Toon posts:

Het grote IPv6 topic

Pagina: 1 2 3
Acties:

  • randomnumber
  • Registratie: januari 2014
  • Laatst online: 09-06-2020
Matched: pfsense
Ik zit nu te spelen met de gedachte om in een omgeving IPv6 only te gaan, Tore Anderson volgend met zijn IPv6 only datacenter. Nu kan ik Tayga gaan opzetten, maar ben ook aan het overwegen binnenkort de firewall te vervangen door een Pfsense oplossing maar ik dat toevoeging door iemand ;) al weer 2 jaar geleden met NAT64 support maar het lijkt helaas nog niet te zijn opgepakt. https://redmine.pfsense.org/issues/2358

  • ik222
  • Registratie: maart 2007
  • Niet online
Matched: pfsense
Pfsense is super maar helaas is de 6rd support ook al meer dan een jaar stuk. Ben daarom noodgedwongen overgestapt naar een ubuntu server i.c.m. shorewall.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Hipska schreef op donderdag 22 januari 2015 @ 11:22:
[...]


Dat is de eerste keer dat ik dit op die manier hoor. Lijkt me ook goed en logisch en beter dan telkens opnieuw PAT te doen.

Dit wil ik wel eens testen op een Linux host (Raspberry, VM). Hoe ga ik dan te werk zodat het even automagisch werkt als die router van de MediaMarkt?
Niet zo heel erg moeilijk, ik heb het onder pfSense als volgt geimplementeerd.

Vanuit de DHCP-PD van de ISP (/56 of groter), pak ik dan de hoogste /60 bij een /56, of een /52 bij een /48.

Ik maak dan op de DCHP6 server op de router een DHCP-PD delegatie, uit deze /60 of /52 deel ik dan /64 of /56 netwerken uit. Op die manier kunnen dus respectievelijk 4 en 8 onderliggende mediamarkt routers aangesloten worden.

Wel is het zaak dat er automatisch routes in de route tabel van de router geplaatst worden zodat deze naar de DHCP-PD delegatie gaan. Daar is in pfSense een apart script voor gemaakt die dit regelt aan de hand van de ISC dhcpd6.leases file.

In de laatste variant (/48 van de ISP) zou er dus nog een keer gedelegeerd kunnen worden.

Met andere woorden, elke DHCP6 client die dan een prefix vraagt krijgt dus zijn eigen delegatie. Dat is precies wat de meeste consumenten routers standaard doen op de ethernet poort.
d--amo schreef op donderdag 22 januari 2015 @ 13:02:
Wat is de ervaring met de doorsnee consumentenrouters, zoals D-Link, TP-Link, Linksys ed mbt tot IPv6?
Wat is daar vaak de default config? Doen zulke routers (default) goed aan prefix delegation?

Ik zou verwachten dat ze default vaak DHCPv6 hebben aanstaan op de WAN, maar dan geen PD. In de meeste gevallen zal er dus een config aanpassing nodig zijn als de ISP DHCPv6 en PD gebruikt. Of heb ik dat fout?
Op de Draytek Vigor 2850/2860 moet expliciet DHCP6 op de WAN aangezet worden, tevens moet hier expliciet een PD aanvraag gedaan worden voor delegatie op het LAN.

Net even in de Draytek 2850 DHCP6 settings gegeken, maar deze heeft alleen uit/aan, start en end, LAN IP6 address. Er is dus geen instelling om DHCP6-PD op het LAN te doen. Slecht!

[Voor 24% gewijzigd door databeestje op 22-01-2015 13:22]


  • d--amo
  • Registratie: juli 2013
  • Laatst online: 27-11 23:45
Matched: pfsense
databeestje schreef op donderdag 22 januari 2015 @ 13:17:
[...]

Niet zo heel erg moeilijk, ik heb het onder pfSense als volgt geimplementeerd.

Vanuit de DHCP-PD van de ISP (/56 of groter), pak ik dan de hoogste /60 bij een /56, of een /52 bij een /48.

Ik maak dan op de DCHP6 server op de router een DHCP-PD delegatie, uit deze /60 of /52 deel ik dan /64 of /56 netwerken uit. Op die manier kunnen dus respectievelijk 4 en 8 onderliggende mediamarkt routers aangesloten worden.

Wel is het zaak dat er automatisch routes in de route tabel van de router geplaatst worden zodat deze naar de DHCP-PD delegatie gaan. Daar is in pfSense een apart script voor gemaakt die dit regelt aan de hand van de ISC dhcpd6.leases file.

In de laatste variant (/48 van de ISP) zou er dus nog een keer gedelegeerd kunnen worden.

Met andere woorden, elke DHCP6 client die dan een prefix vraagt krijgt dus zijn eigen delegatie. Dat is precies wat de meeste consumenten routers standaard doen op de ethernet poort.
Dat is een implementatie van hiërarchische PD? Dat is mooi, welnog niet gestandaardiseerd dacht ik. Of is dit niet helemaal hetzelfde?
Dat ga ik thuis alleszins ook eens testen!
databeestje schreef op donderdag 22 januari 2015 @ 13:17:

Op de Draytek Vigor 2850/2860 moet expliciet DHCP6 op de WAN aangezet worden, tevens moet hier expliciet een PD aanvraag gedaan worden voor delegatie op het LAN.

Net even in de Draytek 2850 DHCP6 settings gegeken, maar deze heeft alleen uit/aan, start en end, LAN IP6 address. Er is dus geen instelling om DHCP6-PD op het LAN te doen. Slecht!
Die Draytek kan dus wel een PD aanvragen via DHCPv6, maar kan deze vervolgens niet gebruiken op het LAN? Of zal hij automatisch prefixen gaan kiezen en toewijzen aan het LAN?

Of heb je het hier ook over hiërarchische PD? Hij kan de prefixen wel gebruiken op het LAN, maar kan er zelf geen meer delegeren naar andere routers?

EDIT: Even herlezen, ik neem aan dat je het laatste bedoelt :)

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Point in case, net een D-Link DIR810L uit de outlet store van Informatique gehaald en firmware 1.0.2 erop gezet. Deze heeft IPv6 op "autodetect" staan, en wat blijkt, het werkt gewoon in 1 keer.

Mijn pfSense alloceert een een DHCP-PD voor deze "mediamarkt" router (uit mijn /48 HE.net prefix) en zo heeft mij Macbook zonder enige hulp een IPv6 adres gekregen. Daarom moet DHCP-PD doorgegeven worden zodat de keten werkt.

Een 10/10 op test-ipv6.com :)

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
IPv6 Connection Information
IPv6 Connection Type :    Auto Configuration (SLAAC/DHCPv6)
Network Status :      Connected
Connection Up Time :      0 Day, 0:06:06
     
 
WAN IPv6 Address :  
  2001:470:d72c::d81/128
  2001:470:d72c:0:c2a0:bbff:feeb:df60/64
IPv6 Default Gateway :    fe80::20d:b9ff:fe1b:b36c
LAN IPv6 Address :    2001:470:d72c:4f01:c2a0:bbff:feeb:df5f/64
LAN IPv6 Link-Local Address :     fe80::c2a0:bbff:feeb:df5f/64
Primary DNS Address :     2001:4860:4860::8844
Secondary DNS Address :       2001:4860:4860::8888
DHCP-PD :     Enabled
IPv6 Network assigned by DHCP-PD :    2001:470:d72c:4f00::/56

  • d--amo
  • Registratie: juli 2013
  • Laatst online: 27-11 23:45
Matched: pfsense
databeestje schreef op donderdag 22 januari 2015 @ 13:17:
[...]
Ik maak dan op de DCHP6 server op de router een DHCP-PD delegatie, uit deze /60 of /52 deel ik dan /64 of /56 netwerken uit. Op die manier kunnen dus respectievelijk 4 en 8 onderliggende mediamarkt routers aangesloten worden.
Hoe kom je hierbij?

Lijkt me dat je uit een /60, 16 /64 prefixen kan uitdelen? Of bedoel je het anders?

Ik neem aan dat je die PD-pool op je PfSense static aanmaakt?
Net even getest op cisco, er lijkt niet direct een manier te zijn om dit dynamisch te doen.. Dus een PD-pool maken uit een prefix die je net zelf gedelegeerd hebt gekregen.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
d--amo schreef op dinsdag 03 februari 2015 @ 22:53:
[...]


Hoe kom je hierbij?

Lijkt me dat je uit een /60, 16 /64 prefixen kan uitdelen? Of bedoel je het anders?
4 bits is 16, klopt, maar ...

Als de ISP een /60 allocatie stuurt kan je vrijwel alleen nog maar /64 netwerken uitdelen, valt iets voor te zeggen, maar moet je wel zorgen dat je geen al gebruikt netwerk in de PD server hebt zitten. Vandaar dat ik dan weer een deel daarvan "reserveer" voor PD. Feitelijk 9-f, de rest is voor "eigen" gebruik.

Echter, automatisch gegenereerd is het iets lastiger uiteraard, de "mooie" lage netwerken gebruik ik niet voor delegatie, dus werk ik vanaf ff terug met (ongeveer) een 1/4 van de oorspronkelijke allocatie.
Ik neem aan dat je die PD-pool op je PfSense static aanmaakt?
Net even getest op cisco, er lijkt niet direct een manier te zijn om dit dynamisch te doen.. Dus een PD-pool maken uit een prefix die je net zelf gedelegeerd hebt gekregen.
Nee de PD pool wordt automatische gegenereerd aan de hand van de grote van de ISP allocatie. Dat de Cisco dat niet kan verbaast me niets, dat is niet mijn leidraad geweest.

Nu is deze thuis wel statisch ivm met de HE.net tunnel, echter hebben we al verschillende rapporten van mensen die dit gebruiken in combinatie met een ISP dhcp-pd. In Vmware heb ik dit ook zo getest.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Snow_King schreef op zondag 08 februari 2015 @ 20:27:
Iemand al opgemerkt dat de NOS ineens via IPv6 bereikbaar is?

code:
1
2
3
4
5
6
7
www.nos.nl is an alias for nos.nl.
nos.nl has address 145.58.28.175
nos.nl has IPv6 address 2a02:458:101:28:100:28:0:af
nos.nl mail is handled by 15 mx1.mail.omroep.nl.
nos.nl mail is handled by 15 mx2.mail.omroep.nl.
nos.nl mail is handled by 25 mx3.mail.omroep.nl.
nos.nl mail is handled by 15 mx0.mail.omroep.nl.


Zelfde gaat ook op voor duo.nl bijvoorbeeld:
code:
1
2
www.duo.nl has address 194.171.77.135
www.duo.nl has IPv6 address 2001:67c:262c:860::135


Stap de goede kant op!
Onbewust wel, ik lag thuis ziek in bed dit weekend en de laptop gaaf ineens 6 aan met de chrome plugin toen ik het nieuws keek. Ik wist alleen niet voor hoe lang dat al was :)

De videos en alles werkte verder prima iig. (HE.net tunnel via pfSense op Ziggo)

Edit:

In ander nieuws, het CBS heeft hun Juniper NAT 46 uit dienst genomen, misschien zullen mijn klachten via de belangenvereniging hier iets aan bijgedragen hebben. Nu is de vraag wanneer ze dan wel weer IPv6 gaan ondersteunen. De oorspronkelijke uitrol was iets geforceerd afgedwongen vanuit de overheid, daarom ook de keuze voor de Juniper NAT ipv dual stack reverse proxy.
Herstel, mxtoolbox.com is stom en ondersteunt geen IPv6 |:(

[Voor 18% gewijzigd door databeestje op 08-02-2015 21:34]


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
In mijn situatie heb ik voor het bedrijf tussen 2 locaties wel degelijk IPsec VPNs met IPv6 gemaakt, dit om het onderlinge verkeer wat minder aftapbaar te maken. Oude gewoontes.

Wat niet wil zeggen dat er geen verkeer buiten de VPN tunnel om ging, dat scheelt gewoon heel veel snelheid en overhead. Iets met apps van 3e partijen die in een plain tekst wereld leven.

Op de IPv6 TF lijst had ik het als volgt samengevat.
Regel een IPv6 allocatie: Heb je een eigen ASN, geweldig, dan krijg je meteen een knappe eigen PI space van RIPE.
Je hebt PI space, en nu?
- Dual stack de BGP sessies
- Dual stack routers (je hoeft geen RA te doen, dit kan iBGP regelen of een ander intern routing protocol)
- Dual stack DNS servers (Gemakkelijk te realiseren zonder grote consequenties)
- Dual stack mail servers (kan je testen zonder dat iemand het echt in de gaten heeft, benodigd reverse DNS, zie boven)
- Dual stack de rest, web, load balancers, etc, zoals hierboven aangegeven, begin met de eigen website, die worden niet zo snel kwaad :)
Zelf gebruik ik vrijwel altijd pfSense, maar dat heeft meer met kosten te maken dan wat anders. De HA werkt goed genoeg, en is verder ook dual stack geschikt (genoeg).

Dingen die je wil voorkomen: Gebruik geen ULA address space, dit lijkt soms handig als je uit de huidige wereld komt maar gaat zo eindeloos veel problemen opleveren met source adres selectie dat het niet grappig is. Het wordt nog regelmatig voorgestelt, niet doen.

Zorg dat de Mobile vpn oplossing Dual Stack is, ik gebruik de Viscosity client in combinatie met de OpenVPN server in pfSense. Dan weet ik in ieder geval zeker dat zowel IPv4 en IPv6 via een publieke wifi hotspot versleuteld onze kant op komt. Het hangt van de onderneming en het gebruik af, maar je snap wat ik bedoel.

Nu is het wel zo dat de meeste servers Dual Stack zijn, inclusief de proxy servers, maar de desktops niet. Aangezien toegang via de proxy wordt afgedwongen is alles automatisch dual stack genoeg. Uiteraard zijn web, mail, dns etc wel dual stack.

Ik heb het niet ervaren als ingewikkeld om uit te rollen, het is best goed te doen. Neem wel een korte cursus in route aggregatie voor het maken van een nummer plan, dat maakt het op de lange termijn een end makkelijker. Zelf heb ik uit de /48 een /52 voor de site gepakt, waarbij de eerste /56 voor de LAN netwerken zijn en de 2e /56 uit de /52 voor de DMZ en WLAN netwerken. Hierdoor kan je makkelijker firewall rules maken en acls tussen onderliggende zones. Mijn netwerk is een paar lagen diep, waardoor deze hierarchie zich makkelijk laat opleggen.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
CyBeR schreef op woensdag 01 april 2015 @ 16:45:
Ofwel door die thuis-adressen ook toe te voegen (net als nu, zonder vpn) ofwel door met een VPN te blijven werken. Dit verandert eigenlijk niet wezenlijk.
Dat, voor ons kantoor doen we het met IPv6 hetzelfde als IPv4. We gebruiken OpenVPN op pfSense met Viscosity als client voor een Dual Stack VPN.

Daar kan je ook makkelijk extra routes aan toe voegen alswel brede client ondersteuning voor allerlei apparaten zoals Android en IOS en dergelijke.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Snow_King schreef op donderdag 02 april 2015 @ 20:53:
[...]

Nee. Deze verbinding is primair voor onze VOIP die we naar IPv6 gaan over zetten.

Op de WiFi komt ook een tweede SSID, mocht XS4All er uit vallen, dan kan je daar naar verbinden. Normaal gaat alles via kabel overigens.

Als de VOIP weg valt hebben we nog paar toestellen die via XS4All gaan of we routeren telefonie naar ander kantoor toe.
Thuis op pfSense heb ik een NPt entry gemaakt en een gateway group die de default omzet als HE.net eruit valt. De default route gaat dan naar de Sixx6 tunnel, door de NPt mapping is er een 1:1 mapping voor de gehele /48.

Ook al gebruik ik intern de prefix van HE.net, deze kan ik ook bereiken via de Sixx6 prefix, simultaan. Dus zowel inbound als outbound werkt het vrijwel transparant. Voip zal zoals gebruikelijk wel weer een probleem zijn omdat ze het IP in het pakketje steken (bedacht door een comittee).

Zeker voor backup toepassingen (zoals met HE.net tunnel via 3G als backup) is dit een uitkomst. Omdat er verder geen cheap-ass multihoming in de IPv6 spec zit is dit 1 van de weinige oplossingen zonder ingrijpende oplossingen.

Voor een hele grote groep mensen is BGP geen oplossing. Onder andere omdat providers daar geen zin in hebben zonder een financiele compensatie. Ook BGP is niet geschikt, dat is gebouwd op wederzijds vertrouwen, dus ongeschikt voor thuis toepassingen.

Anno 2015 een bedrijfsvoering laten lopen over 1 verbinding is Russische roulette.

  • Paul
  • Registratie: september 2000
  • Laatst online: 27-11 17:23
Matched: pfsense
Tilburg hier, en een nieuwe Ubee (met Wifi, minder dan een jaar geleden vervangen) in bridge, maar geen IPv6 helaas ;( LAN-interface van pfSense heeft een IPv6-adres van mijn SixXS-tunnel en reageert op ping6. Vreemd genoeg lijken noch Chrome noch IE door te hebben wat ik wil als ik naar http://2001:7b8:2ff:xxxx::7 browse, maar pfSense lijkt gewoon IPv6 te doen.

Op WAN echter niks. Ja, link local :P

Apart dat ze besluiten in bridge IPv6 te filteren. Dat het modem/router _zelf_ geen IPv6-adres krijgt en alleen op 192.168.178.1 te benaderen blijft, ok, maar een bridge is een bridge; krijgen de apparaten erachter met geen mogelijkheid een IPv6-adres van Ziggo? 8)7

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • Dennis
  • Registratie: februari 2001
  • Laatst online: 27-11 17:30
Matched: pfsense
Vraagje voor de kenners hier. Op mijn (nu) IPv4 netwerk wil ik ook maar eens IPv6 "implementeren". De vraag is dan hoe ik dat ga doen met adressering. Het gaat om een thuissituatie.

Ik heb al het een en ander gelezen over dual-adressing, over network prefix translation en over /56 en /64.

Nu met IPv4 heb ik vier sites. Eén is een VPS (cloud) en de andere drie netwerken zijn thuisnetwerken. Deze drie thuisnetwerken verbinden (OpenVPN) allemaal met de cloud en zo is alles routable. Binnen een netwerk zijn meerdere VLANs om securityredenen. In de cloud staat PfSense, alle thuisnetwerken draaien op OpenWRT. Alles direct aan internet (of achter een bridged modem).

Nu leek mij het meest handig om een ULA /48 te pakken en voor elke VLAN een /64 uit te geven. Dit is dan de "lokale" layer die (via OpenVPN) volledig routable is en waarbij firewall rules redelijk open zijn. De /64 (of hopelijk /56) die dan van de provider komt kan daarbij komen. Hiervoor gelden meer strict firewall rules.

Ik las eerder in dit topic reacties over dat dit lastig onderhoudbaar is, maar is dat echt zo'n probleem? Daarnaast voorkom ik problemen met DHCPv6 allocering door providers waardoor firewall rules aangepast moeten worden. Enige echt probleem dat ik zag is dat sommige devices niet meerdere IP-adressen ondersteunen (zoals printers) en ik moet nog even kijken hoe het geheel geconfigureerd kan worden.

Hoor graag jullie reacties en adviezen als dat mag :).

  • CyBeR
  • Registratie: september 2001
  • Niet online
Matched: pfsense
Dennis schreef op dinsdag 07 april 2015 @ 23:15:
Vraagje voor de kenners hier. Op mijn (nu) IPv4 netwerk wil ik ook maar eens IPv6 "implementeren". De vraag is dan hoe ik dat ga doen met adressering. Het gaat om een thuissituatie.

Ik heb al het een en ander gelezen over dual-adressing, over network prefix translation en over /56 en /64.

Nu met IPv4 heb ik vier sites. Eén is een VPS (cloud) en de andere drie netwerken zijn thuisnetwerken. Deze drie thuisnetwerken verbinden (OpenVPN) allemaal met de cloud en zo is alles routable. Binnen een netwerk zijn meerdere VLANs om securityredenen. In de cloud staat PfSense, alle thuisnetwerken draaien op OpenWRT. Alles direct aan internet (of achter een bridged modem).

Nu leek mij het meest handig om een ULA /48 te pakken en voor elke VLAN een /64 uit te geven. Dit is dan de "lokale" layer die (via OpenVPN) volledig routable is en waarbij firewall rules redelijk open zijn. De /64 (of hopelijk /56) die dan van de provider komt kan daarbij komen. Hiervoor gelden meer strict firewall rules.

Ik las eerder in dit topic reacties over dat dit lastig onderhoudbaar is, maar is dat echt zo'n probleem? Daarnaast voorkom ik problemen met DHCPv6 allocering door providers waardoor firewall rules aangepast moeten worden. Enige echt probleem dat ik zag is dat sommige devices niet meerdere IP-adressen ondersteunen (zoals printers) en ik moet nog even kijken hoe het geheel geconfigureerd kan worden.

Hoor graag jullie reacties en adviezen als dat mag :).
Zorg dat je bij elke site v6-connectivity hebt (al dan niet met tunnels) en dan kun je gewoon over 't internet praten zonder site-site tunnels. Eventueel kun je IPSec inzetten om je verkeer tussen je sites te encrypten.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Olaf van der Spek schreef op zondag 12 april 2015 @ 15:15:
[...]

Dan heeft malware via dns en https toch gewoon een kaneel naar buiten?
Op het werk forceren we door uitgaand verkeer te blokkeren het gebruik van een proxy server met authenticatie. Op die manier is HTTPS content veel makkelijker te controleren.

In sommige andere gevallen is het controlen van de DNS server een goed genoeg middel, dit doen we met DNSmasq en een whitelist, alleen die domeinen worden doorgestuurd.

In pfSense gebruik ik ook firewall rules op hostnaam om te zorgen dat deze automatisch IP4 en IP6 toepassen. Werkt een stuk prettiger dan gewoon een adres, of adressen, het scheelt ook onderhoud. Iets met alles in de cloud tegenwoordig :)

Acties:
  • 0Henk 'm!

  • CooleSmurf
  • Registratie: januari 2010
  • Laatst online: 19-11 23:00
Matched: pfsense
Dank voor jullie reacties.

Een tip die ik overgenomen heb is de MTU beperken. Binnen pfSense heb ik MSS clamping gebruikt en gezet op 1492 tegen 'normaal' 1500. Dit lijkt wel een specifiek pfSense probleem te zijn (geen ondersteuning baby jumbo frames).

Dit lijkt het probleem van het traag laden opgelost te hebben.

Zal ipvfox installeren om te monitoren.

Overigens had ik de problemen onder Win81 FF, Chrome en met IE.
Verder heb ik een WAN rule die ICMP toestaat.

Acties:
  • 0Henk 'm!

  • Snow_King
  • Registratie: april 2001
  • Laatst online: 27-11 08:54
Matched: pfsense
CooleSmurf schreef op zondag 14 juni 2015 @ 13:28:
Dank voor jullie reacties.

Een tip die ik overgenomen heb is de MTU beperken. Binnen pfSense heb ik MSS clamping gebruikt en gezet op 1492 tegen 'normaal' 1500. Dit lijkt wel een specifiek pfSense probleem te zijn (geen ondersteuning baby jumbo frames).

Dit lijkt het probleem van het traag laden opgelost te hebben.

Zal ipvfox installeren om te monitoren.

Overigens had ik de problemen onder Win81 FF, Chrome en met IE.
Verder heb ik een WAN rule die ICMP toestaat.
Ik zou niet direct de MTU beperken, want de PMTU (Path detection) moet zijn werk doen, mits ICMPv6 correct is toegestaan.

Bij XS4All moet je gewoon 1500 bytes MTU kunnen gebruiken over PPoE.

Acties:
  • 0Henk 'm!

  • CooleSmurf
  • Registratie: januari 2010
  • Laatst online: 19-11 23:00
Matched: pfsense
Zover ik weet kan je de MTU bij XS4All op 1508 zetten zodat je na aftrek van de 8 bytes voor PPPoE je netto een MTU van 1500 kan gebruiken. Maar dan moet je router ook RFC 4638 (Baby jumbo frames) ondersteunen en dat doet mijn router (pfSense) helaas nog niet.

Acties:
  • 0Henk 'm!

  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

Matched: pfsense
CooleSmurf schreef op zondag 14 juni 2015 @ 14:00:
en dat doet mijn router (pfSense) helaas nog niet.
Ligt dat niet aan pfSense maar aan FreeBSD? :?

Inmiddels zijn er een paar geld gaan bieden op het pfSense forum om ondersteuning te krijgen daarvoor.
https://forum.pfsense.org/index.php?topic=93902.0 , via https://forum.pfsense.org/index.php?topic=87590.0

[Voor 34% gewijzigd door Raven op 14-06-2015 14:06]

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


Acties:
  • 0Henk 'm!

  • CooleSmurf
  • Registratie: januari 2010
  • Laatst online: 19-11 23:00
Matched: pfsense
Denk FreeBSD, zie deze discussie op het pfSense forum

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Maurits van Baerle schreef op zaterdag 27 juni 2015 @ 13:29:
[...]

Ah, daar was ik al bang voor. De firewall zou dat by default moeten doorlaten. Als hij dat niet doet dan is het tijd voor een bugreport bij de fabrikant van de firewall met een verwijzing naar de RFC. Waarschijnlijk hebben miljoenen mensen hier last van en lijdt hun IPv6 ervaring er onder.

Het is prima veilig open te zetten, eventueel met een rate limit. OpenWRT heeft het bijvoorbeeld standaard ICMPv6 open staan maar met maximaal 1000 packets per seconde om flooding tegen te gaan.
1000pps met een thuisnetwerk gaat nog wel maar is absoluut niet werkbaar in een groter netwerk. Als je diverse ICMP6 packets dropt kan dat serieuze gevolgen hebben voor clients, zoals PtB.

Pas daar mee op.

Op het werk liep ik met IPv4 al tegen de 1000pps limiter aan met pfSense, en dan breekt er dus van alles. Tegenwoordig staat deze gewoon uit.

De icmp limiters hadden zin voordat amplification aanvallen bestonden. Het gaat tegenwoordig zoveel makkelijker om een aanval te doen door gewoon Call of Duty servers te misbruiken.

  • Maurits van Baerle
  • Registratie: maart 2001
  • Niet online
Matched: pfsense
databeestje schreef op zaterdag 27 juni 2015 @ 13:39:
[...]

1000pps met een thuisnetwerk gaat nog wel maar is absoluut niet werkbaar in een groter netwerk. Als je diverse ICMP6 packets dropt kan dat serieuze gevolgen hebben voor clients, zoals PtB.

Pas daar mee op.

Op het werk liep ik met IPv4 al tegen de 1000pps limiter aan met pfSense, en dan breekt er dus van alles. Tegenwoordig staat deze gewoon uit.

De icmp limiters hadden zin voordat amplification aanvallen bestonden. Het gaat tegenwoordig zoveel makkelijker om een aanval te doen door gewoon Call of Duty servers te misbruiken.
Klopt, maar denk je dat ESET of McAfee firewall erg grote netwerken zullen beveiligen? Daar zullen toch hooguit enkele tientallen clients achter hangen. Voor ESET en McAfee moet een default van 1000 dus best te doen zijn.

Als ze er intelligentie achter willen zetten zouden ze nog iets kunnen doen met een gemiddelde over 30 dagen nemen. Als dat gemiddelde dan van het ene op het andere moment met 200% wordt overgschreden is er waarschijnlijk sprake van een aanval.

Maar goed, inderdaad een belangrijke waarschuwing!

[Voor 14% gewijzigd door Maurits van Baerle op 27-06-2015 14:09]

Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Precies, dat is dus een grijs gebied. Juniper zegt dat ze het volgens de RFC gemaakt hebben, maar zet het Fragment bit voor alles, inclusief verkeer dat binnen de MTU valt.

In mijn geval dropt pfSense gefragmenteerd verkeer omdat pf(4) in FreeBSD 8.3 nog geen ondersteuning hiervoor had. In een nieuwere versie is het wellicht opgelost, maar dan moet er eerst weer het e.e.a. getest worden :)

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
martijnr17 schreef op woensdag 29 juli 2015 @ 15:45:
[...]


Ik ben me ook een beetje aan het verdiepen in ipv6 voor ons bedrijf. 1 hoofdlocatie en 12 kleine buitenlocaties.
En je kan natuurlijk de ip adressen gebruiken van je provider maar zeker op de hoofdlocatie wordt ik daar ook niet echt gelukkig van.
Zon PI wat zijn daar nou de nadelen van en kosten?
Hier worden de jaarlijkse kosten verrekend met de glas aansluitingen, ik zou uit moeten zoeken wat de fee is die we betalen, als deze al gespecificeerd is. We betalen ongeveer 1700 per maand voor 2 100Mbit aansluitingen met BGP. In september wordt er een nieuw opgeleverd en gaan we terug naar 1200 euro per maand, deze moet nog gegraven worden.

PI is gewoon IPv6. Ben je niet van plan om ooit van ISP te veranderen dan kan je bijvoorbeeld ook PA space aanvragen. Deze zal jouw provider dan adverteren en toekennen aan jouw aansluitingen. Maar je krijgt dan wel een aparte prefix, je kan deze alleen niet makkelijk overzetten.

De PI kan je als bedrijf blijven gebruiken, maar ben je wel vrij bij welke partij je de bandbreedte inkoopt. De tarieven daarvan verschillen nogal.

Overigens, maakt het echt uit wat voor prefix de andere aansluitingen hebben. De hoofdlocatie is hier de grotere uitzondering denk ik. Een satteliet kantoor hernummeren met ~10 pc's en een printer en een server is niet zo spannend. Waarschijnlijk veroorzaakt door het wisselen van provider oid. Als je mazzel hebt kan je uberhaupt de eigen CPE kiezen (KPN Zakelijk internet, ik kijk naar jou)
Verder zat ik ook nog in het hokje van site to site vpn wat dus geen goede oplossing is. Maar nu moet ik me dus gaan verdiepen hoe je ipsec aanzet op ipv6, niet al het verkeer tussen locaties is versleuteld dus dan wil ik over die verbindingen wel ipsec daar kan ik helaas nog weinig over vinden.
Net als met IPsec onder 4? Ik heb een IPsec IPv6 tunnel met pfSense tussen een paar locaties. Maar eerlijk gezegd gebruik ik tegenwoordig liever OpenVPN hiervoor. Dan kan ik makkelijker meer netwerken toevoegen en verwijderen. En het beheert ook een stuk prettiger.

pfSense ondersteunt OpenVPN met een dual-stack tunnel waarbij je zelf kan bepalen of je deze over een 4 of 6 drager stuurt.

In de Draytek vigor daarentegen heb ik ze niet gezien. Daar is het misschien makkelijker om firewall rules aan te maken voor de externe prefixen. Wellicht dat nieuwere kastjes dan de 2850 dit wel ondersteunen.
Heb nu ook 2 ipv6 boeken voor me liggen die ik maar rustig moet gaan doorspitten. :+
Van het boek hier heb ik maar een stukje gebruikt, toen viel het kwartje, de rest gebruik ik als naslag.

Zo is het gebruikelijke /24 - /22 LAN nu een /64.
De gateway definieer je niet meer in een config, deze kondigt zichzelf aan via een RA.
Linker 64 bits = netwerk, rechter 64 bits doet er niet toe.

Lees zeer zeker het stukje over route aggregatie, dat helpt enorm, dit ivm routeren in plaats van plat toewijzen. Route aggregatie is een ding.

Ik krijg een /48, ik buig een /52 af naar het firewall cluster, hiervan alloceer ik een /56 uit voor het DMZ, een /56 voor VPN en een /56 voor de VLAN netwerken. Hierdoor kan ik 256 netwerken (of 2 hex posities) gebruiken voor VLAN identificatie.

Door deze constructie is firewallen intern ook makkelijk, het is onderdeel van verschillende /56 prefixes.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Dat is zonder meer raar. Dan heb ik daar niet echt een verklaring voor. Overigens laat Windows standaard wel degelijk IPv6 ICMP PtB/RA/NS/RS berichten door, maar niet ECHO. Dus dat valt wel mee :)

Hopelijk laat de Fritzbox standaard wel IP6 ICMP PtB door, dat ze ECHO blokken kan ik me voorstellen. In pfSense heb ik systeem rules geprogrameerd in de code zodat mensen dit nooit kunnen blokken. Je kan dan wel weer een rule maken voor het toestaan van ECHO.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Github heb ik 2 jaar geleden al contact mee gehad, als je een IPv6 only verbinding hebt kan je dus in het geheel geen code in of uit checken. Dat vindt ik erg slecht.

Ik was toendertijd bezig met de IPv6 ontwikkeling van pfSense, en ik kon dus niet gemakkelijk pull requests doen vanaf mijn IPv6 only ontwikkel firewall. Dat is stom. Ouderwets knippen, plakken en kopieren. Niet handig.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
agresionpower schreef op donderdag 15 oktober 2015 @ 12:59:
Heeft er iemand ervaring met HSRP op ipv6?
We hebben een HSRP setup gebouwd voor een klant, hierbij moet de klant een linklocal adres als gateway opgeven als het gateway adres maar dat slikt hun apparatuur niet.
Wij kunnen echter alleen een link local adres als standby adres opgeven op de cisco 7301, of deze automagisch laten assignen.


EDIT: En dan lees ik nu net op de frontpage dat alle ziggo klanten in de toekomst DS-Lite gaan krijgen, ben benieuwd hoe dat voor mij thuis gaat uitpakken.
Daar ben ik ook tegenaan gelopen met een 2921. Een nieuwere IOS liet het wel toe om een GUA HSRP v2 aan te maken, ik weet zo snel niet welke 15.x release het is. Maar wat jij om schrijft klinkt bekend.

Dat van een link-local als gateway adres is iets waar ik bij het programmeren van pfSense ook achterkwam en nooit eerder bij stilgestaan had. Vanuit v4 ligt deze (vrijwel) altijd in hetzelfde subnet, maar dit breekt met die traditie.

  • Glashelder
  • Registratie: september 2002
  • Niet online

Glashelder

Anti Android

Matched: pfsense
IPv6 werkt hier inmiddels op vrijwel alle subnets netjes. Toch loop ik tegen een probleempje aan. Ik ben nog relatief nieuw met IPv6, dus wellicht vraag ik iets stoms :p

IPv6 werkt prima zolang de configuratie automatisch gaat (DHCPv6 of SLAAC). Ik heb problemen als ik statische adressen ga toepassen. Ik kan dan niet meer pingen naar het internet. Ik vermoed dat dit komt omdat ik geen scope ID kan opgeven bij de default gateway bij Windows. De firewall die dit geheel routeert draait op pfsense en werkt met vlans. Elk vlan heeft daarbij een standaard link-local address met een scope id. Bij autoconfiguratie zie ik dit netjes:
Link-local IPv6-adres: fe80::250:56ff:fea0:fed9%20
Ik heb vastgesteld dat er vanaf het internet wel netjes een reply komt. Die wordt door pfsense alleen niet door het betreffende vlan weer naar 'buiten' (naar het interne vlan) gestuurd. Kan dit komen doordat het scope ID ontbreekt als ik statische adressen instel?

Ik zou ten eerste niet weten hoe ik achter dit scope id kom zonder autoconfiguratie (het betreffende subnet doet niet aan RA of DHCPv6 en dan kan ik op dit moment ook niet inschakelen) en ik weet ook niet hoe ik het in Windows in kan stellen? Een link-local eindigend op %20 is blijkbaar prima acceptabel voor Windows als dat via DHCPv6 of RA binnenkomt..maar statisch? Ongeldig gateway adres! :p

PV 3015wp op oost, 2680 wp op west. pvoutput


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Zet onder de RA sectie deze in router only mode, dan werkt dit gewoon. Je kan ook het link-local adres van pfSense als gateway opgeven.

  • Glashelder
  • Registratie: september 2002
  • Niet online

Glashelder

Anti Android

Matched: pfsense
CyBeR schreef op donderdag 12 november 2015 @ 09:51:
Je geeft aannemelijkerwijs bij statische instelling geen fe80 gateway mee maar gewoon een routable IP?
Nee ik geef gaf het link-local adres op. Dat gebeurd ook bij autoconfiguratie. Gek genoeg krijg kreeg (!) ik helemaal geen ping response op het routable ip adres van pfsense op deze interface.

@databeestje: ik gaf het link-local adres van de pfsense bak op (die is hetzelfde op alle vlans op deze specifieke fysieke interface). RA staat uit. Ik wil niet dat andere hosts in dit vlan er ook maar weet hebben van dat er IPv6 beschikbaar is :p

@randomnumber: nee, ik gaf echt het LL adres van pfsense op. De Windows bak gaf ik een publiek IPv6 adres in dit vlan. Vervolgens kon ik met de packet sniffer zien dat het pakket netjes naar buiten ging en dat er ook reactie terug kwam. Deze werd alleen niet uit de LAN interface naar buiten gestuurd. Bij interfaces met autoconfig (en waarbij de clients dus een scope id meekrijgen) werkte dit wel.

Maar met een publiek IP als gateway werkt het nu blijkbaar wel. Wellicht is de IPv6-stack van deze Windows7 machine een beetje brak want als ik IP instellingen wijzig krijg ik nu ineens de vraag of ik wil herstarten :')

PV 3015wp op oost, 2680 wp op west. pvoutput


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Glashelder schreef op donderdag 12 november 2015 @ 10:16:
[...]

@databeestje: ik gaf het link-local adres van de pfsense bak op (die is hetzelfde op alle vlans op deze specifieke fysieke interface). RA staat uit. Ik wil niet dat andere hosts in dit vlan er ook maar weet hebben van dat er IPv6 beschikbaar is :p
Je kan veilig Router only aanzetten, dat heb ik namelijk ook op een paar van de vlans hier, alleen servers met een statisch adres pikken uiteindelijk de router op. De rest configureerd geen IPv6 adres automatisch.

  • moppentappers
  • Registratie: februari 2008
  • Laatst online: 10:11
Matched: pfsense
Ik zit met hetzelfde probleem, ook een back-up verbinding en bijna geen modem te vinden die gewoon niets meer doet dan moduleren de PPoE sessie opzetten, zodat ik daarachter verder gewoon pfsense of iets anders kan gebruiken.

  • moppentappers
  • Registratie: februari 2008
  • Laatst online: 10:11
Matched: pfsense
Die heb ik nu staan, alleen ik heb daarmee het niet werkend gekregen, je kan PPoE passthrough doen, maar ik kreeg pfsense dan niet zover om de sessie op te zetten en ook met de functie om een bepaald MAC adres in DMZ te zetten zorgde voor timeouts.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Ik wacht stilletjes af tot mijn pfSense achter een bridge modem een prefix oppikt. Misschien gaat dat nog vlot gebeuren als deze uitrol voorspoedig gaat.

Op een gegeven moment gooien ze die knop wel om. Ook handig voor de mensen die nog een motorola surfboard hebben.

  • Zsub
  • Registratie: juli 2006
  • Laatst online: 26-11 16:11
Matched: pfsense
databeestje schreef op zaterdag 20 februari 2016 @ 22:58:
Ik wacht stilletjes af tot mijn pfSense achter een bridge modem een prefix oppikt. Misschien gaat dat nog vlot gebeuren als deze uitrol voorspoedig gaat.

Op een gegeven moment gooien ze die knop wel om. Ook handig voor de mensen die nog een motorola surfboard hebben.
Volgens mij zijn de Ubee's zonder wifi de oudste modems die Ziggo uitgegeven heeft die überhaupt een kans maken, omdat IPv6-ondersteuning pas bij DOCSIS3 gekomen is, en die Surfboards DOCSIS2 modems zijn.

  • Maurits van Baerle
  • Registratie: maart 2001
  • Niet online
Matched: pfsense
databeestje schreef op zaterdag 20 februari 2016 @ 22:58:
Ik wacht stilletjes af tot mijn pfSense achter een bridge modem een prefix oppikt. Misschien gaat dat nog vlot gebeuren als deze uitrol voorspoedig gaat.

Op een gegeven moment gooien ze die knop wel om.
Hoe beperkend is die Router Mode in de verschillende Ziggo modems?

Zou je bijvoorbeeld het modem terug in Router Mode kunnen laten zetten, zelf de router er achter in de DMZ van het Ziggo modem kunnen zetten, misschien wat met Static Routes aan de slag gaan en de router er achter publieke IP adressen uit de PD kunnen laten uitdelen? Dan zou je met een eigen router toch nu al gebruik kunnen maken van IPv6.

Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic


  • Dutch2007
  • Registratie: september 2005
  • Laatst online: 13:26
Matched: pfsense
databeestje schreef op zaterdag 20 februari 2016 @ 22:58:
Ik wacht stilletjes af tot mijn pfSense achter een bridge modem een prefix oppikt. Misschien gaat dat nog vlot gebeuren als deze uitrol voorspoedig gaat.

Op een gegeven moment gooien ze die knop wel om. Ook handig voor de mensen die nog een motorola surfboard hebben.
Als die mensen bellen naar ziggo, krijgen ze gewoon gratis een ubee/cisco

Zet 't beesie in bridge mode heb je meer snelheid voor zelfde geld ;-) (wel mogelijk pas later IPv6) 8)7

  • Pixelmagic
  • Registratie: september 2002
  • Laatst online: 15:38

Pixelmagic

Ubergeek

Matched: pfsense
Orion84 schreef op donderdag 03 maart 2016 @ 15:21:
Gezien de conversatie die ik met webcare had, kan het goed zijn dat regio den bosch (en wellicht nog meer) vorige week per ongeluk werd aangezet en inmiddels weer is uitgezet.
Dan zijn ze meer per ongeluk aan het aanzetten, maandag de functies beschikbaar in firmware, vandaag zie ik in het modem een ipv6 nummer staan, en nu inderdaad een 2001 nummer.

Nu eens uitzoeken hoe ik mijn pfsense daar mee om kan laten gaan.

PVoutput van mijn 4950Wp


  • martijnr17
  • Registratie: november 2000
  • Nu online
Matched: pfsense
databeestje schreef op donderdag 12 mei 2016 @ 10:29:
[...]

Klinkt alsof er ergens PtB berichten geblokt worden waardoor gefragmenteerde pakketten gedropt worden en niet aankomen. De lijn van Routit heeft zeker een andere MTU dan de Ziggo verbinding (geen 1500 bytes)

Gebruik je iets in de vorm van NAT66 NPt om beide verbindingen gelijktijdig te gebruiken?
Ja klopt. NAT npt met pfsense. Ziggo is kabel, Routit is glasvezel.
Als er 1 verbinding uit klapt dan zou dit de ip reeks omzetten. De standaard lijn is wel Routit.

[Voor 4% gewijzigd door martijnr17 op 12-05-2016 11:09]


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
martijnr17 schreef op donderdag 12 mei 2016 @ 10:43:
[...]


Ja klopt. NAT npt met pfsense. Ziggo is kabel, Routit is glasvezel.
Als er 1 verbinding uit klapt dan zou dit de ip reeks omzetten. De standaard lijn is wel Routit.
Je kan in dat geval een gateway group aanmaken zodat je met policy routing specifieke dingen over bepaalde lijnen kan sturen, het werkt in dat opzicht vergelijkbaar als de IPv4 situatie. Je kan meerdere gateway groups aanmaken met verschillende methoden zoals failover en round-robin.

Thuis gebruik ik het in combinatie met een HE.net en Sixxs tunnel, daar heb ik oorspronkelijk de NPt implementatie mee geschreven, de pagina in de UI had ik echter nooit afgemaakt. Ik weet niet of deze in middels beter input validatie heeft O-)

  • martijnr17
  • Registratie: november 2000
  • Nu online
Matched: pfsense
databeestje schreef op donderdag 12 mei 2016 @ 10:51:
[...]

Je kan in dat geval een gateway group aanmaken zodat je met policy routing specifieke dingen over bepaalde lijnen kan sturen, het werkt in dat opzicht vergelijkbaar als de IPv4 situatie. Je kan meerdere gateway groups aanmaken met verschillende methoden zoals failover en round-robin.

Thuis gebruik ik het in combinatie met een HE.net en Sixxs tunnel, daar heb ik oorspronkelijk de NPt implementatie mee geschreven, de pagina in de UI had ik echter nooit afgemaakt. Ik weet niet of deze in middels beter input validatie heeft O-)
Er zijn ook gateway groepen, voor ons lan gaat als het verkeer standaard over Routit en wlan over Ziggo. Ik kan natuurlijk een regel maken dat kb.vmware specifiek over Ziggo gaat maar dan is het probleem er eigenlijk nog. Even zoeken in het npt en mtu verhaal dan maar. Heb express bij ons op pfsense al het icmp verkeer enzo al open zodat dat goed werkt.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
martijnr17 schreef op donderdag 12 mei 2016 @ 10:56:
[...]


Er zijn ook gateway groepen, voor ons lan gaat als het verkeerd standaard over Routit en wlan over Ziggo. Ik kan natuurlijk een regel maken dat kb.vmware specifiek over Ziggo gaat maar dan is het probleem er eigenlijk nog. Even zoeken in het npt en mtu verhaal dan maar. Heb express bij ons op pfsense al het icmp verkeer enzo al open zodat dat goed werkt.
Ah, duidelijk.

NPt heeft geen invloed op de MTU, er zit een router in het netwerkpad via Routit dit PtB berichten blokt waardoor pakketten gedropt worden. Wellicht dat je met mtr hier beter kan zien waar het mis gaat. Door een pakketgrote mee te geven kan je de resultaten vergelijken.

  • martijnr17
  • Registratie: november 2000
  • Nu online
Matched: pfsense
Testing packet size: 1500
Result: no PMTUD problems detected

Bij beide verbindingen.

Ik heb ook nog even een windows 7 machine direct aangesloten op de router. Dus geen pfsense geen firewall niets. En daar is hetzelfde probleem.

[Voor 22% gewijzigd door martijnr17 op 12-05-2016 11:59]


Acties:
  • 0Henk 'm!

  • kabski
  • Registratie: oktober 2007
  • Laatst online: 27-11 16:12
Matched: pfsense
Je hebt gelijk dat het qua aantal IP's al gauw genoeg is met minder dan een /64 (bijvoorbeeld /96), maar IPv6 wordt in de praktijk heel lastig als je met kleinere subnetten gaat werken. Het werkt dan gewoon niet lekker meer.

Voorbeeld, als je de /64 die je van TransIP krijgt zelf gaat opdelen in meerdere /96's, dan krijg je problemen die vergelijkbaar zijn met het opdelen van een IPv4 /24 in meerdere /28's terwijl de andere kant denkt dat het een /24 is. Met hacks als proxy ARP lukt dat wel, maar voor het IPv6 equivalent daarvan (Neighbor Discovery) is geen proxy in bijvoorbeeld pfSense.

Als je het aan de VPS kant al werkend krijgt dan kun je aan de thuiskant geen SLAAC meer gebruiken (dan valt heel IPv6 voor Android al af), CPE routers zoals die van Apple verwachten een /64, etc., etc.

De problemen zijn allemaal eenvoudig op te lossen als je ieder VLAN een hele /64 kan geven. Dat kan als de VPS bijvoorbeeld een echte /48 of /56 heeft, maar die heb ik nog niet kunnen vinden.

Acties:
  • 0Henk 'm!

  • kabski
  • Registratie: oktober 2007
  • Laatst online: 27-11 16:12
Matched: pfsense
CAPSLOCK2000 schreef op donderdag 26 mei 2016 @ 01:51:
Ik huur een vm'tje met daarbij een ipv6-range. Een blokje daaruit tunnel ik door naar mij thuis. Maar ja, eigenlijk is dat het probleem verplaatsen, niet oplossen. Eigenlijk wat sixxs & he doen maar dan onder eigen beheer.
zx9r_mario schreef op vrijdag 27 mei 2016 @ 14:34:
Hoe heb je dat precies aangepakt? Zit nu ook bij Sixxs maar ik las dat die gaan stoppen cq afbouwen.
Ik heb deze week gezocht naar een provider die een VPS kon leveren met routed IPv6 subnet, en heb die gevonden bij BIT.nl. Het was voor hen geen enkel probleem om een VPS te leveren met een IPv4- en IPv6-adres, en daarnaast een gerouteerd /48 IPv6 subnet.

Inmiddels heb ik met pfSense op de VPS een paar werkende 6in4 tunnels opgezet (GIF), naar een andere pfSense en ook naar een Apple Airport Extreme router. Ik ga het ook nog in Linux proberen met de tips (link, link) van @CAPSLOCK2000.

[Voor 8% gewijzigd door kabski op 03-06-2016 00:06. Reden: links toegevoegd]


Acties:
  • +1Henk 'm!

  • Compizfox
  • Registratie: januari 2009
  • Laatst online: 16:42

Compizfox

Bait for wenchmarks

Matched: pfsense
Kees schreef op donderdag 07 juli 2016 @ 10:02:
[...]

1220 is volgens mij de juiste waarde :)
Bedankt. Ik heb me nog even ingelezen over MTU, MSS en 6in4. Als ik het goed begrijp:

De MTU is de maximale grootte van een IP-pakket, en is, op het internet, 1500 bytes.

De MSS is de maximale grootte van de payload op TCP-level en is gelijk aan je MTU - IP header size - TCP header size. Voor IPv4 is dat dus MTU - 20 - 20 en voor IPv6 is dat MTU - 40 - 20.

6in4 encapsuleert een IPv6-pakket binnenin een IPv4-pakket. De MTU van het IPv6-pakket is daarmee dus 1500 - 20, omdat de IPv4-header 20 bytes is. De maximale MTU die SixXS ondersteunt is dus 1480.

De MSS is hier dan 1480 - 40 - 20 = 1420.

Klopt dat zo een beetje? :)



Ik heb dus de MTU van mijn tunnel zowel bij SixXS als aan mijn kant op 1480 gezet (was eerst 1280).

Daarnaast staat in pfSense als uitleg bij MSS clamping: "If a value is entered in this field, then MSS clamping for TCP connections to the value entered above minus 40 (TCP/IP header size) will be in effect.".

Met andere woorden, van het getal wat je hier invult wordt 40 bytes afgetrokken. Zal wel als 'handigheidje' zijn, want op die manier kun je gewoon je MTU invullen en hoef je niet zelf de MSS te berekenen. Voor IPv4 tenminste, want voor IPv6 klopt dat niet, want voor IPv6 moet je 60 bytes aftrekken.

Ik heb in dat vakje dus maar 1460 ingevuld. Daar wordt 40 bytes vanaf getrokken (omdat pfSense uitgaat van IPv4), waardoor ik uitkom op de correcte MSS van 1420.

En hiermee lijkt het te werken, want nu kan ik breda.nl gewoon bereiken terwijl dat niet lukt zonder MSS clamping :)

Acties:
  • 0Henk 'm!

  • Gogol
  • Registratie: juni 2001
  • Laatst online: 24-11 20:49
Matched: pfsense
Compizfox schreef op donderdag 07 juli 2016 @ 18:47:
[...]

Bedankt. Ik heb me nog even ingelezen over MTU, MSS en 6in4. Als ik het goed begrijp:

De MTU is de maximale grootte van een IP-pakket, en is, op het internet, 1500 bytes.

De MSS is de maximale grootte van de payload op TCP-level en is gelijk aan je MTU - IP header size - TCP header size. Voor IPv4 is dat dus MTU - 20 - 20 en voor IPv6 is dat MTU - 40 - 20.

6in4 encapsuleert een IPv6-pakket binnenin een IPv4-pakket. De MTU van het IPv6-pakket is daarmee dus 1500 - 20, omdat de IPv4-header 20 bytes is. De maximale MTU die SixXS ondersteunt is dus 1480.

De MSS is hier dan 1480 - 40 - 20 = 1420.

Klopt dat zo een beetje? :)



Ik heb dus de MTU van mijn tunnel zowel bij SixXS als aan mijn kant op 1480 gezet (was eerst 1280).

Daarnaast staat in pfSense als uitleg bij MSS clamping: "If a value is entered in this field, then MSS clamping for TCP connections to the value entered above minus 40 (TCP/IP header size) will be in effect.".

Met andere woorden, van het getal wat je hier invult wordt 40 bytes afgetrokken. Zal wel als 'handigheidje' zijn, want op die manier kun je gewoon je MTU invullen en hoef je niet zelf de MSS te berekenen. Voor IPv4 tenminste, want voor IPv6 klopt dat niet, want voor IPv6 moet je 60 bytes aftrekken.

Ik heb in dat vakje dus maar 1460 ingevuld. Daar wordt 40 bytes vanaf getrokken (omdat pfSense uitgaat van IPv4), waardoor ik uitkom op de correcte MSS van 1420.

En hiermee lijkt het te werken, want nu kan ik breda.nl gewoon bereiken terwijl dat niet lukt zonder MSS clamping :)
Bedankt voor dit verhaal. Zover had ik nog niet gezocht. Ik had alleen de voorbeelden van pfSense gebruikt en daar stond helemaal geen MTU waarde ingevuld, dus die stond nog op 1500. Dit werkte dus kennelijk alleen niet bij www.breda.nl
Verder redenerend heb ik dus nu alleen een MTU van 1480 ingevuld en omdat pfSense daar toch automatisch 40 vanaf trekt heb ik MSS leeg gelaten. De 20 bytes header size hoeft dus niet nog een keer afgetrokken te worden omdat die al in 1500-1480 zit.
Nu werkt www.breda.nl weer!

Oh nee, het werkte dus niet. Dus toch maar 1480 MTU en 1420 MSS ingevuld

iRacing


Acties:
  • 0Henk 'm!

  • Compizfox
  • Registratie: januari 2009
  • Laatst online: 16:42

Compizfox

Bait for wenchmarks

Matched: pfsense
Gogol schreef op vrijdag 08 juli 2016 @ 11:39:
[...]

Bedankt voor dit verhaal. Zover had ik nog niet gezocht. Ik had alleen de voorbeelden van pfSense gebruikt en daar stond helemaal geen MTU waarde ingevuld, dus die stond nog op 1500. Dit werkte dus kennelijk alleen niet bij www.breda.nl
Verder redenerend heb ik dus nu alleen een MTU van 1480 ingevuld en omdat pfSense daar toch automatisch 40 vanaf trekt heb ik MSS leeg gelaten. De 20 bytes header size hoeft dus niet nog een keer afgetrokken te worden omdat die al in 1500-1480 zit.
Nu werkt www.breda.nl weer!

Oh nee, het werkte dus niet. Dus toch maar 1480 MTU en 1420 MSS ingevuld
pfSense trekt geen 40 bytes van je MTU af; wat je daar invult is gewoon de MTU van je tunnel. Je moet daar dus hetzelfde instellen als aan de 'andere kant' van je tunnel. Bij SixXS staat dat by default op 1280 bytes, maar je kunt het op 1480 (het maximum) zetten.

De reden dat het alleen op breda.nl (en een paar andere sites) niet werkt, is omdat hun sysadmins incompetent zij en ICMP blokkeren. Hierdoor is hun website een "PMTUD blackhole" omdat de ICMP "Packet too big" messages nooit aankomen.

Dit kun je op twee manieren oplossen: op alle apparaten in je netwerk handmatig de MTU verlagen, of MSS clamping op je router toepassen. Het eerste vind ik niet zo'n mooie oplossing omdat je dit op elk apparaat moet toepassen, en op sommige apparaten gaat het überhaupt niet (telefoons en tablets). Het alternatief is MSS clamping; een 'hack' die de MSS van alle TCP-pakketjes die over de interface gaan aanpast met de lagere MTU.

Van het vakje "MSS" trekt pfSense dan wel weer 40 bytes af.

Meer info: http://www.madore.org/~david/weblog/d.2011-11-22.1966.html
En een filmpje: http://stream.ipspace.net...0TCP%20MSS%20Clamping.mp4

[Voor 15% gewijzigd door Compizfox op 08-07-2016 14:18]


  • Compizfox
  • Registratie: januari 2009
  • Laatst online: 16:42

Compizfox

Bait for wenchmarks

Matched: pfsense
juan schreef op woensdag 13 juli 2016 @ 19:54:
Dank voor alle antwoorden, echter kreeg ik het wel werkend met mijn Airport Extreme (na enige instellingen aangegeven door Hurricane) (nu heb ik dus een archer ipv airport extreme)

Toen kon ik dus ipv6 websites bezoeken, met een tunnel van Hurricane.

Maar dan zal ik de vraag anders stellen.
Hoe kan ik gebruik maken van de 6to4 tunnel functie in de Archer?
Kan ik op deze manier via de Archer gebruik maken van ipv6, als ik geen native ipv6 heb?
Goede vraag. Ik ken 6to4 alleen 'uit de boeken', ik heb geen idee of het nog operationeel is en hoe het in de praktijk werkt. Iemand anders die daar meer over weet misschien?

Je moet je ook de vraag stellen waarom je graag IPv6 wilt. Met 6to4 krijg je namelijk niet een eigen /64 of /48 aan IPv6-adressen. En er zijn geen websites die alleen over IPv6 bereikbaar zijn, dus dat is ook geen reden.

Als je van je HE-tunnel gebruik wilt maken kun je het beste OpenWRT op je router flashen. Die heeft wel support voor 6in4. Een andere mogelijkheid is om niet je router, maar een ander device te gebruiken als IPv6-router (dat hoeft niet perse op je 'echte' router). Als je bijvoorbeeld een NAS, homeserver of RPi hebt, kun je die gebruiken.


Raven schreef op woensdag 13 juli 2016 @ 19:54:
[...]

Lijkt erop van niet, blijft maar laden, er verschijnt niets. IPvFox geeft daarbij geen IP-adres aan. Maar dit is ander gedrag dan die andere site, daar kreeg ik nog wel een keer een foutmelding. Nu blijft het laden al ruim een minuut doorgaan.
Vreemd dat je bij die andere site een foutmelding kreeg. Bij PMTUD-blackholes blijft de site inderdaad oneindig laden, omdat de TCP-handshake gewoon voltooid wordt, maar er na de handshake geen pakketten meer binnenkomen.
Zodra de opvolger van de router-pc in gebruik is maar eens naar kijken, de huidige draait IPFire en die ondersteund officieel niet eens IPv6 (niet dat het niet werkend te krijgen is O-) ), dus de kans dat daar zoiets ingesteld kan worden lijkt mij vrij klein. De opvolger draait Ubuntu Server, daar zal dat denk ik geen probleem zijn.
IPFire gebruikt gewoon netfilter/iptables toch? Als je custom iptables-rules kunt maken kun je gewoon MSS clamping toepassen.

Al gekeken naar pfSense voor je nieuwe router-OS? Bevalt goed hier.

  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

Matched: pfsense
Compizfox schreef op woensdag 13 juli 2016 @ 21:36:
[...]

Vreemd dat je bij die andere site een foutmelding kreeg. Bij PMTUD-blackholes blijft de site inderdaad oneindig laden, omdat de TCP-handshake gewoon voltooid wordt, maar er na de handshake geen pakketten meer binnenkomen.

[...]

IPFire gebruikt gewoon netfilter/iptables toch? Als je custom iptables-rules kunt maken kun je gewoon MSS clamping toepassen.

Al gekeken naar pfSense voor je nieuwe router-OS? Bevalt goed hier.
Zou het dan toch een ander probleem zijn?

pfSense heb ik oorspronkelijk gebruik van gemaakt, toen deze ook nog geen IPv6 ondersteunde :+ Helaas zorgde pfSense ervoor dat mijn ISP de verbinding afsloot en de *BSD wifi-drivers waren bagger, bij IPFire (Linux) geen last van.

Ehm, geen idee hoe IPFire onder de motorkap precies werkt (wel gewoon iptables). Maar ik ga binnenkort toch over naar Ubuntu Server, dan maar eens naar kijken :)

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Er is nog een bijkomende factor, veel randapparatuur die ik hier heb heeft maar 1 IPv6 invoerveld, dus moet er gekozen worden wat je invult. Zo zijn er allerlei praktische kantjes die het compliceren.

Spullen eerst met ULA aansluiten, dan toch een publiek adres nodig hebben (want internet toegang nodig) en alsnog omnummeren.

Het onderhouden van *nog* een routetabel naast de IPv6 GUA en de IPv4 route tabel zag ik niet zitten, dat is allemaal nog meer werk waar ik niet op zat te wachten. Het omnummeren is wel redelijk wat werk, maar een end makkelijker en overzichtelijker dan met IPv4 en NAT. Met Ipv6 ervaar ik het gewoon als het vervangen van de prefixen op de rules en hosts. Dat is iets wat je kan scripten of automatiseren.

@Hipska
Welkom in de kantooromgeving wereld waar er soms interne DNS records bestaan op het publieke internet om dat sommige netwerken "stom" zijn en niet van onze interne DNS gebruik maken, maar wel nodig hebben. (coltex-term1.coltex.nl b.v.)

Iets met sub-optimale situaties enzo...

In pfSense heb je de command prompt interface waarme je makkelijk massa mutaties kan doen als je PHP kent. Als je dat niet hebt, dan download je de XML config en doe je een search/replace op de prefix. Heeft jouw firewall geen leesbare config?!

  • Hipska
  • Registratie: mei 2008
  • Laatst online: 17:45
Matched: pfsense
databeestje schreef op dinsdag 19 juli 2016 @ 11:04:
Er is nog een bijkomende factor, veel randapparatuur die ik hier heb heeft maar 1 IPv6 invoerveld, dus moet er gekozen worden wat je invult. Zo zijn er allerlei praktische kantjes die het compliceren.

Spullen eerst met ULA aansluiten, dan toch een publiek adres nodig hebben (want internet toegang nodig) en alsnog omnummeren.
Daar heb je wel een punt, maar doen die ook geen SLAAC?
In pfSense heb je de command prompt interface waarme je makkelijk massa mutaties kan doen als je PHP kent. Als je dat niet hebt, dan download je de XML config en doe je een search/replace op de prefix. Heeft jouw firewall geen leesbare config?!
Ja dat wel, en meeste bedrijven vast ook wel. Maar ik had het ook niet over MIJN firewall, en het is alvast niet zo evident als sommigen hier durven beweren. Het is dus een manuele taak buiten de UI of normale configuratie om. En daarna nog voor alle vaste hosts en/of DNS records ook. Er komt dus heel wat bij kijken en dat zien de kleine bedrijfjes niet zitten.

Bitcoin.de


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Hipska schreef op dinsdag 19 juli 2016 @ 17:24:
[...]

Daar heb je wel een punt, maar doen die ook geen SLAAC?
Sommige wel, maar anderen weer niet, of alleen maar SLAAC en geen DHCP6 oid. Of een combinatie van alle waarbij je proefondervindelijk vaststelt welk adres gebruikt wordt en inkomend verkeer toestaat.
[...]

Ja dat wel, en meeste bedrijven vast ook wel. Maar ik had het ook niet over MIJN firewall, en het is alvast niet zo evident als sommigen hier durven beweren. Het is dus een manuele taak buiten de UI of normale configuratie om. En daarna nog voor alle vaste hosts en/of DNS records ook. Er komt dus heel wat bij kijken en dat zien de kleine bedrijfjes niet zitten.
Yup, dat is helemaal waar. Er is binnen pfSense wel gesproken over het definieren van *de* prefix die dan op de rest van het systeem gebruikt kan worden. Maar zoals wel vaker komt er veel meer bij kijken, zoals vreemde lengtes enzo (Videotron Canada gebruikt 6RD met 17 bits bijvoorbeeld). En dat geeft dan ook weer bijzondere resultaten.

Jouw voorstel is 3 jaar geleden al langs gekomen maar helaas nog door niemand geimplementeerd. Ik denk ook niet meer dat ik er aan toe ga komen.

  • Hipska
  • Registratie: mei 2008
  • Laatst online: 17:45
Matched: pfsense
Zolang iets dergelijks op de meeste configuraties niet mogelijk is, zullen al die kleine bedrijfjes ook niet overstappen, want ze hebben geen nood aan IPv6 en het is in hun ogen extra werk en daarbovenop ingewikkelder bij eventuele ISP switch, en andere situaties.

Spijtig dat het zo moet lopen, en dat terwijl IPv6 toch al best lang bestaat. Je haalt het voorbeeld zelf al aan bij bv pfSense, waar iets dergelijks al 3 jaar op verlanglijst staat.

Bitcoin.de


  • Snow_King
  • Registratie: april 2001
  • Laatst online: 27-11 08:54
Matched: pfsense
Hipska schreef op woensdag 20 juli 2016 @ 12:45:
Zolang iets dergelijks op de meeste configuraties niet mogelijk is, zullen al die kleine bedrijfjes ook niet overstappen, want ze hebben geen nood aan IPv6 en het is in hun ogen extra werk en daarbovenop ingewikkelder bij eventuele ISP switch, en andere situaties.

Spijtig dat het zo moet lopen, en dat terwijl IPv6 toch al best lang bestaat. Je haalt het voorbeeld zelf al aan bij bv pfSense, waar iets dergelijks al 3 jaar op verlanglijst staat.
Dan doen ze dat toch niet? Ik kan er niet zo wakker van liggen als iemand in zijn netwerk geen IPv6 heeft. Zolang mijn ISP en de diensten op het internet maar IPv6 bereikbaar zijn vind ik het prima.

Sorry, maar ik vind het persoonlijk nogal geneuzel om het af te schuiven als 'te lastig' en het dan maar niet te implementeren.

De wereld gaat verder en je moet bij blijven. Doe je dat niet, dan zit je daar straks met je IPv4-only netwerk en allemaal hele lastige CGNAT constructies.

Nog een groot CDN op deze wereld zet IPv6 aan: https://www.fastly.com/bl...limited-availability-ipv6

  • randomnumber
  • Registratie: januari 2014
  • Laatst online: 09-06-2020
Matched: pfsense
Ik heb nu een pfsense firewall draaien, echter de IPv6 verbinding valt na x aantal uren weg. Iemand ervaring hiermee? ISP Xs4all.

De default route is nog hetzelfde, MTU ook. Adres via prefix delegation dus verwacht ik dat de sessie met xs4all actief blijft. De pfsense box zit achter een vdsl modem (vigor 130). Rebooten lost het niet op.

[Voor 13% gewijzigd door randomnumber op 22-08-2016 11:16]


  • mauricej
  • Registratie: augustus 2012
  • Laatst online: 14:12
Matched: pfsense
randomnumber schreef op maandag 22 augustus 2016 @ 11:14:
Ik heb nu een pfsense firewall draaien, echter de IPv6 verbinding valt na x aantal uren weg. Iemand ervaring hiermee? ISP Xs4all.

De default route is nog hetzelfde, MTU ook. Adres via prefix delegation dus verwacht ik dat de sessie met xs4all actief blijft. De pfsense box zit achter een vdsl modem (vigor 130). Rebooten lost het niet op.
Je moet de prefix om de zoveel tijd opnieuw aanvragen met dhcp6, anders stopt de routering vanuit XS4ALL naar jouw kant.

  • RedShift
  • Registratie: augustus 2003
  • Laatst online: 21-10 09:58
Matched: pfsense
randomnumber schreef op dinsdag 23 augustus 2016 @ 16:19:
[...]


Daar lijkt het inderdaad op, het werkt op dit moment nog steeds gelukkig. Ik denk dat ik de delegation ga verplaatsen naar een dummy interface ipv mijn lan interface zodat ik zelf mijn eigen gekozen subnet kan invoeren, want hoewel er staat dat ik zelf een prefix kan opgeven lijkt dit na vele uren niet te werken.
Het zou ook dit kunnen zijn? https://redmine.pfsense.org/issues/6691

  • Phyt_
  • Registratie: oktober 2009
  • Laatst online: 18:15

Phyt_

Steam ID: Phyt

Matched: pfsense
Roetzen schreef op vrijdag 18 november 2016 @ 22:26:
[...]

Het ip adres van de buitenkant van wat? Je router? Dan gaat het niet werken. Als je een router tussen je Win10 machine en de buitenwereld heb, kun je het tunneleindpunt niet op je Win10 machine installeren. Je moet de tunnel op je router laten eindigen.
Ai dat is jammer, ik had gehoopt vanaf mijn endpoint dat te kunnen doen :(.
Ik heb op dit moment nog een experia box v8 er tussen zitten dus daar kan kan ik niks op instellen dat is jammer.
Komt hij op de to do list als ik mijn pfsense weer in gebruik heb genomen.
Ondertussen maar de certificering doorlopen ;).
Wat niet gaat zonder tunnel :\

You know you ve played warcraft III too much when.... Your sitting next to a guy at the busstop waiting for a bus, and he stands up before the bus gets there, and you claim that hes map hacking


  • ibodar
  • Registratie: maart 2005
  • Laatst online: 24-05 19:31
Matched: pfsense
bartvb schreef op woensdag 7 december 2016 @ 08:52:
Maar weet jij zeker dat jij met het ZZP Pro Plus 5 IP adressen hebt?
Thuis/kantoor: heb ik zakelijk de beschikking over een Openstack private cloud i.c.m. pfSense als firewall/router. Zakelijk en privé internet gebruik is gescheiden van elkaar.

Tijdens oplevering van het ZZP pakket bleek dat pfSense niet kon samenwerken met het standaard ZZP pakket. Ziggo (UPC toen nog) gebeld en bleek dat dat alleen mogelijk was, wanneer er 5 vaste IPv4 adressen afgenomen werd à 10 euro/maand/5 IPv4 adressen. Derhalve de bijzondere combinatie van mijn totale ZZP Pro Plus pakket. Standaard is inderdaad een ZZP pakket met 1 enkele vaste IPv4 adres.

Verder volledig eens met je opmerkingen en bedankt voor je terugkoppeling!

==> Ik ga gewoon een Connect MKB Pro pakket aanvragen en kijken wat er gebeurd c.q. opgeleverd gaat worden. Nee heb ik al. Tijdens het gesprek/aanvraagprocedure laat ik het IPv6 'vastleggen'. Zit in fUPC (woonachtig onder Rotterdam) gebied en ben derhalve ontzettend benieuwd. Zal laten weten over de ins en outs in ditzelfde topic. Fingers crossed.


Voor de beeldvorming. Van origine kom ik uit de Bioinformatica en Project, Programma en Portfolio Management wereld i.c.m. Business Intelligence en Big Data. Ik ben mijn ZZP-schap gedeeltelijk aan het afbouwen en mijn B.V. aan het omvormen om de zorg- en onderwijssector o.b.v. mijn originele expertises te verrijken/verwelkomen ;) i.c.m. data science/Internet of Things (eigenlijk Array of Things) en machine learning. Vandaar de noodzaak om proactief te investeren in IPv6.
Niet alleen louter vanuit zakelijk perspectief, maar helaas ook uit opgedane privé ervaring inzake hoogcomplexe intensieve kindzorg. Mijn huis is 'bijna letterlijk' een academisch ziekenhuis incl. de externe hulpverleners m.b.t. intensive care verplaatste zorg thuis/school.
Persoonlijk ben ik me ongelooflijk lam geschrokken (understatement van de eeuw) van de huidige invulling van de zorg- en onderwijssector in Nederland.

[Voor 59% gewijzigd door ibodar op 07-12-2016 12:45]


  • Ascension
  • Registratie: september 2008
  • Nu online
Matched: pfsense
ibodar schreef op woensdag 7 december 2016 @ 12:19:
[...]


Thuis/kantoor: heb ik zakelijk de beschikking over een Openstack private cloud i.c.m. pfSense als firewall/router. Zakelijk en privé internet gebruik is gescheiden van elkaar.

Tijdens oplevering van het ZZP pakket bleek dat pfSense niet kon samenwerken met het standaard ZZP pakket. Ziggo (UPC toen nog) gebeld en bleek dat dat alleen mogelijk was, wanneer er 5 vaste IPv4 adressen afgenomen werd à 10 euro/maand/5 IPv4 adressen. Derhalve de bijzondere combinatie van mijn totale ZZP Pro Plus pakket. Standaard is inderdaad een ZZP pakket met 1 enkele vaste IPv4 adres.
Waarom kon pfSense niet met het standaard pakket overweg? Je modem in bridge mode en pfSense op DHCP zou toch gewoon moeten werken?

Heb overigens wel 10 euro per maand over voor een IPv4 /29 en een IPv6 /48. Ben benieuwd of ze dit nog steeds bieden of dat ik moet upgraden naar een MKB pakket (welke een stuk duurder zijn).

  • ibodar
  • Registratie: maart 2005
  • Laatst online: 24-05 19:31
Matched: pfsense
Ascension schreef op woensdag 7 december 2016 @ 12:44:
[...]


Waarom kon pfSense niet met het standaard pakket overweg? Je modem in bridge mode en pfSense op DHCP zou toch gewoon moeten werken?

Heb overigens wel 10 euro per maand over voor een IPv4 /29 en een IPv6 /48. Ben benieuwd of ze dit nog steeds bieden of dat ik moet upgraden naar een MKB pakket (welke een stuk duurder zijn).
Ziggo laat dat dus juist niet toe zonder het afnemen van extra IPv4 adressen ....uiteraard was ik daar nou niet echt rouwig om. M.a.w. extra IPv4 adressen afnemen == modem/router in bridge mode. Dat was de situatie in juni 2015.

O.b.v. https://partners.ziggozakelijk.nl/producten/internet_en_alles_in_1/connect_zzp_alles-in-1/ Ik heb de Hitron.
Connect ZZP

U krijgt internet inclusief een modem met routerfunctionaliteit. Deze krijgt u in bruikleen, u hoeft er dus geen te kopen. U krijgt een Hitron of een Technicolor modem. Welke u krijgt hangt af van waar u gevestigd bent. Op onze modems zit state of the art wifi (2,4 en 5 GHz) en vier ethernetpoorten (1 Gb/s per poort).
Merk op: IPv6 is een ander verhaal. Wat ik nu begrijp heb je daar dan weer echt het Connect MKB pakket voor nodig. Alleen Ziggo beaamt dat dan weer niet....

O.b.v. https://partners.ziggozakelijk.nl/support/contact/veelgestelde_vragen/ dan juist weer wel (Bedankt bartvb!)
Connect MKB
..
Hoeveel IP-adressen worden geleverd?
U krijgt standaard de beschikking over acht ( 8 ) publieke IPv4 adressen waarvan u er effectief vijf (5) zelf kunt gebruiken (/29) subnet. Tevens wordt er een IPv6 (/48) subnet meegeleverd.
UPDATE (8 december 2016)
Zojuist Sales van Ziggo aan de telefoon gehad i.v.m. het afsluiten van een Connect MKB pakket. Als het al geleverd wordt in:
  • fUPC gebied ==> Dual Stack Lite en wordt het totaal niet zakelijk ondersteund.
  • fZiggo gebied ==> Dual Stack. Zakelijke ondersteuning onbekend.
In mijn gebied (fUPC; Zuid-Holland zuid) wordt IPv6 DS-Lite sowieso niet aangeboden!
Ziggo gaf tevens aan dat IPv6 niet op afzienbare termijn geleverd/officieel ondersteund gaat worden in Nederland 8)7 :? :F

Verhuizen naar een glasvezel gebied ... ?

[Voor 37% gewijzigd door ibodar op 08-12-2016 21:54]


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Op pfSense 2.1 heb ik de wide-dhcp6 client gebruikt, maar de API interface was uiterst sumier, ik kreeg van de client geen bruikbare info behalve DNS informatie. Voor het uitdelen van PD gebruikte ik ISC DHCP6d en zelf een PHP script geschreven dat triggerde bij een uitgifte om een route voor de prefix te inserten.

Het koste wel de nodig moeite om het zover te krijgen om een PD aan te vragen, volautomatisch een LAN te configureren en DHCP6d op het LAN te configureren voor downstream PD. Wat er over is gebleven van deze ondersteuning zou ik niet meer weten, ik ben al een tijd niet meer actief in het project.

  • ANdrode
  • Registratie: februari 2003
  • Niet online
Matched: pfsense
Snow_King schreef op dinsdag 28 maart 2017 @ 08:54:
[...]
XS4All, Solcon en ZeelandNet van wat ik zo weet
KPN: Native dual stack met een toegewezen range aan thuisnetwerk.

Is hier (of in pfsense topic besproken :)
Weet het protocol ff niet meer en geen zin om de pcap te openen :+

  • ik222
  • Registratie: maart 2007
  • Niet online
Matched: pfsense
Net even bezig geweest met een IPv6 packetloss issue op een paar Ubuntu 16.04 LTS VM's. Ik had specifiek op die VM's ongeveer 8 tot 10% packetloss via IPv6 (zowel met pings als met ander verkeer en zowel intern als extern) terwijl IPv4 wel zonder problemen werkte. Uiteindelijk captures gemaakt achter de firewall en tot daar zag ik al het verkeer gewoon terugkomen, het raakte dus echt pas kwijt op de VM.

Uiteindelijk heb ik op de betreffende VM's de NIC teruggezet naar E1000 (was VMXNET3) en daarmee is alles opgelost en werkt IPv6 wel gewoon goed.

Lijkt een beetje op deze bug: https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1605494 Al zou ik verwachten dat die fix inmiddels wel in de kernel van 16.04 LTS zou zitten? In elk geval lijkt het echt Ubuntu specifiek (kernel driver waarschijnlijk), want de firewall zelf (pfSense 2.4.2) draait op dezelfde host met ook VMXNET3 nics en die heeft geen problemen.

[Voor 12% gewijzigd door ik222 op 02-12-2017 14:17]


  • Raven
  • Registratie: november 2004
  • Niet online

Raven

Marion Raven fan

Matched: pfsense
Heb je open-vm-tools geïnstalleerd op de Ubuntu VM's? pfSense installeert dat pakket dacht ik zelf al als ie een VM detecteert.

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde


  • ANdrode
  • Registratie: februari 2003
  • Niet online
Matched: pfsense
ik222 schreef op zaterdag 2 december 2017 @ 14:14:
Lijkt een beetje op deze bug: https://bugs.launchpad.net/ubuntu/+source/linux/+bug/1605494 Al zou ik verwachten dat die fix inmiddels wel in de kernel van 16.04 LTS zou zitten? In elk geval lijkt het echt Ubuntu specifiek (kernel driver waarschijnlijk), want de firewall zelf (pfSense 2.4.2) draait op dezelfde host met ook VMXNET3 nics en die heeft geen problemen.
Wat raar dat zulke issues nog steeds bestaan :X

Mijn vSphere VM's die ik gebruik hebben geen IPv6 dus heb daar geen ervaring mee. Mogelijk is dat (SLAAC announcements) juist hiervoor in dat subnet uitgezet. Heb er wel een redelijk aantal op KVM met virtio netwerkkaart, dat werkt zonder problemen.

  • ik222
  • Registratie: maart 2007
  • Niet online
Matched: pfsense
Raven schreef op zaterdag 2 december 2017 @ 18:18:
[...]

Heb je open-vm-tools geïnstalleerd op de Ubuntu VM's? pfSense installeert dat pakket dacht ik zelf al als ie een VM detecteert.
Nee dat draait daar niet, geen zin in alle compiler rommel die daarvoor nodig is op elke VM (tenzij je ze vooraf ergens gaat compileren voor elke kernel opnieuw). En ik mag hopen dat die tools niet nodig zijn voor iets simpels als fatsoenlijke netwerk connectiviteit.

@ANdrode: In het betreffende subnet gebruik ik static IPv6 only, RA staat dus uit evenals DHCPv6. Overigens heb ik voor de grap even een VMXNET3 NIC in een subnet met RA gehangen maar dan zie ik exact hetzelfde probleem. Zet ik er een good old E1000 virtuele NIC in dan werkt IPv6 probleemloos, dat is overigens voorlopig prima op deze VM's.

Moet wel toegeven dat VMWare ESXi niet helemaal up to date is (de Ubuntu 16.04 VM's wel), zit ergens in de 6.0 nog. Als ik wat meer tijd heb wellicht eens updaten.

[Voor 6% gewijzigd door ik222 op 04-12-2017 17:00]


  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Afgelopen week op kantoor DHCP6 server aangeslingerd en tot nog toe valt het mee. Behalve een vhost die niet goed stond op een interne machine en een ACL hier en daar weinig spannends.

De pfSense firewall doet in ieder geval dhcp6 reservaties, dus dat gaat goed en maakt het leven iets makkelijker. Veel rules hadden all 4/6 aan staan en een alias met 4/6 adressen of hostnamen. Weinig problemen iig.

  • databeestje
  • Registratie: oktober 2002
  • Laatst online: 17:29

databeestje

Von PrutsHausen

Matched: pfsense
Toch een voordeel dat we op het werk IPv6 geimplementeerd hebben voor de servers e.d. en dat ook onze OpenVPN servers (pfSense) en clients (Viscosity) dit volledig ondersteunen.

Nu hadden we weer zo'n gare Apple Airport Extreme die 10.0.1.0/24 had toegewezen aan het LAN. Bok, dat is dus de range waar alle servers op het werk in zitten.

Blijkt dat vrijwel alles werkt (nadat ik ook een IPv6 DNS uitdeelde) aan de OpenVPN clients omdat de servers wel bereikbaar waren via IPv6 :D

Acties:
  • 0Henk 'm!

  • frietvanpiet
  • Registratie: september 2012
  • Laatst online: 02-11 08:02
Matched: pfsense
Graag zou ik mijn pfSense router uit willen rusten met volledige IPv6 ondersteuning.
Mijn provider is XS4ALL. Die levert keurig een IPv6 /48 prefix. Als modem/router heb ik een Fritzbox 5490.
Ik krijg een IPv6 adres op de WAN-adapter van PfSense. LAN krijg ik maar niet aan de praat, geen adres.
Ik vermoed dat mijn IPv6 instellingen op mijn Frtizbox niet goed staan.
De PfSense instellingen zijn goed te vinden op het internet.

Mijn vraag:
Zou iemand zo vriendelijk willen zijn om alle IPv6 instellingen van de Fritzbox te delen?
Dan kan ik dubbelchecken.

Tnx alvast!

Acties:
  • 0Henk 'm!

  • ANdrode
  • Registratie: februari 2003
  • Niet online
Matched: pfsense
frietvanpiet schreef op woensdag 2 mei 2018 @ 06:45:
Mijn vraag:
Zou iemand zo vriendelijk willen zijn om alle IPv6 instellingen van de Fritzbox te delen?
Dan kan ik dubbelchecken.
Staat prefix delegation aan in de fritzbox?
Wat voor prefix/adres heeft de WAN interface van pfsense? Is dat een volledig adres of is dat een prefix waaruit hij adressen kan uitdelen?

Acties:
  • 0Henk 'm!

  • Dutch2007
  • Registratie: september 2005
  • Laatst online: 13:26
Matched: pfsense
frietvanpiet schreef op woensdag 2 mei 2018 @ 06:45:
Graag zou ik mijn pfSense router uit willen rusten met volledige IPv6 ondersteuning.
Mijn provider is XS4ALL. Die levert keurig een IPv6 /48 prefix. Als modem/router heb ik een Fritzbox 5490.
Ik krijg een IPv6 adres op de WAN-adapter van PfSense. LAN krijg ik maar niet aan de praat, geen adres.
Ik vermoed dat mijn IPv6 instellingen op mijn Frtizbox niet goed staan.
De PfSense instellingen zijn goed te vinden op het internet.

Mijn vraag:
Zou iemand zo vriendelijk willen zijn om alle IPv6 instellingen van de Fritzbox te delen?
Dan kan ik dubbelchecken.

Tnx alvast!
Niet het zelfde type, maar wel zelfde merk:

https://nl.avm.de/service...n-FRITZ-Box-configureren/

  • tc-t
  • Registratie: september 2015
  • Laatst online: 05-04 22:50
Matched: pfsense
Ik heb ondertussen - in België, bij Telenet - ipv6 ook werkend gekregen.

Ik heb een modem-only en die geeft alles netjes door aan mijn (virtuele) pfSense router/firewall.
pfSense krijgt een eigen ipv6 op de WAN interface, en een 56-bit prefix.

Ik heb op mijn pfSense een aantal VLANs gedefinieerd. Op elke interface gebruik ik dan Track Interface: WNA en mbv een uniek Prefix ID wordt dat 56-bit prefix aangevuld tot een volledige 64-bit prefix.

So far so good.


Ik heb ook in pfSense ingesteld dat er geen release wordt toegestaan van het gekregen prefix.
Nu is er een tijdje terug een stroomonderbreking geweest en heeft mijn router een halve dag zonder stroom gezeten. Zo heb ik uiteindelijk tóch een ander prefix gekregen.


Dat is niet handig.
Ik wil graag dat mijn servers (windows domain / AD / DNS etc ...) een fixed IP krijgen, hebben en houden.

Ik lees hier en daar dat het afgeraden wordt om naast de GUA adressen die ik nu al heb ook met ULA te gaan werken.
Maar hoe krijg ik dat dan wel voor mekaar?


Ik heb al even met die ULA adressen gespeeld en kan er voor zorgen dat mijn pfSense dmv RA naast de GUA adressen ook ULA adressen voorziet voor de clients.
Het probleem is daarmee dan weer dat een ping-opdracht (op ULA) van een client in VLAN1 naar een client in VLAN2 niet blijft werken.
Dat werkt perfect na het instellen van de configuratie (RA: uitdelen ULA adressen) maar na een reboot van pfSense werkt het niet meer en krijg ik het ook niet meer werkend.
Client op VLAN1 kan client op VLAN2 nog wel bereiken op zijn GUA adres maar niet meer op zijn ULA adres (en identiek van client 2 naar client1)


Zijn er mensen die een soortgelijke setup hebben, of weet iemand een betere oplossing voor wat ik wil gaan bereiken?

  • tc-t
  • Registratie: september 2015
  • Laatst online: 05-04 22:50
Matched: pfsense
Het extra werk wanneer mijn prefix verandert wil ik net vermijden :)

Ik heb niet veel zin om wanneer dat gebeurt:
* het adres van (en de verwijzingen naar) mijn pi-hole aan te passen
* de DNS server adressen te gaan aanpassen waar nodig (op de DHCP-tab van mijn RA settings en/of in de DHCPv6 config van Windows)
* de oude ipv6 adressen uit de DNS-server te gaan verwijderen
* ...

Ik zie dat ik het woord "fixed" een beetje dubbelzinnig gebruik. Mijn apparatuur hoeft geen static IP te hebben, enkel een voorspelbaar IP. Dat mag gerust via SLAAC of Stateless DHCP (SLAAC+DHCPv6 voor de opties) zolang het adres maar op 1 of andere manier voorspelbaar is: echt static, of via DNS opvraagbaar.


==

EDIT:

Ik ben er ondertussen achter dat dit eigenlijk een bug is in pfSense (of het onderliggende FreeBSD)

Ik kan op een interface zowel via Track Interface (GUA) als via een additional subnet (kan ULA zijn) prefixen announcen naar de clients toe.
Op die manier krijgen de clients een ULA en een GUA adres. Of dat dan SLAAC of DHCPv6 of nog iets anders is maakt eigenlijk niet veel uit.

Het probleem is:
* voor dat additional subnet wordt geen route aangemaakt, tenzij er op de interface ook een virtual IP (voor dat specifieke prefix) wordt aangemaakt
* na een reboot van pfSense verandert de volgorde van de toegekende ipadressen op een interface soms.
* de RA service/daemon kijkt enkel naar het eerst gevonden adres. Als dat niet de track interface (dus het gekregen GUA prefix) dan krijgen de clients geen GUA adres meer, maar enkel een uit het additional prefix)


Blijkbaar gebeurt dat alleen in de combinatie Track Interface + virtual IP.
Met een Static IPv6 ipv Track Interface komt dat blijkbaar niet voor.

[Voor 42% gewijzigd door tc-t op 08-08-2018 18:04]


  • ik222
  • Registratie: maart 2007
  • Niet online
Matched: pfsense
Hier lukt de ICMP test nog gewoon, ik krijg enkel 19/20 omdat ik geen hostname heb voor het IPv6 adres waarmee mijn telefoon naar buiten gaat.

XS4ALL glasvezel via een pfSense firewall trouwens.

  • Roetzen
  • Registratie: augustus 2010
  • Laatst online: 17:55

Roetzen

he.net Certified Sage

Matched: pfsense
ik222 schreef op zondag 12 augustus 2018 @ 16:54:
Hier lukt de ICMP test nog gewoon, ik krijg enkel 19/20 omdat ik geen hostname heb voor het IPv6 adres waarmee mijn telefoon naar buiten gaat.

XS4ALL glasvezel via een pfSense firewall trouwens.
Bedankt.
wopper schreef op zondag 12 augustus 2018 @ 17:09:
[...]

Ik denk eerder aan een firewall instelling die teruggezet is sinds de upgrade.
Inmiddels heb ik de bevestiging dat het inderdaad de firewall is. Ik heb de knop gevonden om de IPv6 firewall helemaal uit te zetten en dan krijg ik netjes 20/20. Er valt verder niks te tunen aan die firewall. Het is aan of uit en verder niks. Het lijkt er op dat ze wat gesleuteld hebben aan de firewall en ICMP dan maar meteen geblokkeerd hebben :(

De firewall helemaal uit zetten lijkt me geen goed idee. Dus nu moet ik maar eens gaan nadenken hoe ik dat aanpak. Dit modem komt van Marktplaats. Grijze circuit dus en ik vrees dat ik een connect box krijg als "oplossing": Dan ben ik Dual Stack vrijwel zeker kwijt en mogelijk krijg ik niet eens DS-Lite...

Een tunnel is goed. Native IPv6 is beter.


  • randomnumber
  • Registratie: januari 2014
  • Laatst online: 09-06-2020
Matched: pfsense
tAnk schreef op zondag 7 oktober 2018 @ 16:08:
Is het iemand al eens gelukt XS4ALL IPV6 werkende te krijgen met Untangle?
Nog nooit geprobeerd, waar loop je tegenaan?
Ik ben recent aardig bezig geweest met Ubiquiti, netscreen, pfsense en asa op een Xs4all verbinding met IPv6 dus misschien dat er een belletje gaat rinkelen als ik meer details hoor.

[Voor 4% gewijzigd door randomnumber op 08-10-2018 17:01]


  • tAnk
  • Registratie: januari 2002
  • Laatst online: 15:04
Matched: pfsense
randomnumber schreef op maandag 8 oktober 2018 @ 17:00:
[...]


Nog nooit geprobeerd, waar loop je tegenaan?
Ik ben recent aardig bezig geweest met Ubiquiti, netscreen, pfsense en asa op een Xs4all verbinding met IPv6 dus misschien dat er een belletje gaat rinkelen als ik meer details hoor.
Ik heb het zelf nog niet geprobeerd maar vermoed dat het niet 1-2-3 is ingesteld of überhaupt via de GUI kan. XS4ALL vereist als ik me niet vergis IPv6 via DHCPv6 prefix delegation. En dat zit niet in Untangle. Of Sophos XG. Of UniFi's huidige controller (GUI). Met pfSense kan het wel.

Rabid Neurosis


  • svheel
  • Registratie: februari 2000
  • Laatst online: 15:36
Matched: pfsense
Heeft iemand ervaring met IPv6 op pfSense achter een XS4ALL xDSL verbinding?
De setup is redelijk eenvoudig:
Draytek Vigor 130 (bridged) -> pfSense box met PPPoE=WAN -> LAN

De IPv6 instellingen zijn eigenlijk redelijk eenvoudig, ik heb zowel deze:
https://blog.firewallonli...ll-pfsense-opnsense-ipv6/
als deze:
Venxblog: KPN glasvezel via PFSense (comment van emoRV)
geprobeerd. De laatste is wat uitgebreider, met wat meer instellingen, maar met beide is het resultaat eigenlijk hetzelfde:
De IPv6 verbinding lijkt eigenlijk gewoon te werken, LAN krijgt netjes een IPv6 adres uit de range die XS4ALL mij heeft gegeven, WAN heeft alleen link-local adressen (fe80::). Het lukt ook om b.v. www.tweakers.net of ipv6.google.com over IPv6 te pingen vanaf de firewall.

Wat ik niet voor elkaar krijg is dat clients die zijn aangesloten op de LAN interface een IPv6 adres krijgen (ze hebben alleen een link-local adres). Ik heb allerlei instellingen geprobeerd in Services->DHCPv6 server & RA, maar krijg het niet werkend:
- DHCPv6 server aan, range opgeven, prefix delegation size=64 en Route Advertisement op 'Managed' of 'Assisted'.
- DHCPv6 server uit, RA op 'Unmanaged'.

Ik zie geen vreemde foutmeldingen in logs zoals 'Routing' of 'DHCP' en ook geen firewall-meldingen dat verkeer wordt geblockt (er staat een IPv6 LAN to All rule op de LAN interface).

Iemand enig idee wat er aan de hand kan zijn?

  • tAnk
  • Registratie: januari 2002
  • Laatst online: 15:04
Matched: pfsense
Ik loop met XS4ALL (BVVDSL) en pfSense tegen een merkwaardig probleem op. En het lijkt IPv6 gerelateerd.

Sommige YouTube videos en radio streams werken niet. Er loopt ook een topic over op het pfSense (Netgate) forum echter kom ik daar niet verder. Herkent iemand dit probleem wellicht? Ik zal te denken aan MTU size? Of is het wellicht verstandig een apart topic te openen?

Rabid Neurosis


  • ik222
  • Registratie: maart 2007
  • Niet online
Matched: pfsense
Werken DNS queries naar de IPv6 DNS server die je clients krijgen vanuit pfSense? Dit zou namelijk wellicht veroorzaakt kunnen worden als je clients een IPv6 DNS server krijgen die niet werkt.

En probeer eens ICMPv6 helemaal open te zetten in de firewall beide kanten op? Dit gedrag kan ook ontstaan als je teveel ICMPv6 berichten blokkeert waardoor path MTU fout gaat, zeker als je MTU 1492 is moet dat wel open staan en werken

  • tAnk
  • Registratie: januari 2002
  • Laatst online: 15:04
Matched: pfsense
ik222 schreef op zondag 4 november 2018 @ 11:03:
Werken DNS queries naar de IPv6 DNS server die je clients krijgen vanuit pfSense? Dit zou namelijk wellicht veroorzaakt kunnen worden als je clients een IPv6 DNS server krijgen die niet werkt.

En probeer eens ICMPv6 helemaal open te zetten in de firewall beide kanten op? Dit gedrag kan ook ontstaan als je teveel ICMPv6 berichten blokkeert waardoor path MTU fout gaat, zeker als je MTU 1492 is moet dat wel open staan en werken
Ik gebruik de geïntegreerde Unbound voor DNS met out-of-the-box instellingen dus de clients wijzen naar de pfSense voor DNS.

ICMP heb ik gewijzigd, geen succes.

-edit-

Het lijkt ook met IPv4 te spelen dus ik zal dit topic niet verder kapen Ik heb nu Cloudflare's DNS servers rechtstreeks op de clients zitten en maak alleen gebruik van IPv4; zelfde probleem. Ik zal verder zoeken....

[Voor 13% gewijzigd door tAnk op 04-11-2018 11:32]

Rabid Neurosis


  • ANdrode
  • Registratie: februari 2003
  • Niet online
Matched: pfsense
ik222 schreef op zondag 4 november 2018 @ 11:03:
Werken DNS queries naar de IPv6 DNS server die je clients krijgen vanuit pfSense? Dit zou namelijk wellicht veroorzaakt kunnen worden als je clients een IPv6 DNS server krijgen die niet werkt.

En probeer eens ICMPv6 helemaal open te zetten in de firewall beide kanten op? Dit gedrag kan ook ontstaan als je teveel ICMPv6 berichten blokkeert waardoor path MTU fout gaat, zeker als je MTU 1492 is moet dat wel open staan en werken
XS4ALL heeft RFC4638 support. MTU problemen zouden in principe (met goede settings in pfsense) dus niet voor moeten komen :)

  • ik222
  • Registratie: maart 2007
  • Niet online
Matched: pfsense
Klopt, dat gebruik ik zelf ook en werkt prima :) Ik zag alleen in dat pfSense forum topic dat hij de MTU default op 1492 had staan.

  • tAnk
  • Registratie: januari 2002
  • Laatst online: 15:04
Matched: pfsense
Dat betekent dat ik op de WAN poort van de pfSense MTU op 1500 kan zetten?

Rabid Neurosis


  • ik222
  • Registratie: maart 2007
  • Niet online
Matched: pfsense
tAnk schreef op zondag 4 november 2018 @ 19:24:
Dat betekent dat ik op de WAN poort van de pfSense MTU op 1500 kan zetten?
Klopt inderdaad, gewoon de MTU aanpassen en dan werkt dat.

  • randomnumber
  • Registratie: januari 2014
  • Laatst online: 09-06-2020
Matched: pfsense
svheel schreef op vrijdag 2 november 2018 @ 14:42:
Heeft iemand ervaring met IPv6 op pfSense achter een XS4ALL xDSL verbinding?
De setup is redelijk eenvoudig:
Draytek Vigor 130 (bridged) -> pfSense box met PPPoE=WAN -> LAN

De IPv6 instellingen zijn eigenlijk redelijk eenvoudig, ik heb zowel deze:
https://blog.firewallonli...ll-pfsense-opnsense-ipv6/
als deze:
Venxblog: KPN glasvezel via PFSense (comment van emoRV)
geprobeerd. De laatste is wat uitgebreider, met wat meer instellingen, maar met beide is het resultaat eigenlijk hetzelfde:
De IPv6 verbinding lijkt eigenlijk gewoon te werken, LAN krijgt netjes een IPv6 adres uit de range die XS4ALL mij heeft gegeven, WAN heeft alleen link-local adressen (fe80::). Het lukt ook om b.v. www.tweakers.net of ipv6.google.com over IPv6 te pingen vanaf de firewall.

Wat ik niet voor elkaar krijg is dat clients die zijn aangesloten op de LAN interface een IPv6 adres krijgen (ze hebben alleen een link-local adres). Ik heb allerlei instellingen geprobeerd in Services->DHCPv6 server & RA, maar krijg het niet werkend:
- DHCPv6 server aan, range opgeven, prefix delegation size=64 en Route Advertisement op 'Managed' of 'Assisted'.
- DHCPv6 server uit, RA op 'Unmanaged'.

Ik zie geen vreemde foutmeldingen in logs zoals 'Routing' of 'DHCP' en ook geen firewall-meldingen dat verkeer wordt geblockt (er staat een IPv6 LAN to All rule op de LAN interface).

Iemand enig idee wat er aan de hand kan zijn?
Een aantal dingen die je kan nakijken:
WAN ipv4 configureation PPPoE
IPv6 configuration type DHCP6

LAN
IPv6 Configuration Type: Track Interface

Track Ipv6 Interface
Ipv6 Interface WAN
IPv6 Prefix ID: wat je wilt, bv lan 1000 of BEEF

Services
DHCPv6 Server &RA
DHCPv6 server uit

Tabblad Router advertisements
Routermode : unamaged - RA flags

En herstart je firewall een keer, heb ook een hoop dingen geprobeerd en het ging pas werken na herstart, ik heb nooit uitgezocht waarom precies maar een vermoeden is dat de PPPoE sessie anders niet juist opkwam met IPv6 en delegation.

[Voor 8% gewijzigd door randomnumber op 05-11-2018 16:26]


  • randomnumber
  • Registratie: januari 2014
  • Laatst online: 09-06-2020
Matched: pfsense
Zijn er mensen met Xs4all (fiber) die OPNsense gebruiken? Het wil me maar niet lukken IPv6 aan de gang te krijgen, waar dit totaal geen issue was met PFsense. Rara.......

/Edit

Na een dag zoeken zonder resultaat helpt s'ochtendsvroeg nog eens kijken wel.
Effin, voor iemand die er later nog op mocht zoeken dit is de config in grote lijnen hoe het nu werkt.

OPNsense 19.1.1-amd64
WAN, block private networks + Block bogon networks
IPv4 configuration type PPPoE
Ipv6 configuration type DHCPv6
Request only an IPv6 prefix Enabled
Prefix delegation size Enabled
Send IPv6 prefix hint Enabled
Directly send SOLICIT Enabled
Prevent release Enabled
Use IPv4 connectivity Enabled
Use VLAN priority Disabled

Er waren situaties dat kort na het rebooten van de firewall Ipv6 werkte vanaf de firewall maar heel snel verzande in no route to host. De opties Directly send SOLICT en Prevent release lijken het verschil te maken om het te laten werken.

Mocht ik nog wat extra tijd vinden dan zal ik het verder uitzoeken, voor nu heeft het me al iets teveel tijd gekost.

[Voor 73% gewijzigd door randomnumber op 14-02-2019 06:03]


Acties:
  • +1Henk 'm!

  • henk-willem
  • Registratie: april 2016
  • Laatst online: 25-11 17:00
Matched: pfsense
Helaas heb ik ook problemen met het bereiken van TransIP sites over IPv6. De TransIP homepagina geeft geen problemen, maar mijn TransIP stack en de eerder genoemde www.maldenwandelt.nl willen niet laden. Dit probleem vindt zowel plaats op een XS4ALL verbinding met native IPv6 als op een verbinding waarbij IPv6 via TunnelBroker gaat. Beide verbindingen zijn voorzien van een pfSense firewall/router.
http://ipv6-test.com/pmtud/ Geeft aan dat ik geen problemen zou moeten hebben een MTU van 1500.

  • markvandelouw
  • Registratie: november 2012
  • Laatst online: 16-11 18:42

markvandelouw

Het kan hoogstens fout gaan

Matched: pfsense
Pff wat kan IPv6 soms een draak zijn zeg. Ben me al 2 dagen suf aan het zoeken waarom ik op mijn WAN interface wel op ipv6 kan pingen, maar op LAN niet. (bijvoorbeeld naar dns.google.com)

Firewall rules staan op WAN en LAN beide (voor testen alleen) op Any Any.


Vanaf mn ISP heb ik een /48 ontvangen, waarvan hun Routers/GW in de eerste /64 zitten. Uit deze /64 heb ik ook een IP geplukt voor de WAN kant van mijn PFsense.

Aan de LAN kant heb ik (static) het volgende /64 geknoopt, LAN PC kan wel bij LAN / WAN IP van de PFsense komen, maar niet verder op "het web"


Iemand misschien een idee welke cruciale stap ik mis?

  • Paul
  • Registratie: september 2000
  • Laatst online: 27-11 17:23
Matched: pfsense
Ik vermoed dat je ISP DHCPv6-PD gebruikt om je dat /48 te sturen, en het klinkt alsof je pfSense een fixed IP hebt gegeven? Je ISP weet nu niet waar ze je interne prefixes naartoe moet routeren, ze weten niet wat het adres van jouw router is :)

Andere optie is statische routering, in dat geval moet je de ISP vragen waar ze de rest van de subnetten naartoe routeren, of doorgeven op welk adres je router zit.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 13:07

Brahiewahiewa

boelkloedig

Matched: pfsense
markvandelouw schreef op dinsdag 24 september 2019 @ 13:30:
[...]


Heb 't even nagevraagd. ISP doet inderdaad statische routering, DHCP e.d staat uit.

Als ik het goed begrijp, zou ik mijn ISP moeten vragen om de subnetten naar het IP adres van de WAN poort van de router te routeren?
Ik zou eerst even nagaan of je ISP je geen gateway address heeft gegeven. Dat is het ip-adres wat op de wan kant van je pfsense moet komen en valt buiten je /48

QnJhaGlld2FoaWV3YQ==


  • Paul
  • Registratie: september 2000
  • Laatst online: 27-11 17:23
Matched: pfsense
markvandelouw schreef op dinsdag 24 september 2019 @ 13:30:
Heb 't even nagevraagd. ISP doet inderdaad statische routering, DHCP e.d staat uit.
Is dat een consumentenprovider zoals Ziggo of KPN, of is dat iets zakelijks (misschien zelfs iets in een datacenter)? Klinkt niet bepaald gebruiksvriendelijk, en dus eerder zakelijk :P
Als ik het goed begrijp, zou ik mijn ISP moeten vragen om de subnetten naar het IP adres van de WAN poort van de router te routeren?
Als ze je een /48 hebben toegekend dan kan het zijn dat ze dat al doen; dan neem je dat adres voor pfSense. Maar bij statische routering maken ze het zichzelf (lijkt me) wel lastig door op de link naar jouw router een IP-adres dat in datzelfde (grote) subnet te geven als wat ze naar je toe proberen te routeren.

Ik zou inderdaad naar je provider gaan en vragen om hulp / gegevens voor het inrichten, waarbij je aan wil geven dat je intern uit die /48 subnetten uit wil gaan delen. Mogelijk krijg je, zoals @Brahiewahiewa aangeeft, een adres buiten dat subnet voor je pfSense, mogelijk krijg je een (ander) adres binnen dat subnet, en mogelijk gaan ze vragen welk adres je router nu heeft.

Er is er maar één die dat weet en dat is je ISP :P

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


Acties:
  • 0Henk 'm!

  • MrNGm
  • Registratie: augustus 2004
  • Laatst online: 15-06 22:19
Matched: pfsense
Toch maar even hier posten. Huidige netwerksetup:
- pfSense firewall/router
- WAN: Ethernet, MTU 1500 (geen PPPoE, gewoon Ethernet)
- LAN: Ethernet, MTU 1500
- gif0: Tunnelbroker, MTU 1480 (op tunnelbroker.net -> Tunnel settings -> Advanced staat dat ook zo)

Op LAN draait RA voor het default /64-subnet. Op m'n laptop (bedraad ethernet):
code:
1
2
3
4
5
6
7
$ ip -6 a
3: enp0s25: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 3c:etc: brd ff:ff:ff:ff:ff:ff
    inet6 2001:470:1f15:etc:45ea/64 scope global dynamic mngtmpaddr noprefixroute 
       valid_lft 86391sec preferred_lft 14391sec
    inet6 fe80::3e:etc:45ea/64 scope link 
       valid_lft forever preferred_lft forever


Nog niet zo heel spannend. Hiervoor draaide ik op een Mikrotik RB750GL met vrijwel dezelfde config. De issues bestonden toen ook al.

Eerder in dit topic schreef o.a. @Bram D over problemen met het benaderen van TransIP. Ik ervaar hetzelfde probleem, maar kon niet 1-2-3 vinden of de MTU verlagen naar 1480 nou had geholpen.

ICMPv6 staat alle kanten op open, zodat Path MTU discovery kan plaatsvinden:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
$ tracepath -6 www.transip.nl
 1?: [LOCALHOST]                        0.020ms pmtu 1500
 1:  kerstkransje.koekjestrommel.local                     0.488ms 
 1:  kerstkransje.koekjestrommel.local                     0.563ms 
 2:  kerstkransje.koekjestrommel.local                     0.505ms pmtu 1480
 2:  tunnelNNN.tunnel.tserv11.ams1.ipv6.he.net             9.112ms 
 3:  no reply
 4:  m6.e1.ams0.transip.net                                6.284ms asymm  7 
 5:  e1-a0.r1.ams0.transip.net                             6.183ms asymm  7 
 6:  no reply
 7:  no reply
 8:  www.transip.nl                                        5.578ms !A
     Resume: pmtu 1480


En toch gaat het soms mis met data uitwisselen richting TransIP. Moet ik m'n LAN MTU verlagen op alle clients, MSS clamping in pfSense aanzetten, tunnel MTU van Tunnelbroker omlaag (zowel aan hun kant als aan de pfSense-kant)... iemand een idee?

Overigens lijkt de internetprovider niet de bottleneck qua IPv4 MTU (er wordt immers getunneld):
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
$ tracepath -4 www.transip.nl
 1?: [LOCALHOST]                      pmtu 1500
 1:  _gateway                                              0.442ms 
 1:  _gateway                                              0.673ms 
 2:  ip-etc.ip.prioritytelecom.net              39.270ms pmtu 9170
 2?: [LOCALHOST]                      pmtu 1500
 2:  ip-etc.ip.prioritytelecom.net              14.973ms pmtu 9170
 3?: [LOCALHOST]                      pmtu 1500
 3:  ip-etc.ip.prioritytelecom.net               4.603ms 
 3:  ip-etc.ip.prioritytelecom.net               4.134ms 
 4:  asd-tr0021-cr101-be112-2.core.as33915.net             4.510ms asymm  5 
 5:  asd-tr0021-cr101-be112-2.core.as33915.net             5.735ms 
 6:  nl-ams04a-ri3-ae51-0.aorta.net                        4.205ms 
 7:  cr0.nikhef.nl.fusixnetworks.net                       4.624ms 
 8:  fusix-xe0-0-2.e1.ams0.transip.net                     5.380ms 
 9:  e1-a0.r1.ams0.transip.net                             5.234ms 
10:  no reply
11:  no reply
12:  www.transip.nl                                        5.011ms !H
     Resume: pmtu 1500

  • Dreamvoid
  • Registratie: augustus 2001
  • Laatst online: 27-11 23:29
Matched: pfsense
darkrain schreef op maandag 7 december 2020 @ 09:38:
Dit kwam door de firewall regels welke de oude prefix ingesteld hadden, hoe gaan jullie hiermee om?
Na het aanpassen draait nu alles weer als een zonnetje, maar toch wel een aandachtspunt..
Firewall regels zijn inderdaad een dingetje, zowel vanwege dynamische prefixes als veranderende device id's. Bij bedrijfsnetwerken is de prefix altijd wel constant, maar bij consumenten is dat geen garantie.

Met SLAAC zit je sowieso met Privacy Extension adressen waar de device id elke 24u verandert, en nu tegenwoordig elk OS (Linux, Android, Windows, macOS, iOS) is afgestapt van EUI-64 en in plaats daarvan 'opaque' stable adressen maakt (RFC7217, of vergelijkbaar) betekent een nieuwe prefix ook automatisch een nieuwe device id. Hier wordt al veel over geklaagd, bij pfSense bijvoorbeeld: https://redmine.pfsense.org/issues/6626

Eigenlijk twee opties:
- een firewall waar je wildcards voor the prefix kan instellen, en dan de device id's constant houden door ofwel adressen centraal uitdelen met DHCPv6, ofwel handmatig op elk device een static token (een constante device id) instellen of terug forceren naar EUI-64.
- een firewall die rules kan maken op basis van MAC adres, dat blijft namelijk wel altijd gelijk, wat je prefix of device id ook is. Nadeel: werkt alleen binnen een /64 segment, zodra er een router tussen zit ziet de firewall het source-MAC adres niet meer.

[Voor 8% gewijzigd door Dreamvoid op 07-12-2020 11:30]

specs


  • overhyped
  • Registratie: januari 2003
  • Laatst online: 19:37
Matched: pfsense
Je kan je ook afvragen of devices met een verschillende security policy in het zelfde subnet moeten.

Wanneer alleen inbound 80 en 443 open moeten naar een subnet, dan is het device is in eens niet meer boeiend. Net als met outbound: andere policy, ander subnet.

End user tracking kan dan met een combinatie van 802.1x aan de user kant met het loggen van de IP/user combinaties. Eventuele kan je (afhankelijk van welke netwerk vendor die je gebruikt) iets als trustsec gebruiken om niet op IP adressen te hoeven filteren.

Hoe lang het duurt is natuurlijk de vraag, maar de tijd van IP adressen gebruiken als security entitlement is wel eindig.
Dreamvoid schreef op maandag 7 december 2020 @ 11:15:
[...]

Firewall regels zijn inderdaad een dingetje, zowel vanwege dynamische prefixes als veranderende device id's. Bij bedrijfsnetwerken is de prefix altijd wel constant, maar bij consumenten is dat geen garantie.

Met SLAAC zit je sowieso met Privacy Extension adressen waar de device id elke 24u verandert, en nu tegenwoordig elk OS (Linux, Android, Windows, macOS, iOS) is afgestapt van EUI-64 en in plaats daarvan 'opaque' stable adressen maakt (RFC7217, of vergelijkbaar) betekent een nieuwe prefix ook automatisch een nieuwe device id. Hier wordt al veel over geklaagd, bij pfSense bijvoorbeeld: https://redmine.pfsense.org/issues/6626

Eigenlijk twee opties:
- een firewall waar je wildcards voor the prefix kan instellen, en dan de device id's constant houden door ofwel adressen centraal uitdelen met DHCPv6, ofwel handmatig op elk device een static token (een constante device id) instellen of terug forceren naar EUI-64.
- een firewall die rules kan maken op basis van MAC adres, dat blijft namelijk wel altijd gelijk, wat je prefix of device id ook is. Nadeel: werkt alleen binnen een /64 segment, zodra er een router tussen zit ziet de firewall het source-MAC adres niet meer.

  • appollonius333
  • Registratie: mei 2018
  • Laatst online: 20-11 21:55
Matched: pfsense
Hallo,

Heeft iemand toevallig al een ipv6 configuratie waarbij PFsense achter bijv. een ExperiaBox staat tot stand kunnen brengen? Want ik loop er nu al een paar dagen hier tegenaan te hikken, dat het op de 1 of andere manier niet wil werken met de IPv6 configuratie op PFsense achter mijn ER-X. Ik heb een eigen router i.p.v. de experiabox van KPN.

Heeft iemand eventueel tips of zou iemand een configuratie willen delen van PFsense en dan met name het IPv6 stukje?

  • Joriempie
  • Registratie: mei 2013
  • Laatst online: 26-10 11:51
Matched: pfsense
appollonius333 schreef op vrijdag 5 februari 2021 @ 18:27:
Hallo,

Heeft iemand toevallig al een ipv6 configuratie waarbij PFsense achter bijv. een ExperiaBox staat tot stand kunnen brengen? Want ik loop er nu al een paar dagen hier tegenaan te hikken, dat het op de 1 of andere manier niet wil werken met de IPv6 configuratie op PFsense achter mijn ER-X. Ik heb een eigen router i.p.v. de experiabox van KPN.

Heeft iemand eventueel tips of zou iemand een configuratie willen delen van PFsense en dan met name het IPv6 stukje?
Ik loop ook te stoeien met IPv6 icm KPN glas, mijn PfSense hangt doormiddel van een LAN kabel rechtstreeks aan de NTU.

  • appollonius333
  • Registratie: mei 2018
  • Laatst online: 20-11 21:55
Matched: pfsense
Joriempie schreef op dinsdag 9 februari 2021 @ 16:51:
[...]


Ik loop ook te stoeien met IPv6 icm KPN glas, mijn PfSense hangt doormiddel van een LAN kabel rechtstreeks aan de NTU.
Toevallig ben ik samen met 2 anderen op het KPN forum om allemaal dingen aan het testen, wellicht interessant om te volgen want we hebben vandaag ook weer wat leuke bevindingen gedaan.

Woops vergat de link, hierbij de link: https://forum.kpn.com/thu...ostid=1238515#post1238515

[Voor 16% gewijzigd door appollonius333 op 09-02-2021 17:26]

Pagina: 1 2 3


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee