/u/14460/despicable_me.png?f=community)
Blog | PVOutput Zonnig Beuningen
/u/22486/jasonbrooks2.png?f=community)
:strip_icc():strip_exif()/u/79614/Family-Guy-Victory-is-Ours.jpg?f=community)
:strip_icc():strip_exif()/u/67189/rawr-avatar.jpg?f=community){kind=avatar}
/u/262016/crop64ed94e1a7757_cropped.png?f=community)
Cooling is silver, silence is golden!
Wat je denkt is niet wat je zegt. Wat je zegt wordt anders begrepen.
Main: AMD RX 9070XT Sapphire Pure, 2e PC: Nvidia RTX3080 EVGA FTW3
/u/23785/crop5dcd5c59e07f9.png?f=community)
Cooling is silver, silence is golden!
Wat je denkt is niet wat je zegt. Wat je zegt wordt anders begrepen.
Main: AMD RX 9070XT Sapphire Pure, 2e PC: Nvidia RTX3080 EVGA FTW3
/u/34216/avatar-60x60.png?f=community){kind=avatar}
Zorg dat je bij elke site v6-connectivity hebt (al dan niet met tunnels) en dan kun je gewoon over 't internet praten zonder site-site tunnels. Eventueel kun je IPSec inzetten om je verkeer tussen je sites te encrypten.:
Vraagje voor de kenners hier. Op mijn (nu) IPv4 netwerk wil ik ook maar eens IPv6 "implementeren". De vraag is dan hoe ik dat ga doen met adressering. Het gaat om een thuissituatie.
Ik heb al het een en ander gelezen over dual-adressing, over network prefix translation en over /56 en /64.
Nu met IPv4 heb ik vier sites. Eén is een VPS (cloud) en de andere drie netwerken zijn thuisnetwerken. Deze drie thuisnetwerken verbinden (OpenVPN) allemaal met de cloud en zo is alles routable. Binnen een netwerk zijn meerdere VLANs om securityredenen. In de cloud staat PfSense, alle thuisnetwerken draaien op OpenWRT. Alles direct aan internet (of achter een bridged modem).
Nu leek mij het meest handig om een ULA /48 te pakken en voor elke VLAN een /64 uit te geven. Dit is dan de "lokale" layer die (via OpenVPN) volledig routable is en waarbij firewall rules redelijk open zijn. De /64 (of hopelijk /56) die dan van de provider komt kan daarbij komen. Hiervoor gelden meer strict firewall rules.
Ik las eerder in dit topic reacties over dat dit lastig onderhoudbaar is, maar is dat echt zo'n probleem? Daarnaast voorkom ik problemen met DHCPv6 allocering door providers waardoor firewall rules aangepast moeten worden. Enige echt probleem dat ik zag is dat sommige devices niet meerdere IP-adressen ondersteunen (zoals printers) en ik moet nog even kijken hoe het geheel geconfigureerd kan worden.
Hoor graag jullie reacties en adviezen als dat mag.
All my posts are provided as-is. They come with NO WARRANTY at all.
:strip_exif()/u/26026/snowrabb.gif?f=community)
Echt, allen, stop met denken aan Site-to-Site tunnels. Laat het internet de routeringen voor je doen. Pas gewoon firewall policies toe waar nodig en gebruik eventueel nog IPSec.
Verder maakt SSH en HTTPS de boel al gewoon veilig, dus waarom driedubbel inpakken en je MTU compleet verknallen?
Met IPv6 helemaal stoppen met denken in private networks. Het internet is je grote private network! Firewalls doen verder de rest afschermen.
Ik gebruik voor alles OpenVPN.
Het idee van IPSec is nieuw voor mij, interessant. Ik heb al gekeken, dat zou dan met Strongswan in OpenWRT kunnen. Het onderwerp is wel redelijk nieuw, dus moet nog even kijken of ik hier eventueel zelf uit kom. Maar interessant is het zeker!
Dit is een helder advies!
Op zich is wat je adviseert uiteindelijk de bedoeling in de "IPV6 wereld".:
[...]
Echt, allen, stop met denken aan Site-to-Site tunnels. Laat het internet de routeringen voor je doen. Pas gewoon firewall policies toe waar nodig en gebruik eventueel nog IPSec.
Verder maakt SSH en HTTPS de boel al gewoon veilig, dus waarom driedubbel inpakken en je MTU compleet verknallen?
Met IPv6 helemaal stoppen met denken in private networks. Het internet is je grote private network! Firewalls doen verder de rest afschermen.
Helaas ontkom je voorlopig gewoon nog niet aan site to site tunnels. Div. ISP's gebruiken op dit moment nog deployment situaties zoals 6RD. En daar verandert je IPV6 prefix gewoon net zo hard als je IPV4 adres. Een hel als je met firewall regels moet werken.
En tunnelbrokers zoals he.net en SixXS introduceren weer hun eigen MTU problemen en bieden toch meestal ook niet de snelheid die je native van je ISP krijgt.
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.
/u/53007/DustPuppy.png?f=community)
Ik moet eerlijk toegeven dat, als ik echt serieus met IPV6 zou gaan beginnen, ik het aanvankelijk ook op die manier zou doen
. Maar ik zou er wel naar streven om het zo veel mogelijk meteen op de 'bedoelde' manier te doen. Overigens... ik beweer ook niet dat Sixxs een prefix wijziging doet. Maar ISP's die met 6rd werken, doen dat wel massaal (bv. alle glasvezel ISP's die KPN ITNS gebruiken voor de internettoegang).
[ Voor 6% gewijzigd door eymey op 09-04-2015 10:31 ]
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.
Ben ik niet helemaal met je eens
. Als de server-kant van mijn OpenVPN tunnels hetzelfde blijft, kan de client kant (thuislocaties) prima veranderen en wordt gewoon de tunnel opnieuw opgezet zonder tussenkomst van mijzelf.
Het wordt natuurlijk anders als je beide eindpunten statisch configureert
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.
Dat is alleen geen site-to-site tunnel maar gewoon een hub-and-spokemodel.:
[...]
Ben ik niet helemaal met je eens
Als de server-kant van mijn OpenVPN tunnels hetzelfde blijft, kan de client kant (thuislocaties) prima veranderen en wordt gewoon de tunnel opnieuw opgezet zonder tussenkomst van mijzelf.
All my posts are provided as-is. They come with NO WARRANTY at all.
Verwijderd
Dat kan als je server-kant van alle IP adressen VPN accepteert, of van alle subnetten van de provider waar de thuislocaties in zitten.:
[...]
Ben ik niet helemaal met je eens
Als de server-kant van mijn OpenVPN tunnels hetzelfde blijft, kan de client kant (thuislocaties) prima veranderen en wordt gewoon de tunnel opnieuw opgezet zonder tussenkomst van mijzelf.
Het wordt natuurlijk anders als je beide eindpunten statisch configureert
Als je verkeer encrypted is (ssh / tls ) of dat je IPsec gebruikt, dan kun je in plaats van een VPN ook een source adres van je provider van de clients opgeven als extra security laag, waardoor bijvoorbeeld alleen clients (of ze nu wisselen van range of niet) van ziggo: 2001:0b88::/33 ssh naar de server-kant mogen.
Hier ben ik het volmondig mee eens. Kijk, ik ga binnenkort op vakantie naar een ander land en ik wil gewoon kunnen internetten over een veilige verbinding, bijvoorbeeld als ik op een hotspot zit. Ik maak momenteel vanaf mijn telefoon verbinding naar mijn UPC IP-adres, maar ik zou het niet tof vinden als halverwege mijn vakantie mijn IP verandert en ik er geen gebruik meer van kan maken (en ja, recent is dat nog gebeurd vanwege werkzaamheden aan het UPC-netwerk). Met mijn nieuwe VPS is dat probleem verholpen, omdat de Colo een fixed IP geeft.
Met IPv6 geldt hetzelfde. Ik ben het dus eens dat het, totdat de providers ook IPv6 juist implementeren, in sommige situaties handiger is om met workaround de boel werkend te houden. Ik heb uiteindelijk ook geen zin om 24/7 de systeembeheerder uit te moeten hangen
.
DDNS? Dat werkt prima voor zulke situaties!:
[...]
Hier ben ik het volmondig mee eens. Kijk, ik ga binnenkort op vakantie naar een ander land en ik wil gewoon kunnen internetten over een veilige verbinding, bijvoorbeeld als ik op een hotspot zit. Ik maak momenteel vanaf mijn telefoon verbinding naar mijn UPC IP-adres, maar ik zou het niet tof vinden als halverwege mijn vakantie mijn IP verandert en ik er geen gebruik meer van kan maken (en ja, recent is dat nog gebeurd vanwege werkzaamheden aan het UPC-netwerk). Met mijn nieuwe VPS is dat probleem verholpen, omdat de Colo een fixed IP geeft.
Met IPv6 geldt hetzelfde. Ik ben het dus eens dat het, totdat de providers ook IPv6 juist implementeren, in sommige situaties handiger is om met workaround de boel werkend te houden. Ik heb uiteindelijk ook geen zin om 24/7 de systeembeheerder uit te moeten hangen
Hopelijk kan ik je er van weerhouden zulke zaken te implementeren. Ik heb het tijden gedaan met mijn Sixxs tunnel en ben nu érg blij met mijn statische IPv6 subnet.:
[...]
Ik moet eerlijk toegeven dat, als ik echt serieus met IPV6 zou gaan beginnen, ik het aanvankelijk ook op die manier zou doen
Overigens... ik beweer ook niet dat Sixxs een prefix wijziging doet. Maar ISP's die met 6rd werken, doen dat wel massaal (bv. alle glasvezel ISP's die KPN ITNS gebruiken voor de internettoegang).
Bij XS4All in 2 jaar nooit een nieuw IPv6 subnet gekregen en bij ZeelandNet in de afgelopen 7 maanden ook niet.
OK, akkoord
(networking is niet mijn dagelijkse vak en zeker niet in grote netwerkomgevingefn met heel veel sites, meeste is hobbymatig met wel VPS en wat thuislokaties )Dat is idd ook een optie
Mja, op vakantie zijn, op vreemde netwerken zitten, etc. is natuurlijk ook wel weer een ander verhaal dan met (statische site-to-site verbindingen (afgezien van evt dynamische endpoints:
[...]
Hier ben ik het volmondig mee eens. Kijk, ik ga binnenkort op vakantie naar een ander land en ik wil gewoon kunnen internetten over een veilige verbinding, bijvoorbeeld als ik op een hotspot zit. Ik maak momenteel vanaf mijn telefoon verbinding naar mijn UPC IP-adres, maar ik zou het niet tof vinden als halverwege mijn vakantie mijn IP verandert en ik er geen gebruik meer van kan maken (en ja, recent is dat nog gebeurd vanwege werkzaamheden aan het UPC-netwerk). Met mijn nieuwe VPS is dat probleem verholpen, omdat de Colo een fixed IP geeft.
Met IPv6 geldt hetzelfde. Ik ben het dus eens dat het, totdat de providers ook IPv6 juist implementeren, in sommige situaties handiger is om met workaround de boel werkend te houden. Ik heb uiteindelijk ook geen zin om 24/7 de systeembeheerder uit te moeten hangen
) die beveiligd moeten zijn. In zulke situaties ontkom je denk ik nog steeds niet aan een VPN tunnel. Tenzij die lokaties ook volledig en correct ipv6 draaien, maar dan zul je dus nog wel voor je encryptie moeten zorgen .Mja, connecties met XS4ALL verlopen (voor zo ver ik weet) ook nog steeds via PPP. Waarbij alle IP assignment dus eigenlijk op 1 (of hooguit een paar) locatie(s) gebeurt. Dus ik verwacht inderdaad dat er daar zelden of nooit een reden zal zijn om IP-adressen te veranderen. En sowieso werkt xs4all met native ipv6 en zou een herverdeling, zelfs al deden ze regio-verdeelde IP-blokken, voor ipv6 nooit meer nodig moeten zijn. Nadeel van glas / KPN ITNS blijft dat daar alles per regio verdeeld is (en met DHCP relays wordt uitgegeven). En dat bij uitbreiding dus nog wel eens opnieuw verdeeld moet worden. En bij 6rd is een deel van je prefix eenmaal verbonden met je IPV4 adres.
Maar het ligt wel in lijn der verwachting (of iig hoop) dat providers bij de uitrol van native IPV6 dit nooit meer hoeven of willen doen
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.
:strip_icc():strip_exif()/u/212310/6.jpg?f=community)
Een klein beetje off-topic, maar bij Ziggo betaal je je blauw voor een /29 met een leuke download-snelheid, €119/mnd ex voor 160/40mbit (betaal nu 65 inc voor 200/20).
Ik hoop dat ze daar ook nog wat in gelijk gaan trekken dan
Ach, ik ben nu bezig met een aanvraag voor een nieuwe organisatie, nieuw AS en PI aanvraag, vingers gekruist dat we e.e.a. kunnen regelen met RIPE als nieuwe organisatie. Die IPv6 aanvraag lukt vast wel, die andere is was lastiger.:
[...]
Een klein beetje off-topic, maar bij Ziggo betaal je je blauw voor een /29 met een leuke download-snelheid, €119/mnd ex voor 160/40mbit (betaal nu 65 inc voor 200/20).
Ik hoop dat ze daar ook nog wat in gelijk gaan trekken dan
Op de vrije markt is een /24 PI 10 euro per IP, met notaris en administratie kosten erbij zit je dan op circa 4000 euro eenmalig. Dat is het slechtste geval.
:strip_icc():strip_exif()/u/371543/pirat60.jpg?f=community)
/u/11437/wandcontactdoos.png?f=community)
Voor zover ik het heb begrepen heeft een device met PE twee adressen, één statisch voor binnenkomende verbindingen, en één PE-adres wat gebruikt wordt voor uitgaande verbindingen.
Op veel servers kun je PE dus ook gebruiken (let wel, ik heb het over technisch, niet over het nut en wenselijkheid vanuit beheer
), pas als je ergens een ACL op basis van source IP hebt zit PE in de weg, voor de bereikbaarheid van het device heeft het het statische adres.
"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock
Op het werk forceren we door uitgaand verkeer te blokkeren het gebruik van een proxy server met authenticatie. Op die manier is HTTPS content veel makkelijker te controleren.
In sommige andere gevallen is het controlen van de DNS server een goed genoeg middel, dit doen we met DNSmasq en een whitelist, alleen die domeinen worden doorgestuurd.
In pfSense gebruik ik ook firewall rules op hostnaam om te zorgen dat deze automatisch IP4 en IP6 toepassen. Werkt een stuk prettiger dan gewoon een adres, of adressen, het scheelt ook onderhoud. Iets met alles in de cloud tegenwoordig
:strip_exif()/u/128173/crop59a1592e54731_cropped.gif?f=community)
Over privacy extensions gesproken, hoe gaat 't eigenlijk met actieve connecties/downloads op het moment dat het IPv6 adres verandert, ondervinden die er hinder van?
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
PE-adressen blijven actief zolang ze gebruikt worden. Je kunt er op eender welk moment dus een aantal van hebben.:
[...]
Over privacy extensions gesproken, hoe gaat 't eigenlijk met actieve connecties/downloads op het moment dat het IPv6 adres verandert, ondervinden die er hinder van?
All my posts are provided as-is. They come with NO WARRANTY at all.
:strip_exif()/u/2087/osiris_ani.gif?f=community)
Check 'ip -6 addr list' maar eens na een goeie uptime.. Staat vol met o.a. ook de oude deprecated PE-adressen:
[...]
Over privacy extensions gesproken, hoe gaat 't eigenlijk met actieve connecties/downloads op het moment dat het IPv6 adres verandert, ondervinden die er hinder van?
After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...
Oscar Wilde
:strip_icc():strip_exif()/u/22092/crop5fa8360e95568_cropped.jpeg?f=community)
Hier (Hoogeveen) niet. Zojuist gerefresht, maar ik krijg geen lease.
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
/u/289685/crop624687c8263c1.png?f=community)
Heb je wel de Ubee 321W en al die firmware update gekregen die jouw modem IPv6 ondersteuning geeft?:
[...]
Hier (Hoogeveen) niet. Zojuist gerefresht, maar ik krijg geen lease.
Ik ben benieuwd of ze die firmware updates landelijk uitrollen en pas daarna één voor één IPv6 aanzetten op de CMTS-en. Dan zou langzaam aan regio per regio IPv6 krijgen.
Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic
:strip_icc():strip_exif()/u/6607/klootviool2.jpg?f=community)
Ook weer veel te simpel. Elk verbonden apparaat heeft ook een adres in die reeks, dus die kunnen er net zo goed *iets* mee te maken hebben.
| Last.fm | "Mr Bent liked counting. You could trust numbers, except perhaps for pi, but he was working on that in his spare time and it was bound to give in sooner or later." -Terry Pratchett
Ik wacht nog even op wat technische info van desbetreffende persoon, zonder knappe details zaait het alleen maar meer verwarring.
Dus KPN kennende doen ze dat
Geen garantie, maar de KPN ITNS providers geven AFAIK een /56.
Alleen was dat wel een 6RD implementatie.
Geen garantie, maar de KPN ITNS providers geven AFAIK een /56.
Alleen was dat wel een 6RD implementatie.
Blog | PVOutput Zonnig Beuningen
:strip_icc():strip_exif()/u/25528/crop6262b474a9363_cropped.jpg?f=community)
(Heb al een paar pagina's teruggelezen, maar kon het niet vinden. Dus bij voorbaat mijn excuses als de volgende vraag al aan bod is geweest, en als dat zo is hoor ik dat graag en zoek ik nog verder terug )
Welke versie software draait er op de Cisco EPC3928 in de regio's waar nu IPv6 is uitgerold?
We hebben nu Firmware Version: epc3928a-E10-5-v302r125572-131030c-ZIG er op staan, ik heb het modem al een aantal keren herstart de afgelopen weken maar zie nog niks erbij komen wat er op duidt dat IPv6 al in deze firmware zit.
En aangezien ik nieuwsgierig ben...
)Welke versie software draait er op de Cisco EPC3928 in de regio's waar nu IPv6 is uitgerold?
We hebben nu Firmware Version: epc3928a-E10-5-v302r125572-131030c-ZIG er op staan, ik heb het modem al een aantal keren herstart de afgelopen weken maar zie nog niks erbij komen wat er op duidt dat IPv6 al in deze firmware zit.
En aangezien ik nieuwsgierig ben...
Pvoutput 3.190 Wp Zuid; Marstek Venus 5.12 kWh; HW P1; BMW i4 eDrive40
Voor zover ik weet worden alleen de Ubee WiFi modems in een select aantal locaties op dit moment aangezet voor IPv6.:
(Heb al een paar pagina's teruggelezen, maar kon het niet vinden. Dus bij voorbaat mijn excuses als de volgende vraag al aan bod is geweest, en als dat zo is hoor ik dat graag en zoek ik nog verder terug
Welke versie software draait er op de Cisco EPC3928 in de regio's waar nu IPv6 is uitgerold?
We hebben nu Firmware Version: epc3928a-E10-5-v302r125572-131030c-ZIG er op staan, ik heb het modem al een aantal keren herstart de afgelopen weken maar zie nog niks erbij komen wat er op duidt dat IPv6 al in deze firmware zit.
En aangezien ik nieuwsgierig ben...
Ik geloof dat ik dus nog wat meer geduld moet hebben...
Wij wonen in het midden van het land, dus ik heb stille hoop dat het voor ons niet al te lang zal duren voor IPv6 komt.
Mastervissie, Maurits en Zstub dank voor het reageren
Wij wonen in het midden van het land, dus ik heb stille hoop dat het voor ons niet al te lang zal duren voor IPv6 komt.
Mastervissie, Maurits en Zstub dank voor het reageren
Pvoutput 3.190 Wp Zuid; Marstek Venus 5.12 kWh; HW P1; BMW i4 eDrive40
:strip_icc():strip_exif()/u/162759/crop63c596b826c44.jpg?f=community)
Eerst even een off-topic vraagje: Wat voor probleem heb je precies met Fritz!boxen? Ik ben inmiddels al zo'n 9 jaar Fritz!box gebruiker en, los van de wat onlogisch ingedeelde interface, totaal geen problemen met die dingen. Vooral met m'n 7490 ben ik ontzettend tevreden, vooral qua performance en stabiliteit. Ik kan me wel voorstellen dat, als je wat meer geävanceerde dingen (vooral m.b.t. ipv6) wil kunnen instellen, dat je er dan een probleem mee hebt.
In ieder geval: Een bug in de Fritz!box zou ik het niet direct willen noemen. Want als ik, naast de eerder voorbij gekomen link van Kruithof, bv. ook deze bron lees ( http://www.kdgforum.de/viewtopic.php?f=67&t=33594 ), dan maak ik daaruit op dat het een bewuste keuze is van AVM om dit te doen.
Sterker nog, om dit te doen moeten ze zelfs nog bewust om 1 of andere bug in Vista heen werken
. Overigens, op mijn Windows 7 systeem zie ik ook van deze adressen (en ik heb geen iOS of MacOS apparaten in huis).
IPv6 Address. . . . . . . . . . . : 4006:7c4f:c0a8:997:4da6:82cb:4603:a044(Deprecated)
IPv6 Address. . . . . . . . . . . : 4006:7c81:c0a8:997:4da6:82cb:4603:a044(Deprecated)
Je kan je natuurlijk wel afvragen waarom ze dit zo doen. Maar als ik het een beetje goed begrijp, dan lijken ze dus gewoon te willen voorkomen dat een ander apparaat aan de LAN-zijde zichzelf adverteert als een router.
Ik heb op dit moment even geen tijd om heel uitgebreid te testen, maar ik heb hier wel een setting die bij mij (en wrs bij veel Fritz!box gebruikers want default) uitgeschakeld staat:
"Allow IPv6 prefixes announced by other IPv6 routers in the home network". Men heeft dus duidelijk wel bewust iets geïmplementeerd om IPv6 advertisements anders die van zichzelf te counteren.
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.
Tsja, dat instabiel herken ik dus totaal niet. Interface is een kwestie van wennen. Het beleid omtrent wachtwoorden heb ik geen problemen mee (lijkt me alleen maar veiliger zo). En dit gedrag met ipv6 is dus waarschijnlijk ook gewoon uit te schakelen. Bovendien begint het dus al met een apparaat in je netwerk dat begint met het adverteren van ongeldige prefixen.
Maar goed, smaken verschillen. Ik ben meer dan tevreden... in het verleden op ADSL en de laatste jaren op glas
Maar goed, smaken verschillen. Ik ben meer dan tevreden... in het verleden op ADSL en de laatste jaren op glas
Marstek Venus 5.12kWh v151, CT002 V118, CT003 V116 DSMR5.5, PV 11xEnphase IQ7+ Z-O, 5xEnphase IQ7+ N-W - ~4,7Wp theoretisch, ~3,5Wp praktijk.