Het grote IPv6 topic

Verwijderd schreef op zaterdag 20 juni 2015 @ 10:06:
Ik zag ook een reactie van Ziggo over de uitrol

Snow_King schreef op zaterdag 20 juni 2015 @ 09:10:
...

Snow_King schreef op zaterdag 20 juni 2015 @ 09:10:
Een beetje een crosspost om aandacht te trekken voor een ander topic: Netneutraliteit en poort blokkades

[afbeelding]

(Typo's in Tweets, ik weet het....)

Ik vroeg mij dus met een collega gisteren af of Vodafone zodra ze IPv6 gaan uitrollen weer poorten gaan blokkeren richting telefoons.

Bij NAT is het een bijwerking, maar bij IPv6 niet. Dus ik vraag mij af of Vodafone wel inkomende poorten naar mijn telefoon mag blokkeren onder de wet netneutraliteit.

Iemand enig idee? Lijkt mij namelijk een interessant verhaal!

Blokker_1999 schreef op zaterdag 20 juni 2015 @ 19:09:
Daarnaast zie ik zelf weinig nut in het open zetten van poorten op een mobiele verbinding. Deze verbindingen zijn nu eenmaal niet bedoeld om services mee op te zetten.

Blokker_1999 schreef op zaterdag 20 juni 2015 @ 19:09:
daarnaast heeft inkomende poorten imho weinig te zien met netneutraliteit. Je benadeeld er geen diensten mee, alle verkeer word gelijk behandeld. Sowieso word bij IPv6 over het algemeen (net omdat elk toestel een extern bereikbaar IP krijgt) net alle poorten geblokkeerd om aanvallen te voorkomen.

Daarnaast zie ik zelf weinig nut in het open zetten van poorten op een mobiele verbinding. Deze verbindingen zijn nu eenmaal niet bedoeld om services mee op te zetten.

Verwijderd schreef op zaterdag 20 juni 2015 @ 11:32:
https://twitter.com/TfeedHook/status/611460701908037632
https://twitter.com/TfeedHook/status/611441901166854144

2 berichten gericht aan Ziggo, maar op 1 een reactie die lijkt te horen bij de andere. Ik snapte het in het begin niet totdat ik deze berichten bij elkaar las. Effin, valt weinig uit op te maken.

Snow_King schreef op zaterdag 20 juni 2015 @ 19:25:
[...]
voor oa SIP zijn inkomende poorten nodig om het soepel te laten werken. Ik ben bij v6 niet echt bang voor inkomende scans ed.

Ik wil gewoon een ongefilterde verbinding. Denk ook aan de SIM in mijn laptop.

[ Voor 12% gewijzigd door ik222 op 20-06-2015 23:13 ]

ik222 schreef op zaterdag 20 juni 2015 @ 23:02:
[...]

Ook SIP kan prima werken achter een statefull firewall met alles zonder state naar binnen dicht. Daar zijn gewoon oplossingen voor zodat het nu ook over IPv4 achter NAT werkt bijvoorbeeld.

Neemt niet weg dat ik het wel met je eens ben dat een ongefilterde verbinding meestal de voorkeur heeft. Alleen moeten we ons denk ik afvragen of dat voor mobiel ook wel zo'n goed idee is omdat mensen daar meestal zelf geen firewall tussen de verbinding hebben zitten. Aan mobiele devices die standaard volledig ongefilterd aan het internet hangen vind ik toch ook een behoorlijk risico zitten...

Een optie om het open te laten zetten op eigen verantwoordelijkheid zou natuurlijk wel erg welkom zijn

Snow_King schreef op zaterdag 20 juni 2015 @ 23:54:
Ik vraag mij dus echter af of ik zoiets kan afdwingen bij Vodafone zodra ik v6 krijg.

Maurits van Baerle schreef op zaterdag 20 juni 2015 @ 19:50:
[...]

Ik vermoed dat dat deze gebruiker is geweest: http://ziggo-gebruikers.n...hp?p=493279&postcount=128

ed1703 schreef op zondag 21 juni 2015 @ 08:18:
[...]

Nou nee, maar ik had wel mijn eigen onderonsje met @ziggowebcare

ed1703 schreef op zondag 21 juni 2015 @ 08:39:
Volgens de SD moet het aan staan om deel te kunnen nemen in de al eerder genoemde testgebieden.

[ Voor 9% gewijzigd door Verwijderd op 21-06-2015 09:10 ]

CAPSLOCK2000 schreef op zaterdag 20 juni 2015 @ 13:55:
Misschien kun je ze het artikel sturen dat Apple ondersteuning voor IPv6 eist in iOS9.
bv nieuws: Apple eist ipv6-ondersteuning bij apps op iOS 9

Technisch gezien is het natuurlijk helemaal niet nodig dat Vodafone het dan ook gaat ondersteunen maar de naam van Apple maakt deuren op en die anders gesloten blijven. Als Apple iets zegt raken hele groepen mensen onmiddellijk in paniek.

[ Voor 8% gewijzigd door Maurits van Baerle op 21-06-2015 13:41 ]

[ Voor 21% gewijzigd door databeestje op 23-06-2015 17:09 ]

[ Voor 22% gewijzigd door Roetzen op 24-06-2015 15:35 ]

CAPSLOCK2000 schreef op woensdag 24 juni 2015 @ 14:34:

ARIN (Noord-Amerika) blijft op hoog tempo IPv4-adressen uitgeven en zal op dit tempo voor het einde van het jaar niks meer over hebben.

CAPSLOCK2000 schreef op woensdag 24 juni 2015 @ 20:05:
Ik blijf me verbazen dat ze niet net als RIPE een zeer streng beleid voeren om de laatste restjes te verdelen. Het voelt alsof ze in volle vaart op een muur afrijden.
Stiekem zal ik een vrolijk glaasje drinken als het zo ver is want het is toch wel weer een mijlpaal. Niet de meest postieve mijlpaal, maar niettemin een mijlpaal.

[ Voor 22% gewijzigd door Verwijderd op 24-06-2015 20:35 ]

Verwijderd schreef op woensdag 24 juni 2015 @ 20:32:
Ik las vandaag http://www.prnewswire.com...y-launched-300103890.html wat wel interessant eruit ziet.

DNS root servers, IPv6 only al op diverse continenten.
http://www.yeti-dns.org/operators.html

anboni schreef op woensdag 24 juni 2015 @ 20:21:
Misschien is het ook wel tactiek. Er wordt al zo lang geroepen dat de IPv4 adressen toch echt bijna op zijn, maar die boodschap lijkt niet heel erg veel indruk te maken. Misschien dat ze bij ARIN nu wel zoiets hebben van "let's force the issue". En in plaats van 'bij hoge uitzondering' zoals RIPE dat doet, gaat ARIN straks gewoon 'nee' verkopen.

CAPSLOCK2000 schreef op donderdag 25 juni 2015 @ 01:41:
Ik denk dat je beter een apart topic kan openen.
Welk voorbeeld heb je gevolgd?
Hoe breng je de tunnel up?

1
2
3
4
5
6
7
8
9
10

config interface 'wan6'
    option ifname '@wan'
    option proto '6in4'
    option mtu '1424'
    option peeraddr '216.66.84.46'
    option ip6prefix '2001:470:xxxx:c4f::/64'
    option tunnelid '999999'
    option username 'Username'
    option password 'blablabla'
    option ip6addr '2001:470:xxxx:c4f::2/64'

[ Voor 5% gewijzigd door Dennis op 25-06-2015 07:29 ]

Snow_King schreef op woensdag 24 juni 2015 @ 20:50:
[...]

Tof! Direct geconfigureerd op mijn lokale Unbound resolver. Werkt prima, mijn DNS gaat dus helemaal IPv6-only waar mogelijk

Keiichi schreef op donderdag 25 juni 2015 @ 09:23:
[...]


Pas dan gewoon je root.hints aan dat er geen Ipv4 adressen instaan. Om nu van root servers gebruik te maken door nog een andere partij beheerd worden...

Keiichi schreef op donderdag 25 juni 2015 @ 09:23:
Pas dan gewoon je root.hints aan dat er geen Ipv4 adressen instaan. Om nu van root servers gebruik te maken door nog een andere partij beheerd worden...

Roetzen schreef op woensdag 24 juni 2015 @ 17:55:
Volgens Huston is ARIN er op 13 juli doorheen. Minder dan drie weken te gaan dus...

http://www.potaroo.net/tools/ipv4/index.html

[ Voor 7% gewijzigd door CAPSLOCK2000 op 25-06-2015 13:09 ]

CAPSLOCK2000 schreef op donderdag 25 juni 2015 @ 13:07:
[...]


Dit project probeert wel iets meer te doen dan alleen geen IPv4 in de root.
De opzetters van dit project zijn overigens DNS-beheerders van het eerste uur en mensen die nu ook al root-servers beheren. Ik geloof dus wel dat ze te vertrouwen zijn. Maar je moet het vooral als een experiment zien, niet iets voor je productiesystemen.

CAPSLOCK2000 schreef op donderdag 25 juni 2015 @ 13:07:
[...]

Overigens heb ik hier eerder beweerd dat ze niks in reserve zouden hebben. Dat blijkt niet te kloppen. Ze hebben nog een /10 achter de hand.

CAPSLOCK2000 schreef op donderdag 25 juni 2015 @ 13:07:
[...]


Dit project probeert wel iets meer te doen dan alleen geen IPv4 in de root.
De opzetters van dit project zijn overigens DNS-beheerders van het eerste uur en mensen die nu ook al root-servers beheren. Ik geloof dus wel dat ze te vertrouwen zijn. Maar je moet het vooral als een experiment zien, niet iets voor je productiesystemen.


[...]


De paniek is toegeslagen en iedereen probeert nog snel even een blokje te krijgen. Het zou vandaag wel eens gedaan kunnen zijn. Er is nog 0.01 /8 over.

Overigens heb ik hier eerder beweerd dat ze niks in reserve zouden hebben. Dat blijkt niet te kloppen. Ze hebben nog een /10 achter de hand.

[ Voor 33% gewijzigd door CyBeR op 25-06-2015 14:53 ]

St00mwals schreef op donderdag 25 juni 2015 @ 15:35:
Ben er nu ook achter waarom ze bij mij op het werk (een grote zorgverzekeraar) geen IPv6 toegang voor de website hebben:
Netwerkbeheer:
- Kan wel, alles is geschikt en we hebben IPv6 adressen.
- We krijgen de vraag niet vanuit de website beheerders

Nu weet ik zeker dat een website beheerder hier nooit een keer aan zal denken, het dus niet gaat vragen en er dus helemaal niks gebeurd

databeestje schreef op donderdag 25 juni 2015 @ 15:47:
Zo, nieuw AS nummer met IPv6 in de lucht, nu een transfer procedure opstarten voor een /24. Er zit nog wel aardig verschil tussen ook. Ip-broker.uk vraagt 10 euro per adres, maar prefixbroker.com vraagt 10 euro per adres met 1500 euro notaris kosten.

[ Voor 8% gewijzigd door CAPSLOCK2000 op 25-06-2015 19:02 ]

Gé Brander schreef op donderdag 25 juni 2015 @ 18:36:
Ik heb opeens een IPv6 adres... (provider is CBizz)
[afbeelding]

Osiris schreef op donderdag 25 juni 2015 @ 18:42:
[...]

Een 6to4-adres ja.. Brrrr enzo

6to4 is especially relevant during the initial phases of deployment to full, native IPv6 connectivity, since IPv6 is not required on nodes between the host and the destination. However, it is intended only as a transition mechanism and is not meant to be used permanently.

[ Voor 13% gewijzigd door Gé Brander op 25-06-2015 19:04 ]

Gé Brander schreef op donderdag 25 juni 2015 @ 19:02:
[...]

Tja, eerst was het niet zo en nu wel... Waar zie je aan dat het een 6to4 adres is dan?

Gé Brander schreef op donderdag 25 juni 2015 @ 19:02:
[...]

Tja, eerst was het niet zo en nu wel... Waar zie je aan dat het een 6to4 adres is dan?

Snow_King schreef op donderdag 25 juni 2015 @ 16:44:
[...]

Nou, hup, ga er achteraan!

Maurits van Baerle schreef op vrijdag 26 juni 2015 @ 12:15:
KPN Webcare is bezig om te inventariseren welke adressen hier last van hebben: https://twitter.com/KPNwebcare/status/614339849152282624

Verwijderd schreef op vrijdag 26 juni 2015 @ 12:19:
[...]


Lijkt me een beetje overbodig, KPN die aan klanten hun IPv6 adres gaat vragen? What the point?

Meld als KPN gewoon je prefix aan.

[ Voor 3% gewijzigd door Dennis op 26-06-2015 13:16 ]

Dennis schreef op vrijdag 26 juni 2015 @ 13:15:
Mag ik nog wat vragen aan de mensen die dhcpd met IPv6 gebruiken? Ik heb alles nu opgezet en er gaat steeds meer werken, maar ik heb nog een probleem met mijn Windows clients. Deze krijgen geen default gateway mee van mijn dhcpd en ik krijg een foutmelding: PING: transmit failed. General failure.

Na wat zoeken heb ik dit bericht gevonden en het klopt inderdaad dat ik geen prefix6 meestuur. Blijkbaar is dat wel nodig omdat dhcpd geen router adverteert (en dus ook niet de verzender (gateway)).

In dit voorbeeld zie ik hoe het moet werken, maar moet ik daar nu mijn /48 opgeven die ik van Hurricane krijg of iets anders? En hoe vertaal ik dat in de twee adressen die ik daar zie?

Snow_King schreef op vrijdag 26 juni 2015 @ 13:19:
In een IPv6 netwerk dien je middels Router Advertisements een gateway uit te sturen. Vervolgens kan je DHCPv6 gebruiken voor statische adressen en/of extra informatie zoals NTP servers e.d., maar in principe moeten Router Advertisements alles kunnen doen voor je.

Wat draai je als Router in je netwerk?

Dennis schreef op vrijdag 26 juni 2015 @ 13:20:
[...]

Ik heb een OpenWRT router met isc-dhcpd(6) (ook een IPv4 trouwens) en gebruik Bind als DNS. radvd heb ik niet geïnstalleerd, omdat de manual aangeeft dat die niet meer nodig is.

Snow_King schreef op vrijdag 26 juni 2015 @ 13:22:
radvd heb je wel nodig, deze moet namelijk de RA uitsturen in je netwerk.

In principe heb je DHCPv6 helemaal niet nodig, RA's kunnen adverteren:
- Gateway
- Prefix
- DNS domein
- DNS servers

Snow_King schreef op vrijdag 26 juni 2015 @ 13:22:
[...]
- DNS domein
- DNS servers

databeestje schreef op donderdag 25 juni 2015 @ 15:47:
Zo, nieuw AS nummer met IPv6 in de lucht, nu een transfer procedure opstarten voor een /24. Er zit nog wel aardig verschil tussen ook. Ip-broker.uk vraagt 10 euro per adres, maar prefixbroker.com vraagt 10 euro per adres met 1500 euro notaris kosten.

Snow_King schreef op vrijdag 26 juni 2015 @ 13:22:
radvd heb je wel nodig, deze moet namelijk de RA uitsturen in je netwerk.

In principe heb je DHCPv6 helemaal niet nodig, RA's kunnen adverteren:
- Gateway
- Prefix
- DNS domein
- DNS servers

Roetzen schreef op vrijdag 26 juni 2015 @ 13:49:
[...]

En nu ARIN er binnen een week doorheen zal zijn, is het te verwachten dat de prijs omhoog gaat. Toch?
Dat wordt huilie huilie voor wie nog niks met IPv6 heeft gedaan. Eigen schuld, dikke bult.

databeestje schreef op vrijdag 26 juni 2015 @ 14:16:
[...]

Beetje stellig, als je als nieuw bedrijf het internet op wil is zonder IPv4 maar met IPv6 geen optie.

Ximon schreef op vrijdag 26 juni 2015 @ 11:20:
Hm, ik krijg tegenwoordig van Youtube de melding "We have been receiving a large volume of requests from your network". Dit kan natuurlijk komen omdat Youtube niet goed omgaat met de IPv6 tunnels via (in mijn geval) Leaseweb, maar ik ga voor de zekerheid toch maar even testen of er bij mij thuis niet per ongeluk een open proxy of botnet-achtige meuk te vinden is.

Roetzen schreef op zaterdag 27 juni 2015 @ 00:59:
[...]

Inderdaad. Maar dan moet je dus wel al een IPv6 blok hebben aangevraagd want anders krijg je die /22 niet. En dat is niet iets wat pas gisteren bekend is geworden.

CyBeR schreef op zaterdag 27 juni 2015 @ 01:54:
[...]

Klopt. Mag tegelijk. Betekent overigens niet dat je ook daadwerkelijk IPv6 moet implementeren.

CyBeR schreef op vrijdag 26 juni 2015 @ 13:34:
[...]


Windows ondersteunt geen RDNSS toch?

Dennis schreef op vrijdag 26 juni 2015 @ 13:52:
[...]

Dank nogmaals, het werkt nu inderdaad! Nu het volgende probleem oplossen, namelijk waarom resolven van mijn eigen lokale netwerk niet meer werkt .

Snow_King schreef op zaterdag 27 juni 2015 @ 10:15:
Goed om te horen, top! Weer een IPv6 netwerk online

Dennis schreef op zaterdag 27 juni 2015 @ 11:48:
[...]

Haha, inderdaad. Op de IPv6 test haal ik op mijn schone Windows 8 bak 19 van de 20 punten. Alleen de hostname (reverse DNS) werkt niet goed. Nu sta ik op het punt om mijn thuisnetwerk om te bouwen van een .local domein naar een lan.domeinnaam.nl dus dan zou ik de mogelijkheid hebben om dit werkend te krijgen, maar is dat ook best practice of kun je vanuit beveiligingsoogpunt dit beter weglaten?

Dennis schreef op zaterdag 27 juni 2015 @ 11:48:
[...]

Haha, inderdaad. Op de IPv6 test haal ik op mijn schone Windows 8 bak 19 van de 20 punten. Alleen de hostname (reverse DNS) werkt niet goed. Nu sta ik op het punt om mijn thuisnetwerk om te bouwen van een .local domein naar een lan.domeinnaam.nl dus dan zou ik de mogelijkheid hebben om dit werkend te krijgen, maar is dat ook best practice of kun je vanuit beveiligingsoogpunt dit beter weglaten?

Raven schreef op zaterdag 27 juni 2015 @ 12:17:
Ik krijg nog altijd 17/20, tenzij ik de firewall van Eset Smart Security uitzet. Tijd terug wel eens naar gekeken maar niet de juiste opties weten te vinden in de instellingen, het andere punt is dezelfde als wat jij hebt, die reverse DNS.

How can you improve your score ?

1. Reconfigure your firewall
Your router or firewall is filtering ICMPv6 messages sent to your computer. An IPv6 host that cannot receive ICMP messages may encounter problems like some web pages loading partially or not at all.

2. Get a reverse DNS record

[ Voor 8% gewijzigd door Raven op 27-06-2015 12:47 ]

Dennis schreef op zaterdag 27 juni 2015 @ 13:09:
Op die manier behoud ik DDNS (dat wil ik graag).

Raven schreef op zaterdag 27 juni 2015 @ 12:46:
@hierboven:

[...]

Alleen het 1e punt dus, de 2e blijft ook zonder firewall staan.

Roetzen schreef op zaterdag 27 juni 2015 @ 13:32:
Uiteraard wil je met hostnamen in plaats van een (v6) IP adres werken. Maar bij een statisch IP adres hoef je dat maar éénmaal te configureren in de zonefile van je DNS provider. Geen reden om daarna nog (automatisch) te udaten.

Maurits van Baerle schreef op zaterdag 27 juni 2015 @ 13:29:
[...]

Ah, daar was ik al bang voor. De firewall zou dat by default moeten doorlaten. Als hij dat niet doet dan is het tijd voor een bugreport bij de fabrikant van de firewall met een verwijzing naar de RFC. Waarschijnlijk hebben miljoenen mensen hier last van en lijdt hun IPv6 ervaring er onder.

Het is prima veilig open te zetten, eventueel met een rate limit. OpenWRT heeft het bijvoorbeeld standaard ICMPv6 open staan maar met maximaal 1000 packets per seconde om flooding tegen te gaan.

databeestje schreef op zaterdag 27 juni 2015 @ 13:39:
[...]

1000pps met een thuisnetwerk gaat nog wel maar is absoluut niet werkbaar in een groter netwerk. Als je diverse ICMP6 packets dropt kan dat serieuze gevolgen hebben voor clients, zoals PtB.

Pas daar mee op.

Op het werk liep ik met IPv4 al tegen de 1000pps limiter aan met pfSense, en dan breekt er dus van alles. Tegenwoordig staat deze gewoon uit.

De icmp limiters hadden zin voordat amplification aanvallen bestonden. Het gaat tegenwoordig zoveel makkelijker om een aanval te doen door gewoon Call of Duty servers te misbruiken.

[ Voor 14% gewijzigd door Maurits van Baerle op 27-06-2015 14:09 ]

Dennis schreef op zaterdag 27 juni 2015 @ 13:36:
[...]

Ja, maar dat is toch juist het hele punt? Ik wil SLAAC gaan gebruiken in verband met privacy, dan heb ik toch geen statisch IP-adres?