/u/357133/crop5e4ea330bd81d_cropped.png?f=community)
Nou, de Cisco RV3x series (SMB range) Doet het prima by default 
PSN: tcviper | Steam: Viper | TechConnect - MikeRedfields
:strip_icc():strip_exif()/u/67189/rawr-avatar.jpg?f=community){kind=avatar}
Dat is een implementatie van hiërarchische PD? Dat is mooi, welnog niet gestandaardiseerd dacht ik. Of is dit niet helemaal hetzelfde?
Dat ga ik thuis alleszins ook eens testen!
Die Draytek kan dus wel een PD aanvragen via DHCPv6, maar kan deze vervolgens niet gebruiken op het LAN? Of zal hij automatisch prefixen gaan kiezen en toewijzen aan het LAN?
Of heb je het hier ook over hiërarchische PD? Hij kan de prefixen wel gebruiken op het LAN, maar kan er zelf geen meer delegeren naar andere routers?
EDIT: Even herlezen, ik neem aan dat je het laatste bedoelt
/u/262016/crop64ed94e1a7757_cropped.png?f=community)
Inderdaad, mijn ogen zijn nu ook open gegaan voor deze invalshoek. Nog een argument erbij waarom het voor Jan met de pet beter is dan IPv4
Thanks!
Point in case, net een D-Link DIR810L uit de outlet store van Informatique gehaald en firmware 1.0.2 erop gezet. Deze heeft IPv6 op "autodetect" staan, en wat blijkt, het werkt gewoon in 1 keer.
Mijn pfSense alloceert een een DHCP-PD voor deze "mediamarkt" router (uit mijn /48 HE.net prefix) en zo heeft mij Macbook zonder enige hulp een IPv6 adres gekregen. Daarom moet DHCP-PD doorgegeven worden zodat de keten werkt.
Een 10/10 op test-ipv6.com
Mijn pfSense alloceert een een DHCP-PD voor deze "mediamarkt" router (uit mijn /48 HE.net prefix) en zo heeft mij Macbook zonder enige hulp een IPv6 adres gekregen. Daarom moet DHCP-PD doorgegeven worden zodat de keten werkt.
Een 10/10 op test-ipv6.com
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
| IPv6 Connection Information
IPv6 Connection Type : Auto Configuration (SLAAC/DHCPv6)
Network Status : Connected
Connection Up Time : 0 Day, 0:06:06
WAN IPv6 Address :
2001:470:d72c::d81/128
2001:470:d72c:0:c2a0:bbff:feeb:df60/64
IPv6 Default Gateway : fe80::20d:b9ff:fe1b:b36c
LAN IPv6 Address : 2001:470:d72c:4f01:c2a0:bbff:feeb:df5f/64
LAN IPv6 Link-Local Address : fe80::c2a0:bbff:feeb:df5f/64
Primary DNS Address : 2001:4860:4860::8844
Secondary DNS Address : 2001:4860:4860::8888
DHCP-PD : Enabled
IPv6 Network assigned by DHCP-PD : 2001:470:d72c:4f00::/56 |
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)
/u/53007/DustPuppy.png?f=community)
Goed bezig daar. Zeker omdat ze daar een berg developers hebben die zo geconfronteerd worden met de bugs in hun eigen software
Nu nog een ipv6-only netwerk zonder NAT64.
Nu nog een ipv6-only netwerk zonder NAT64.
This post is warranted for the full amount you paid me for it.
:strip_exif()/u/26026/snowrabb.gif?f=community)
:strip_exif()/u/2087/osiris_ani.gif?f=community)
Haha ja, ik wist niet dat het zo erg was, maar ik heb ook niet gezegd dat ze al opgelost waren he.:
[...]
Sinds wanneer doet Google iets met tickets en bug reports?
Blijkbaar kan Android niet op een wifi netwerk aanmelden als er geen IPv4 beschikbaar is. Hij maakt verbinding test connectiviteit en zegt dan geen verbinding mogelijk oid. Best jammer
Verwijderd
Ik dacht dat het wel kan met versie 4.4 en hoger, omdat er dan een xlat464 service draait die IPv4 verkeer over 6 kan tunnelen maar dit moet je provider ook ondersteunen (nat64 + dns64). In de USA gebeurd dit op grote schaal.:
[...]
Haha ja, ik wist niet dat het zo erg was, maar ik heb ook niet gezegd dat ze al opgelost waren he.
Blijkbaar kan Android niet op een wifi netwerk aanmelden als er geen IPv4 beschikbaar is. Hij maakt verbinding test connectiviteit en zegt dan geen verbinding mogelijk oid. Best jammer
:strip_exif()/u/128173/crop59a1592e54731_cropped.gif?f=community)
http://www.rijksoverheid.nl/ lijkt ook IPv6 te ondersteunen
Nu Tweakers nog, als de ICT-afdeling van de overheid het al voor elkaar kan krijgen....
[ Voor 41% gewijzigd door Raven op 08-02-2015 20:50 ]
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
Onbewust wel, ik lag thuis ziek in bed dit weekend en de laptop gaaf ineens 6 aan met de chrome plugin toen ik het nieuws keek. Ik wist alleen niet voor hoe lang dat al was
De videos en alles werkte verder prima iig. (HE.net tunnel via pfSense op Ziggo)
Edit:
In ander nieuws, het CBS heeft hun Juniper NAT 46 uit dienst genomen, misschien zullen mijn klachten via de belangenvereniging hier iets aan bijgedragen hebben. Nu is de vraag wanneer ze dan wel weer IPv6 gaan ondersteunen. De oorspronkelijke uitrol was iets geforceerd afgedwongen vanuit de overheid, daarom ook de keuze voor de Juniper NAT ipv dual stack reverse proxy.
Herstel, mxtoolbox.com is stom en ondersteunt geen IPv6
[ Voor 18% gewijzigd door databeestje op 08-02-2015 21:34 ]
:strip_icc():strip_exif()/u/449787/crop5620cdd400f4a_cropped.jpeg?f=community)
De VPN kan je de deur uit gooien
Als alle 4 de locaties van hun ISP gewoon een /48 IPv6 krijgen kunnen alle apparaten elkaar direct benaderen.Via ACL's op de routers kan je instellen wie elkaar mag benaderen.
IPSec is een onderdeel van IPv6, maar niet altijd even goed geïmplementeerd in alle routers, maar die zouden nog encryptie van het onderliggende verkeer kunnen doen.
Het mooie aan IPv6 is dat het allemaal publieke adressen zijn. VPN's en poortjes forwarden zijn niet meer nodig.
Dat is erg handig, blijkbaar waren hier altijd al problemen mee.:
[...]
De VPN kan je de deur uit gooien
Hoe zit het met de conversie van een IPv4 host naar een IPv6 webserver? De klanten gebruiken namelijk allemaal nog IPv4, terwijl de webservers dan een IPv6 adres zouden hebben. Levert dit problemen op?
Ik neem aan dat die webservers ook hun IPv4-adressen zullen behouden. En over het algemeen geeft dat geen problemen. Veel grote zaken als Google/Facebook draaien dualstack, dus de clients komen snel genoeg in de problemen als client-side dualstack-support niet fatsoenlijk werkt
:strip_icc():strip_exif()/u/125355/crop58d1b3708d6af_cropped.jpeg?f=community)
Duidelijk. Maar je kan gewoon je publiek routeerbare adressen gebruiken en op de ondergrond de encryptie laten plaats vinden.:
[...]
En IPSec is wat vele mensen noemen een VPN
Ik wilde er niet al te diep op ingaan.
Je gaat dan nooit dubbele subnets of 'private' adressen krijgen. De routers doen gewoon de de/encryptie van het verkeer.
Optioneel, je kan er altijd een firewall tussen zetten he
.Maar je snapt in ieder geval het ( voor ons ) belangrijkste doel van IPv6.. geen NAT meer
Een host krijgt dus 2 IPv6 adressen::
[...]
Optioneel, je kan er altijd een firewall tussen zetten he
Maar je snapt in ieder geval het ( voor ons ) belangrijkste doel van IPv6.. geen NAT meer
Een lokaal Link-Local IPv6 adres (fe80)
Een global IPv6 die je van de provider krijgt (2001)
Het Link local adres wordt gebruikt om binnen het lokale layer 2 netwerk (iedereen die aangesloten is op de switch) te communiceren. Het global adres wordt gebruikt om naar buiten te communiceren. Begrijp ik het zo goed?
Dat word inderdaad leuk met IPv6 dadelijk,
je hebt een fe80::/1 address, een lokaal geadverteerd addres, misschien nog een lokaal geadverteerd address ( dual WAN ) en 1 of meerdere privacy extension addressen
Laten we t maar erop houden dat de verkeersstroom altijd geinitieerd word vanaf de meest "interessante" interface, behalve als het binnen hetzelfde L2 domain zit ( dan is het meestal via de fe80 interface ).
je hebt een fe80::/1 address, een lokaal geadverteerd addres, misschien nog een lokaal geadverteerd address ( dual WAN ) en 1 of meerdere privacy extension addressen
Laten we t maar erop houden dat de verkeersstroom altijd geinitieerd word vanaf de meest "interessante" interface, behalve als het binnen hetzelfde L2 domain zit ( dan is het meestal via de fe80 interface ).
In mijn situatie heb ik voor het bedrijf tussen 2 locaties wel degelijk IPsec VPNs met IPv6 gemaakt, dit om het onderlinge verkeer wat minder aftapbaar te maken. Oude gewoontes.
Wat niet wil zeggen dat er geen verkeer buiten de VPN tunnel om ging, dat scheelt gewoon heel veel snelheid en overhead. Iets met apps van 3e partijen die in een plain tekst wereld leven.
Op de IPv6 TF lijst had ik het als volgt samengevat.
Dingen die je wil voorkomen: Gebruik geen ULA address space, dit lijkt soms handig als je uit de huidige wereld komt maar gaat zo eindeloos veel problemen opleveren met source adres selectie dat het niet grappig is. Het wordt nog regelmatig voorgestelt, niet doen.
Zorg dat de Mobile vpn oplossing Dual Stack is, ik gebruik de Viscosity client in combinatie met de OpenVPN server in pfSense. Dan weet ik in ieder geval zeker dat zowel IPv4 en IPv6 via een publieke wifi hotspot versleuteld onze kant op komt. Het hangt van de onderneming en het gebruik af, maar je snap wat ik bedoel.
Nu is het wel zo dat de meeste servers Dual Stack zijn, inclusief de proxy servers, maar de desktops niet. Aangezien toegang via de proxy wordt afgedwongen is alles automatisch dual stack genoeg. Uiteraard zijn web, mail, dns etc wel dual stack.
Ik heb het niet ervaren als ingewikkeld om uit te rollen, het is best goed te doen. Neem wel een korte cursus in route aggregatie voor het maken van een nummer plan, dat maakt het op de lange termijn een end makkelijker. Zelf heb ik uit de /48 een /52 voor de site gepakt, waarbij de eerste /56 voor de LAN netwerken zijn en de 2e /56 uit de /52 voor de DMZ en WLAN netwerken. Hierdoor kan je makkelijker firewall rules maken en acls tussen onderliggende zones. Mijn netwerk is een paar lagen diep, waardoor deze hierarchie zich makkelijk laat opleggen.
Wat niet wil zeggen dat er geen verkeer buiten de VPN tunnel om ging, dat scheelt gewoon heel veel snelheid en overhead. Iets met apps van 3e partijen die in een plain tekst wereld leven.
Op de IPv6 TF lijst had ik het als volgt samengevat.
Zelf gebruik ik vrijwel altijd pfSense, maar dat heeft meer met kosten te maken dan wat anders. De HA werkt goed genoeg, en is verder ook dual stack geschikt (genoeg).Regel een IPv6 allocatie: Heb je een eigen ASN, geweldig, dan krijg je meteen een knappe eigen PI space van RIPE.
Je hebt PI space, en nu?
- Dual stack de BGP sessies
- Dual stack routers (je hoeft geen RA te doen, dit kan iBGP regelen of een ander intern routing protocol)
- Dual stack DNS servers (Gemakkelijk te realiseren zonder grote consequenties)
- Dual stack mail servers (kan je testen zonder dat iemand het echt in de gaten heeft, benodigd reverse DNS, zie boven)
- Dual stack de rest, web, load balancers, etc, zoals hierboven aangegeven, begin met de eigen website, die worden niet zo snel kwaad
Dingen die je wil voorkomen: Gebruik geen ULA address space, dit lijkt soms handig als je uit de huidige wereld komt maar gaat zo eindeloos veel problemen opleveren met source adres selectie dat het niet grappig is. Het wordt nog regelmatig voorgestelt, niet doen.
Zorg dat de Mobile vpn oplossing Dual Stack is, ik gebruik de Viscosity client in combinatie met de OpenVPN server in pfSense. Dan weet ik in ieder geval zeker dat zowel IPv4 en IPv6 via een publieke wifi hotspot versleuteld onze kant op komt. Het hangt van de onderneming en het gebruik af, maar je snap wat ik bedoel.
Nu is het wel zo dat de meeste servers Dual Stack zijn, inclusief de proxy servers, maar de desktops niet. Aangezien toegang via de proxy wordt afgedwongen is alles automatisch dual stack genoeg. Uiteraard zijn web, mail, dns etc wel dual stack.
Ik heb het niet ervaren als ingewikkeld om uit te rollen, het is best goed te doen. Neem wel een korte cursus in route aggregatie voor het maken van een nummer plan, dat maakt het op de lange termijn een end makkelijker. Zelf heb ik uit de /48 een /52 voor de site gepakt, waarbij de eerste /56 voor de LAN netwerken zijn en de 2e /56 uit de /52 voor de DMZ en WLAN netwerken. Hierdoor kan je makkelijker firewall rules maken en acls tussen onderliggende zones. Mijn netwerk is een paar lagen diep, waardoor deze hierarchie zich makkelijk laat opleggen.
Dank voor de reactie.
Hier in het bedrijf maken ze zich al zorgen als ze die 128 bits adressen zien. Nu is het heel simpel 192.168.1.10 pingen naar server 1, hoe hebben jullie dit geregeld? Ik neem aan dat alle IPv6 adressen met een AAAA record gekoppeld kunnen worden aan de server om op deze manier die server te pingen.
:strip_icc():strip_exif()/u/22092/crop5fa8360e95568_cropped.jpeg?f=community)
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
Wat we hier doen is het laatste octet van het 4 adres gebruiken voor de 6 prefix. Hierdoor krijg je dus <prefix>:<lanid>::<hostoctet>.:
[...]
Dank voor de reactie.
Hier in het bedrijf maken ze zich al zorgen als ze die 128 bits adressen zien. Nu is het heel simpel 192.168.1.10 pingen naar server 1, hoe hebben jullie dit geregeld? Ik neem aan dat alle IPv6 adressen met een AAAA record gekoppeld kunnen worden aan de server om op deze manier die server te pingen.
Voor op het DMZ gebruiken we ::25 en ::25:25 voor de primair en secundaire mail server bijvoorbeeld. Ach, het is net wat past. Dat grote stuk in het midden vat je gewoon samen met ::
En zoals de anderen al opmerken, al die adressen staan in de DNS, niemand die ze ziet, maar ze worden wel gebruikt.
De Link local adressen hoef je niets mee te doen, dat kan je lekker laten gaan. Wat het wel mogelijk maakt is communicatie onderling zonder dat er een prefix is. Het maakt volledige TCP/IP communicatie mogelijk zonder organisatie. Het is een betere APIPA
Zo kan je onafhankelijk van wat de provider configureerd altijd met bijvoorbeeld de printer praten, al dan niet via rendezvous/Avahi/Bonjour (zo lang je op hetzelfde layer 2 zit)
En hoe worden de printers dan ingesteld? Op basis van het Link local adres of het global adres?:
De Link local adressen hoef je niets mee te doen, dat kan je lekker laten gaan. Wat het wel mogelijk maakt is communicatie onderling zonder dat er een prefix is. Het maakt volledige TCP/IP communicatie mogelijk zonder organisatie. Het is een betere APIPA
Zo kan je onafhankelijk van wat de provider configureerd altijd met bijvoorbeeld de printer praten, al dan niet via rendezvous/Avahi/Bonjour (zo lang je op hetzelfde layer 2 zit)
Op dit moment zijn het netwerkprinters die met een 192.168.x.x adres worden toegevoegd aan werkstations. Onze netwerkbeheerder is momenteel niet aanwezig, maar ik neem aan dat de printers gewoon worden toegevoegd op de AD server. Vervolgens zien de werkstations ze staan bij het toevoegen van een printer.
Verwijderd
Via een router advertisement zouden ze gewoon een unicast adres moeten ontvangen, zakelijke printers hebben vaak ook nog de optie om zich te registreren bij een DNS server.
Ze hebben ook een link-local adres maar die is alleen in dat vlan bereikbaar.
Ik heb zo diverse printers uitgerolt en toen er werd gevraag waarom deze "global" bereikbaar moesten zijn had ik de situatie waar je normaliter nachtmerries van krijgt. Namelijk een leverancier die bij deze klant wilde kunnen printer echter zijn interne subnet nummering was gelijk aan die van deze klant.
Double nat
Met IPv6 was het zo gepiept, het werd namelijk een routing "issue" routing instellen, poortje openen, dns naampje aanmaken en dat was het.
[ Voor 3% gewijzigd door Verwijderd op 10-02-2015 11:04 ]
Makes sense. Voor de volledigheid:
Dat had ik natuurlijk ook in eerste instantie kunnen opzoeken
[ Voor 0% gewijzigd door Ximon op 10-02-2015 12:26 . Reden: Opmaak ]
(╯°□°)╯︵ + ︵ x ︵ + ︵ x ︵ + ︵ x ︵ + ︵ x
/u/11437/wandcontactdoos.png?f=community)
/u/23785/crop5dcd5c59e07f9.png?f=community)
Als het bedrijf een knap formaatje heeft dan raad ik aan een Provider Independent IP space aan te vragen bij RIPE, dit hebben we voor het bedrijf gedaan wat ontzettend veel complicaties scheelt. Tenzij we plots uit de /48 groeien hoeven we nimmer om te nummeren.
Let wel, je hebt een ISP nodig die BGP met je wil doen, of, maak gebruik van de gratis HE.net BGP tunnel peering, dat hebben wij circa 2 jaar gebruikt naar volle tevredenheid.
De ULA adres ruimte is feitelijk hetzelfde als RFC1918 space gebruiken, maar dan zonder apparatuur die feitelijk NAT kan doen. Dat heet jezelf in de hoek verfen.
Het probleem hier is dat sommige apparaten wel een klein beetje IPv6 NAT kunnen doen, zoals NPt, maar dat verwacht software dan weer niet zoals SIP toestellen en dergelijke en dan ben je alsnog terug bij af.
Je kan met IPv6 wel meerdere adressen aan een enkel apparaat hangen, maar met wel adres gaat deze naar het internet communiceren? Er is een 50% kans dat het 100% de verkeerde is en het niet werkt.
Je gaat dan feitelijk de source adres selectie op apparaat niveau doen, veel succes daarmee in een grotere omgeving
...en mag je alsnog alles om gaan nummeren
Hmm, dat zou wel moeten lukken
Het is niet alleen de ISP, ook in de organisatie vind men andere zaken belangrijker. En op zich snap ik dat wel (er zijn meer dan genoeg andere zaken om aan te pakken die wel direct invloed hebben op de bedrijfsprocessen) maar toch denk ik dat we relatief simpel vrij grote slagen kunnen maken om zo in ieder geval de diensten die we zelf (extern) aanbieden ook op IPv6 te ontsluiten, en zelf ook bij IPv6-only zaken te kunnen.
Het probleem is dat wij nog geen diensten nodig hebben die enkel op IPv6 draaien, en de mensen die naar onze diensten verbinden allemaal IPv4 hebben
[ Voor 43% gewijzigd door Paul op 10-02-2015 19:49 ]
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
Verwijderd
Ik heb zelf ook wat partijen naar IPv6 bewogen die er geen reden voor zagen, er zijn redelijk wat dingen die je kunt doen zonder dat daar directe kosten en veel tijd aan verbonden zijn.:
[...]
...en mag je alsnog alles om gaan nummeren
[...]
Hmm, dat zou wel moeten lukken
[...]
Het is niet alleen de ISP, ook in de organisatie vind men andere zaken belangrijker. En op zich snap ik dat wel (er zijn meer dan genoeg andere zaken om aan te pakken die wel direct invloed hebben op de bedrijfsprocessen) maar toch denk ik dat we relatief simpel vrij grote slagen kunnen maken om zo in ieder geval de diensten die we zelf (extern) aanbieden ook op IPv6 te ontsluiten, en zelf ook bij IPv6-only zaken te kunnen.
Het probleem is dat wij nog geen diensten nodig hebben die enkel op IPv6 draaien, en de mensen die naar onze diensten verbinden allemaal IPv4 hebben
- Vraag manager/ collega's bij aankopen nieuwe apparatuur (switches, printers, firewall's loadbalancers) of ze in iedergeval IPv6 ondersteuning hebben omdat ze anders waarschijnlijk voor het eind van hun beoogd termijn vroegtijd vervangen worden en dat zou zonde van het geld zijn
- Gooi je domein in ip6.nl en kijk of je DNS provider en mailprovider mocht je dit niet zelf afhandelen IPv6 support hebben. Indien niet, stuur een standaars informatief mailtje of ze hier een planning voor hebben.
- Geef aan dat jullie al IPv6 draaien, aangenomen dat je ergens in het netwerk minimaal 2 windows 2008 of hoger servers hebt of windows 7 werkstations in hetzelfde lan. Deze praten onderling IPv6. Dat het beter is dat er kennis wordt opgedaan dan dat er verkeer in je netwerk zit waar je geen zicht op hebt of kennis van hebt.
- Controleer wat windows 2008 of hoger servers als je die hebt met een ipconfig /all als daar een unicast ipv6 adres tussen zit dan heb je waarschijnlijk een teredo tunnel, dan is deze server ook mogelijk al te benaderen op het internet op dit IP. Ik heb servers gezien met meerdere (virtual) nic's waarop deze adressen zaten en geen active firewall (windows firewall) actief was. Dus onbeschermd online
IPv6 disablen levert ook issues op en wordt volgens mij zelfs ontraden door MS. Tunnels uitzetten en blokkeren is een stuk beter> http://www.howfunky.com/2...pv6-tunneling-across.html
Zo zijn er nog wel wat dingen, ofwel zoek de beste argumenten op, krijg wat support om in iedergeval een plan van aanpak te maken zodat de bal gaat rollen.
Dus jij beweert dat een host die zowel een publiek IPv6 adres als een ULA heeft soms het ULA gebruikt als source wanneer die naar een ander publiek IPv6 verbindt? Is dat echt zo?:
Je kan met IPv6 wel meerdere adressen aan een enkel apparaat hangen, maar met wel adres gaat deze naar het internet communiceren? Er is een 50% kans dat het 100% de verkeerde is en het niet werkt.
Je gaat dan feitelijk de source adres selectie op apparaat niveau doen, veel succes daarmee in een grotere omgeving
Ik had er gisteren al twijfels bij toen ik die reactie las, maar geen tijd om er in te duiken. Nu wel. Er is dus inderdaad gewoon een RFC (6724) die vastlegt hoe het source adres gekozen moet worden. Mijn idee met ULA's begint me meteen nog een stuk logischer in de oren te klinken
(hier meer leesvoer)
De summary onder aan die pagina vat het mooi samen::
[...]
Ik had er gisteren al twijfels bij toen ik die reactie las, maar geen tijd om er in te duiken. Nu wel. Er is dus inderdaad gewoon een RFC (6724) die vastlegt hoe het source adres gekozen moet worden. Mijn idee met ULA's begint me meteen nog een stuk logischer in de oren te klinken
De situatie wordt nog veel interessanter als je meer dan 1 globale prefix gebruikt, dan wordt het helemaal een verhaal. Dat is wat er in japan gebeurt waarbij er zowel IPTV als Internet een prefix gebruikt op hetzelfde LAN. Door deze selectie op de eindapparatuur te laten plaats vinden kan dit tot problemen leiden.
In het minste geval dropt ISP A verkeer van ISP B omdat het een andere prefix is.
De aanname van de IETF was dat alle wegen naar Rome (het internet) leiden, en dat is pertinent niet waar. Ik kan helaas de video van 1 van deze conferences niet meer vinden waar de verontwaardiging en verwarring al snel compleet was onder de mensen toen dit aangegeven werd.
2 netwerk prefixes onderhouden is ook niet iets om naar uit te kijken. Zoals boven aangeven maakt het de situatie (vaak) een stuk complexer maken dan je lief is.
Zoals een ander aangeeft, er komt vaak een punt dat iets wat oorspronkelijk geen internet toegang nodig had nu wel het internet op moet. Ga je dubbele ACLs onderhouden? Ga je meerdere gemixte RA uitsturen voor zowel de RA en GUA prefixes op hetzelfde VLAN? Ga je tegelijkertijd de GUA en ULA routeren, hoe houd je deze hierarchie gelijk?
Ik zou me er echt niet aan wagen, ik heb het overwogen, maar na een lijst van toegenomen administratief beheer en complexiteit heb ik er van af gezien. Het is makkelijker om even een subnetje met 50 printers om te nummeren. De prefix aanpassen van een buts apparaten is soms makkelijker.
Heel veel configuratie heb ik omgezet van statisch naar dynamisch, dat maakt dit soort dingen een stuk simpeler. Het hele omnummer verhaal kan je soms met de beste wil van de wereld niet omzeilen.
De helft van mijn werkgever is verkocht, daar kan geen enkel nummer plan tegenop. Tsjakka ...
Ik zou niet blind willen vertrouwen op de source adres selectie van apparaten, het impliceert dat deze dit allemaal zelf kunnen invullen, en zullen dat dan ook doen. En ik ben ervan overtuigd dat de Samsung printer dit anders doet dan de HP printer of een Dell DRAC kaart.
Tevens ondersteunen veel apparaten dan weer niet meerdere IP6 adressen (ook al vermeld de RFC dit expliciet), maar ik wel graag de server van thuis beheren. Dus een GUA adres, met een route in mijn OpenVPN server voor toegang, maar een blok ACL op de firewall voor van buiten. Prima!
Apparaten met enkel een ULA adres zullen altijd met dat adres naar het internet toe proberen te verbinden, want er is geen keuze. Zo lekt meer van dat verkeer het internet op, want NAT bestaat niet
Door de GUA adressering weet ik ook zeker dat de nummering uniek is en er dus geen situatie onstaat waarbij er overlap ontstaat dat 2 ondernemingen dezelfde ULA prefix gebruiken. Iets wat nu al schering en inslag is tussen ondernemingen met het 10/8 blok.
Zoals een ander aangeeft, er komt vaak een punt dat iets wat oorspronkelijk geen internet toegang nodig had nu wel het internet op moet. Ga je dubbele ACLs onderhouden? Ga je meerdere gemixte RA uitsturen voor zowel de RA en GUA prefixes op hetzelfde VLAN? Ga je tegelijkertijd de GUA en ULA routeren, hoe houd je deze hierarchie gelijk?
Ik zou me er echt niet aan wagen, ik heb het overwogen, maar na een lijst van toegenomen administratief beheer en complexiteit heb ik er van af gezien. Het is makkelijker om even een subnetje met 50 printers om te nummeren. De prefix aanpassen van een buts apparaten is soms makkelijker.
Heel veel configuratie heb ik omgezet van statisch naar dynamisch, dat maakt dit soort dingen een stuk simpeler. Het hele omnummer verhaal kan je soms met de beste wil van de wereld niet omzeilen.
De helft van mijn werkgever is verkocht, daar kan geen enkel nummer plan tegenop. Tsjakka ...
Ik zou niet blind willen vertrouwen op de source adres selectie van apparaten, het impliceert dat deze dit allemaal zelf kunnen invullen, en zullen dat dan ook doen. En ik ben ervan overtuigd dat de Samsung printer dit anders doet dan de HP printer of een Dell DRAC kaart.
Tevens ondersteunen veel apparaten dan weer niet meerdere IP6 adressen (ook al vermeld de RFC dit expliciet), maar ik wel graag de server van thuis beheren. Dus een GUA adres, met een route in mijn OpenVPN server voor toegang, maar een blok ACL op de firewall voor van buiten. Prima!
Apparaten met enkel een ULA adres zullen altijd met dat adres naar het internet toe proberen te verbinden, want er is geen keuze. Zo lekt meer van dat verkeer het internet op, want NAT bestaat niet
Door de GUA adressering weet ik ook zeker dat de nummering uniek is en er dus geen situatie onstaat waarbij er overlap ontstaat dat 2 ondernemingen dezelfde ULA prefix gebruiken. Iets wat nu al schering en inslag is tussen ondernemingen met het 10/8 blok.
/u/34216/avatar-60x60.png?f=community){kind=avatar}
RFC 4193 noemt inderdaad dat het globally unique zou moeten zijn, maar zegt ook expliciet "with high probability of uniqueness". En dat daarvoor een fatsoenlijke PRNG gebruikt dient te worden, om "clashes" te voorkomen tussen twee ranges bij bepaalde situaties.
De geest van de RFC geeft overduidelijk weer dat het niet per se unique dient te zijn. Maar meer 'streven naar'.
ULA-registers zijn IMO dan ook achterlijk.. Maargoed, SixXS hè
Tja, eerlijk en nuttig of niet, ik heb wel twee ULA's geregistreerd die mij en mijn werkgever handig uit komen. Ik heb ze al tijden niet meer gebruikt, maar ja, gratis is gratis he
This post is warranted for the full amount you paid me for it.
Oh ja, ik denk te vaak enkel aan multi-access ethernet netwerken
Thnx!
Implementaties van IPv6 snooping, zijn dus (nog steeds) onontbeerlijk in productie netwerken.
Voor de IPv6 - enabled lezers hier :
Stel je hebt een Wolfgang (Aldi) mobieltje wat stuk is en je probeer het RMA formulier te downloaden op
http://www.wolfgangmobile...Docs/RMA_Formulier_AT.pdf
Bij werkt dat alleen als ik de IPv6 stack even de nek omdraai
Stel je hebt een Wolfgang (Aldi) mobieltje wat stuk is en je probeer het RMA formulier te downloaden op
http://www.wolfgangmobile...Docs/RMA_Formulier_AT.pdf
Bij werkt dat alleen als ik de IPv6 stack even de nek omdraai
:strip_exif()/u/48440/crop6130a5af754ae_cropped.webp?f=community)
