ 15:16:
Vraag ik me wel af of er binnen IPv6 nog zaken bedacht zijn om iets als dit alsnog te kunnen doen. En daarme wil ik dus zeggen: een IP adres 'naar buiten' onafhankelijk laten zijn van welk stukje hardware 'binnen' het nu daadwerkelijk host.

Met standaard IPv6 krijgt de nieuwe machine een ander IP

Paul schreef op donderdag 15 december 2022 @ 15:27:
[...]
Je zou de nieuwe server dus hetzelfde adres kunnen geven. Je zou zelfs de server een bepaald adres kunnen geven voor beheer, en de dienst die aangeboden wordt een ander adres, zodat je losse diensten kunt verhuizen naar andere servers. Je hebt immers 1,8*10¹⁹ adressen per /64

Als voorbeeld een webserver met 2 websites. Je geeft dan de server 3 adressen:
2001:db8::1 voor server01.shadowlord.tld
2001:db8::2 voor website1.com
2001:db8::3 voor website2.nl

Als je dan een nieuwe server wil voor alleen website2.nl dan geef je de nieuwe server 2001:db8::4, en verhuis je adres 2001:db8::3 van de oude naar de nieuwe server.

Snow_King schreef op donderdag 15 december 2022 @ 15:29:
[...]

Nog leuker, gebruik de AnyIP feature van het Linux kernel en routeer er een hele /64 naartoe:
- https://gist.github.com/i...d883640e3e7194be3e57219dd
- https://blog.widodh.nl/20...et-to-your-linux-machine/

Snow_King schreef op donderdag 15 december 2022 @ 15:29:
Nog leuker, gebruik de AnyIP feature van het Linux kernel en routeer er een hele /64 naartoe:

xbeam schreef op woensdag 14 december 2022 @ 19:53:
Dat is met ipv4 ook nooit nodig.Het gaat fout dat veel beheerders de verkeerde oplossing kiezen en mensen via bijv een veel te resources intensieve VPN’s wil laten verbinding en daar mee ook nog eens hun netwerken blootstellen aan all rotzooi die gebruikers prive over hun netwerk binnen halen en op hun pc hebben draaien In 99 procent van de gevallen (Developers en beheerders daar gelaten) hebben gebruikers alleen toegang tot een drive , Exchange en wat interne web applicaties nodig.
Dat kan je veel beter via bijv ZTNA over het internet beschikbaar maken.

ANdrode schreef op woensdag 14 december 2022 @ 21:03:
Zero trust netwerk oplossingen zijn lastig aan beheerders uit te leggen. Jammer, want het is een veel betere ervaring, veiliger, én geeft veel betere performance.

Dreamvoid schreef op donderdag 15 december 2022 @ 12:12:
IPv4 is praktisch gezien nog niet echt uit te faseren op 'gemixte' netwerken met desktops en ander networked spul als printers, vrijwel iedereen doet dat vooralsnog met dual stack.

* nero355 browsed effe naar de webGUI van zijn stokoude Samsung CLP-365W en ziet daar... jawel... IPv6 features

ShadowLord schreef op donderdag 15 december 2022 @ 15:16:
Dan denk ik bijv. aan een webserver in je netwerk welke je ooit gaat vervangen met nieuwe hardware. Met standaard IPv6 krijgt de nieuwe machine een ander IP en zou je dus al je verwijzingen hiernaar (directe IP links, DNS entries, etc) moeten aanpassen. Dus dan zou het wel fijn zijn dat of je router hier wat aan vertaling doet of dat je ook een 2e 'vast' IP kan toekennen aan de vervangen hardware. En dat laatste dan het liefste via iets vergelijkbaar met een fixed DHCP entry, zodat je dit hele verhaal op 1 plek (je router) kan inrichten ipv. op verschillende plekken (op ieder apparaat los dingen instellen).

Paul schreef op donderdag 15 december 2022 @ 15:27:
Dat hoeft niet, je kunt ook gewoon adressen vast opgeven. En voor servers is het volgens mij (maar ik ben geen expert) gebruikelijk om een vast adres te nemen, juist omdat ze voor anderen bereikbaar moeten zijn en je dus niet het risico wil lopen dat ze via SLAAC of DHCPv6 ineens een ander adres krijgen.

Je zou de nieuwe server dus hetzelfde adres kunnen geven. Je zou zelfs de server een bepaald adres kunnen geven voor beheer, en de dienst die aangeboden wordt een ander adres, zodat je losse diensten kunt verhuizen naar andere servers. Je hebt immers 1,8*10¹⁹ adressen per /64

Als voorbeeld een webserver met 2 websites. Je geeft dan de server 3 adressen:
2001:db8::1 voor server01.shadowlord.tld
2001:db8::2 voor website1.com
2001:db8::3 voor website2.nl

Als je dan een nieuwe server wil voor alleen website2.nl dan geef je de nieuwe server 2001:db8::4, en verhuis je adres 2001:db8::3 van de oude naar de nieuwe server.

Paul schreef op donderdag 15 december 2022 @ 16:36:
Dat kan, maar dat lost het probleem van ShadowLord niet op Dan heb je nog steeds een IP (of eigenlijk, een heleboel...) aan een machine hangen ipv aan een dienst, en als je die machine vervangt dan moet je extern iets aanpassen. Tenzij je de machine 1:1 vervangt en alle diensten overzet naar de nieuwe machine en dus de hele /64 meeneemt.

ANdrode schreef op donderdag 15 december 2022 @ 15:53:
Een BGP sessie naar mijn eigen router is eigenlijk een goed alternatief voor prefix delegation.

nero355 schreef op donderdag 15 december 2022 @ 21:01:
In de hosting wereld is het niet heel ongewoon om in een dergelijk situatie gewoon de HDD's over te zetten naar de nieuwe Server

Paul schreef op donderdag 15 december 2022 @ 21:28:
VMDK? Of fysieke bakken? En ik vermoed dat je dat niet doet om één site te verhuizen

nero355 schreef op donderdag 15 december 2022 @ 21:01:
[...]
Vertel!

• Minimale permissies hebben per gebruiker en device
• Het kopiëren van permissies van device x naar y zonder toestemming voorkomen

Ik moest ook gelijk aan Routers en Routing Protocols denken bij het lezen van dat stukje : Mooie feature!

nero355 schreef op donderdag 15 december 2022 @ 21:01:
* nero355 browsed effe naar de webGUI van zijn stokoude Samsung CLP-365W en ziet daar... jawel... IPv6 features

nero355 schreef op donderdag 15 december 2022 @ 21:01:
[...]

Ik heb daar zeer beperkte kennis over, maar wat ik er wel over weet zorgt ervoor dat ik met een aantal issues zit wat dat hele gedoe betreft :
- Vaak zit je daarmee te werken vanuit een Microsoft en dus Windows oogpunt.
Wat er dus ook voor zorgt dat een lullige brakke Windows Update het een en ander kan slopen zonder dat je het door hebt!
- Waar het op neer kwam is geloof ik dat elke applicatie een eigen SSL VPN achtige verbinding opbouwt richting een resource wat er dus ook weer voor zorgt dat je hardware meer verbindingen moet kunnen verwerken!
- Hoe zit het met non-Windows Clients
En dan bedoel ik dus niet alleen een Mac/Linux/*BSD Client maar ook een telefoon of tablet...

Tegenover al die dingen staat dus een VPN en daarvan weet je tenminste één ding zeker : Die is op bijna elk apparaat wel aan de praat te krijgen!

[...]
Vertel!

[ Voor 27% gewijzigd door xbeam op 16-12-2022 10:24 ]

ANdrode schreef op vrijdag 16 december 2022 @ 09:41:
Ik geloof dat BeyondCorp: A New Approach to Enterprise Security een publicatie is vanuit Google die dit in 2014 voor het eerst breed aandacht af.

Tailscale heeft een goede uitleg (tailscale is mooi). De kern is dat je de grens van je netwerk niet meer op de fysieke laag of per subnet ziet maar per device - en elk device minimale permissies geeft.

ANdrode schreef op woensdag 14 december 2022 @ 21:03:
Zero trust netwerk oplossingen zijn lastig aan beheerders uit te leggen. Jammer, want het is een veel betere ervaring, veiliger, én geeft veel betere performance.

De office VPN van een kantoormedewerker hoeft niet bij de staging omgeving van de developers. De developers hoeven vrijwel altijd niet bij productie. Als je dit integreert in een VPN client die ook de identiteit van het device controleert dan kan je makkelijk:

• Minimale permissies hebben per gebruiker en device
• Het kopiëren van permissies van device x naar y zonder toestemming voorkomen

Er staat een bird config bij: Dit is echt gewoon BGP naar de host. Erg leuke architectuur - maar als software engineer nooit zelf opgezet.

Dreamvoid schreef op vrijdag 16 december 2022 @ 09:50:
Ik zeg ook niet dat je geen IPv6 moet uitrollen, maar wel dat je op de meeste netwerken IPv4 vooralsnog ernaast moet houden.

xbeam schreef op vrijdag 16 december 2022 @ 09:54:
Zie je eigen post

Ik Wil best een keer onder jou werk tijd van de baas met een cloudflare of watchguard pet op een half dagje jouw kant op komen voor een goeie bak koffie

nero355 schreef op vrijdag 16 december 2022 @ 15:33:

[...]

LOL!

[ Voor 90% gewijzigd door xbeam op 17-12-2022 14:22 ]

xbeam schreef op zaterdag 17 december 2022 @ 08:08:
Gaat gij nu zegen dat gij genen koffie lust.

offtopic:
Chocolade met koffie erin is inderdaad vele malen lekkerder!

Zoiets : https://www.aldi.nl/produ...-2000278-1-0.article.html
Was het geloof ik... Lang geleden ooit een keer gegeten en was vele malen lekkerder dan koffie zelf!

Denk neem je keer 15 min mee in de wondere wereld van cloudflare en ZTNA (Zoe ingewikkeld is het allemaal niet)

in de rest van de tijd was om over mijn Bovinophobia heen te komen

offtopic:
Ik heb hier in de buurt een mooie Hooglanders familie waarmee je mooi kan oefenen als ze weer eens op het pad staan en heel veel mensen dan ineens niet verder durven te lopen!

Terwijl het gewoon lieve koeien zijn!

en en nieuwsgierigheid wie er nu echt schuilgaat achter gaat achter Fear my cow’s of anders gezegd de Romeinse keizer Nero die we moet vrezen

[Afbeelding]

offtopic:
LOL!

In principe is er een groepje medeTweakers uit Fotografie, video en design die wel weten wie ik ben vanwege de meetings waar ik heen ben geweest in het verleden!

nero355 schreef op vrijdag 16 december 2022 @ 15:33:
Bedoelde meer dat zelfs een 10 jaar oude Printer blijkbaar IPv6 heeft dus als je straks nog steeds een Printer hebt die geen IPv6 heeft dan wordt het echt tijd om die te vervangen!

• Een eigen router (Omada of OpnSense) achter die van KPN (EB10A)
• De prefix van het segment tussen de eigen- en KPN-router blijkt “2a02:a458:ba4:1::/64 ” te zijn (en is niet aan te passen?).
• Alle IPv6-instellingen via SLAAC en stateless DHCPv6.
• Deze IPv6-instellingen uitdelen via DNSMASQ (als onderdeel van PiHole) met de config-regel (voorbeeld): dhcp-range=2a02:a458:ba4:139::,ra-stateless,ra-names,ra-advrouter.
• Achter de Omada-router leven verschillende vlans; elk met hun eigen /24 IPv4 subnet.
• Deze subnet-nummers worden tevens gebruikt als onderdeel van de /64 prefix voor de IPv6 kant van de vlans – een paar voorbeelden:
• Management vlan: 2a02:a458:ba4:139::/64
• Bedrade endpoints: 2a02:a458:ba4:200::/64
• Wifi endpoints: 2a02:a458:ba4:210::/64
• IoT endpoints: 2a02:a458:ba4:220::/64

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

   Connection-specific DNS Suffix  . : dmz.itv.lan
   Description . . . . . . . . . . . : Realtek PCIe GbE Family Controller
   Physical Address. . . . . . . . . : 90-2B-34-A5-B1-DC
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : 2a02:a458:ba4:1:<de-rest>(Preferred)
   Temporary IPv6 Address. . . . . . : 2a02:a458:ba4:1:<de-rest>(Preferred)
   Link-local IPv6 Address . . . . . : fe80::5916:70b9:3639:8181%10(Preferred)
   Default Gateway . . . . . . . . . : fe80::7add:12ff:fe10:82a4%10
   DHCPv6 IAID . . . . . . . . . . . : 210774836
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-1E-03-68-90-2B-34-A5-B1-DC
   DNS Servers . . . . . . . . . . . : 2a02:a47f:e000::53
                                       2a02:a47f:e000::54
                                       2a02:a47f:e000::53
                                       2a02:a47f:e000::54

• WAN-kant: Dynamic IP (SLAAC/DHCPv6) en "get IPv6 address automatically"
• LAN-kant (management vlan): SLAAC + stateless DHCP - manual prefix: 2a02:a458:ba4:139::/64
• DNSMASQ (alleen LAN-kant): dhcp-range=2a02:a458:ba4:139::,ra-stateless,ra-names,ra-advrouter

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60

Connection-specific DNS Suffix  . : itv.lan
   Description . . . . . . . . . . . : Realtek PCIe GbE Family Controller
   Physical Address. . . . . . . . . : 90-2B-34-A5-B1-DC
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : 2a02:a458:ba4:1:<de-rest>(Preferred)
   IPv6 Address. . . . . . . . . . . : 2a02:a458:ba4:139:<de-rest>(Preferred)
   Temporary IPv6 Address. . . . . . : 2a02:a458:ba4:1:<de-rest>(Preferred)
   Temporary IPv6 Address. . . . . . : 2a02:a458:ba4:139:<de-rest>(Preferred)
   Link-local IPv6 Address . . . . . : fe80::5916:70b9:3639:8181%10(Preferred)
   Default Gateway . . . . . . . . . : fe80::929a:4aff:fefd:da5%10
   DHCPv6 IAID . . . . . . . . . . . : 210774836
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-1E-03-68-90-2B-34-A5-B1-DC
   DNS Servers . . . . . . . . . . . : 2a02:a458:ba4:139:<de-rest>

===========================================================================
Interface List
 10...90 2b 34 a5 b1 dc ......Realtek PCIe GbE Family Controller
  6...00 ff be ce e8 76 ......TAP-Windows Adapter V9
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
===========================================================================
Persistent Routes:
  None

IPv6 Route Table
===========================================================================
Active Routes:
 If Metric Network Destination      Gateway
 10    281 ::/0                     fe80::929a:4aff:fefd:da5
 10    281 ::/0                     fe80::7884:c2ff:fe44:cc22
  1    331 ::1/128                  On-link
 10    281 2a02:a458:ba4:1::/64     On-link
 10    281 2a02:a458:ba4:1:<de-rest>/128
                                    On-link
 10    281 2a02:a458:ba4:1:<de-rest>/128
                                    On-link
 10    281 2a02:a458:ba4:139::/64   On-link
 10    281 2a02:a458:ba4:139:<de-rest>/128
                                    On-link
 10    281 2a02:a458:ba4:139:<de-rest>/128
                                    On-link
 10    281 fe80::/64                On-link
 10    281 fe80::5916:70b9:3639:8181/128
                                    On-link
  1    331 ff00::/8                 On-link
 10    281 ff00::/8                 On-link
===========================================================================
Persistent Routes:
  None

Airw0lf schreef op zondag 18 december 2022 @ 14:02:
Een jaar of 10-15 geleden eens een eerste poging gedaan om IPv6 aan de praat te krijgen. Destijds zonder resultaat (d.w.z. geen native IPv6 connectivity en (te!)veel “gedoe” met betaversies).

De afgelopen week eens een nieuwe poging gedaan. Met als insteek een IPv6-only netwerk wat is gebaseerd op het IPv6 netwerk adres van KPN. Tot nu toe met hetzelfde resultaat (min-of-meer): alleen als een endpoint rechtstreeks op de KPN-EB is aangesloten is native-IPv6 connectivity mogelijk.

Voor endpoints die via de Omada- of de OpnSense router zijn aangesloten blijft alles enkel via IPv4 werken.

De uitgangspunten achter de inrichting:

• Een eigen router (Omada of OpnSense) achter die van KPN (EB10A)
• De prefix van het segment tussen de eigen- en KPN-router blijkt “2a02:a458:ba4:1::/64 ” te zijn (en is niet aan te passen?).
• Alle IPv6-instellingen via SLAAC en stateless DHCPv6.
• Deze IPv6-instellingen uitdelen via DNSMASQ (als onderdeel van PiHole) met de config-regel (voorbeeld): dhcp-range=2a02:a458:ba4:139::,ra-stateless,ra-names,ra-advrouter.
• Achter de Omada-router leven verschillende vlans; elk met hun eigen /24 IPv4 subnet.
• Deze subnet-nummers worden tevens gebruikt als onderdeel van de /64 prefix voor de IPv6 kant van de vlans – een paar voorbeelden:
• Management vlan: 2a02:a458:ba4:139::/64
• Bedrade endpoints: 2a02:a458:ba4:200::/64
• Wifi endpoints: 2a02:a458:ba4:210::/64
• IoT endpoints: 2a02:a458:ba4:220::/64

De gehanteerde referentiekaders voor de inrichting:
De principe werking van IPv6 (waaronder SLAAC en stateless-dhcpv6):
https://www.networkacademy.io/ccna/ipv6
De link tussen een IPv4 subnet en een IPv6 prefix:
https://www.ibm.com/docs/...-masks-ipv4-prefixes-ipv6

Alle testen zijn uitgevoerd middels een Windows 10 en een MacOS endpoint. Omdat Windows 10 het meest gebruikt is (naast wat Android devices) heb ik deze testresultaten als leidend beschouwt. De resultaten verschillen weinig met die van MacOS.

Het Windows station rechtstreeks op de EB10A:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

Connection-specific DNS Suffix . : dmz.itv.lan Description . . . . . . . . . . . : Realtek PCIe GbE Family Controller Physical Address. . . . . . . . . : 90-2B-34-A5-B1-DC DHCP Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IPv6 Address. . . . . . . . . . . : 2a02:a458:ba4:1:<de-rest>(Preferred) Temporary IPv6 Address. . . . . . : 2a02:a458:ba4:1:<de-rest>(Preferred) Link-local IPv6 Address . . . . . : fe80::5916:70b9:3639:8181%10(Preferred) Default Gateway . . . . . . . . . : fe80::7add:12ff:fe10:82a4%10 DHCPv6 IAID . . . . . . . . . . . : 210774836 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-1E-03-68-90-2B-34-A5-B1-DC DNS Servers . . . . . . . . . . . : 2a02:a47f:e000::53 2a02:a47f:e000::54 2a02:a47f:e000::53 2a02:a47f:e000::54

De IPv6 instellingen van het Windows station staan op "automatically only". De IPv4 instellingen zijn uitgeschakeld. Uit bovenstaand overzicht blijkt dat KPN "iets" heeft lopen waardoor het meteen werkt. Waaronder het local-link adres van de EB10A als default gateway. En "twee" DNS-servers die via poort 53 en 54 aangesproken kunnen worden (?).

Hoe dan ook - deze resultaten heb ik vervolgens vertaalt naar instellingen voor de Omada router:

• WAN-kant: Dynamic IP (SLAAC/DHCPv6) en "get IPv6 address automatically"
• LAN-kant (management vlan): SLAAC + stateless DHCP - manual prefix: 2a02:a458:ba4:139::/64
• DNSMASQ (alleen LAN-kant): dhcp-range=2a02:a458:ba4:139::,ra-stateless,ra-names,ra-advrouter

Na aansluiting van het Windows 10 station komt deze met het volgende overzicht:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60

Connection-specific DNS Suffix . : itv.lan Description . . . . . . . . . . . : Realtek PCIe GbE Family Controller Physical Address. . . . . . . . . : 90-2B-34-A5-B1-DC DHCP Enabled. . . . . . . . . . . : Yes Autoconfiguration Enabled . . . . : Yes IPv6 Address. . . . . . . . . . . : 2a02:a458:ba4:1:<de-rest>(Preferred) IPv6 Address. . . . . . . . . . . : 2a02:a458:ba4:139:<de-rest>(Preferred) Temporary IPv6 Address. . . . . . : 2a02:a458:ba4:1:<de-rest>(Preferred) Temporary IPv6 Address. . . . . . : 2a02:a458:ba4:139:<de-rest>(Preferred) Link-local IPv6 Address . . . . . : fe80::5916:70b9:3639:8181%10(Preferred) Default Gateway . . . . . . . . . : fe80::929a:4aff:fefd:da5%10 DHCPv6 IAID . . . . . . . . . . . : 210774836 DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-21-1E-03-68-90-2B-34-A5-B1-DC DNS Servers . . . . . . . . . . . : 2a02:a458:ba4:139:<de-rest> =========================================================================== Interface List 10...90 2b 34 a5 b1 dc ......Realtek PCIe GbE Family Controller 6...00 ff be ce e8 76 ......TAP-Windows Adapter V9 1...........................Software Loopback Interface 1 =========================================================================== IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 =========================================================================== Persistent Routes: None IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway 10 281 ::/0 fe80::929a:4aff:fefd:da5 10 281 ::/0 fe80::7884:c2ff:fe44:cc22 1 331 ::1/128 On-link 10 281 2a02:a458:ba4:1::/64 On-link 10 281 2a02:a458:ba4:1:<de-rest>/128 On-link 10 281 2a02:a458:ba4:1:<de-rest>/128 On-link 10 281 2a02:a458:ba4:139::/64 On-link 10 281 2a02:a458:ba4:139:<de-rest>/128 On-link 10 281 2a02:a458:ba4:139:<de-rest>/128 On-link 10 281 fe80::/64 On-link 10 281 fe80::5916:70b9:3639:8181/128 On-link 1 331 ff00::/8 On-link 10 281 ff00::/8 On-link =========================================================================== Persistent Routes: None

De DNS-server blijkt te kloppen - maar de default gateway niet. Dat is het local-link adres van de ethernet aansluiting van het systeem waar PiHole/DNSMASQ op draait. Bij de testen met de MAC staan hier ook de DNS-servers van Google...

Ook blijkt het routing overzicht gegevens te bevatten van de prefix tussen de Omada- en KPN-router (geldt ook voor de MAC) - geen idee langs welke weg die daar terecht zijn gekomen...

Iemand een idee waar ik de fout in ga? En hoe op te lossen? Anders dan het IPv6 adres van de DNS-server en de default gateway hardcoded op te nemen in de DNSMASQ-config?

stormfly schreef op zondag 18 december 2022 @ 15:08:
Je eigen router dient prefix delegation te gebruiken op het wan gekoppeld naar een lan vlan.
Anders weet de KPN router nooit wat er achter jouw router leeft.

nero355 schreef op zondag 18 december 2022 @ 15:27:
[...]

Het probleem begint al bij zijn "NAT achter NAT" opstelling : Die ExperiaBox kan je amper instellen en moet je een hoop automatische rommel van accepteren helaas...

[...]

Het houdt je uit de kou op het moment zullen we maar zeggen!

Airw0lf schreef op zondag 18 december 2022 @ 15:41:
Maar hoe zie je dat met NAT-achter-NAT i.c.m. IPv6?
Ik had begrepen dat zoiets niet bestaat als je werkt met SLAAC en stateless DHCPv6?

Airw0lf schreef op zondag 18 december 2022 @ 14:02:
En "twee" DNS-servers die via poort 53 en 54 aangesproken kunnen worden (?).

[ Voor 3% gewijzigd door Hipska op 19-12-2022 10:31 ]

Airw0lf schreef op zondag 18 december 2022 @ 15:41:
[...]


Het houdt me inderdaad uit de kou... klopt.

Maar hoe zie je dat met NAT-achter-NAT i.c.m. IPv6?
Ik had begrepen dat zoiets niet bestaat als je werkt met SLAAC en stateless DHCPv6?

[ Voor 5% gewijzigd door MaartenBW op 19-12-2022 11:22 ]

MaartenBW schreef op maandag 19 december 2022 @ 11:17:
[...]

Hoe dit zou moeten werken is dat de eerste router (EB10A) als een soort ISP zou moeten werken met prefix delegation. Dus aan de WAN kant krijg hij een /48 prefix van KPN. De EB10A zou deze /48 moeten verdelen naar bijv. /56 prefixes en deze uitdelen aan de 2de laag routers over DHCP. Dus elke router in de 2de laag krijgt een /56 toegewezen van de 1ste router (EB10A).

Vervolgens kunnen de 2de laags routers er een /64 prefix van maken en deze /64 prefix aan de (v)lan kant advertisen naar de end-client. Die maken er vervolgens zelf een /128 adres van met slaac.

Wat jij nu doet is dat je na de EB10A al een /64 prefix hebt (namelijk 2a02:a458:ba4:1::/64). Bij IPv6 zijn de laatste 64 bits voor de 'end-point' om er met slaac een uiteindelijk IPV6 /128 adres van te maken.

De sleutel zit hem er dus in om de EB10A delen van de /48 prefixes uit te laten delen als /56 prefixes aan de routers. Ik weet alleen niet of dit mogelijk is met de EB10A (denk het niet eigenlijk).

Hier een voorbeeld, maar dan van /40 naar /48:
https://networklessons.co...-dhcpv6-prefix-delegation

Airw0lf schreef op maandag 19 december 2022 @ 13:42:
Even hardop lezend/denkend (met een IPv4 perspectief): vanwaar die "tussenstap" met /56?
Met twee routers achter de EB en een prefix van /48 maakt beiden toch evengoed uniek op basis van het local-link adres (wat een onderdeel is van het IPv6 adres)?
Dat zou dan voldoende moeten zijn om onderscheid te maken tussen de achterliggende vlans/subnets?

Nu alleen nog de LAN/client kant van beide eigen routers - dat wil nog niet vlotten.
OpnSense wil daar perse full DHCPv6 gebruiken; dus inclusief het uitdelen van IPv6 adressen, gateway en DNS-servers.

nero355 schreef op maandag 19 december 2022 @ 16:09:
[...]

Ehm... dat adres is niet routeerbaar hé!

De naam zegt het al : Het is een LOKAAL adres!

Verder is het nou eenmaal gewoon zo ooit bedacht dus daar doe je weinig aan denk ik...

[...]

Ik kan me haas niet voorstellen dat de *sense achtigen geen SLAAC doen eerlijk gezegd

Dat zou IMHO gewoon raar zijn, want je hebt dan een probleem met sommige Clients die of geen DHCPv6 accepteren of geen SLAAC accepteren!

[ Voor 4% gewijzigd door Airw0lf op 19-12-2022 17:31 ]

Airw0lf schreef op maandag 19 december 2022 @ 17:29:
Een lokaal adres wat begint met fe80 is inderdaad niet routeerbaar.

Maar ik zie dat dat lokale adres ook gebruikt worden door fe80 te vervangen met (in mijn geval) zoiets als 2a02-a458-ba4-<vlan>.
Waarbij dat "<vlan>" iets is wat ik er aangeplakt heb.

Vanaf dat moment is het wel te gebruiken om te routeren - toch?

Ik heb niet de intentie om iets aan de werking te veranderen.
Maar wil wel graag begrijpen hoe "het" bedoeld is te werken; idealiter inclusief de variabelen en de invloed van elk van die variabelen op "het".
Met in het bijzonder de werking van "het" i.c.m. OpnSense - want die invulling begrijp ik nog niet zo.

nero355 schreef op maandag 19 december 2022 @ 17:35:
[...]

Klopt! Maar dan is het een Global Address geworden en geen Link-Local meer!


[...]

Ooit had ik een leraar die altijd zei : "Noem het beestje bij zijn naampje!"

Kortom : Wees eens wat duidelijker, want ik begrijp er geen bal van!

Airw0lf schreef op maandag 19 december 2022 @ 17:48:
Geen idee hoe je het samenspel tussen de verschillende soorten IPv6 adressen en de relevante instellingen van Ubuntu, dnsmasq, OpnSense en Omada zou kunnen labellen. Maar als je er één stikker op wil/kunt plakken... be my guest...

[ Voor 19% gewijzigd door RobertMe op 19-12-2022 18:14 ]

RobertMe schreef op maandag 19 december 2022 @ 18:09:

Broddelwerk

RobertMe schreef op maandag 19 december 2022 @ 18:09:
[...]

V.w.b. fat de link local & publieke IPv6 adressen dezelfde suffix hebben. Dat zal vast ermee te maken hebben dat het (gebaseerd is op) het MAC adres. Waarbij je op PC / ... dan twee publieke IPv6 adressen krijgt. Eentje die vast is en je kunt gebruiken voor inkomende verbindingen (en dus ook voor in DNS etc) en dat is dus (een afgeleide van) het MAC adres. En daarnaast dat willekeurige privacy adres dat regelmatig wijzigd voor uitgaande verbindingen zodat je niet getrackt kan worden online.

Airw0lf schreef op maandag 19 december 2022 @ 18:19:
om nog maar te zwijgen van Windows - daar heb ik tot nu toe 5 of 6 verschillende IPv6 adressen voorbij zien komen...

nero355 schreef op maandag 19 december 2022 @ 16:09:
[...]

Ehm... dat adres is niet routeerbaar hé!

De naam zegt het al : Het is een LOKAAL adres!

Verder is het nou eenmaal gewoon zo ooit bedacht dus daar doe je weinig aan denk ik...


[...]

Ik kan me haas niet voorstellen dat de *sense achtigen geen SLAAC doen eerlijk gezegd

Dat zou IMHO gewoon raar zijn, want je hebt dan een probleem met sommige Clients die of geen DHCPv6 accepteren of geen SLAAC accepteren!

Select which flags to set in Router Advertisements sent from this interface. Use "Router Only" to disable Stateless Address Autoconfiguration (SLAAC) and DHCPv6, "Unmanaged" for SLAAC (A flag), "Managed" for Stateful DHCPv6 (M+O flags), "Assisted" for Stateful DHCPv6 and SLAAC (M+O+A flags), or "Stateless" for Stateless DHCPv6 and SLAAC (O+A flags).

Examples:

code:

1 2	Token=eui64 Token=::1a:2b:3c:4d

Airw0lf schreef op maandag 19 december 2022 @ 13:42:
[...]


Bedankt voor de uitgebreide reactie - wordt zeer gewaardeerd!

Even hardop lezend/denkend (met een IPv4 perspectief): vanwaar die "tussenstap" met /56?
Met twee routers achter de EB en een prefix van /48 maakt beiden toch evengoed uniek op basis van het local-link adres (wat een onderdeel is van het IPv6 adres)?
Dat zou dan voldoende moeten zijn om onderscheid te maken tussen de achterliggende vlans/subnets?

Voor de volledigheid :
Via de OpnSense router heb ik nu IPv6 connectivity naar het WAN/EB. Daarbij maakt het niet uit of ik /48 of /56 gebruik - beiden werken hiermee.
De Omada router lijkt verder niks te doen met deze prefix: nada IPv6 connectivity richting het WAN/EB.

Aan de LAN-kant van de EB (d.w.z. tabje Connected Devices) worden beide routers gezien met een IPv6 adres met prefix "2a02:a458:ba4:1" en een local-link adres. Dat local-link adres zie ik ook terug in het IPv6 adres (uiteraard zonder FE80).

Nu alleen nog de LAN/client kant van beide eigen routers - dat wil nog niet vlotten.
OpnSense wil daar perse full DHCPv6 gebruiken; dus inclusief het uitdelen van IPv6 adressen, gateway en DNS-servers.

Waardoor ik moet gaan nadenken wat dan weer handige reeksen zijn => nog suggesties?
Als het dan toch moet zou ik die reeksen het liefst gelijk houden aan die van IPv4: 11 t/m 59.

Snow_King schreef op dinsdag 20 december 2022 @ 15:42:
De discussies die hierboven plaatsvinden zijn allemaal goed en leerzaam! Fijn dat mensen de tijd nemen elkaar dingen te leren.

De basis hier achter is echter routering: Onder IPv4 en IPv6 het zelfde.

IPv6 heeft een paar mooie technieken zoals DHCPv6 Prefix Delegation en SLAAC, maar in de basis kan je met IPv6 ook gewoon een statisch gerouteerd netwerk neerzetten zoals je dat met IPv4 zou doen,

Vergeet NAT, denk aan gewoon echt routeren zoals het internet is: P2P

Dan is IPv6 los van de lengte van het adres eigenlijk bijna het zelfde als IPv4.

Jef61 schreef op dinsdag 20 december 2022 @ 16:07:
[...]

Ja precies dit

Heb van mijn provider een /56 en een /126 gateway en 'customer router' adres (transit netwerkje) gekregen.
Het /56 subnet verdeel je zelf over je vlans als /64 subnetten.
Alleen nog een statische default route naar het gateway adres en alles werkt simpel en overzichtelijk.

[ Voor 24% gewijzigd door Snow_King op 20-12-2022 17:08 ]

Snow_King schreef op dinsdag 20 december 2022 @ 17:07:
[...]
Dat je vervolgens met DHCP(v6) aan de slag wil gaan in de LAN segmenten voor adresuitgifte is een ander verhaal.

[ Voor 8% gewijzigd door Airw0lf op 20-12-2022 17:48 ]

Airw0lf schreef op dinsdag 20 december 2022 @ 17:36:
KPN komt binnen met een /48 prefix. Die probeer ik via /56 naar twee routers te verdelen.

Jef61 schreef op dinsdag 20 december 2022 @ 18:19:
[...]

ff bij het begin, wat bedoel je hier precies mee?

Wil je het /48 subnet doormidden hakken en verdelen of probeer je 2 stuks /56 netwerken verder te routeren?
Als je doormidden wilt hakken moet je 2x een /49 netwerk routeren.
2x een /56 netwerk verder routeren kan natuurlijk ook maar dan moet je dat wel op de juiste manier doen (en je gooit een hoop weg, hoewel dat bij IPv6 niet zo'n rol speelt )

[ Voor 18% gewijzigd door Airw0lf op 20-12-2022 19:18 ]

Snow_King schreef op dinsdag 20 december 2022 @ 17:07:
Niets anders dan een /30 IPv4 interconnect subnet tussen je ISP en jouw router

Jef61 schreef op dinsdag 20 december 2022 @ 17:29:
Ja, en DHCP is met IPv6 ook al niet echt nodig, servers ed een vast IPv6 adres en de rest via SLAAC.

Airw0lf schreef op dinsdag 20 december 2022 @ 17:36:
Aan de Omada/TP-link kant heb ik het al opgegeven - hun IPv6 implementatie is gewoon bagger en werkt voor geen meter...

Aan OpnSense kant lijkt het beter te werken. En ben ik nu aan het grasduinen in de pfSense docs om te begrijpen hoe e.e.a. ingesteld zou moeten worden i.c.m. een /64 prefix - tot nu toe zonder positief resultaat.

Airw0lf schreef op dinsdag 20 december 2022 @ 19:03:
Dat /48 subnet komt binnen via een KPN-EB model 10A. Daar zou ik graag twee eigen routers achter willen plakken - elk met hun eigen set van vlans/subnetten. En of dat dan met een /50 prefix is of groter (bijvoorbeeld /57), dat maakt me verder niet zoveel.

nero355 schreef op dinsdag 20 december 2022 @ 19:19:
[...]

Als je nou eens begint met die OPNsense bak als de "Core Router" in je netwerk dan heb je kans dat het ooit gaat werken!

KPN als WAN van een willekeurige non-KPN Router instellen is zo gedaan :
- VLAN 6
- PPPoE met username en password kpn/kpn of internet/internet of wat je ook leuk vindt...

En gaan met die banaan!

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

Checking connectivity for host: opnsense-update.deciso.com -> 2001:1af8:4700:a137:12::2
PING6(1548=40+8+1500 bytes) 2a02:a458:ba4:1:ce3:4dff:feca:e7d4 --> 2001:1af8:4700:a137:12::2
1508 bytes from 2001:1af8:4700:a137:12::2, icmp_seq=0 hlim=57 time=4.999 ms
1508 bytes from 2001:1af8:4700:a137:12::2, icmp_seq=1 hlim=57 time=4.861 ms
1508 bytes from 2001:1af8:4700:a137:12::2, icmp_seq=2 hlim=57 time=4.790 ms
1508 bytes from 2001:1af8:4700:a137:12::2, icmp_seq=3 hlim=57 time=5.197 ms

--- 2001:1af8:4700:a137:12::2 ping6 statistics ---
4 packets transmitted, 4 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 4.790/4.962/5.197/0.155 ms
Checking connectivity for repository (IPv6): https://opnsense-update.deciso.com/${SUBSCRIPTION}/FreeBSD:13:amd64/22.10
Updating OPNsense repository catalogue...
Fetching meta.conf: . done
Fetching packagesite.pkg: .......... done
Processing entries: .......... done
OPNsense repository update completed. 817 packages processed.
All repositories are up to date.

[ Voor 44% gewijzigd door Airw0lf op 20-12-2022 21:41 . Reden: Testresultaten en config bijgevoegd. ]

nero355 schreef op dinsdag 20 december 2022 @ 19:19:
[...]
Is het eigenlijk zo dat in de praktijk men gewoon Link-Local gebruikt voor hetzelfde doel of toch niet ??

Ik heb namelijk ooit begrepen dat één van de IPv6 voordelen is dat we eindelijk van die ellendige /30 interconnects af zijn en alles via Link-Local gaan doen om te "neighbouren"

Airw0lf schreef op dinsdag 20 december 2022 @ 20:07:
Nou eehhh - liever niet - ik wil geen gedoe met die KPN-TV/Media-doosjes!

Bovendien... het IPv4 verkeer komt zonder problemen OpnSense en de EB door

nero355 schreef op woensdag 21 december 2022 @ 00:24:

[...]

Ja, want een beetje NAT daisychainen is hetzelfde als echte Routing van IPv6

[ Voor 40% gewijzigd door Airw0lf op 21-12-2022 08:14 ]

nero355 schreef op zondag 18 december 2022 @ 15:27:
[...]

Het probleem begint al bij zijn "NAT achter NAT" opstelling : Die ExperiaBox kan je amper instellen en moet je een hoop automatische rommel van accepteren helaas...

IMHO kom je een flink stuk verder als je dat kreng uit de opstelling haalt, maar dan moet je ook met het IPTV gedoe aan de gang als je dat afneemt en dat kan soms echt heel ellendig zijn zonder KPN eigen apparatuur!

nero355 schreef op dinsdag 20 december 2022 @ 19:19:
[...]

Is het eigenlijk zo dat in de praktijk men gewoon Link-Local gebruikt voor hetzelfde doel of toch niet ??

Ik heb namelijk ooit begrepen dat één van de IPv6 voordelen is dat we eindelijk van die ellendige /30 interconnects af zijn en alles via Link-Local gaan doen om te "neighbouren"

Jef61 schreef op woensdag 21 december 2022 @ 08:49:
[...]

Ah, een router achter een router . Hoeft op zich geen probleem te zijn want NAT achter NAT heeft niets te maken met IPv6 door 2 routers routeren. Probleem zal idd zijn dat die KPN box niet te configureren is. Ik zou zeggen routeer het hele /48 IPv6 subnet door naar de volgende router en ga daar verder opdelen.

Lukt dat niet dan de ExperiaBox vervangen (door een Mikrotik bv, dan ben je voorlopig ook van straat ).

Airw0lf schreef op woensdag 21 december 2022 @ 08:58:
[...]
Wat zou er op die EB ingesteld moeten kunnen worden?
Zou vervangen door de KPN-Fritzbox helpen?