Het grote IPv6 topic

duvekot schreef op maandag 23 juni 2025 @ 09:58:
[...]

Succes .. ik ben benieuwd

[...]

Ik lees dat ze voor particulieren geen QR code doen "omdat het fraude gevoelig" zou zijn . Maar voor zakelijke klanten kan je wel een QR code genereren waarmee een eSIM op een ander toestel geïnstalleerd kan worden door een scan.

En die fysieke SIM wordt volgens mij direct gedeactiveerd als je er een eSIM van gemaakt hebt ..

Inmiddels reactie van KPN op het forum en met die instructies een ticket laten aanmaken via de telefonische helpdesk. Ticket is aangemaakt en nu is het wachten.

Ik wil juist bij mijn NAS, HomeAssistant en Nextcloud kunnen die ik heel bewust IPv6-only gemaakt heb. Draaien thuis en via mijn 5G met KPN kan ik er overal bij. En uiteraard vanaf kantoor en andere plekken waar ik gewoon native IPv6 heb.

Wat wel jammer is: Hotels of andere public WiFi heb ik nog nooit IPv6 gehad...

Snow_King schreef op donderdag 26 juni 2025 @ 09:52:
[...]

Inmiddels reactie van KPN op het forum en met die instructies een ticket laten aanmaken via de telefonische helpdesk. Ticket is aangemaakt en nu is het wachten.

Ik wil juist bij mijn NAS, HomeAssistant en Nextcloud kunnen die ik heel bewust IPv6-only gemaakt heb. Draaien thuis en via mijn 5G met KPN kan ik er overal bij. En uiteraard vanaf kantoor en andere plekken waar ik gewoon native IPv6 heb.

Wat wel jammer is: Hotels of andere public WiFi heb ik nog nooit IPv6 gehad...

Voor alles buiten de deur heb ik een Wireguard VPN naar huis (via IPv4 .. IPv6 Wireguard nog niet getest) .. zodat ik zelfs in Australië gewoon NL Ziet kan kijken of via WiFi bellen gewoon bereikbaar ben op mijn Nederlandse nummer zonder roaming.

Snow_King schreef op donderdag 26 juni 2025 @ 09:52:
Wat wel jammer is: Hotels of andere public WiFi heb ik nog nooit IPv6 gehad...

Wat @duvekot aangeeft. Gewoon een VPN gebruiken dan. Wireguard kan prima overweg met IPv4 & IPv6, zowel om met het endpoint te babbelen als om te tunnelen. En doordat het IPv6 is heb je dus ook geen verschil tussen intern en extern, geen NAT, etc etc.. Maar snijdt natuurlijk aan twee kanten. Doordat je de tunnel hebt kun je IPv6 gebruiken en dus ook via IPv6 verbinden met apparaten thuis of extern die alleen IPv6 doen. Maar doordat je de tunnel naar thuis al hebt zou je de apparaten thuis ook via een intern (al dan niet IPv4) adres kunnen benaderen. Via beide routes geeft een VPN dus een oplossing voor dat probleem.

Enige dingetje is dan dat Wireguard met static IPs werkt. En wil je via IPv6 "naar buiten toe" moet (/"moet") je dus ook een GUA instellen (of de "server" moet NAT doen ), terwijl je waarschijnlijk geen static IP/prefix krijgt van de ISP. Potentieel moet je dan dus periodiek alle endpoints (/"servers" en "clients") nalopen om het IP adres aan te passen.

Snow_King schreef op donderdag 26 juni 2025 @ 09:52:
[...]

Wat wel jammer is: Hotels of andere public WiFi heb ik nog nooit IPv6 gehad...

Camping Boszicht in Laag Soeren en het H.F. Witte centrum in de Bilt

Ze hebben allebei IPv6 op de Wifi. De eerste (via KPN) waarschijnlijk bij toeval, de tweede (via Ziggo) omdat de HCC daar vaak bijeenkomsten heeft en de HCC het heeft "geregeld".

Dat zijn tot dusver de enige (semi) openbare WiFi netwerken waar ik IPv6 heb gevonden.

In de horecazaak van familie van mij is IPv6 ook beschikbaar op het (gasten) wifi netwerk.

Mogen jullie raden wie daar het netwerk beheert

RobertMe schreef op donderdag 26 juni 2025 @ 11:23:
[...]

Wat @duvekot aangeeft. Gewoon een VPN gebruiken dan. Wireguard kan prima overweg met IPv4 & IPv6, zowel om met het endpoint te babbelen als om te tunnelen. En doordat het IPv6 is heb je dus ook geen verschil tussen intern en extern, geen NAT, etc etc.. Maar snijdt natuurlijk aan twee kanten. Doordat je de tunnel hebt kun je IPv6 gebruiken en dus ook via IPv6 verbinden met apparaten thuis of extern die alleen IPv6 doen. Maar doordat je de tunnel naar thuis al hebt zou je de apparaten thuis ook via een intern (al dan niet IPv4) adres kunnen benaderen. Via beide routes geeft een VPN dus een oplossing voor dat probleem.

Enige dingetje is dan dat Wireguard met static IPs werkt. En wil je via IPv6 "naar buiten toe" moet (/"moet") je dus ook een GUA instellen (of de "server" moet NAT doen ), terwijl je waarschijnlijk geen static IP/prefix krijgt van de ISP. Potentieel moet je dan dus periodiek alle endpoints (/"servers" en "clients") nalopen om het IP adres aan te passen.

Ik snap hoe VPN's werken :-)

Mijn punt was meer dat ik daar IPv6 gewoon nooit tegen kom. Dan moet ik een VPN aanzetten. Maar moet zeggen dat ik in het buitenland veelal gewoon op 4G/5G blijf met mijn telefoon en vanaf nu dus ook iPad. Geen gedoe met WiFi aanslingeren.

RobertMe schreef op donderdag 26 juni 2025 @ 11:23:
[...]

Enige dingetje is dan dat Wireguard met static IPs werkt. En wil je via IPv6 "naar buiten toe" moet (/"moet") je dus ook een GUA instellen (of de "server" moet NAT doen ), terwijl je waarschijnlijk geen static IP/prefix krijgt van de ISP. Potentieel moet je dan dus periodiek alle endpoints (/"servers" en "clients") nalopen om het IP adres aan te passen.

Je bedoelt met dan “enig dingetje” dan dat de Wireguard (server) een fixed GUA moet hebben, zodat de verbinding gelegd kan worden?
(En de firewall de UDP poort open heeft staan etc etc).

Of begrijp ik je/het verkeerd?

Op zichzelf is dat al wat onhandig (poorten openzetten, fixed IP), vind ik, dus geef voorkeur aan Zerotier, Netbird en (oke beetje dan, evt) Tailscale.

bart.koppers schreef op vrijdag 27 juni 2025 @ 16:14:
[...]


Je bedoelt met dan “enig dingetje” dan dat de Wireguard (server) een fixed GUA moet hebben, zodat de verbinding gelegd kan worden?
(En de firewall de UDP poort open heeft staan etc etc).

Of begrijp ik je/het verkeerd?

Op zichzelf is dat al wat onhandig (poorten openzetten, fixed IP), vind ik, dus geef voorkeur aan Zerotier, Netbird en (oke beetje dan, evt) Tailscale.

Niet alleen de server*. Daar waar bv OpenVPN gewoon DHCP doet richting de clients en de clients dus een IP vanaf de server krijgen moet je bij Wireguard zowel bij elke "node" een hardcoded IP adres instellen en ook "aan de nadere kant" bij elke peer instellen welk verkeer (/IP adressen) gerouteerd moeten worden naar die peer, dat dus potentieel alleen dat unieke IP is**. Dus op het moment dat ik op mijn telefoon een GUA instel, dat dus een GUA in een /64 binnen de prefix die ik van de ISP krijg is, dan ben ik afhankelijk van dat die GUA niet wijzigt. Wijzigt die wel moet ik zowel in de telefoon als in de router dat IP adres aanpassen (in de telefoon dus het "statische IP adres" voor de Wireguard interface, in de router de "AllowedAddress"). En "uiteraard" kan ik ook geen GUA gebruiken waarmee ik niet afhankelijk ben van wijzigingen aan de prefix, maar..., dan zou ik dus geen IPv6 connectiviteit hebben, of in ieder geval niet "het internet op" (tenzij ik de router / "server" zou laten NATen).

* Of nouja, Wireguard heeft geen server. Alle "nodes" zijn gelijk, alleen hebben sommigen een fixed port en mogelijk dat andere nodes een endpoint ingesteld naar hun IP + fixed port, maar ook beide uiteinden kunnen naar elkaar verwijzen met een endpoint, en elk endpoint kan meerdere peers hebben met een endpoint. Zo heb ik een mesh tussen mijn router thuis, die router bij familie, en een VPS. Dus mijn router verbind zowel rechtstreeks met de router bij familie als met de VPS. En de router bij familie verbind ook rechtstreeks met de router bij mij als met de VPS. Er is dus geen "server" en alle peers zijn gelijk.

** Mijn router met Wireguard hoeft alleen verkeer met bestemming het IP van mijn telefoon naar mijn telefoon te sturen, en geen ander verkeer. Terwijl in het geval van het "mesh" tussen de 2 routers en VPS naast het IP adres van de peer ook nog volledige subnets (de gewone ULA subnets aan die kant) over de tunnel worden gerouteerd.

Edit:
Even naar Netbird gekeken. Ik ken het project half, maar gezien ik een werkend mesh en zo heb niet echt naar gekeken. (+ dat ik in mijn geval het vast niet op een EdgeRouter kan zetten, terwijl WG zelf er wel op kan). Eerste DuckDuckGo hit is dit issue uit 2021, dat nog steeda open staat: https://github.com/netbirdio/netbird/issues/46 niet perse hoopvol. Maar er staat ook een verwijzing naar https://github.com/netbirdio/netbird/pull/1459 (gemerged in augustus 2024) dat weer wel iets doet. Waarbij Netbird een willekeurige ULA verzint en clients ook een IP binnen die ULA krijgen. Maar dan heb je dus wel alleen verbinding onderling en ik neem aan geen IPv6 internet connectiviteit (de situatie v.w.b. "telefoon die verbing opzet en ook internet op wilt).
Terwijl Netbird onderwater gewoon Wireguard als tunnel gebruikt en WG dus prima IPv6 doet. En Netbird dus puur een beheer laag er overheen is. I.p.v. dat je op meerdere systemen handmatig WG config files moet aanpassen / config moet doorvoeren, je handmatig public keys moet uitwisselen (en private keys genereren), adressen moet verzinnen en op meerdere plekken moet instellen, .... Heeft Netbird dus een management / configuratie deel op een hoger niveau. Waarbij private & public keys door Netbird worden uitgewisseld tussen de systemen, configuratie automatisch wordt toegepast, de control server een IP adres "bedenkt" voor de "client" en dat overal correct toepast, .... En AFAIK werkt Tailscale hetzelfde. Puur een laag over Wireguard heen die het management deel uit handen haalt.

[ Voor 24% gewijzigd door RobertMe op 27-06-2025 17:24 ]

RobertMe schreef op vrijdag 27 juni 2025 @ 16:44:
[...]

Niet alleen de server*. Daar waar bv OpenVPN gewoon DHCP doet richting de clients en de clients dus een IP vanaf de server krijgen moet je bij Wireguard zowel bij elke "node" een hardcoded IP adres instellen en ook "aan de nadere kant" bij elke peer instellen welk verkeer (/IP adressen) gerouteerd moeten worden naar die peer, dat dus potentieel alleen dat unieke IP is**. Dus op het moment dat ik op mijn telefoon een GUA instel, dat dus een GUA in een /64 binnen de prefix die ik van de ISP krijg is, dan ben ik afhankelijk van dat die GUA niet wijzigt. Wijzigt die wel moet ik zowel in de telefoon als in de router dat IP adres aanpassen (in de telefoon dus het "statische IP adres" voor de Wireguard interface, in de router de "AllowedAddress"). En "uiteraard" kan ik ook geen GUA gebruiken waarmee ik niet afhankelijk ben van wijzigingen aan de prefix, maar..., dan zou ik dus geen IPv6 connectiviteit hebben, of in ieder geval niet "het internet op" (tenzij ik de router / "server" zou laten NATen).

* Of nouja, Wireguard heeft geen server. Alle "nodes" zijn gelijk, alleen hebben sommigen een fixed port en mogelijk dat andere nodes een endpoint ingesteld naar hun IP + fixed port, maar ook beide uiteinden kunnen naar elkaar verwijzen met een endpoint, en elk endpoint kan meerdere peers hebben met een endpoint. Zo heb ik een mesh tussen mijn router thuis, die router bij familie, en een VPS. Dus mijn router verbind zowel rechtstreeks met de router bij familie als met de VPS. En de router bij familie verbind ook rechtstreeks met de router bij mij als met de VPS. Er is dus geen "server" en alle peers zijn gelijk.

** Mijn router met Wireguard hoeft alleen verkeer met bestemming het IP van mijn telefoon naar mijn telefoon te sturen, en geen ander verkeer. Terwijl in het geval van het "mesh" tussen de 2 routers en VPS naast het IP adres van de peer ook nog volledige subnets (de gewone ULA subnets aan die kant) over de tunnel worden gerouteerd.

Edit:
Even naar Netbird gekeken. Ik ken het project half, maar gezien ik een werkend mesh en zo heb niet echt naar gekeken. (+ dat ik in mijn geval het vast niet op een EdgeRouter kan zetten, terwijl WG zelf er wel op kan). Eerste DuckDuckGo hit is dit issue uit 2021, dat nog steeda open staat: https://github.com/netbirdio/netbird/issues/46 niet perse hoopvol. Maar er staat ook een verwijzing naar https://github.com/netbirdio/netbird/pull/1459 (gemerged in augustus 2024) dat weer wel iets doet. Waarbij Netbird een willekeurige ULA verzint en clients ook een IP binnen die ULA krijgen. Maar dan heb je dus wel alleen verbinding onderling en ik neem aan geen IPv6 internet connectiviteit (de situatie v.w.b. "telefoon die verbing opzet en ook internet op wilt).
Terwijl Netbird onderwater gewoon Wireguard als tunnel gebruikt en WG dus prima IPv6 doet. En Netbird dus puur een beheer laag er overheen is. I.p.v. dat je op meerdere systemen handmatig WG config files moet aanpassen / config moet doorvoeren, je handmatig public keys moet uitwisselen (en private keys genereren), adressen moet verzinnen en op meerdere plekken moet instellen, .... Heeft Netbird dus een management / configuratie deel op een hoger niveau. Waarbij private & public keys door Netbird worden uitgewisseld tussen de systemen, configuratie automatisch wordt toegepast, de control server een IP adres "bedenkt" voor de "client" en dat overal correct toepast, .... En AFAIK werkt Tailscale hetzelfde. Puur een laag over Wireguard heen die het management deel uit handen haalt.

Bij WG hoeft op de client (de verbindende peer zo je wil) voorzover ik weet geen GUA IPv6 ingesteld te worden? ULA lijkt voldoende.

Zie bv de handleiding inz OPNsense op https://docs.opnsense.org...tos/wireguard-client.html
(Even roadwarrior als voorbeeld dan, heb het niet over s2s vpn)

En idd Netbird en Tailscale zijn eigenlijk integratie-lagen over het noise-protocol (van Wireguard).
Geen idee hoe die omgaan met ipv6 over wireguard - heb het vermoeden dat het niet fullblown/via GUA wordt gebruikt, maar daar kan een ander vast meer over zeggen.

Moet wel zeggen dat eea bijv bij zerotier veel simpeler gedaan kan worden - het is alleen wat minder bekend (en heeft - net als beide voorgaande - natuurlijk wel centrale hubs nodig om de initiele verbindingen te leggen - bij zerotier zijn dat de “planets”, en/of evt “moons”)

Wil je helemaal “los” van andere, en alles echt helemaal zelf organiseren/inregelen, dan zijn er vlgs mij ook opties - maar valt misschien wat al te buiten ipv6 topic hier.

bart.koppers schreef op vrijdag 27 juni 2025 @ 21:48:
[...]


Bij WG hoeft op de client (de verbindende peer zo je wil) voorzover ik weet geen GUA IPv6 ingesteld te worden? ULA lijkt voldoende.

Een GUA hoeft inderdaad niet. Maar als je IPv6 wilt internetten..., is een GUA "wel handig". Anders internet je alsnog via IPv4 en heb je IPv6 alleen om te "LANen". (Of je moet dus NAT doen op de "server")

Ik vind bovenstaande over WireGuard wel een interessante discussie. Was afgelopen week in de US voor een congres en ben het grootste deel van de tijd via WireGuard met mijn thuisnetwerk verbonden gebleven, via ingebouwde WireGuard ondersteuning van Fritz!OS 8.02. De 'buitenkant' van de tunnel liep voor zover ik heb gezien steeds over IPv4 (helemaal geen IPv6 gezien daar... ping was overigens ~100ms vanuit Boston naar mijn KPN-lijn thuis, voor de geïnteresseerden).

Internetten via de WG tunnel ging alleen via IPv4, maar "LANen" ging wel prima via IPv6, omdat mijn devices een (fixed en ook niet in de FritzBox interface aanpasbaar) ULA adres (/128) kregen. De FritzBox kan op IPv6 (nog) niet NATen om toch IPv6 internettoegang te geven via WireGuard. En er is ook nergens een optie om een GUA in te vullen, dus het kan ook (nog) niet zónder NAT.

Schijnt wel aan gewerkt te worden volgens dit artikel. Dat is een beetje het nadeel van de "gebruiksvriendelijke" aanpak van de FritzBox firmware, je wordt beperkt in het aanpassen en kunt dus eigenlijk niks stukmaken, maar bent dus ook wel afhankelijk van wat ze zelf out of the box aan de praat hebben gekregen.

RobertMe schreef op vrijdag 27 juni 2025 @ 23:04:
[...]

Een GUA hoeft inderdaad niet. Maar als je IPv6 wilt internetten..., is een GUA "wel handig". Anders internet je alsnog via IPv4 en heb je IPv6 alleen om te "LANen". (Of je moet dus NAT doen op de "server")

Tot nu toe heb ik met IPv6 icm Wireguard beperkt goede ervaringen.
Want heb je als “client” echt alleen IPv6, dan *moet* je een GUA hebben om de peer (server) ook op IPv6 (op UDP poort met die GUA) te bereiken.

Het scheelt dan misschien een (1 regel) voor port-forward op een firewall.

Tegelijk moet de WG-peer/server waar je mee verbindt dan een fixed GUA hebben, én de poort moet naar die GUA openstaan.

De vraag komt vlgs neer op: hoe gebruik je de tunnel?
En kan/moet deze tunnel dan met IPv6 kunnen werken, zoals in geval er helemaal geen IPv4 is.

Qua “internetten” (tikje onduidelijke term..):
Als de peer de andere peer (server) kan bereiken via IPv6 is er geen garantie dat het verkeer wordt doorgegeven via IPv6 vanaf de server.

Want de instellingen op de server (zoals forwarding, evt NAT in meerdere vormen, firewall) bepalen hoe packets verder verwerkt worden

Bv als je alleen de tunnel gebruikt voor louter bereiken van het andere netwerk, is ook geen forwarding nodig.

Wireguard(protocol) is handig, maar doordat het werkt op L3 zijn er behoorlijk wat hoepels waar je door moet springen.
Geef mij dan maar een interface die op L2 zit.

Ik heb inmiddels van KPN een antwoord waarom IPv6 niet werkt op mijn Data-only SIM:

Onderzoek
We hebben navraag gedaan bij onze netwerkspecialisten.
Op dit moment is dit het design van Data only simkaarten. De APN van Data only nummers is IPv4 Only. Data/Voice abonn. beschikken wel over IPv4/IPv6 (dual stack).

Ik vind het een nogal vreemd antwoord, maar dit is waar ik het voor nu mee moet doen.

Dus in feite is het een "Legacy data only" SIM kaart.

Snow_King schreef op woensdag 7 mei 2025 @ 08:20:
In een nieuwe woning heb ik een Ziggo verbinding genomen, modem in Bridge en er een Unifi Express met twee AP's er achter. Dat werkt tegenwoordig echt heel soepel met Unifi. IPv6 aanzetten en het werkt gewoon per direct.

De Unifi UI laat nu al tijden ook de gedetecteerde IPv6 adressen zien van de clients, ik moet zeggen dat het allemaal erg soepel werkte. Had al een tijdje zo'n nieuwe installatie niet gedaan.

10/10 op https://test-ipv6.com/ zoals het hoort!

Onlangs heb ik mijn router vervangen, maar ik krijg IPv6 niet meer werkend. Welke instellingen heb jij ingesteld?

Met het volgende krijg ik geen IPv6:

c-nan schreef op dinsdag 22 juli 2025 @ 18:04:
[...]

Onlangs heb ik mijn router vervangen, maar ik krijg IPv6 niet meer werkend. Welke instellingen heb jij ingesteld?

Met het volgende krijg ik geen IPv6:
[Afbeelding]

Modem staat nog wel in bridge?

Dan is de instelling DHCP en verder klopt alles lijkt het. Heb je in het netwerk IPv6 ook wel aan staan zodat daar adressen aan de clients worden uitgedeeld?

Snow_King schreef op dinsdag 22 juli 2025 @ 18:06:
[...]

Modem staat nog wel in bridge?

Dan is de instelling DHCP en verder klopt alles lijkt het. Heb je in het netwerk IPv6 ook wel aan staan zodat daar adressen aan de clients worden uitgedeeld?

Ja, ik heb enkel mijn router vervangen. Modem is niks aan gewijzigd. Wel heb ik een nieuw IPv4 gekregen, maar dat komt vanwege een nieuw mac adres denk ik.

In mijn netwerk heb ik altijd IPv6 devices gehad. Daar is ook niks veranderd.

/edit
DHCPv6 werkt wel, SLAAC niet. Ik dacht dat ik 'm in de vorige router als SLAAC had.

[ Voor 7% gewijzigd door c-nan op 22-07-2025 18:08 ]

Europa loopt achter met IPv6, zie dit artikel: https://www.sidn.nl/nieuw...-apac-regio-de-50-procent
Alleen Afrika doet het nog slechter dan Europa. 😭

alm schreef op woensdag 30 juli 2025 @ 11:54:
Europa loopt achter met IPv6, zie dit artikel: https://www.sidn.nl/nieuw...-apac-regio-de-50-procent
Alleen Afrika doet het nog slechter dan Europa. 😭

Nederland zou een grote stap kunnen zetten als Odido en Vodafone eens wat doen. Daarnaast zijn er nog veel kleine ISP's die op FttH geen IPv6 leveren, echt heel jammer.

Ik krijg ODF later dit jaar. Wacht een jaar en ga dan naar Freedom, want Odido komt er niet in.

Hmm. Na het updaten van Debian naar Trixie op mijn "servertje" werkte IPv6 niet meer. Blijkt er in systemd-networkd, dat ik gebruik, een "vervelende" change te zitten: als je instelt om RAs te verzenden worden by default geen RAs meer ontvangen, iets dat voorheen wel het geval was (IPv6AcceptRA was standaard yes/true tenzij het een bridge betrof of forwarding aan staat, nu is het default true tenzij het een bridge is, of IPv6SendRA of ip forwarding aan staan).

Reden dat ik zowel RAs accept als RAs send is omdat het ook mijn Docker host is. En Docker netwerken een eigen ULA gebruiken en middels forwarding (dat ik niet expliciet genoeg aan heb gezet blijkbaar? ) het verkeer naar de container gaat. Waarbij het "servertje" dus ook een RA stuurt puur om de route te adverteren (uiteraard geen prefix etc, puur "subnet X is bereikbaar via mij").

En daarmee dus ook een kleine heads up voor anderen die mogelijk een dergelijke setup hebben (Debian, systemd-networkd voor network management, en zowel RAs sturen als willen ontvangen op dezelfde interface).

Mocht het IPv6 gebruik bij KPN ineens minder zijn, dan is dat verklaarbaar.
Op mijn Experia Box v10 staat sinds 2 dagen ineens mijn IPv6 uit (browser extension IPvFoo bleef ineens rood).
Na het opnieuw aanzetten blijft alles verder gewoon werken, dus waarom deze bij mij ineens is uitgezet?