Het grote IPv6 topic

CAPSLOCK2000 schreef op maandag 28 juni 2010 @ 17:28:
Dat ben ik niet met je eens, automatisch poorten forwarden zou een aantal van de problemen verminderen die je krijgt als je NAT gebruikt om meerdere PC's achter 1 ip te stoppen maar je blijft problemen houden.

Marzman schreef op maandag 28 juni 2010 @ 18:10:
[...]

Dat is ook prima op te lossen door het op een sterkere server te gooien of een mailcluster te maken. Een mailserver zit trouwens zelden achter nat.

Olaf van der Spek schreef op maandag 28 juni 2010 @ 18:27:
[...]

Natuurlijk, het is geen perfecte oplossing. Maar kom op, twee mailservers achter NAT?

Mijn punt is dat een enorm deel van de problemen die veel mensen met applicaties / port forwarding hebben voorkomen hadden kunnen worden.

CyBeR schreef op maandag 28 juni 2010 @ 18:49:
[...]
Mail was een voorbeeld. Dit probleem beslaat niet alleen mail. (Bovendien is 'cluster' ook niet altijd toepasbaar.)

axis schreef op maandag 28 juni 2010 @ 23:22:
[...]
Ik kan me daarnaast ook voorstellen dat hoe groter je hekel aan nat is, hoe groter je behoefte is aan ipv6. *Krabt achter oren*

axis schreef op maandag 28 juni 2010 @ 23:22:
[...]

Wat wel eens voorkomt is 2 kleine bedrijfjes die in 1 pand zitten, beiden met een Microsoft SBS server (met Exchange), en die 1 simpel adsl lijntje willen delen met 1 publiek ip. Dan krijg je inderdaad het probleem van waar je poort 25 laat uit komen.


Zo te zien zijn er twee kampen: zij die NAT vies vinden en er zo snel mogelijk vanaf willen (waaronder ik), en zij die het wel ok vinden zoals het nu gaat. De technische details en workarounds voor NAT-problemen lijken me aan de ene kant niet zo heel relevant voor de discussie, aan de andere kant is het juist wel relevant, want NAT zorgt voor problemen die IPv6 oplost. Ik kan me daarnaast ook voorstellen dat hoe groter je hekel aan nat is, hoe groter je behoefte is aan ipv6. *Krabt achter oren*

axis schreef op maandag 28 juni 2010 @ 23:22:
Zo te zien zijn er twee kampen: zij die NAT vies vinden en er zo snel mogelijk vanaf willen (waaronder ik), en zij die het wel ok vinden zoals het nu gaat. De technische details en workarounds voor NAT-problemen lijken me aan de ene kant niet zo heel relevant voor de discussie, aan de andere kant is het juist wel relevant, want NAT zorgt voor problemen die IPv6 oplost. Ik kan me daarnaast ook voorstellen dat hoe groter je hekel aan nat is, hoe groter je behoefte is aan ipv6. *Krabt achter oren*

[ Voor 99% gewijzigd door deadlock2k op 06-08-2021 16:20 ]

Vibonacci schreef op dinsdag 29 juni 2010 @ 13:55:
Het schijnt dat ipv4 adressen in de laatste overgangsperiode enorm veel waard zullen zijn op de zwarte markt. Boden vanaf 4 digits zijn bij deze welkom

axis schreef op maandag 28 juni 2010 @ 23:22:
[...]

Wat wel eens voorkomt is 2 kleine bedrijfjes die in 1 pand zitten, beiden met een Microsoft SBS server (met Exchange), en die 1 simpel adsl lijntje willen delen met 1 publiek ip. Dan krijg je inderdaad het probleem van waar je poort 25 laat uit komen.


Zo te zien zijn er twee kampen: zij die NAT vies vinden en er zo snel mogelijk vanaf willen (waaronder ik), en zij die het wel ok vinden zoals het nu gaat. De technische details en workarounds voor NAT-problemen lijken me aan de ene kant niet zo heel relevant voor de discussie, aan de andere kant is het juist wel relevant, want NAT zorgt voor problemen die IPv6 oplost. Ik kan me daarnaast ook voorstellen dat hoe groter je hekel aan nat is, hoe groter je behoefte is aan ipv6. *Krabt achter oren*

CAPSLOCK2000 schreef op dinsdag 29 juni 2010 @ 16:29:
[...]


Ik geloof er niks van. IP adressen verplaatsen is nog best lastig.
Ik denk dat in vrijwel alle gevallen het goedkoper zal zijn om naar IPv6 te migreren dan om IPv4 adressen bij te kopen. De verkopende partij zal immers z'n hele netwerk opnieuw moeten inrichten en al z'n routers, switches, firewall etc controleren of de oude IP's niet meer gebruikt worden. Als je als bedrijf communiceert met andere bedrijven dan moeten je partners hun beveiliging waarschijnlijk ook aanpassen.
Dergelijke kosten kunnen enorm oplopen en daarom denk ik dat er niet veel organisaties bereidt zullen zijn om hun IPv4 adressen te verkopen.

(Een definitieve oplossing is het sowieso niet. Als we alle IPv4 adressen een keertje op nieuw zouden verkopen dan komen we over 5-10 jaar alsnog in de problemen.)

tim427 schreef op dinsdag 29 juni 2010 @ 23:23:
[...]

Die NAT houd de "domme" mensen ook beschermd lijkt mij? (NAT firewalling).

Dat is namelijk iets wat ik afvraag met IPv6... Er zijn binnekort genoeg ip-adressen (met IPv6) en is dus NAT niet nodig. IEDEREEN krijgt doodleuk een "buitenstaand" ip-adres en iedere computer is dus doodleuk vanaf het internet te benaderen. Dit gaat echt gigantische beveiligins problemen opleveren dnek ik?

Meeste bedrijven zitten lekker veilig achter een Hardware Firewall appliance, dat gaat dus veranderen?

CyBeR schreef op dinsdag 29 juni 2010 @ 23:32:
[...]


Je maakt hier een fundamentele fout. Je verwart NAT met een firewall. De meeste NAT-routers hebben een firewall ingebouwd (en ja, het blokkeren van inkomende connection attempts is firewall-functionaliteit). Maar dat maakt NAT niet gelijk aan een firewall, noch betekent het dat een absentie van NAT inhoudt dat er geen firewall meer is.

tim427 schreef op dinsdag 29 juni 2010 @ 23:45:
[...]

Ach stomme fout inderdaad, maar leek me makkelijker om met NAT te gaan firewallen dan voor bijvoorbeeld 20 adressen achter je modem. Maar dat is stierenpoep natuurlijk...

_DH schreef op woensdag 30 juni 2010 @ 07:53:
[...]


of er nou 1 of 10000 adressen achterzitten, de fundamentele 'firewall' die NAT is heeft maar 3 'regels':

1: permit established
2: eventuele port-forwards die zijn ingesteld
3: deny any


tegenwoordig wordt 99% van de modem/routers beheerd door de ISP en daar zitten hele knappe koppen de standaard configuratie van dergelijke apparaatjes te bedenken.

Of dat nu IPv4 met een publiek IP en een privaat lan is dat dmv. NAT werkt, of dat dat nu een IPv6 routertje is dat een basic firewall aan boord heeft met bovenstaande 'regels', dat maakt voor de veiligheid van thuisgebruikers verder niet uit.

Van die 1% die zelf zijn ADSL router managed wordt verwacht dat deze snapt dat een router geen firewall is en dat je maatregelen zult moeten nemen om buitenstaanders van je LAN af te houden. En ja, dat zal regelmatig mis gaan, maar stupiditeit kan je niet oplossen met techniek. (Dat kon met NAT ook al niet, maar dat was nog 'complex' genoeg om de gemiddelde netwerk-hobby-bob voldoende af te schrikken en er vanaf te blijven).

[ Voor 7% gewijzigd door Hans van Eijsden op 07-07-2010 12:26 ]

[ Voor 4% gewijzigd door DutchTSE op 09-07-2010 12:45 ]

DutchTSE schreef op vrijdag 09 juli 2010 @ 12:44:
Ik zie dat dit topic eigenlijk alleen over IPv6 in thuisnetwerken gaat. Zitten hier ook hosters (vast wel) en hoe ver zijn die met hun IPv6 implementatie?

Of is het topic hier niet voor bedoeld?

Bigs schreef op vrijdag 09 juli 2010 @ 12:57:
Van de ene kant erg jammer, maar van de andere kant is er ook nog nauwelijks vraag vanuit onze klanten. Wat ik bovendien heb gemerkt is dat een enkeling onze website niet kan bezoeken door een foutieve IPv6 configuratie op zijn eigen computer.. vandaar dat wij onze grote projecten ook nog niet op IPv6 hebben draaien.

Bigs schreef op vrijdag 09 juli 2010 @ 12:57:
Wij zijn als webhoster op zich wel bezig met IPv6. Onze eigen websites en enkele DNS servers zijn IPv6-enabled, maar verder is het voor ons nog een beetje behelpen omdat wij 80% van onze servers op Plesk hebben draaien en Plesk heeft geen IPv6 support (wat ik trouwens ongelofelijk slecht vind). Hier en daar hebben we wel wat gehackt in configuratie files, maar de web server van het control panel zelf is bijvoorbeeld gewoon gecompiled zonder IPv6 support dus dan houdt het snel op. Een positief punt is dan wel weer dat wij inmiddels op al onze colo-caties de beschikking over native IPv6 hebben. De Nederlandse datacenters lijken het dus wel goed te doen.

Van de ene kant erg jammer, maar van de andere kant is er ook nog nauwelijks vraag vanuit onze klanten. Wat ik bovendien heb gemerkt is dat een enkeling onze website niet kan bezoeken door een foutieve IPv6 configuratie op zijn eigen computer.. vandaar dat wij onze grote projecten ook nog niet op IPv6 hebben draaien.

Bigs schreef op vrijdag 09 juli 2010 @ 12:57:

Van de ene kant erg jammer, maar van de andere kant is er ook nog nauwelijks vraag vanuit onze klanten. Wat ik bovendien heb gemerkt is dat een enkeling onze website niet kan bezoeken door een foutieve IPv6 configuratie op zijn eigen computer.. vandaar dat wij onze grote projecten ook nog niet op IPv6 hebben draaien.

_DH schreef op vrijdag 09 juli 2010 @ 23:08:
[...]


Misschien interessant voor je: http://www.ietf.org/proceedings/73/slides/v6ops-4.pdf

0.09% of users have broken IPv6 connectivity
- That is, adding an AAAA record will make these users unable to view your site

It's not that broken: ~0.09% clients lost, ~150ms extra latency – don't believe the FUD

[ Voor 129% gewijzigd door Orion84 op 10-07-2010 12:17 ]

Er zijn nog wel meer ISP's die staan te springen, maar het zijn voornamelijk de Telco's die hier het voorbereidende werk moeten doen

[ Voor 89% gewijzigd door Olaf van der Spek op 10-07-2010 12:19 ]

Olaf van der Spek schreef op zaterdag 10 juli 2010 @ 12:18:
Ah, natuurlijk.

[...]

Dat geldt alleen voor (DSL) ISPs die geen eigen netwerk hebben toch? Hoe zit het met de kabelaars dan?

Olaf van der Spek schreef op zaterdag 10 juli 2010 @ 12:18:
Dat geldt alleen voor (DSL) ISPs die geen eigen netwerk hebben toch? Hoe zit het met de kabelaars dan?

ChaserBoZ_ schreef op zaterdag 10 juli 2010 @ 23:22:
[...]


Inderdaad, een ISP welke bij telco's layer2 diensten inkoopt, kan daar ieder protocol op laten werken

[ Voor 11% gewijzigd door CyBeR op 10-07-2010 23:33 ]

Skinkie schreef op zaterdag 10 juli 2010 @ 23:28:
[...]

Ubee modems zijn IPv6 ready.

Olaf van der Spek schreef op zaterdag 10 juli 2010 @ 23:42:
[...]

Maar verder?

CyBeR schreef op zaterdag 10 juli 2010 @ 23:33:
[...]


Punt is een beetje dat die diensten voor DSL afaik niet L2 zijn. Of je moet een stuk verder gaan in je infra dan gewoon reseller van DSL zijn.

DutchTSE schreef op vrijdag 09 juli 2010 @ 12:44:
Ik zie dat dit topic eigenlijk alleen over IPv6 in thuisnetwerken gaat. Zitten hier ook hosters (vast wel) en hoe ver zijn die met hun IPv6 implementatie?

Skinkie schreef op zondag 11 juli 2010 @ 01:02:
[...]

Het lijkt neer te komen op geen prioriteit bij Ziggo.

Giem schreef op dinsdag 13 juli 2010 @ 09:42:
[...]


Ik heb gewoon een ipv6 van Ziggo thuis, wel met een eigen router die er ondersteuning voor heeft. Dus ik weet niet hoe het met Ziggo zijn eigen routers.

Loekie schreef op dinsdag 13 juli 2010 @ 10:25:
[...]

Kun je je config uit de doeken doen? Het is geen 6to4 mag ik hopen?
Welke apparatuur gebruik je?

CyBeR schreef op dinsdag 13 juli 2010 @ 11:52:
Ik garandeer je dat 't 6to4 is.

Giem schreef op dinsdag 13 juli 2010 @ 13:35:
[...]


En dit regelt Ziggo voor je?

Switch#show ipv6 route
IPv6 Routing Table - Default - 3 entries
Codes: C - Connected, L - Local, S - Static, U - Per-user Static route
R - RIP
C fe80:1BE8:8::/48 [0/0]
via Vlan100, directly connected
L fe80:1BE8:8::1:1/128 [0/0]
via Vlan100, receive
L FF00::/8 [0/0]
via Null0, receive

xares schreef op dinsdag 13 juli 2010 @ 19:33:
Vandaag mijn Cisco geupdate met het nieuwste IOS met IPv6 ondersteuning

xares schreef op dinsdag 13 juli 2010 @ 19:33:
Vandaag mijn Cisco geupdate met het nieuwste IOS met IPv6 ondersteuning

Ik kom er alleen niet helemaal uit.

Stel ik wil dit als mijn gateway hebben: fe80:1be8:8:0:0:0:1:1 (IP-adres van vlan)

int vlan100
ipv6 address fe80:1be8:8:0:0:0:1:1/48
end

show ipv6 route:


[...]


Kabeltje op de poort van vlan 100 naar mijn pc met de instellingen:

IP-adres: fe80:1be8:8:0:0:0:1:1
Lengte van voorvoegsel IPadres: 64
Gateway: fe80:1be8:8:0:0:0:1:1

Vervolgens kan ik niet pingen naar 2001:1be8:8:0:0:0:1:1

Ik denk dat ik iets over het hoofd zie met subnets. Alleen geen idee wat

CyBeR schreef op dinsdag 13 juli 2010 @ 15:29:
[...]


Nee, daarom.

Giem schreef op dinsdag 13 juli 2010 @ 21:21:
[...]


Hoe kan je zien of je via 6to4 verbinding maakt of rechtstreeks?

1 1 ms <1 ms <1 ms 2002:5ed7:36b3:1234::1

CyBeR schreef op dinsdag 13 juli 2010 @ 22:16:
[...]
Adres dat begint met 2002 is altijd 6to4.

mphilipp schreef op donderdag 22 juli 2010 @ 00:06:
[...]

Maar je kunt dus in principe je eigen netwerkt volledig omschakelen naar IPV6 als je eigen apparatuur dat ondersteunt? Ik heb nl Netgear Gigabit switches (unmanaged desktop switches), die zouden maling moeten hebben aan V4/6, en wil een Draytek 2130 router kopen ivm high speed internet van Ziggo. Die Draytek is IPV6 ready. OS is Windows 7 en een Linux doos, die moeten dat allemaal kunnen.

Dat Ubee modem 'spreekt' ook IPV6, dus aan de huiskant zou dat allemaal goed moeten gaan. Zie ik nog iets over het hoofd? Of ik er iets mee opschiet weet ik niet, maar dan is het maar gedaan.

Snow_King schreef op maandag 26 juli 2010 @ 09:15:
Leuk om te zien: nieuws: India verplicht invoering ipv6 voor maart 2012

Ben ook benieuwd wat dit gaat doen. Azië staat bekend om de schaarste in IPv4 addressen. Krijgen we dan straks een soort tweedeling waar US / Europa moeite heeft met Azië bereiken aangezien wij hier nog maar beperkt IPv6 doen?

Giem schreef op maandag 26 juli 2010 @ 10:18:
[...]


Min of meer.. als hun ipv6 only servers hebben zonder ipv4.. en wij hebben hier alleen ipv4, en geen ipv6 adres,.. dan zul je ze niet kunnen bereiken.

Snow_King schreef op maandag 26 juli 2010 @ 09:15:
Leuk om te zien: nieuws: India verplicht invoering ipv6 voor maart 2012

Ben ook benieuwd wat dit gaat doen. Azië staat bekend om de schaarste in IPv4 addressen. Krijgen we dan straks een soort tweedeling waar US / Europa moeite heeft met Azië bereiken aangezien wij hier nog maar beperkt IPv6 doen?

axis schreef op maandag 26 juli 2010 @ 10:30:
Er waren volgens mij een aantal pornoboeren die hadden gezegd dat ze een grote gratis ipv6-only repository zouden openstellen, om de vraag te verhogen, maar dat is ook nog niet gebeurd

1
2
3

[marco@miranda Rei]$ host www.camwhores.com
www.camwhores.com has address 204.9.55.7
www.camwhores.com has IPv6 address 2001:4978:1:2::cc09:3707

De zakelijke providers die IPv6 aanbieden in Nederland zijn BIT, Breedband Delft, Interoute, Signet, Introweb en Proserve.

[ Voor 15% gewijzigd door Verwijderd op 26-07-2010 18:36 ]

Veel grotere internet service providers (ISP's) zijn nog niet klaar voor het invoeren en aanbieden van IPv6 aan zakelijke klanten. Dat blijkt uit een 'nulmeting' tussen januari en april 2010 door TNO. De onderzoeksorganisatie deed het onderzoek in opdracht van het Ministerie van Economische Zaken (EZ).

Het aantal internetproviders dat daadwerkelijk een IPv6-verbinding aanbiedt aan haar klanten, is met zeven nog gering. Ook is nog niet helder hoe snel meer diensten en content op IPv6 beschikbaar komen.

'Het zijn op dit moment vooral de kleine internet service providers (ISP's) die IPv6 hebben doorgevoerd en aanbieden aan zakelijke klanten', schrijven de TNO-onderzoekers. Er zijn zes ISP's in Nederland die een 'native' IPv6-verbinding aanbieden aan zakelijke klanten. Dat zijn BIT, Breedband Delft, Interoute, Signet, Introweb en Proserve. XS4all biedt IPv6 aan voor een beperkte doelgroep Nederlandse consumenten.

Nulmeting
Nederland zit in de voorhoede bij de voorbereiding voor het gebruik van het nieuwe internetprotocol IPv6. Hoewel het gebruik nog laag is, blijkt uit het toenemend aantal aangevraagde adressen dat het bewustzijn wel toeneemt, schrijven de onderzoekers. Het is echter nog onduidelijk op welke schaal daadwerkelijk voorbereidingen worden getroffen om het nieuwe internetprotocol in te voeren.

Drie procent van de Nederlandse internetgebruikers heeft toegang heeft tot het IPv6-internet. In vergelijking met andere landen is dat een gemiddelde score. Tot eind 2009 had Nederland in totaal 23 miljoen IPv4-adressen aangevraagd, waarvan 2 miljoen in 2009. Deze groei is toe te schrijven aan de opkomst van mobiele toepassingen die naar verwachting blijft doorzetten.

TNO deed een 'nulmeting' van de Nederlandse IPv6-uitrol tussen januari en april 2010. Over een half jaar zal een tweede meting plaatsvinden.

[ Voor 11% gewijzigd door Liegebeest op 27-07-2010 10:41 ]

cailin_coilleach schreef op dinsdag 27 juli 2010 @ 10:29:
Ik hoor eigenlijk verdacht weinig mensen over de security implicaties van IPv6 voor professionele netwerken. Ik bedoeld, wat te denken van de encryptie mogelijkheden die in veel gevallen onze firewalls nagenoeg onbruikbaar maken?

* Orion84 gaat eens wat meer Googlen over "IPv6 security concerns".

Ik heb me er niet bijzonder in verdiept, dus wellicht mis ik wat, in dat geval hoor ik graag wat ik mis

cailin_coilleach schreef op dinsdag 27 juli 2010 @ 10:48:
Het is nog niet eens spannend dat "iedereen" versleutelde packets gaat versturen. Het is vooral spannend dat de verkeerde mensen dit gaan doen om zo ongewenst verkeer mogelijk te maken. Als ik het goed begrijp kan je daar op firewall op het moment nog verdraaid weinig tegen doen.

IPsec support is mandatory in IPv6; this is unlike IPv4, where it is optional (but usually implemented).

[ Voor 5% gewijzigd door Orion84 op 27-07-2010 11:36 ]

Orion84 schreef op dinsdag 27 juli 2010 @ 11:14:
[...]

boonie schreef op zaterdag 31 juli 2010 @ 10:34:
Dat is goed nieuws. Ik ben benieuwd of tweakers het eerder voor elkaar heeft dan nu.nl. Linkje.

moto-moi schreef op zaterdag 31 juli 2010 @ 10:04:
FYI: irc.tweakers.net is nu ook (eindelijk) bereikbaar onder een ipv6 ip aangezien we eindelijk echte ipv6 van True kunnen krijgen. Nu maar eens kijken of we alle services op die bak tof kunnen samen laten werken met ipv6 en daarna maar eens heel voorzichting richting de rest van de website kijken

Snow_King schreef op zaterdag 31 juli 2010 @ 11:45:
Niet zo moeilijk doen, Apache en Varnish doen prima IPv6

LVS / IPVSADM (Wat Tweakers voor de loadbalancing gebruikt toch?) doet wat moeilijker met IPv6...

freakingme schreef op zaterdag 31 juli 2010 @ 13:56:
Ik weet niet hoe veel tweakers natief ipv6 hebben, maar je zou ook al 't ipv6 verkeer buiten je loadbalancer om kunnen laten gaan en 1 varnish box ipv6 laten praten. Dan kan t.net vanavond nog ipv6 accessible zijn

freakingme schreef op zaterdag 31 juli 2010 @ 13:56:
Ik weet niet hoe veel tweakers natief ipv6 hebben, maar je zou ook al 't ipv6 verkeer buiten je loadbalancer om kunnen laten gaan en 1 varnish box ipv6 laten praten. Dan kan t.net vanavond nog ipv6 accessible zijn

Verwijderd schreef op zaterdag 31 juli 2010 @ 21:07:
Deze dus:

netsh interface teredo set state disabled
netsh interface ipv6 add v6v4tunnel IP6Tunnel 192.168.1.100 216.66.84.46
netsh interface ipv6 add address IP6Tunnel 2001:470:1f14:b4c::2
netsh interface ipv6 add route ::/0 IP6Tunnel 2001:470:1f14:b4c::1

Aangezien ik achter een router zit heb ik dus mijn private ip adress gebruikt bij de 2e regel. Alles word mooi ingevoerd, geen rare meldingen, maar toch kan ik geen ipv6 websites bereiken, laat staan pingen. Waar kijk ik overheen ? Ben al 4 dagen bezig, kom er maar niet uit.


Bij voorbaat dank.

[ Voor 22% gewijzigd door Loekie op 31-07-2010 23:38 ]

Google is in juni 2010 begonnen met de indexering van IPv6-websites. Voorzitter Erik Huizer van de Nederlandse IPv6 Task Force is blij met Google's IPv6-zoekrobot: 'Dat betekent dat wanneer je via IPv6 een website aansluit, je website nu ook via de zoekmachine kan worden gevonden.'

Google is in juni 2010 begonnen met de indexering van IPv6-websites. Dat meldt systeemingenieur Jasper Wonnink op zijn weblog fix6.net. Het nieuws betekent dat Google's zoekmachine nu ook zoekresultaten weergeeft afkomstig van IPv6-websites.

'Vanaf 18 juni, of misschien al eerder, heeft de Googlebot websites via IPv6 geïndexeerd', schrijft Wonnink op zijn weblog. Binnen de log-bestanden van bezoekers van zijn website ontdekte de systeemingenieur een zoekrobot die door Google specifiek lijkt te zijn belast met het indexeren van de inhoud van websites die aan het internet zijn verbonden via IPv6-adressen.

Google was nog niet in staat een reactie te geven.

IPv6 Task Force
De Nederlandse IPv6 Task Force is een lobby gestart om de geïndexeerde IPv6-websites alleen te tonen aan IPv6-gebruikers, om zo organisaties die nog alleen IPv4 gebruiken, aan te moedigen ook over te stappen naar het nieuwe internetprotocol.

'We zijn hard aan het lobbyen bij Google om die indexering van IPv6-websites alleen beschikbaar te maken via IPv6', zegt Huizer. 'Daarmee creëer je een kleine beloning om ook IPv6 te gebruiken. Mensen die dan dual stack draaien (dus zowel IPv6 als IPv4) hebben dan namelijk het voordeel om zowel geïndexeerde IPv4- als IPv6-websites te zien.'

De Internet Assigned Numbers Authority (IANA), de organisatie die wereldwijd is belast met de toewijzing van de numerieke ip-adressen, is naar schatting op 20 juni 2011 door zijn buffer heen. Verschillende organisaties roepen de ict-wereld al tijden op om over te stappen op internetprotocol versie 6 (IPv6), de opvolger van IPv4.

* Orion84 gebruikt in elk geval een DROP ALL, ALLOW related,established achtige constructie op de FORWARD chain middels ip6tables, zoals die in dit topic een genoemd wordt

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

## set de default policy
ip6tables -P OUTPUT  ACCEPT
ip6tables -P INPUT   DROP
ip6tables -P FORWARD DROP

# op het lokale netwerk staan we alles toe
ip6tables -A INPUT   -i eth1 -j ACCEPT
ip6tables -A FORWARD -i eth1 -j ACCEPT

# allow incoming ICMP ping pong stuff
ip6tables -A INPUT -p ipv6-icmp -j ACCEPT
ip6tables -A OUTPUT -p ipv6-icmp -j ACCEPT

# Accept 'established' traffic
ip6tables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

[ Voor 68% gewijzigd door Orion84 op 05-08-2010 14:39 ]

Orion84 schreef op donderdag 05 augustus 2010 @ 14:34:
Wat had je gevonden en welke haken en ogen zaten daar dan aan?

* Orion84 gebruikt in elk geval een DROP ALL, ALLOW related,established achtige constructie, zoals die in dit topic een paar keer genoemd wordt

* Orion84 gaat eens even dat artikel lezen om te zien wat er mis zou zijn met die aanpak

[ Voor 128% gewijzigd door Orion84 op 05-08-2010 14:52 ]

moto-moi schreef op donderdag 05 augustus 2010 @ 14:23:
Hmm, ik zat thuis ff ipv6 te fixen, en was bezig met het automatisch uitdelen van ipv6 adressen, maar dat heb ik toch maar stopgezet totdat ik een antwoord heb op de volgende vraag:
Op dit moment vertrouw ik op m'n nat setup zodat er geen verkeer binnenkort op m'n interne systemen dat ik daar niet wil hebben. Als ik ipv6 uitrol zou ieder systeem een extern ip hebben. is er een manier om een toffe firewall ertussen te plaatsen die ervoor zorgt dat ik erop kan vertrouwen dat alles wat intern gebeurt ook intern blijft? Ik heb wel beschrijvingen over NAT-achtige constructies gevonden, maar daar bleken allemaal haken en ogen aan te zitten.
Uiteraard kan ik op elk systeem afzonderlijk een firewall zetten, maar dat is eigenlijk niet wat ik wil, ik doe dat soort dingen graag centraal (zeker als ik het later ook op kantoor eventueel ga uitrollen). iemand een idee?

Orion84 schreef op donderdag 05 augustus 2010 @ 14:39:
Edit: ah, duidelijk, een statefull firewall implementeren in een IPv6 router betekent dat je dezelfde problemen krijgt die IPv4 NAT met zich meebracht, namelijk problemen bij bepaalde protocollen zoals FTP.

[ Voor 29% gewijzigd door CyBeR op 05-08-2010 15:04 ]

CyBeR schreef op donderdag 05 augustus 2010 @ 14:52:
[...]


Da's vrij simpel met een stateful firewall die gewoon binnenkomende connection requests en udp zonder state dropped. Sterker nog: dat is precies wat NAT doet, maar dan zonder die vervelende vertaling erbij.

Robinski schreef op donderdag 05 augustus 2010 @ 14:41:
Overigens als je je machines steeds tijdelijk adressen laat aannemen (zoals Windows standaard doet), dan zit je erg veilig. Een scan op actieve systemen op IPv6 duurt al snel jaren, en dan heb je wellicht nog niets gevonden.

moto-moi schreef op donderdag 05 augustus 2010 @ 14:23:
Uiteraard kan ik op elk systeem afzonderlijk een firewall zetten, maar dat is eigenlijk niet wat ik wil, ik doe dat soort dingen graag centraal (zeker als ik het later ook op kantoor eventueel ga uitrollen). iemand een idee?

[ Voor 36% gewijzigd door Olaf van der Spek op 05-08-2010 15:09 ]

Olaf van der Spek schreef op donderdag 05 augustus 2010 @ 15:05:
[...]

Eh, wat? Daar gaan we toch zeker geen beveiliging op baseren?

CyBeR schreef op donderdag 05 augustus 2010 @ 15:20:
[...]

De tijd van luiheid met de beveiliging van individuele hosts is wmb voorbij.

[ Voor 29% gewijzigd door Osiris op 05-08-2010 19:51 ]

Osiris schreef op donderdag 05 augustus 2010 @ 19:50:
Trouwens..

Welke idioot gaat er nog belachelijk ouderwetse protocollen gebruiken als FTP in samenhang met een "state-of-the-art" protocol als IPv6? Da's like, in je prachtige nieuwe Koenigsegg twee kaarsjes als koplamp zetten.

't Is niet alsof dát nou zoveel moeite is.