Het grote IPv6 topic

stormfly schreef op zondag 10 september 2023 @ 13:54:
[...]


Aai ja met tunnels is mijn ervaring dat nog wat lastiger is. RipeDB is ook een veelgebruikte bron voor IP segmenten.

Bij RipeDB zelf heb ik nog geen pagina/formulier kunnen vinden om dit te checken, maar ze hebben wel een lijst met databases op de site staan en bij https://ipwhois.io/ zie ik Fremont, CA (locatie Hurricane Electric) terwijl de anderen Amsterdam (locatie tunnelserver) aangeven.

Inmiddels mailtje de deur uit, maar geen idee of dit de boosdoener is.

Raven schreef op zondag 10 september 2023 @ 12:10:
Ik heb nu meerdere keren melding gedaan van een verbindingsprobleem (geo-IP gedoe) en ze willen mijn IPv4 adres hebben terwijl ik meerdere keren heb aangegeven dat het probleem IPv6 specifiek is

- "Wat is uw IP adres?"
- "Twee aa nul éen dubbele punt..."
- "Ehm..."

Dreamvoid schreef op maandag 11 september 2023 @ 14:03:
[...]

- "Wat is uw IP adres?"
- "Twee aa nul éen dubbele punt..."
- "Ehm..."

Specifiek "Het IP adres zou er bijvoorbeeld zo uit moeten zien 00.00.00.000 "

Raven schreef op zondag 10 september 2023 @ 12:10:
Wat een incompetente *pieeeeeeeep* bij Videoland.

Ik heb nu meerdere keren melding gedaan van een verbindingsprobleem (geo-IP gedoe) en ze willen mijn IPv4 adres hebben terwijl ik meerdere keren heb aangegeven dat het probleem IPv6 specifiek is

Zijn er anno 2023 nog steeds geen manieren om als bezoeker van een streamingdienst te achterhalen welke geo-IP database daar gebruikt wordt? Ik kan er nog steeds geen vinden die iets anders dan Nederland aangeeft en Videoland weigert dit probleem te snappen.

De incompetente helpdesk van Videoland blijft nu vasthouden aan dat mijn IPv6-ISP (HE) verantwoordelijk zou zijn voor het geo-IP probleem, ze willen maar niet snappen dat zij (net als ik) niet kunnen weten welke foute database Videoland gebruikt en ze blijven weigeren de naam ervan te geven zodat ik er (niet) zelf achteraan kan gaan

Ik denk dat ik maar eens ga proberen alle door Videoland gebruikte IPv6-adressen in de nftables-firewall te gooien, kijken of dat werkt...

Raven schreef op woensdag 20 september 2023 @ 14:13:
[...]

De incompetente helpdesk van Videoland blijft nu vasthouden aan dat mijn IPv6-ISP (HE) verantwoordelijk zou zijn voor het geo-IP probleem, ze willen maar niet snappen dat zij (net als ik) niet kunnen weten welke foute database Videoland gebruikt en ze blijven weigeren de naam ervan te geven zodat ik er (niet) zelf achteraan kan gaan

Ik denk dat ik maar eens ga proberen alle door Videoland gebruikte IPv6-adressen in de nftables-firewall te gooien, kijken of dat werkt...

Misschien heb je hier iets aan?
https://forum.tweak.nl/t/geocblocking-issue/1997/3

Zapp-it schreef op woensdag 20 september 2023 @ 15:14:
[...]


Misschien heb je hier iets aan?
https://forum.tweak.nl/t/geocblocking-issue/1997/3

Ik zie MaxMind en OneTrust voorbij komen, MaxMind geeft NL aan, OneTrust lijkt geen formulier te hebben om dit soort dingen te checken. Heb ze een mailtje gestuurd, kijken of zij er iets mee kunnen.

Anders maar met de firewall aan de gang, heb inmiddels 19 IPv6 adressen om te blocken...

Raven schreef op woensdag 20 september 2023 @ 15:41:
[...]

Ik zie MaxMind en OneTrust voorbij komen, MaxMind geeft NL aan, OneTrust lijkt geen formulier te hebben om dit soort dingen te checken. Heb ze een mailtje gestuurd, kijken of zij er iets mee kunnen.

Anders maar met de firewall aan de gang, heb inmiddels 19 IPv6 adressen om te blocken...

Los van de controle op het land kan het natuurlijk ook zo zijn dat ze proxies, vpn-aanbieders en/of datacentra blokkeren en dat HE op die lijst voorkomt van MaxMind; iets dat mij redelijk logisch lijkt aangezien de eindpunten van HE zich binnen datacentra bevinden.

Zie ook https://www.maxmind.com/e...ite/anonymous-ip-database

Als ik bijv. op deze site mijn HE reeks invoer kom ik daar uit als 'proxy': https://proxycheck.io/ terwijl mijn reeks vanuit ExtraIP daar niet als proxy is aangegeven.

[ Voor 17% gewijzigd door mrdemc op 20-09-2023 15:57 ]

In het verleden ook wel eens gehad met f1tv die ipv6 range van ons kantoor gewoon als buitenland zag en je dus niet live kon kijken.
En niet te achterhalen in welke db het fout zou moeten staan.
Ripe gegevens staan gewoon op Nederlands adres.

Facebook en twitter willen soms ook wel eens verkeerde taal geven bij inlog scherm.

Is een ipv6 range uitgegeven door Lumen, dus mogelijk staat het op de lijst van Hosting Provider/Data Center.
(waar merendeel van ip's ook voor gebruikt worden, maar ook voor internet toegang kantoor)

[ Voor 23% gewijzigd door DDX op 20-09-2023 15:54 ]

De HE IP adressen staan ook vaak zoals hierboven al aangegeven op de lijsten van datacenter/VPN providers, aangezien je een tunnel in een andere regio kan aanmaken en het zo als simpele "VPN" kan gebruiken om rond geolocatie heen te komen.

Zit wel eens aan de kant van de CDN's, en daar blokkeren ze dit soort IP blokken ivm mogelijk VPN/geoblock evasion. Als je native IPv6 van Tweak of een NL provider gebruikt werkt het waarschijnlijk wel gewoon.

Raven schreef op woensdag 20 september 2023 @ 15:41:
[...]

Ik zie MaxMind en OneTrust voorbij komen, MaxMind geeft NL aan, OneTrust lijkt geen formulier te hebben om dit soort dingen te checken. Heb ze een mailtje gestuurd, kijken of zij er iets mee kunnen.

Anders maar met de firewall aan de gang, heb inmiddels 19 IPv6 adressen om te blocken...

Zoals geschreven zijn er diverse soorten IPs DC/VPS maar ook Consumer reeksen. Als jij in een VPS reeks valt dan kan je nog 15 databases afstruinen maar dat kost niets op. Ik schat in dat alleen consumer reeksen mogen streamen.


Of je gaat naar een gerenommeerde provider met full IPv6.

Of je zet dat TV kastje in een IPv4 only vlan zonder RA’s vanuit de router.

mrdemc schreef op woensdag 20 september 2023 @ 15:51:
Als ik bijv. op deze site mijn HE reeks invoer kom ik daar uit als 'proxy': https://proxycheck.io/ terwijl mijn reeks vanuit ExtraIP daar niet als proxy is aangegeven.

{
"status": "ok",
"2001:470:*:*:*:*:*:*": {
"asn": "AS6939",
"provider": "Hurricane Electric LLC",
"organisation": "Hurricane Electric",
"continent": "Europe",
"continentcode": "EU",
"country": "Netherlands",
"isocode": "NL",
"region": "North Holland",
"regioncode": "NH",
"timezone": "Europe/Amsterdam",
"city": "Amsterdam",
"postcode": "1012",
"latitude": 52.3676,
"longitude": 4.9041,
"currency": {
"code": "EUR",
"name": "Euro",
"symbol": "€"
},
"proxy": "yes",
"type": "VPN"
}
}

Proxy dus, maar de foutmelding geeft specifiek "Deze video kan niet worden afgespeeld vanaf je locatie" aan, dan denk ik aan geoIP gezeur, niet proxy/VPN.

stormfly schreef op woensdag 20 september 2023 @ 17:19:
Of je gaat naar een gerenommeerde provider met full IPv6.

Dat geeft geen garantie dat dit soort problemen niet voorkomen, zie eerdergenoemd topic op Tweak's forum waar het via IPv4 mis gaat

stormfly schreef op woensdag 20 september 2023 @ 17:19:
Of je zet dat TV kastje in een IPv4 only vlan zonder RA’s vanuit de router.

Welk tv-kastje? Ik kijk videoland op de pc

Maar lijkt er dus op dat het de firewall wordt, later maar eens regeltje met de lijst IPv6-adressen aanmaken.

Raven schreef op woensdag 20 september 2023 @ 17:27:
[...]


[...]
Proxy dus, maar de foutmelding geeft specifiek "Deze video kan niet worden afgespeeld vanaf je locatie" aan, dan denk ik aan geoIP gezeur, niet proxy/VPN.

Locatie datacenter mag niet kijken

RobertMe schreef op woensdag 20 september 2023 @ 17:35:
[...]

Locatie datacenter mag niet kijken

Als het dat is, dan vraag ik mij wel af, waarom alleen Videoland? Met RtlGemist nooit dit gezeur gehad, evenals NPO Start, kijk.nl etc.

Raven schreef op woensdag 20 september 2023 @ 17:38:
[...]

Als het dat is, dan vraag ik mij wel af, waarom alleen Videoland? Met RtlGemist nooit dit gezeur gehad, evenals NPO Start, kijk.nl etc.

Tsja, strictere controles? Dat streaming diensten VPNs blokkeren is niet ongewoon. En HE is zoals al aangegeven net zo goed een manier om geoblokkades te omzeilen. Immers kun je de IPv6 tunnel net zo makkelijk middels een buitenlandse server laten lopen.

stormfly schreef op woensdag 20 september 2023 @ 18:35:
Niet Delta die adhoc bedenkt: owh als we zoveel vezels ingraven zijn er ook nog IPv4 blokken noodzakelijk. Die kochten Zweedse reeksen op toch, met geneuzel?

Zweden en Amerika. Om in hetzelfde jaar plotsklaps CGNAT in te schakelen inclusief beloftes dat het eenvoudig via Mijn Delta uitgeschakeld kam worden, maar bij mijn weten is dat nog steeds niet mogelijk. (Klantenservice weet er wel van en kan het wel uitschakelen).
En dat terwijl ze al zeer geruime tijd een IPv6 pilot hebben lopen (denk daar al ruim een jaar terug over gelezen te hebben). Dat is ook een van de (hoofd)redenen dat ik niet gepeinst heb over overstappen / aanmelden toen ze "hier" met de aanleg begonnen (naast ontbreken bridge mode).

RobertMe schreef op woensdag 20 september 2023 @ 18:43:
[...]

Zweden en Amerika. Om in hetzelfde jaar plotsklaps CGNAT in te schakelen inclusief beloftes dat het eenvoudig via Mijn Delta uitgeschakeld kam worden, maar bij mijn weten is dat nog steeds niet mogelijk. (Klantenservice weet er wel van en kan het wel uitschakelen).
En dat terwijl ze al zeer geruime tijd een IPv6 pilot hebben lopen (denk daar al ruim een jaar terug over gelezen te hebben). Dat is ook een van de (hoofd)redenen dat ik niet gepeinst heb over overstappen / aanmelden toen ze "hier" met de aanleg begonnen (naast ontbreken bridge mode).

Exact, ik had denk ik KPN DSL met 200/60 aangehouden ipv naar Delta over te stappen. Bij KPN heb je je eigen /48 reeks die je fijn kunt verdelen over alle vlans.

Als de maandfactuur binnenkomt moet je even slikken. Dan weet je wel dat je iets hebt wat voldoet aan mijn wensen.

HE tunnels dat is iets van 10 jaar geleden voor mij vanwege de genoemde uitdagingen hieronder.

Overigens als Odido IPv6 zou aanbieden dan zou ik die partij wel een jaartje willen overwegen. Om de inflatie verhogingen van bijvoorbeeld 3 jaar KPN te neutraliseren. Maar ook Odido zit in een ander prijssegment en heeft geen budget om een project IPv6 te starten. Je weet, als je het Odido topic volgt, dat je daar niet krijgt wat KPN nu biedt.

stormfly schreef op woensdag 20 september 2023 @ 18:35:
[...]


Je noemt de goedkoopste provider uit het land. Dat is niet wat ik bedoel. Denk aan KPN of Ziggo die een dedicated afdeling peering en IP mgmt hebben. Niet Delta die adhoc bedenkt: owh als we zoveel vezels ingraven zijn er ook nog IPv4 blokken noodzakelijk. Die kochten Zweedse reeksen op toch, met geneuzel?

Bij welke provider ben je klant?

Tweak (eigenlijk T-Mobile dus sinds kort) en HE.

stormfly schreef op woensdag 20 september 2023 @ 18:35:
[...]


Nog makkelijker dan is het 1 vinkje op je netwerk adapter om uit te schakelen.

IPv6 volledig uitschakelen zou niet nodig moeten zijn

stormfly schreef op woensdag 20 september 2023 @ 18:35:
[...]


Hoe werkt deze oplossing? Je resolved AAAA en dan blokkeer je de IPv6 reeks in de FW waardoor tcp uittimed en je naar IPv4 terugvalt.

Ik heb een lijstje met IPv6-adressen verzameld en die gooi ik in de firewall op de router, waarna (in theorie) de verbinding terug zou moeten vallen op IPv4. Heb een tijdje terug al eens gekeken of het bij PiHole kan (daar AAAA-lookups voor specifiek domein blokkeren, was voor iets anders) maar dat liet toch IPv6-adressen door.

Raven schreef op woensdag 20 september 2023 @ 19:01:
[...]

Tweak (eigenlijk T-Mobile dus sinds kort) en HE.


[...]

IPv6 volledig uitschakelen zou niet nodig moeten zijn


[...]

Ik heb een lijstje met IPv6-adressen verzameld en die gooi ik in de firewall op de router, waarna (in theorie) de verbinding terug zou moeten vallen op IPv4. Heb een tijdje terug al eens gekeken of het bij PiHole kan (daar AAAA-lookups voor specifiek domein blokkeren, was voor iets anders) maar dat liet toch IPv6-adressen door.

Een echte oldskool Tweak aansluiting heeft native IPv6, mijn collega heeft dat native van ze. Ik zou daar eens achteraan gaan.

TCP of DNS timeouts vergt wel veel van je geduld. Hier staat ook nog wat slims met een tweede bind instance. Of hier met pihole en een HE tunnel.

Charlie_Root schreef op maandag 14 augustus 2023 @ 11:09:
- DHCPv6 DNS adressen opgeven (google bijv)

Wanneer gaan we nou eens eindelijk dergelijk gepruts afraden hier op GoT

Vooral als het om KPN gaat waarvan je de DNS Server gewoon op hun website kan vinden : https://www.kpn.com/service/eigen-apparatuur.htm
En dan https://kpn.com/w3/file?u...ntid=50183&mode=incontext

Wat dus neerkomt op :

Opmerking : Als je de DNS-instellingen op “Automatisch” zet, dan worden automatisch de juiste DNS instellingen
gebruikt. Het vast instellen van DNS servers wordt niet geadviseerd. Bij migraties, wijzigingen of activeren van
malware filter blokkeert dit de werking.

Voor controle of je apparatuur de juiste DNS servers gebruikt.
• 195.121.1.34 en 195.121.1.66
• 2a02:a47f:e000::53 en 2a02:a47f:e000::54

Gebruik je het malware filter van KPN dan worden er andere DNS servers gebruikt voor deze Malware dienst
• 195.121.97.202 en 195.121.97.203
• 2a02:a47f:ac::202 en 2a02:a47f:ac::203

Raven schreef op zondag 10 september 2023 @ 12:10:
Wat een incompetente *pieeeeeeeep* bij Videoland.

Wat voor tokkieprogramma wilde je precies kijken dan


/Flauw

DDX schreef op woensdag 20 september 2023 @ 15:52:
In het verleden ook wel eens gehad met f1tv die ipv6 range van ons kantoor gewoon als buitenland zag en je dus niet live kon kijken.

Nog grotere puinhoop dan dat Videoland geneuzel dus dat verbaast me echt totaal niet !!

Facebook en twitter willen soms ook wel eens verkeerde taal geven bij inlog scherm.

Wat mij betreft mogen websites weleens kappen met dat IP adres sniffen en dan de taal wijzigen : Ik heb niet voor Jan met de korte achternaam in mijn browser Engels als Preferred Language staan !!!

Echt vreselijk irritant!

Raven schreef op woensdag 20 september 2023 @ 17:27:
Welk tv-kastje? Ik kijk videoland op de pc

Maar lijkt er dus op dat het de firewall wordt, later maar eens regeltje met de lijst IPv6-adressen aanmaken.

Als je toevallig twee NIC's hebt dan kan je de secundaire in een VLAN proppen dat alleen IPv4 praat

stormfly schreef op woensdag 20 september 2023 @ 18:35:
Niet Delta die adhoc bedenkt: owh als we zoveel vezels ingraven zijn er ook nog IPv4 blokken noodzakelijk. Die kochten Zweedse reeksen op toch, met geneuzel?

Zaten ook blokken bij die uit Iran of iets in die richting kwamen... Echt super handig was dat...

stormfly schreef op woensdag 20 september 2023 @ 18:50:
Exact, ik had denk ik KPN DSL met 200/60 aangehouden ipv naar Delta over te stappen.

NICE!!!

Als de maandfactuur binnenkomt moet je even slikken. Dan weet je wel dat je iets hebt wat voldoet aan mijn wensen.

Overigens als Odido IPv6 zou aanbieden dan zou ik die partij wel een jaartje willen overwegen.
Om de inflatie verhogingen van bijvoorbeeld 3 jaar KPN te neutraliseren.

Maar ook Odido zit in een ander prijssegment en heeft geen budget om een project IPv6 te starten.
Je weet, als je het Odido topic volgt, dat je daar niet krijgt wat KPN nu biedt.

Laten we dit soort fratsen niet vergeten :
- nieuws: T-Mobile Thuis-gebruikers klagen over hoge latency na routering via D...
- nieuws: T-Mobile blijft internet via Duitsland routeren, toezichthouder bekij...
- nieuws: T-Mobile: terugzetten routering naar AMS-IX gebeurt in komende nachten



En dan nog die nieuwe rare naam waar gelukkig geen L in zit...

Raven schreef op woensdag 20 september 2023 @ 19:01:
Heb een tijdje terug al eens gekeken of het bij PiHole kan (daar AAAA-lookups voor specifiek domein blokkeren, was voor iets anders) maar dat liet toch IPv6-adressen door.

Dat is gek...

Hoe lang geleden was dat ??
Heb je niet stiekem een bug gevonden

proxycheck die hierboven genoemd wordt op onze bedrijfs range :

{
"status": "ok",
"2001:4c08:2001::....": {
"asn": "AS10753",
"provider": "Level 3 Communications, Inc.",
"organisation": "Level 3 Communications, Inc.",
"continent": "Europe",
"continentcode": "EU",
"country": "Netherlands",
"isocode": "NL",
"region": "North Holland",
"regioncode": "NH",
"timezone": "Europe/Amsterdam",
"city": "Amsterdam (Amsterdam-Zuidoost)",
"postcode": "1096",
"latitude": 52.3335,
"longitude": 4.9179,
"currency": {
"code": "EUR",
"name": "Euro",
"symbol": "€"
},
"proxy": "no",
"type": "Business"
}
}

Heb ook nog nooit een db gevonden die ons als buitenland ziet.
Maar toch facebook regelmatig in andere taal gezien.

stormfly schreef op woensdag 20 september 2023 @ 19:19:
[...]


Een echte oldskool Tweak aansluiting heeft native IPv6, mijn collega heeft dat native van ze. Ik zou daar eens achteraan gaan.

TCP of DNS timeouts vergt wel veel van je geduld. Hier staat ook nog wat slims met een tweede bind instance. Of hier met pihole en een HE tunnel.

Dat Tweak "iets" met IPv6 doet merkte ik nadat mijn tunnel ineens down ging doordat de WAN-interface ineens iets IPv6-gerelateerds van Tweak oppikte, handig als ze zoiets ff aankondigen.

Maar daar ik geen zin had alles om te zetten naar Tweak (weet overigens niet eens of die een /48 aanbied) de tunnel in gebruik gehouden

nero355 schreef op woensdag 20 september 2023 @ 20:01:
[...]

Wat voor tokkieprogramma wilde je precies kijken dan


/Flauw

De docu over de stint , die werd uitgezonden toen ik lag te pitten.

nero355 schreef op woensdag 20 september 2023 @ 20:01:
[...]

Als je toevallig twee NIC's hebt dan kan je de secundaire in een VLAN proppen dat alleen IPv4 praat

Desktop pc heeft er maar 1, maar dan hebben we het over een workaround voor 1 specifiek apparaat, niet network wide

nero355 schreef op woensdag 20 september 2023 @ 20:01:
[...]

Dat is gek...

Hoe lang geleden was dat ??
Heb je niet stiekem een bug gevonden

Euh, een behoorlijke tijd terug.

stormfly schreef op woensdag 20 september 2023 @ 19:19:
[...]
TCP of DNS timeouts vergt wel veel van je geduld. Hier staat ook nog wat slims met een tweede bind instance. Of hier met pihole en een HE tunnel.

DNS timeouts zijn vervelend. Happy eyeballs dat IPv6 probeert en over gaat op IPv4 is vrij seamless. Dat merk ik nu ook omdat ik wel IPv6 adressen maar geen IPv6 heb.

---

Situatie:

• SagemCom Ziggo modem
• Eigen openwrt router, WAN6 heeft een eigen adre en /64 via Prefix Delegation vanaf modem
• Laptop krijgt IPv6 adres uit de v6
• Laptop kan router in de /64 pingen, kan OpenWRT-WAN IPv6 adres pingen, kan ziggo router niet pingen.
• In tcpdump van de WAN-kant van openwrt router zie ik uitgaand verkeer (met v6 adres uit PD-range)
• Vanaf openwrt-router kan ik IPv6 gebruiken (met adressen niet uit de PD-range)

Iemand een idee?

ANdrode schreef op zaterdag 23 september 2023 @ 22:50:
[...]


DNS timeouts zijn vervelend. Happy eyeballs dat IPv6 probeert en over gaat op IPv4 is vrij seamless. Dat merk ik nu ook omdat ik wel IPv6 adressen maar geen IPv6 heb.

---

Situatie:

• SagemCom Ziggo modem
• Eigen openwrt router, WAN6 heeft een eigen adre en /64 via Prefix Delegation vanaf modem
• Laptop krijgt IPv6 adres uit de v6
• Laptop kan router in de /64 pingen, kan OpenWRT-WAN IPv6 adres pingen, kan ziggo router niet pingen.
• In tcpdump van de WAN-kant van openwrt router zie ik uitgaand verkeer (met v6 adres uit PD-range)
• Vanaf openwrt-router kan ik IPv6 gebruiken (met adressen niet uit de PD-range)

[Afbeelding]

Iemand een idee?

offtopic:
Bridge mode is aagevraagd. En 14 dagen opzegtijd is uiteraard ook een optie. Opportunity cost is snel meer dan de meerprijs van KPN

Ik denk dat de sagemcom geen routing table entry heeft voor het subnet achter je eigen router. Want als je zelfs niet vanaf je laptop de sagemcom kunt pingen. Weet deze de route mogelijk niet, om het verkeer via de lan port af te leveren op de wan van je eigen router.

Heb je hem hard gecodeerd of met DHCPv6-PD verkregen? Voor dat laatste protocol moeten vaak nog wat porten open op je WAN port e.a afhankelijk van het gebruikte OS.


DHCPv6-PD vult ook de routing tabel bij een aanvraag. Kan je vanaf de eigen router met CLi wel ipv6 pingen naar tweakers.net?

[ Voor 9% gewijzigd door stormfly op 24-09-2023 09:09 ]

stormfly schreef op zondag 24 september 2023 @ 09:05:
[...]
Ik denk dat de sagemcom geen routing table entry heeft voor het subnet achter je eigen router. Want als je zelfs niet vanaf je laptop de sagemcom kunt pingen. Weet deze de route mogelijk niet, om het verkeer via de lan port af te leveren op de wan van je eigen router.

Ik denk ook dat dit het issue is. Ik vermoed dat dit met NDP proxying op te lossen zou moeten zijn (mits het Ziggo modem geen filtering doet op basis van het _denk_ te hebben uitgegeven).

Heb je hem hard gecodeerd of met DHCPv6-PD verkregen? Voor dat laatste protocol moeten vaak nog wat porten open op je WAN port e.a afhankelijk van het gebruikte OS.

DHCPv6-PD.

DHCPv6-PD vult ook de routing tabel bij een aanvraag. Kan je vanaf de eigen router met CLi wel ipv6 pingen naar tweakers.net?

Vanaf eigen router (met IP uit de /128 die hij via DHCPv6 krijgt) kan ik IPv6 pingen naar het internet.
Ping ik vanaf de eigen router met ::1 in de prefix die de router via prefix delegation krijgt dan werkt het niet.

Het lijkt alsof de route naar de via PD afgegeven prefix niet in de route tabel van het modem zit. Maar zo'n bug verwacht je toch niet?

ANdrode schreef op zondag 24 september 2023 @ 16:29:
Het lijkt alsof de route naar de via PD afgegeven prefix niet in de route tabel van het modem zit. Maar zo'n bug verwacht je toch niet?

Nouja, het is slordig, maar niet echt iets wat de gemiddelde klant doet. Het verbaasd me niet echt als de DHCP server in het Ziggo modem die prefix die ie assigned over PD niet in de tabel zet. Vraag me af of de developers van de firmware voor die modems hierop test . Kan je ergens in de webinterface zien wat er in de route tabel staat? Anders misschien ff posten op de Ziggo community, kleine kans maar misschien krijg je de aandacht van een van de iets slimmere lui binnen Ziggo.

ANdrode schreef op zondag 24 september 2023 @ 16:29:
[...]


Ik denk ook dat dit het issue is. Ik vermoed dat dit met NDP proxying op te lossen zou moeten zijn (mits het Ziggo modem geen filtering doet op basis van het _denk_ te hebben uitgegeven).


[...]


DHCPv6-PD.


[...]


Vanaf eigen router (met IP uit de /128 die hij via DHCPv6 krijgt) kan ik IPv6 pingen naar het internet.
Ping ik vanaf de eigen router met ::1 in de prefix die de router via prefix delegation krijgt dan werkt het niet.

Check

Het lijkt alsof de route naar de via PD afgegeven prefix niet in de route tabel van het modem zit. Maar zo'n bug verwacht je toch niet?

Ja eigenlijk verbaasd het mij niet met de huidige gelaagdheid bij Ziggo. Zijn modem kwaliteitcontroles niet per definitie heel goed. De Sagemcom kwam met een NAT timer tabel firmware update.

Dat lees ik als: echt niemand van Ziggo Nederland heeft die firmware thuis getest en langdurig een remote sessie naar kantoor gehad of via een game gedetecteerd. Het is bijzonder hoe die mooie merknaam afbrokkelt in de huidige tijd.

Ziggo heeft primair verstand van WAN-side netwerken, die testen hun routers natuurlijk niet echt enorm lang en gedetailleerd op wat ze LAN-side doen, het is bijna onmogelijk om alle verschillende configuraties (en router types) die je als klant op een LAN kan doen te testen. Gebeurt dit met een andere router ook? Zou een bug kunnen zijn specifiek met die openWRT versie + die router hardware.

Uiteindelijk is het Sagemcom die de router firmware ontwikkelt en die de bugs zullen moeten fixen. Dat verbaast me meer, aangezien Sagemcom routers bij tientallen miljoenen mensen staan, ze doen de routers van zo'n beetje 80% van Frankrijk bv, en die providers hebben allemaal IPv6 (met PD).

[ Voor 6% gewijzigd door Dreamvoid op 24-09-2023 22:33 ]

Dreamvoid schreef op zondag 24 september 2023 @ 22:32:
Ziggo heeft primair verstand van WAN-side netwerken, die testen hun routers natuurlijk niet echt enorm lang en gedetailleerd op wat ze LAN-side doen, het is bijna onmogelijk om alle verschillende configuraties (en router types) die je als klant op een LAN kan doen te testen. Gebeurt dit met een andere router ook? Zou een bug kunnen zijn specifiek met die openWRT versie + die router hardware.

Ik ga een andere DHCP client testen. Maar omdat ik de prefix wel krijg maar de routering niet werkt vrees ik dat het de router is.

Uiteindelijk is het Sagemcom die de router firmware ontwikkelt en die de bugs zullen moeten fixen. Dat verbaast me meer, aangezien Sagemcom routers bij tientallen miljoenen mensen staan, ze doen de routers van zo'n beetje 80% van Frankrijk bv, en die providers hebben allemaal IPv6 (met PD).

De ExperiaBox 12 is van Sagemcom en doet dit wel goed . Het maakt mij niet zoveel uit wie er dit gemist heeft. Als klant verwacht ik een goed werkend stuk CPE. Zeker wanneer ik het niet uit kan schakelen.

Ik bedoel meer, als de routering van gedelegeerde prefixes met *alle* routers niet zou werken, dat was waarschijnlijk direct bovengekomen bij het testen. De truc is erachter komen onder welke condities de routes niet ingesteld worden - altijd lastig.

Ik heb mijn Ziggo c7 geflashed met TP link firmware (Archer C7) en ip op 198.162.0.2 gezet en dhcp uit om er een AP van te maken.
Werkt als een malle, alleen... somige apps willen alleen nog maar heeeel! erg langzaam laden op mijn Android phone. (bv.buienradar)
Als ik een ipv6 test op het web uitvoer is de uitslag dus ook negatief.
Als ik het AP uitzet of ertussenuit haal werkt allemaal weer wel.
Ik kan de AP niet benaderen via een webpage volgens mij dus moet ik een factoryreset uitvoeren denk ik en opnieuw de settings voor een AP uitvoeren denk ik, maar dan wellicht ook nog iets anders denk ik zo.
Wat doe of heb ik verkeerd gedaan? Tips meer dan welkom.

Dreamvoid schreef op dinsdag 26 september 2023 @ 10:54:
Ik bedoel meer, als de routering van gedelegeerde prefixes met *alle* routers niet zou werken, dat was waarschijnlijk direct bovengekomen bij het testen. De truc is erachter komen onder welke condities de routes niet ingesteld worden - altijd lastig.

Het werkt met odhcp6c niet. Met een andere DHCPv6 client kreeg ik dezelfde response. Ik twijfel of het getest is; PD dat een /64 uitgeeft is sowieso geen bruikbare oplossing voor de meeste toepassingen waar je prefix delegation wilt gebruiken.

DijkDude schreef op vrijdag 29 september 2023 @ 00:09:
Ik heb mijn Ziggo c7 geflashed met TP link firmware (Archer C7) en ip op 198.162.0.2 gezet en dhcp uit om er een AP van te maken.
Werkt als een malle, alleen... somige apps willen alleen nog maar heeeel! erg langzaam laden op mijn Android phone. (bv.buienradar)
Als ik een ipv6 test op het web uitvoer is de uitslag dus ook negatief.
Als ik het AP uitzet of ertussenuit haal werkt allemaal weer wel.
Ik kan de AP niet benaderen via een webpage volgens mij dus moet ik een factoryreset uitvoeren denk ik en opnieuw de settings voor een AP uitvoeren denk ik, maar dan wellicht ook nog iets anders denk ik zo.
Wat doe of heb ik verkeerd gedaan? Tips meer dan welkom.

Ik heb zelf een C7 met OpenWRT gebruikt als AP. Dit werkte goed maar geeft wat meer inzicht in wat er speelt. Als het AP nog een router is voor IPv6 dan kan je gekke problemen krijgen.

DijkDude schreef op zondag 8 oktober 2023 @ 15:12:
[...]

Ik heb alles nu wel min of meer werkende, alleen krijg ik met geen mogelijkheid (seamless) roaming.
Hoe zwak het signaal van mijn router (KPN V10 in de meterkast) ook is ik kan alleen maar op de ap als ik handmatig verbindt.

Voor goed roamen moeten de access points samenwerken. Dat kan je instellen op OpenWRT (maar is een deep dive in configs). Je kan ook voor de wifi extenders van jouw provider gaan (die ondersteunen dat tegenwoordig).

Ik ken de frustraties over plekken in huis met slecht wifi. Mijn ervaring was dat ik problemen met wisselen hield _totdat_ ik alles van één merk gebruikte.

• Mix van moden en OpenWRT: ❌
• FritzBox router + FritzBox extender: ✅ (maar onderling verbonden via WiFi, niet ideaal)
• OpenWRT x2 met 802.11r (zo): ✅
• 2x Ubiquiti: ✅
• Los wifi netwerk op Ziggo router & mijn eigen netwerk: 🤷‍♂️

ANdrode schreef op zondag 8 oktober 2023 @ 15:16:
[...]


Voor goed roamen moeten de access points samenwerken. Dat kan je instellen op OpenWRT (maar is een deep dive in configs). Je kan ook voor de wifi extenders van jouw provider gaan (die ondersteunen dat tegenwoordig).

Ik ken de frustraties over plekken in huis met slecht wifi. Mijn ervaring was dat ik problemen met wisselen hield _totdat_ ik alles van één merk gebruikte.

• Mix van moden en OpenWRT: ❌
• FritzBox router + FritzBox extender: ✅ (maar onderling verbonden via WiFi, niet ideaal)
• OpenWRT x2 met 802.11r (zo): ✅
• 2x Ubiquiti: ✅
• Los wifi netwerk op Ziggo router & mijn eigen netwerk: 🤷‍♂️

Helemaal duidelijk.
Ik huurde de Archer C7 (was Ziggo C7) aanvankelijk bij het Ziggo modem en dat werkte eigenlijk erg goed out of the box.
Ik ben overgegaan op KPN (V10) en mocht van Ziggo de C7 houden en heb die dus met hulp van een topic hier geflashed naar orginele Archer C7.
Vervolgens kon ik een update via de TP-Link site installeren en dat leek allemaal in orde.
Kreeg een keurige web config via 192.168.0.1 en vervolgens de stappen van TP-Link gevolgd.
Lan in de range vd V10, DHCP uit en vervolgens alles werkende.
Behalve dus roaming.
Wat ook vreemd is, is dat ik via de config wel ww kan veranderen maar bij verbinding werkt toch alleen maar weer het gevraagde ww wat onder op het AP staat.
Denk dus toch dat er iets van Ziggo "ingebakken" blijft.
Vandaar mijn idee om met een gewoon heel simpel goedkoop mesh setje te gaan werken.
Thx overigens voor je tijd en aandacht.

Edit:
Oeps besef me nu opeens dat dit nogal off-topic wordt en inmiddels in een andere groep thuishoort.

Ik zag in de laatste UniFi Network Application update (7.5.187):

Improvements:

Added validation for IPv6 Prefix ID
Improved validation for selecting IPv6 WAN interface

Ik inloggen op m'n UDM SE en had stiekem de hoop dat het er nu misschien toch in zat:



helaas.... maar het komt eraan!

Het ziet er naar uit dat de Delta IPv6 uitrol inderdaad van start gegaan is: https://stats.labs.apnic....435?c=NL&p=1&v=1&w=30&x=1

Nu alleen T-Mobile en Vodafone nog.

[ Voor 12% gewijzigd door Dreamvoid op 15-10-2023 17:40 ]

Dreamvoid schreef op zondag 15 oktober 2023 @ 17:39:
Het ziet er naar uit dat de Delta IPv6 uitrol inderdaad van start gegaan is: https://stats.labs.apnic....435?c=NL&p=1&v=1&w=30&x=1

Ik heb sinds 14 september internet van Caiway en sinds 6 october ook IPv6 van ze. Het is nog wel een beetje krakkemikerig. Uitgaand IPv6 gaat goed, maar in de configuratie van de door hun geleverde Nokia XS-2426G-B modem/router ontbreekt nog een mogelijkheid een pinhole te configureren voor inkomend IPv6. Inkomend IPv6 kan alleen nog door de firewall geheel uit te schakelen en dat vind ik geen goed idee. Er lijkt nog geen oplossing in de pijp te zitten.

Gelukkig heb ik Ziggo nog niet opgezegd.

[ Voor 4% gewijzigd door Roetzen op 15-10-2023 17:58 ]

Sterker nog, mensen de firewall voor het hele LAN compleet uit laten zetten als ze 1 poort naar 1 machine door willen zetten, da's ronduit gevaarlijk. Daar moeten ze snel wat aan doen.

Roetzen schreef op zondag 15 oktober 2023 @ 17:53:
inkomend IPv6 kan alleen nog door de firewall geheel uit te schakelen en dat vind ik geen goed idee..

Er zijn veel routers waarbij de webinterface van buitenaf beschikbaar komt als je de firewall uitschakelt, ik weet niet of dat voor die Nokia geldt.

hcQd schreef op zondag 15 oktober 2023 @ 19:10:
[...]

Er zijn veel routers waarbij de webinterface van buitenaf beschikbaar komt als je de firewall uitschakelt, ik weet niet of dat voor die Nokia geldt.

Het is sowieso geen goed idee om geen firewall op de router te hebben. Immers vertrouw je dan 100% op de firewall van de aangesloten apparaten. En als ik iets niet vertrouw... zeker nu er alleen maar meer (IoT) apparaten bij komen.

RobertMe schreef op zondag 15 oktober 2023 @ 19:26:
[...]

Het is sowieso geen goed idee om geen firewall op de router te hebben. Immers vertrouw je dan 100% op de firewall van de aangesloten apparaten. En als ik iets niet vertrouw... zeker nu er alleen maar meer (IoT) apparaten bij komen.

Sowieso gebruik ik de firewall om diverse networked IoT apparaten de toegang tot het internet volledig te blokkeren, dat wil ik niet opgeven.

Bummer, de IPv6 Council #14 @ Google meetup is geannuleerd wegens de schietpartij gisteren in Brussel.

Hipska schreef op dinsdag 17 oktober 2023 @ 09:17:
Bummer, de IPv6 Council #14 @ Google meetup is geannuleerd wegens de schietpartij gisteren in Brussel.

Komt snel een nieuwe datum, ik hoop dat ik dan wel kan gaan.

In mijn gemeente (Venlo) is men druk bezig met een project om een spoorwegovergang (hele drukke) te ondertunnelen. Dit is de vierpaardjes overgang en daar is een aparte project website voor: https://www.vierpaardjesvenlo.nl/

Deze website had geen IPv6 en ik heb toen even de gemeente een mail gestuurd en ook verwezen naar de 'Past toe of leg uit' lijst.

Gemeente reageerde binnen 7 dagen dat het opgelost was. Internet.nl score van 79% naar 97% :-)

https://internet.nl/site/www.vierpaardjesvenlo.nl/2411356/

Ik blijf druk bezig altijd partijen aan te schrijven. Al vind ik het hier weer jammer dat dit niet onderdeel van de standaard checklist was. Ik blijf het zeggen tegen bedrijven: Gebruik internet.nl in je checklist voor oplevering!

@Snowking
Netjes! Ik vind het jammer dat mijn vorige hosting ook maar IPv6 aan het uitstellen was. Ik heb ze drie jaar al bijna gesmeekt om dit te ondersteunen. Vorig jaar heb ik vanwege de gebrekkige support, de onzekerheid m.b.t. overnames en nieuwe contracten en de reden dat ik nog op een oud platform stond wat ze wouden uitfaseren, besloten om naar TransIP te gaan. En ik heb daar dus IPv6! . En ja, dat oude platform stond gewoon IPv6 toe, want in het serverpanel stond gewoon IPv6: None!

Ik vind het eigenlijk ook zorgelijk als websites een foutief AAAA record hebben. Ik heb dit al een paar keer gezien.

Ook een jaar of zes geleden bij het theater in Woerden. Ik vond het vreemd dat ik thuis op één van mijn PC's een standaard 'coming soon' site zag, terwijl ik op mijn mobieltje wel de website zag. Na lang zoeken (Ik was niet nog echt volledig op de hoogte over IPv6) bleek dat de IPv6 records niet goed waren. Uiteindelijk heb ik dit aan ze doorgegeven en dat ze dit ook aan de hosting konden doorgeven. En het was gefixt

_{Enkel een bedankje, en geen voucher}

[ Voor 67% gewijzigd door AW_Bos op 23-10-2023 12:30 ]

AW_Bos schreef op maandag 23 oktober 2023 @ 12:22:
Ik vind het eigenlijk ook zorgelijk als websites een foutief AAAA record hebben. Ik heb dit al een paar keer gezien.

Goede reminder. Heb net in Chrome weer de IPvfoo plugin toegevoegd.

ANdrode schreef op dinsdag 24 oktober 2023 @ 20:40:
[...]


Goede reminder. Heb net in Chrome weer de IPvfoo plugin toegevoegd.

Geweldig is deze plug-in. Is er ook zoiets voor Safari?

Sinds 14 september van dit jaar heb ik via Caiway FTTH van Delta Fiber in de meterkast. Aanvankelijk alleen IPv4. Wel met een publiek routeerbaar IPv4 adres, dus geen CGNAT zoals vele andere klanten van Delta en Caiway dat ik verder voor het gemak maar even aanduid als DeCa. DeCa was enige tijd voordat mijn aansluiting actief werd al begonnen met klanten over te zetten naar CGNAT vanwege het tekort aan IPv4 adressen. Dat deed ze "in de aanloop naar IPv6" zo was het verhaal. Naar mijn niet zo bescheiden mening was dat de verkeerde volgorde. Maar goed, ik was kennelijk nog niet aan de beurt en het verhaal ging ook dat klanten die in de door hen in bruikleen verstrekte modem/router een port forwarding hadden geconfigureerd niet overgezet zouden worden naar CGNAT Dat had ik direct na het actief worden van de verbinding al gedaan. Ik heb nog steeds (hetzelfde) routeerbare publieke IPv4 adres. Overigens worden klanten die CGNAT hebben gekregen op verzoek zonder kosten terug gezet naar een publiek IPv4 adres.

DeCa had aangekondigd in Q4 IPv6 uit te gaan rollen dus toen ik in de eerste week van oktober door de klantenservice werd gebeld om te vragen of alles goed ging en ik antwoordde dat het eigenlijk nog wat te vroeg was om alles te kunnen beoordelen maar dat ik bij geruchte gehoord had dat er een pilot draaide met IPv6 en dat ik daar wel aan mee zou willen doen was de respons dat ze niks kon beloven maar dat ze zou zien of ze me daar voor kon aanmelden. En tot mijn aangename verrassing had ik op 6 oktober er ineens IPv6 bij. Nota bene met full Dual Stack.

Mijn enthousiasme temperde al snel toen ik er achter kwam dat er geen mogelijkheid was om in het Nokia XS-2426G-B router/modem van hun een IPv6 pinhole te configuren. De enige manier om mijn servers via IPv6 bereikbaar te maken is de hele IPv6 firewall uit te schakelen. En dat gaan we natuurlijk niet doen.

Het heeft me ongeveer een maand gekost om DeCa er van te overtuigen dat pinholing voor IPv6 het broertje is van port forwarding bij IPv4 en dat als je het één wel ondersteunt, je het ander niet kan afdoen als een exotische wens waarvoor de Tweaker zelf maar een oplossing moet verzinnen. Uiteindelijk werd toegegeven dat het een tekortkoming is die gefixed diende te worden. Op mijn vraag of dat nog dit jaar zou lukken was het antwoord dat dat zeker een 2024 probleem zou worden en dat er geen tijdpad gegeven kon worden.

Gelukkig heb ik mijn Ziggo aansluiting nog niet opgezegd en dus zijn mijn servers nog steeds via IPv6 bereikbaar.

Ik moet zeggen dat ik niet heel erg verbaasd ben. De prioriteit van DeCa lag op het zo snel mogelijk in zo veel mogelijk huishoudens in Nederland de FTTH vlag te planten. Om de moordende concurrentie voor te zijn. DeCa heeft IPv6 voor zich uit geschoven tot ze er echt niet meer onderuit kon. En als het dan ineens toch moet zal het geen verbazing wekken dat er wat mis gaat. Als je met het repareren van het dak wacht tot het regent wordt je nat...

Het is ook een gemiste kans. Bij het opzetten van een geheel nieuw netwerk had men er voor kunnen kiezen Dual Stack over te slaan en direct te gaan naar een IPv6 only netwerk met IPv4 As A Service.

https://www.sidn.nl/nieuw...-ipv6-gaat-nieuwe-fase-in

Maar ja, dat zal wel niet verenigbaar zijn geweest met het doel van zo snel mogelijk overal de FTTH vlag te planten.

Deze topic gaat over IPv6, maar weet niet of dit de juiste vraag is voor dit topic, maar probeer het toch. Sinds vandaag overgestapt van KPN naar Ziggo. Ziggo smartwifi modem in bridge laten zetten en er een uitvoering: TP-Link Archer Archer AX73 achter hangen. Punt is dat ik IPv4 nu max heb, waarbij het bij KPN met de router er achter wel IPv6 had. Geprobeerd wat met de instellingen te stoeien in de uitvoering: TP-Link Archer Archer AX73, maar ik kom er helaas niet uit hoe ik het actief kan maken.

review: Is Matter de toekomst van smarthome? Alles wat je moet weten over dez...

De hoofdgedachte van Matter is dat fabrikanten kunnen kiezen uit meerdere netwerktechnologieën, waarover vervolgens dezelfde op IPv6 gebaseerde communicatielaag gebruikt wordt.

Daarbij keek ik ook naar: https://github.com/openthread/ot-br-posix/

En zie ik:

OTBR includes a number of features, including:

Web UI for configuration and management
Thread Border Agent to support an External Commissioner
DHCPv6 Prefix Delegation to obtain IPv6 prefixes for a Thread network
NAT64 for connecting to IPv4 networks
DNS64 to allow Thread devices to initiate communications by name to an IPv4-only server
Docker support

Het mooie hier aan is dat dus heel veel mensen in contact gaan komen met IPv6 en er ook een echte use-case is voor eindgebruikers. Je wil (lijkt het) graag native IPv6 (met Prefix Delegation) met Matter hebben.

Als ook developers hier meer mee in aanraking komen, denk als ze met Home Assistant bezig zijn, dan zorgt dat voor meer bewustzijn.

Ja netjes idd.

Al is er nog een hoop werk te verrichten, als je ziet hoeveel werk het is om met Docker:

a) handmatig een /64 te delegeren naar de host (want, Docker heeft geen support voor prefix delegation)
b) handmatig elke container een GUA adres te geven (want, Docker doet geen SLAAC)
c) handmatig je containers elke dag een nieuw privacy adres te geven (want, Docker ondersteunt geen Privacy Extensions)

dan begrijp ik de Docker gebruikers wel dat die het bijltje erbij neer gooien en gewoon IPv4 doen.

Dreamvoid schreef op vrijdag 12 januari 2024 @ 15:52:
Ja netjes idd.

Al is er nog een hoop werk te verrichten, als je ziet hoeveel werk het is om met Docker:

a) handmatig een /64 te delegeren naar de host (want, Docker heeft geen support voor prefix delegation)
b) handmatig elke container een GUA adres te geven (want, Docker doet geen SLAAC)
c) handmatig je containers elke dag een nieuw privacy adres te geven (want, Docker ondersteunt geen Privacy Extensions)

dan begrijp ik de Docker gebruikers wel dat die het bijltje erbij neer gooien en gewoon IPv4 doen.

Waarom moeilijk doen met privacy extension? Ik doe gewoon NAT . Intern gebruik ik sowieso een fd... adres voor de VLANs, alleen heb ik direct fd00:<vlan id>::/64 gekozen. Docker doe ik vervolgens een sub nummertje geven. fd00:<vlan id>:1::/64 is voor mijn zelfbouw router en fd00:<vlan id>:2::/64 voor mijn servertje. De router doet uiteraard al router advertisements sturen, en stuurt daarbij nu ook een "fd00:<vlan id>:1::/64 is hier te vinden", en de server stuurt dan een RA met alleen deze routing informatie.
En containers die naar het internet willen doe ik dan via NAT. Niet netjes, maar werkt prima. En dat gebruikt dan uiteraard al het privacy address van de host.

En ik zou ook niet weten of ik ineens prefix delegation naar de Docker containers zou doen als dat wel mogelijk was. Of in ieder geval zou ik dan zeer zeker nog steeds een opzet willen met zowel een public als private IP. Zodat het private IP ook 100% vast staat en niet de ISP ineens een andere prefix kan uitgeven en echt alles stuk is.

En Docker met IPv6 heeft natuurlijk ook voordelen, rechtstreeks gerouteerd / geforward en geen NAT met DNAT / port forwards en dat soort zaken. En geen SLAAC, tsja. Het zal vaak om server achtige toepassingen gaan, en wil je dan niet sowieso een vast IP adres? Ik zou er niet blij van worden als na elke reboot, container restart, of container recreate bv mijn DNS (draaiende in Docker) onbereikbaar was.

NAT op IPv6 is experimenteren buiten de standaard, je krijgt dan allerlei mogelijke issues - zoals applicaties die denken dat ze geen internet verbinding hebben (wat ook zo is, want ze hebben geen GUA adres) of remote servers die denken dat ze met 1 endpoint van doen hebben terwijl het er meerdere zijn.

Op zich kan je best met ULA adressen binnen de Docker host werken, maar dan alleen voor verkeer binnen je Docker host, het kan niet naar buiten.

SLAAC betekent niet dat je met elke reboot een nieuw adres hebt, normaal gesproken genereren SLAAC clients 1 stabiel en 1 temporary adres.

Het grote voordeel van Prefix Delegation + SLAAC is dat alles auto-reconfigured als je een nieuwe prefix krijgt, en je niet handmatig alles weer moet fixen. Zo werkt elke router (en Kubernetes bv), Docker is de enige die het anders wil doen met non-standaard knutselwerk.

[ Voor 53% gewijzigd door Dreamvoid op 12-01-2024 16:21 ]

Dreamvoid schreef op vrijdag 12 januari 2024 @ 15:52:
Ja netjes idd.

Al is er nog een hoop werk te verrichten, als je ziet hoeveel werk het is om met Docker:

a) handmatig een /64 te delegeren naar de host (want, Docker heeft geen support voor prefix delegation)
b) handmatig elke container een GUA adres te geven (want, Docker doet geen SLAAC)
c) handmatig je containers elke dag een nieuw privacy adres te geven (want, Docker ondersteunt geen Privacy Extensions)

dan begrijp ik de Docker gebruikers wel dat die het bijltje erbij neer gooien en gewoon IPv4 doen.

Docker is ook niet zijn eigen host.

Docker is juist volledig afhankelijk van de host waar het op draait.
De host is dan ook de router, dus logisch dat je moet delegeren naar de host (tenzij je macvlan gebruikt)
Docker is een Containerized application solution, dus daar werk je mijn inziens 99/100 keer met statische adressen, daar wil je toch geen SLAAC of PE voor?

Docker in de "normale" host mode is een router, alleen als je macvlan gebruikt dan is het idd een bridge/switch.

Als je met macvlan werkt, dan krijgen de containers inderdaad automatisch individueel een GUA adres, maar in host networking mode acteert Docker als een router. Wat je dan doet, is dat je een /64 naar de Docker Host delegeert op je router (handmatig), en dan moet je die /64 weer handmatig in de Docker config invoeren: https://ungleich.ch/u/blog/how-to-enable-ipv6-in-docker/

Het probleem krijg je als de prefix verandert, want dan moet je dus eerst de router weer in en je static route aanpassen, plus de Docker config weer aanpassen. Idealiter zou dat gewoon autmatisch moeten werken: Docker vraagt aan je router een /64 prefix, en als die verandert, veranderen dus al je containers ook automatisch mee.

Verder zal je voor de security/privacy graag willen dat je containers voor uitgaande connecties tijdelijke adressen gebruiken - normaal gesproken ondersteunen clients daarvoor Privacy Extensions, maar Docker niet.

[ Voor 15% gewijzigd door Dreamvoid op 12-01-2024 16:31 ]

Dreamvoid schreef op vrijdag 12 januari 2024 @ 15:52:
Al is er nog een hoop werk te verrichten, als je ziet hoeveel werk het is om met Docker
<- knip ->
dan begrijp ik de Docker gebruikers wel dat die het bijltje erbij neer gooien en gewoon IPv4 doen.

Moeten ze maar Proxmox leren gebruiken met VM's en LXC's i.p.v. die Docker troep!

RobertMe schreef op vrijdag 12 januari 2024 @ 16:07:
Waarom moeilijk doen met privacy extension als het toch niet je Prefix verbergt ?

Het doel is niet zozeer om je prefix te verbergen, maar om geen permanent doelwit te blijven. Met een static adres kunnen aanvallers je adres opslaan, en op een later moment (als ze een zero-day hebben gevonden voor die applicatie) terugkomen. Als je privacy extensions gebruikt ben je tegen die tijd niet meer bereikbaar op dat adres. Ja, ze weten je prefix, maar probeer binnen een /64 maar een random endpoint terug te vinden...

Uiteraard, je hebt voor server applicaties een statisch adres + DNS records, maar dan moeten aanvallers je DNS records gaan vinden, da's veel meer (en gericht) werk dan gewoon de hele dag random bezoekersadressen harvesten.

[ Voor 32% gewijzigd door Dreamvoid op 12-01-2024 18:12 ]

nero355 schreef op vrijdag 12 januari 2024 @ 18:02:
[...]

Moeten ze maar Proxmox leren gebruiken met VM's en LXC's i.p.v. die Docker troep!

Zijn alleen verschillende dingen en het een sluit het ander niet uit. Docker gebruik je juist voor makkelijke (reproduceerbare) deployment van een applicatie. VMs en LXCs zijn complete besturingssystemen die ook in volledigheid onderhouden moet worden.

Als in: ik ga geen VM of LXC opzetten waarin ik alleen Unbound draai, waarbij ik periodiek een volledige OS update moet doen. Met daarnaast een VM / LXC met daarin bv Home Assistant, en daarnaast weer een VM of LXC met Zigbee2mqtt, en daarnaast weer een VM of LXC met Paperless-ngx, en daarnaast weer een VM of LXC met .... Dat verbruikt en veel meer resources (zowel in CPU, RAM als HDD ruimte), en is veel lastiger te beheren (meer systemen die geupdate moeten worden), en vereist kennis van hoe elk van die applicaties geïnstalleerd moeten worden.

En zie bv ook Home Assistant met HA OS. Een volledig OS / image, maar HA "Core" draait nog steeds als Docker container, en alle "add-ons" (lees: additionele software) draait als een eigen Docker container. Het een sluit het ander niet uit en ze kunnen elkaar prima aanvullen.

Dreamvoid schreef op vrijdag 12 januari 2024 @ 18:07:
Het doel is niet zozeer om je prefix te verbergen, maar om geen permanent doelwit te blijven.

Dat weet ik ook wel, maar de advertenties/tracking/enz. bedrijven gaan dan met een beetje pech je hele Prefix bestoken met advertenties op basis van de websites/onderwerpen die je bezoekt dus daar heeft het IMHO straks niet echt heel veel nut...

RobertMe schreef op vrijdag 12 januari 2024 @ 18:21:
Zijn alleen verschillende dingen en het een sluit het ander niet uit.
Docker gebruik je juist voor makkelijke (reproduceerbare) deployment van een applicatie.
VMs en LXCs zijn complete besturingssystemen die ook in volledigheid onderhouden moet worden.

Uiteraard, maar...

Als in: ik ga geen VM of LXC opzetten waarin ik alleen Unbound draai, waarbij ik periodiek een volledige OS update moet doen.
Met daarnaast een VM / LXC met daarin bv Home Assistant, en daarnaast weer een VM of LXC met Zigbee2mqtt, en daarnaast weer een VM of LXC met Paperless-ngx, en daarnaast weer een VM of LXC met ....

Dat is juist mijn punt!

Sinds dat hele Docker en Podman gedoe lijkt het net of men een soort "besmettingsvrees" heeft gekregen qua applicaties die gewoon naast elkaar kunnen draaien zonder enig probleem!

Met een beetje voorbereiding kan je nog steeds een heleboel dingen naast elkaar draaien zoals we dat vroeger ook deden en is er eigenlijk totaal geen reden om elke scheet apart te draaien, tenzij je dat voor de lol doet omdat je het leuk vindt

Dat verbruikt en veel meer resources (zowel in CPU, RAM als HDD ruimte), en is veel lastiger te beheren (meer systemen die geupdate moeten worden), en vereist kennis van hoe elk van die applicaties geïnstalleerd moeten worden.

IMHO voor een echte Tweaker geen probleem en eerder leuk dan lastig!

_{Het probleem is alleen dat dit een uitstervend ras begint te worden...}

En zie bv ook Home Assistant met HA OS. Een volledig OS / image, maar HA "Core" draait nog steeds als Docker container, en alle "add-ons" (lees: additionele software) draait als een eigen Docker container.
Het een sluit het ander niet uit en ze kunnen elkaar prima aanvullen.

Ik doe daar niks mee, maar van wat ik zo links en rechts heb gelezen is het eerder Home Assistant die gewoon een beetje raar is ten opzichte van de rest (Domoticz) en vooral vanwege de aparte opzet een beetje irritant kan worden....

Wat mij betreft : Zolang je Docker kan vermijden en lekker met VM's en LXC's aan de slag kan gaan moet je dat gewoon doen!

nero355 schreef op zaterdag 13 januari 2024 @ 19:33:

IMHO voor een echte Tweaker geen probleem en eerder leuk dan lastig!

_{Het probleem is alleen dat dit een uitstervend ras begint te worden...}

Gaat misschien wel erg offtopic, maar #YOLO.

Het beeld wat je hier schetst strookt ook met mijn ervaring. Wat ik nu (als in, laatste paar jaar) is dat er steeds vaker nodeloos gebruik wordt gemaakt van Docker (...en andere container implementaties).

An sich geen probleem, mits erover is nagedacht. En dat is vaak waar de schoen wringt in mijn ervaring. Om het kort door de bocht te zeggen, ik zie nogal eens de attitude van "we snappen niet hoe het werkt, dus lets go Docker".

Voor een hermetisch afgesloten thuisnetwerk (wat het niet altijd is) prima. Maar als die attitude wordt meegenomen naar een cloud (unmanaged VPS) of bedrijfsomgeving kun je nare situaties krijgen.

Om een voorbeeld te geven: de combinatie van Docker en UFW is een clusterfuck. Stel wat regels in UFW in, ga Docker draaien ... en je regelset wordt volledig gebypassed met de default config. Dan denk je alleen poort 22, 80 en 443 toe te staan maar is je MongoDB of Elasticsearch instance ook even publiekelijk exposed.

Sure, als Tweaker zou je dat voor kunnen zijn, maar dat is een uitstervend ras.

Om dan nog maar niet te beginnen over scripts die een quickstart install hebben met "curl bla | sudo bash -" die klakkeloos uitgevoerd worden.

nero355 schreef op zaterdag 13 januari 2024 @ 19:33:
[...]

Dat weet ik ook wel, maar de advertenties/tracking/enz. bedrijven gaan dan met een beetje pech je hele Prefix bestoken met advertenties op basis van de websites/onderwerpen die je bezoekt dus daar heeft het IMHO straks niet echt heel veel nut...

Adverteerders hebben geen IP adres of prefix nodig, die doen het op basis van je Google/Facebook/Twitter footprint. Privacy Extensions is voornamelijk een security pluspunt, niet voor ads.

Wat Docker betreft, het is een compromis - gebruiksgemak bij installatie/backups versus een extra netwerk laag die je (handmatig) moet managen en beveiligen.

[ Voor 11% gewijzigd door Dreamvoid op 14-01-2024 18:48 ]

Dreamvoid schreef op zondag 14 januari 2024 @ 18:45:
Adverteerders hebben geen IP adres of prefix nodig, die doen het op basis van je Google/Facebook/Twitter footprint. Privacy Extensions is voornamelijk een security pluspunt, niet voor ads.

Hoe verklaar je dan dat bij al die Dynamisch IP adres ISP's in Nederland bij verandering van het IP adres ineens Klant A de advertenties van Klant B te zien krijgt en vice versa

Geen idee, maar die adverteerders zullen dan ook grote problemen hebben met CG-NAT.

Dreamvoid schreef op maandag 15 januari 2024 @ 08:50:
Geen idee, maar die adverteerders zullen dan ook grote problemen hebben met CG-NAT.

Nee hoor. Targetting op IP adres is allang achterhaalt.

In Tsjechië willen ze op 6 juni 2032 IPv4 gewoon uitzetten, op alle overheidsdiensten.

Volgens deze Mastodon-post:
https://social.hrusecky.n...1HMDKVBZ246WMFVR3PW74N8RF

St00mwals schreef op donderdag 18 januari 2024 @ 15:17:
In Tsjechië willen ze op 6 juni 2032 IPv4 gewoon uitzetten, op alle overheidsdiensten.

Volgens deze Mastodon-post:
https://social.hrusecky.n...1HMDKVBZ246WMFVR3PW74N8RF

Als dit waar is: Helden! Gaaf!

Moet Nederland ook doen, DigiD, rijksoverheid.nl, berichtenbox, belastingdienst, gewoon over X jaar IPv4 uit zetten. Stel een datum en laat de ISP's hun werk maar doen.

Snow_King schreef op donderdag 18 januari 2024 @ 15:27:
Moet Nederland ook doen, DigiD, rijksoverheid.nl, berichtenbox, belastingdienst, gewoon over X jaar IPv4 uit zetten.

Stel een datum en laat de ISP's hun werk maar doen.

Dat kan alleen maar goed gaan de overheid kennende... LOL!

2032 is wel heel ver vooruit, de Amerikaanse overheid doet t al in 2025. Maar het geeft iig min of meer wel de zekerheid dat ze over 9 jaar geen antieke netwerk infrastructuur meer in de lucht mogen houden, en daar gaat t feitelijk natuurlijk ook om.

Ik zou er helemaal voor zijn als ook in Nederland een datum werd gezet voor IPv4 Sunset. Dat hadden we tien jaar geleden al moeten doen. Maar ja, ik vrees dat zou er zo iets komen, er tegen de tijd dat de deadline dreigt te verstrijken er toch weer met succes gelobbyt gaat worden voor uitstel, Want zo gaat dat helaas vaak in Nederland.

Twee jaar geleden waren we er nog lang niet klaar voor zo blijkt uit een studie van ISDN labs:

https://www.sidnlabs.nl/n...jkse-ipv6-only-experiment

Ik vrees dat er sindsdien niet heel veel veranderd is. Het ligt niet meer aan de providers, het zijn nu de (niet direct IT gerelateerde) MKBers die IPv6 voor zich uit schuiven. Daar zou best wat meer druk op mogen komen. Niet alleen vanuit de overheid maar ook vanuit de providers. Die hebben er immers ook belang bij om van dat naast elkaar in stand houden van twee infrastructuren af te komen. Er zijn al wel hosting bedrijven die extra vragen voor IPv4 maar dat zijn er nog maar weinig en Ziggo en Caiway hebben nog mij niet gedreigd met extra kosten voor een publiek IPv4 adres.

Roetzen schreef op vrijdag 19 januari 2024 @ 10:33:
Ziggo en Caiway hebben nog mij niet gedreigd met extra kosten voor een publiek IPv4 adres.

Je kunt ook moeilijk geld vragen voor iets dat essentieel is om internet te kunnen gebruiken. Er zijn gewoon voldoende websites die nog steeds alleen via IPv4 bereikbaar zijn. Dus als ISP helemaal geen IPv4 leveren kan niet.
Enige dat kan is CG-NAT, zoals Delta & Caiway nu doen. Maar ook dat gaat niet altijd van een leien dakje. En ja, wellicht heel misschien dat Delta / Caiway een meerprijs zouden willen rekenen om niet achter CG-NAT te zitten. Maar daarvoor lijkt het mij toch nogal vroeg. Ook gezien Delta / Caiway nog IPv6 aan het uitrollen zijn en klanten soms uberhaupt geen IPv6 adres krijgen door een bug in hun Cisco hardware: fagao in "[Delta glasvezel] Ervaringen & Discussie" . Dus het zou nogal avontuurlijk zijn om beginnen af te stappen van IPv4 terwijl IPv6 niet eens altijd werkt (naast niet op alle verbindingen beschikbaar is).

En bij Ziggo zijn er ook nog modems in omloop die geen IPv6 (in bridge) doen. Zelf heb ik jaaaren lang een Cisco modem only gehad, maar met de "IPv6 in bridge" introductie deze laten omwisselen door edn Ubee UBC1318. Maar bij familie draait nog steeds een Technicolor die geen IPv6 doet (of in ieder geval niet in bridge).

Of een ISP zoals Odido die nog steeds geen IPv6 aanbied, en toch flink aan het groeien is.

Ik krijg soms het idee dat we een beetje terug aan het gaan zijn in de tijd wat IPv6 uitrol betreft.

RobertMe schreef op vrijdag 19 januari 2024 @ 11:02:
[...]

En bij Ziggo zijn er ook nog modems in omloop die geen IPv6 (in bridge) doen. Zelf heb ik jaaaren lang een Cisco modem only gehad, maar met de "IPv6 in bridge" introductie deze laten omwisselen door edn Ubee UBC1318. Maar bij familie draait nog steeds een Technicolor die geen IPv6 doet (of in ieder geval niet in bridge).

Bij mijn schoonouders heb ik Ziggo gevraagd het modem te vervangen omdat ik IPv6 wilde. Ze stuurden direct een nieuw modem op. Ze hebben nu ook IPv6 :-)

Plofkotje schreef op vrijdag 19 januari 2024 @ 11:04:
Of een ISP zoals Odido die nog steeds geen IPv6 aanbied, en toch flink aan het groeien is.

Ik krijg soms het idee dat we een beetje terug aan het gaan zijn in de tijd wat IPv6 uitrol betreft.

Of Vodafone op mobiel... Ik ben daarom naar KPN gegaan sinds begin dit jaar.

Maar ik deel je mening wel deels. Er gebeuren echt wel goede dingen, maar we hebben gewoon nog steeds een hele grote groep mensen die hun kop in het zand steken en denken dat IPv6 dan wel overwaait. Ze snappen gewoon niet dat IPv4 niet voldoende gaat zijn om het gehele internet aan te sluiten zoals we dat zouden willen.

Snow_King schreef op donderdag 18 januari 2024 @ 15:27:
[...]

Als dit waar is: Helden! Gaaf!

Moet Nederland ook doen, DigiD, rijksoverheid.nl, berichtenbox, belastingdienst, gewoon over X jaar IPv4 uit zetten. Stel een datum en laat de ISP's hun werk maar doen.

Klinkt heel leuk, maar al die diensten worden vanuit allerlei verschillende landen bevraagd en dus kan je het niet zo heel simplistisch stellen dat het wel uit kan. Dat balletje krijgt Tsjechië ook nog wel terug. Ik betwijfel ten zeerste of dit haalbaar is en zal bij expats voor hoofdbrekens gaan zorgen.

Snow_King schreef op vrijdag 19 januari 2024 @ 11:24:
[...]

Bij mijn schoonouders heb ik Ziggo gevraagd het modem te vervangen omdat ik IPv6 wilde. Ze stuurden direct een nieuw modem op. Ze hebben nu ook IPv6 :-)

Dat geloof ik best. Maar het toont wel aan dat Ziggo ook nog werk aan de winkel heeft. En zij zullen het ook lastig vinden om alle oude modems te vervangen met bijbehorende kosten terwijl het voor de klant momenteel totaal geen voordeel oplevert.
En bij familie waar ik naar heb ik de boel aangesloten en doe incidenteel ook nog wel wat "beheer". Maar ook ik voel mij niet geroepen om "even" het modem te wisselen. En gaat om een horeca omgeving. Dus de router zitten meerdere VLANs in, firewalling, etc etc. Wat dan ook ingeregeld zal moeten worden voor IPv6.
Voordeel van IPv6 is dan wel dat IP whitelisting op een specifiek "VLAN" kan (dus prefix + prefix ID), i.p.v. dat gasten wifi in principe externe whitelists kan omzeilen. (/nu opgelost door lokale firewall verkeer vanaf VLANs naar die externe servers te laten blokkeren)

Roetzen schreef op vrijdag 19 januari 2024 @ 11:56:
[...]

Ik had het dan ook (voorlopig nog) niet over helemaal geen IPv4 leveren, maar om het niet meer leveren van een publiek IPv4 adres zonder extra kosten. Een publiek IPv4 adres is alleen essentieel voor hen die servers willen draaien die middels IPv4 bereikbaar zijn.

Er zijn natuurlijk nog meer dingen waarbij een publiek IPv4 adres op zijn minst zeer wenselijk is. IP whitelisting bv.

En ja, met DHCP loop je natuurlijk ook risico op wijzigingen (bij Ziggo heb ik zelfs ook al eens een nieuwe IPv6 prefix ontvangen). Maar wijzigingen daarin zijn relatief zeldzaam. Daar waar bij CG-NAT de "exit node" naar mijn idee een stuk dynamischer is? Dus potentieel elke dag / X uur een andere exit node.

Roetzen schreef op vrijdag 19 januari 2024 @ 12:08:
[...]

Het levert voor Ziggo wel voordeel op die oude modems die alleen DOCSIS 3.0 doen en dan ook nog maar een beperkt aantal kanalen zo snel mogelijk van het netwerk te halen. Dan kan het frequentie spectrum efficienter benut worden en kunnen ze hogere (upload) snelheden gaan aanbieden.

Even advocaat van de duivel spelen: wat is hiervoor het commerciele voordeel voor Ziggo? Ja, ze kunnen duurdere abonnementen verkopen, maar die modems vervangen kost ze ook een berg geld.

En ja, ik ben het volledig eens. Sowieso zijn ze in mijn optiek al vele jaren te laat.

ed1703 schreef op vrijdag 19 januari 2024 @ 11:28:
[...]

Klinkt heel leuk, maar al die diensten worden vanuit allerlei verschillende landen bevraagd en dus kan je het niet zo heel simplistisch stellen dat het wel uit kan. Dat balletje krijgt Tsjechië ook nog wel terug. Ik betwijfel ten zeerste of dit haalbaar is en zal bij expats voor hoofdbrekens gaan zorgen.

Eens, maar we kunnen het niet nooit doen. Een paar opties:

- Expats moeten een VPN gebruiken die IPv6 levert
- Ze doen iets fancy met DNS waar je buiten CZ nog via een IPv4 proxy gaat

RobertMe schreef op vrijdag 19 januari 2024 @ 11:30:
[...]

Dat geloof ik best. Maar het toont wel aan dat Ziggo ook nog werk aan de winkel heeft. En zij zullen het ook lastig vinden om alle oude modems te vervangen met bijbehorende kosten terwijl het voor de klant momenteel totaal geen voordeel oplevert.
En bij familie waar ik naar heb ik de boel aangesloten en doe incidenteel ook nog wel wat "beheer". Maar ook ik voel mij niet geroepen om "even" het modem te wisselen. En gaat om een horeca omgeving. Dus de router zitten meerdere VLANs in, firewalling, etc etc. Wat dan ook ingeregeld zal moeten worden voor IPv6.
Voordeel van IPv6 is dan wel dat IP whitelisting op een specifiek "VLAN" kan (dus prefix + prefix ID), i.p.v. dat gasten wifi in principe externe whitelists kan omzeilen. (/nu opgelost door lokale firewall verkeer vanaf VLANs naar die externe servers te laten blokkeren)

Iedereen heeft werk aan de winkel, ook jij. Vroeger of laat en je kan het beter nu alvast doen, dan heb je het gehad :-)

Snow_King schreef op vrijdag 19 januari 2024 @ 15:00:
[...]
Iedereen heeft werk aan de winkel, ook jij. Vroeger of laat en je kan het beter nu alvast doen, dan heb je het gehad :-)

Als ik lang genoeg wacht is de router misschien vervangen door een waarbij geen dubbele "administratie" nodig is voor IPv4 vs IPv6 . Staat nu een EdgeRouter waarbij je firewall "zones" op een interface apart instelt voor v4 & v6.
Zelf heb ik een zelfbouw router met plain Debian. nftables als firewall, en hoofdzaken ingeregeld op interface niveau (dus "verkeer van interface A mag niet naar interface B"). Of het IPv4 of IPv6 verkeer is maakt dan niet meer uit. In de ER moet dit dus dubbel gedaan worden. Was vorig jaar voor mij ook de reden om de UniFi Security Gateway de deur uit te doen.
Denk dat ikzelf thuis ook prima zonder IPv4 zou kunnen. Zelfs mijn ESP microcontrollers die ESPHome draaien hebben sinds kort IPv6 ondersteuning incl. mDNS met IPv6. Mogelijk dat ik alleen wat oude zaken in de configuratie van Home Assistant moet aanpassen (bv IP adres van versterker, Nvidia Shield, ... die van jaren terug al/nog met IPv4 in config staan).

Maar hacky hacky (NAT) kunnen ook mijn Docker containers naar buiten via IPv6 en de IPv6 test website komt dan ook op 19/20 uit (ICMP staat bewust dicht). Dus ook DNS servers die alleen bereikbaar zijn via IPv6 zijn bereikbaar en dus een website die volledig IPv6 only is (incl IPv6 only DNS servers dus) zou ik prima kunnen bereiken. Met lokaal dan een DNS server met ad blocking.

Snow_King schreef op vrijdag 19 januari 2024 @ 11:24:
Maar ik deel je mening wel deels. Er gebeuren echt wel goede dingen, maar we hebben gewoon nog steeds een hele grote groep mensen die hun kop in het zand steken en denken dat IPv6 dan wel overwaait.

Die grote groep mensen zijn niet zo relevant - uiteindelijk gaat het vooral over wat de providers doen, de gebruikers volgen grotendeels automatisch (en zonder het zelf te weten).

Er zijn feitelijk 7 grote netwerken in Nederland waar een IPv6 uitrol grote zoden aan de dijk zet: Odido, KPN en Vodafone op mobiel, en Ziggo, KPN, Delta en Odido op de vaste lijn. De rest is marginaal - wat lokale netwerken bij bedrijven en universteiten, hosting en transit ISPs, en kleintjes als Solcon, Starlink en Lycamobile maar die slaan geen deuk in de statistieken.

Ziggo en KPN zijn min of meer "klaar", er zit uiteraard nog een groep (<20%) met oude routers op IPv4-only maar dat verloopt vanzelf wel weg. Je zal qua statistieken nooit helemaal naar 100% gaan omdat zelfs na het vervangen van alle routerboxes er altijd nog wel ergens bij de klanten thuis apparaten in gebruik zijn die geen IPv6 kunnen, maar dat boeit voor de wijdere wereld niet echt.

Delta zit midden in de uitrol.

Vodafone en Odido zijn de twee achterblijvers.

Vodafone Duitsland doet inmiddels IPv6 op een deel van het vaste netwerk en mobiel. Vodafone UK is net in December 2023 begonnen met de uitrol van IPv6, dus wellicht dat het er in Nederland binnenkort aan zit te komen.

Bij Odido staat IPv6 nog niet op de agenda, als ik de (schaarse) inside info van Odido medewerkers zo zie langskomen. Ik neem aan dat de overname van het bedrijf vorig jaar alle aandacht heeft opgeeist.

jurroen schreef op vrijdag 19 januari 2024 @ 14:51:
[...]

Even advocaat van de duivel spelen: wat is hiervoor het commerciele voordeel voor Ziggo? Ja, ze kunnen duurdere abonnementen verkopen, maar die modems vervangen kost ze ook een berg geld.

Een pijnpunt bij Ziggo is de (relatief) lage uploadsnelheid. Daardoor verliezen ze klanten aan de glasvezel. Door over te gaan op DOCSIS 3.1 kan de upload omhoog en kunnen ze klanten behouden en soms zelfs weer terug winnen van de glasvezel. Dat is het commerciële voordeel. Inderdaad die oude modems vervangen kost geld, maar ze zitten in de weg bij de transitie naar DOCSIS 3.1. Daarom is Ziggo pro-actief bezig die oude modems te vervangen. De 3.1 modems doen allemaal IPv6.

Roetzen schreef op vrijdag 19 januari 2024 @ 15:42:
[...]

Een pijnpunt bij Ziggo is de (relatief) lage uploadsnelheid. Daardoor verliezen ze klanten aan de glasvezel. Door over te gaan op DOCSIS 3.1 kan de upload omhoog en kunnen ze klanten behouden en soms zelfs weer terug winnen van de glasvezel. Dat is het commerciële voordeel. Inderdaad die oude modems vervangen kost geld, maar ze zitten in de weg bij de transitie naar DOCSIS 3.1. Daarom is Ziggo pro-actief bezig die oude modems te vervangen. De 3.1 modems doen allemaal IPv6.

Snow_King schreef op vrijdag 19 januari 2024 @ 15:00:
[...]

Eens, maar we kunnen het niet nooit doen. Een paar opties:

Precies! IPv6 is hier en het gaat niet meer weg. Daarmee is het ook onvermijdelijk geworden dat er ooit een dag komt dat het niet meer loont het oude IPv4 netwerk met plakband en veiligheidsspelden aan de praat te houden. Dus het gaat een keer weg. Ooit. Dan kun je wel allerlei bezwaren aandragen, maar dat gaat er niets aan veranderen. Dus dan kun je beter je energie steken in het vinden van oplossingen.

Iedereen heeft werk aan de winkel, ook jij. Vroeger of laat en je kan het beter nu alvast doen, dan heb je het gehad :-)

Inderdaad, doe het dan maar nu op een zelfgekozen moment in plaats van te wachten tot het echt niet meer anders kan. Het komt natuurlijk nooit echt gelegen, maar een zelfgekozen moment is altijd beter dan gedwongen door de omstandigheden.
.

Roetzen schreef op vrijdag 19 januari 2024 @ 15:57:
Precies! IPv6 is hier en het gaat niet meer weg. Daarmee is het ook onvermijdelijk geworden dat er ooit een dag komt dat het niet meer loont het oude IPv4 netwerk met plakband en veiligheidsspelden aan de praat te houden.

Zoveel plakband is er ook weer niet nodig hoor, je kan IPv4 makkelijk routeren over een onderliggend IPv6 netwerk, je IPv6 servers achter een IPv4 proxy hangen of je IPv4 applicaties/endpoints achter CLAT. Het is zo eenvoudig dat ik verwacht dat het IPv4 internet de komende 100 jaar nog wel zal blijven bestaan.

Hoeveel verkeer er overheen gaat is een ander verhaal natuurlijk. Maar je kan anno 2024 nog steeds MS-DOS applicaties draaien, en daar lijkt de komende decennia ook geen verandering in te gaan komen.

Dreamvoid schreef op vrijdag 19 januari 2024 @ 16:15:
[...]

Zoveel plakband is er ook weer niet nodig hoor, je kan IPv4 makkelijk routeren over een onderliggend IPv6 netwerk, je IPv6 servers achter een IPv4 proxy hangen of je IPv4 applicaties/endpoints achter CLAT. Het is zo eenvoudig dat ik verwacht dat het IPv4 internet de komende 100 jaar nog wel zal blijven bestaan.

Ja, dat kan en het is relatief eenvoudig. Maar 100 jaar lijkt me toch wel wat lang. Andere oudere netwerkprotocollen zijn ook zo goed als verdwenen. IPX/SPX is practisch gesproken verdwenen.

Hoeveel verkeer er overheen gaat is een ander verhaal natuurlijk. Maar je kan anno 2024 nog steeds MS-DOS applicaties draaien, en daar lijkt de komende decennia ook geen verandering in te gaan komen.

MS-DOS applicaties draaien wordt wel steeds moeilijker. Het probleem is dat ze niet meer worden onderhouden. Hetzelfde lot wacht IPv4. Als de hoeveelheid verkeer daalt zal de animo om het nog te onderhouden dalen. En dan zal er op een gegeven moment een keuze genaakt worden tussen nog investeren in onderhoud of er mee stoppen. En dat gaat vast geen 100 jaar duren.

Roetzen schreef op vrijdag 19 januari 2024 @ 15:42:
[...]

Een pijnpunt bij Ziggo is de (relatief) lage uploadsnelheid. Daardoor verliezen ze klanten aan de glasvezel. Door over te gaan op DOCSIS 3.1 kan de upload omhoog en kunnen ze klanten behouden en soms zelfs weer terug winnen van de glasvezel. Dat is het commerciële voordeel. Inderdaad die oude modems vervangen kost geld, maar ze zitten in de weg bij de transitie naar DOCSIS 3.1. Daarom is Ziggo pro-actief bezig die oude modems te vervangen. De 3.1 modems doen allemaal IPv6.

Is dat dè reden dat ze klanten verliezen? Ziggo heeft een hogere latency dan een gemiddelde FttH verbinding - wat voor gamen weer een groter verschil maakt dan een upload van 40Mbit of 500Mbit.

Als ze proactief die (Euro)DOCSIS 3.1 modems pushen met IPv6 enabled by default is dat uiteraard wel super positief. Jaren te laat, maar neemt niet wrg dat het een positieve ontwikkeling is.

jurroen schreef op vrijdag 19 januari 2024 @ 17:05:
[...]
Is dat dè reden dat ze klanten verliezen?

Die relatief lage upload is één van de punten waarbij ze het moeten afleggen tegen de glasvezel.

Ziggo heeft een hogere latency dan een gemiddelde FttH verbinding - wat voor gamen weer een groter verschil maakt dan een upload van 40Mbit of 500Mbit.

Dat wel. Maar ik denk dat de doelgroep die om meer upload vraagt groter is dan de gamers die minder latency willen.

Als ze proactief die (Euro)DOCSIS 3.1 modems pushen met IPv6 enabled by default is dat uiteraard wel super positief. Jaren te laat, maar neemt niet wrg dat het een positieve ontwikkeling is.

IPv6 is daarbij bijvangst. De laatste generatie DOCSIS 3.0 modems (Connectbox) had ook al IPv6 bij verstek geactiveerd. Het gaat wat IPv6 betreft dus om de echt oudere modems zoals de Cisco en de TP.link.

Roetzen schreef op vrijdag 19 januari 2024 @ 16:44:
[...]

Ja, dat kan en het is relatief eenvoudig. Maar 100 jaar lijkt me toch wel wat lang. Andere oudere netwerkprotocollen zijn ook zo goed als verdwenen. IPX/SPX is practisch gesproken verdwenen.

En in hoeverre vallen antieke ("internet") protocollen te vergelijken met IPv4? Hoeveel IPX/SPX aansluitingen/appararen die het ondersteunden / ... waren er in de hoogtijdagen daarvan vs hoeveel IPv4 aansluitingen / apparaten / ... waren er in de hoogtijdagen daarvan?
Een protocol dat alleen gebruikt werd door een paar nerds kun je niet vergelijken met een protocol dat letterlijk elke inwoner van de ontwikkelde wereld ooit "gebruikt" is.

Roetzen schreef op vrijdag 19 januari 2024 @ 16:44:
[...]

Ja, dat kan en het is relatief eenvoudig. Maar 100 jaar lijkt me toch wel wat lang. Andere oudere netwerkprotocollen zijn ook zo goed als verdwenen. IPX/SPX is practisch gesproken verdwenen.

IPX/SPX was een LAN routing protocol, dus er was niet echt een "internet" dat kon verdwijnen, alleen lokale LAN eilandjes. Maar het werkt wel nog steeds als je wil: https://www.dosbox.com/wiki/Connectivity

MS-DOS applicaties draaien wordt wel steeds moeilijker. Het probleem is dat ze niet meer worden onderhouden. Hetzelfde lot wacht IPv4. Als de hoeveelheid verkeer daalt zal de animo om het nog te onderhouden dalen. En dan zal er op een gegeven moment een keuze genaakt worden tussen nog investeren in onderhoud of er mee stoppen. En dat gaat vast geen 100 jaar duren.

Maar zolang er 1 persoon IPv4 routeert over IPv6, dan werkt het IPv4 internet nog.

Net als met de uitvinding van de auto: natuurlijk, je ziet weinig paarden meer. Maar ze bestaan nog wel. Al dan niet "getunneld" (= in een paardentrailer) over het autonetwerk.

Dreamvoid schreef op vrijdag 19 januari 2024 @ 16:15:
[...]

Zoveel plakband is er ook weer niet nodig hoor, je kan IPv4 makkelijk routeren over een onderliggend IPv6 netwerk, je IPv6 servers achter een IPv4 proxy hangen of je IPv4 applicaties/endpoints achter CLAT.

Daarover nog dit:

Naar mijn niet zo bescheiden mening heeft DeCa een kans gemist door bij de uitrol van de nieuwe glasvezelnetwerken niet te kiezen voor IPv6 only met IPv4 As a Service. Dan hadden ze Dual Stack als transitiemechanisme over kunnen slaan.

Maar ja, dat zal wel niet verenigbaar zijn geweest met de overduidelijke wens zo snel mogelijk zo veel mogelijk aansluitingen in zo veel mogelijk woningen in Nederland te realiseren. Voor dat iemand anders dat zou doen...

Hangt ervan af hoe hun netwerk core eruit ziet. Als ze bv IPv6 met MPLS over een IPv4 underlay routeren, dan is het in stand houden van dual stack relatief eenvoudig en logisch: het IPv4 netwerk ligt er nog. Als je naar een IPv6 underlay gaat (met SRv6 of MPLS), dan begint het idd zinniger te worden om helemaal geen IPv4 over je eigen netwerk te doen.

Roetzen schreef op vrijdag 19 januari 2024 @ 17:51:
[...]
Naar mijn niet zo bescheiden mening heeft DeCa een kans gemist door bij de uitrol van de nieuwe glasvezelnetwerken niet te kiezen voor IPv6 only met IPv4 As a Service. Dan hadden ze Dual Stack als transitiemechanisme over kunnen slaan.

Als gebruiker is NAT64 met DNS64 of 464XLAT amper te onderscheiden. Toch geven allebei in de praktijk problemen waardoor ik het als ISP niet zou willen uitrollen boven DS-lite of CGNAT.

Veel diensten zijn niet klaar voor zerotrust/waar het om identiteit gaat ipv het bronadres van verkeer. De interacties tussen (werk) VPN clients en IP allow-lists zijn voor leken niet te begrijpen en leveren je support calls op.

RobertMe schreef op vrijdag 19 januari 2024 @ 17:32:
[...]

En in hoeverre vallen antieke ("internet") protocollen te vergelijken met IPv4? Hoeveel IPX/SPX aansluitingen/appararen die het ondersteunden / ... waren er in de hoogtijdagen daarvan vs hoeveel IPv4 aansluitingen / apparaten / ... waren er in de hoogtijdagen daarvan?
Een protocol dat alleen gebruikt werd door een paar nerds kun je niet vergelijken met een protocol dat letterlijk elke inwoner van de ontwikkelde wereld ooit "gebruikt" is.

IPX/SPX aanmerken als een protocol dat alleen door een paar nerds werd gebruikt is te kort door de bocht. IPX/SPX was het protocol dat door Novell werd gebruikt en Novell was toen dè markleider in netwerken. Op elke netwerkkaart van een merk dat mee wilde tellen was een driehoekige rode sticker geplakt met "It works with Novell". Oftewel: ondersteunt IPX/SPX. Bij het bedrijf waar ik toen werkte was ik de eerste die het "rode boek" uit had en dus werd ik gebombardeerd tot systeembeheerder van het netwerk. En daarbij had ik te maken met IPX/SPX. Ik heb geen concrete getallen maar met alle Novell (personal) netwerk gebruikers reduceren tot "een paar nerds" doe je ze geen recht.