Het grote IPv6 topic

[ Voor 5% gewijzigd door Raven op 02-07-2016 19:27 ]

[ Voor 27% gewijzigd door CyBeR op 02-07-2016 19:38 ]

CAPSLOCK2000 schreef op zondag 03 juli 2016 @ 00:49:
Gefeliciteerd allebij. Het is nog een prachtig t-shirt ook.

Raven schreef op zaterdag 02 juli 2016 @ 19:26:
Toevallig heb ik 'm vandaag ook (nogmaals) gekregen. Geen idee wat ze daarginds met de kledingmaten hebben uitgespookt, maar de XXL die ik in oktober kreeg was véél groter dan XXL op dit continent. Na lang wachten en de nodige emails kreeg ik vandaag een sage-shirt in maatje L en die past perfect

Rare jongens die Amerikanen

edit: En congrats natuurlijk

Blokker_1999 schreef op zondag 03 juli 2016 @ 09:01:
[...]

Ah, doen ze dat? Leuk om weten. Heb me er namelijk ook aan laten vangen (should have known).

[ Voor 9% gewijzigd door Raven op 03-07-2016 10:30 ]

Roetzen schreef op zondag 03 juli 2016 @ 01:43:
[...]

De achterkant is eigenlijk nog veel interessanter:

http://www.vlist.eu/fotos/sage-b.jpg

CAPSLOCK2000 schreef op zondag 03 juli 2016 @ 13:44:
[...]
Die bedoelde ik eigenlijk ook. Ik heb die van mij al een paar jaar en het is een prima conversatie-starter. "kijk even op mijn rug", "ja, dat is RFC-rechter-schouderblad", "kun je even iets voor me opzoeken?"

Roetzen schreef op zondag 03 juli 2016 @ 14:43:
[...]

Hier is nog een foto van de achterkant uitgespreid op een tafel. Zo kun je de tekst beter lezen.

http://www.vlist.eu/fotos/sagetext.jpg

Ik heb nog niemand ontmoet die wist wat IPv6 betekende. Ook de gasten op mijn verjaardagsfeestje niet. En daar waren toch een paar techneuten bij. Maar ja, ik heb hem nog maar net een dag.

[ Voor 34% gewijzigd door CAPSLOCK2000 op 03-07-2016 15:20 ]

[ Voor 9% gewijzigd door Roetzen op 04-07-2016 21:55 ]

Compizfox schreef op maandag 04 juli 2016 @ 23:34:
Heel af en toe kom je inderdaad sites tegen met een AAAA-record dat verwijst naar een adres waar vervolgens geen webserver op luistert. Ook al doet die site het gewoon via IPv4, als je IPv6 hebt dan zul je die site niet kunnen bereiken.

Roetzen schreef op dinsdag 05 juli 2016 @ 01:14:
[...]

Maar dat is dus niet het geval bij de site waar ik tegen aan liep. Die heeft juist geen AAAA record. En toch kan ik hem niet bereiken met IPv6 ingeschakeld.

http://www.vandekraats.net/oudvanenburg/

Roetzen schreef op dinsdag 05 juli 2016 @ 01:30:
Dan ben ik dus in elk geval niet de enige die met ingeschakelde IPv6 een 404 krijg op die site. Dank voor de bevestiging.

$ curl -4 http://www.vandekraats.net/oudvanenburg/
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<style>[...]
</style>
</head>
<body>
<div class="top"></div>
<div class="center">
<div class="circle">
<div class="circle_text">404</div>
(etc)

[ Voor 54% gewijzigd door CyBeR op 05-07-2016 01:42 ]

[ Voor 94% gewijzigd door Roetzen op 05-07-2016 01:50 ]

Roetzen schreef op dinsdag 05 juli 2016 @ 01:39:
Jij krijgt met IPv4 ook een 404? Ik dus niet. Vanaf een andere machine op het LAN die IPv4 only is, krijg ik geen error. En als ik op deze machine in about:config network.dns.disableIPv6 op true zet, krijg ik die error ook niet meer.

Roetzen schreef op dinsdag 05 juli 2016 @ 20:56:
Sorry, ik heb iedereen inclusief mijzelf op het verkeerde been gezet. Ik had niet direct in de gaten dat www.vandekraats.net/oudvanenburg een doorverwijzing is van oudvanenburg.vandekraats.com.

Surf naar oudvanenburg.vandekraats.com met een IPv4 only client en je krijgt de bedoelde verhalen over Oud Vanenburg te zien. Doe het met IPv6 en je wordt geredirect naar www.vandekraats.net/oudvanenburg/ en die pagina bestaat niet.

De auteur van de verhalen over Oud Vanenburg was hier zaterdagavond en hij wilde mij de verhalen laten zien en dat lukte niet. Toen het op de (IPv4 only) computer van mijn vrouw wel lukte was de verbazing compleet. Toen ik opmerkte dat het mogelijk met IPv6 te maken had, was de overmijdelijke opmerking: "Dus dat IPv6 is maar niks".

Nu blijkt het dus aan een misconfiguratie bij de server van oudvanenburg.vandekraats.com te liggen. Daar hangt een default IPv6 adres van TransIp aan. Dat leidt op één of ander manier weer naar een niet bestaande pagina op vandekraats.net doorverbindt.

Het is helaas dit soort geklungel dat IPv6 een slechte naam geeft.

Roetzen schreef op dinsdag 05 juli 2016 @ 20:56:
Sorry, ik heb iedereen inclusief mijzelf op het verkeerde been gezet. Ik had niet direct in de gaten dat www.vandekraats.net/oudvanenburg een doorverwijzing is van oudvanenburg.vandekraats.com.

Surf naar oudvanenburg.vandekraats.com met een IPv4 only client en je krijgt de bedoelde verhalen over Oud Vanenburg te zien. Doe het met IPv6 en je wordt geredirect naar www.vandekraats.net/oudvanenburg/ en die pagina bestaat niet.

De auteur van de verhalen over Oud Vanenburg was hier zaterdagavond en hij wilde mij de verhalen laten zien en dat lukte niet. Toen het op de (IPv4 only) computer van mijn vrouw wel lukte was de verbazing compleet. Toen ik opmerkte dat het mogelijk met IPv6 te maken had, was de overmijdelijke opmerking: "Dus dat IPv6 is maar niks".

Nu blijkt het dus aan een misconfiguratie bij de server van oudvanenburg.vandekraats.com te liggen. Daar hangt een default IPv6 adres van TransIp aan. Dat leidt op één of ander manier weer naar een niet bestaande pagina op vandekraats.net doorverbindt.

Het is helaas dit soort geklungel dat IPv6 een slechte naam geeft.

$ host -t  AAAA oudvanenburg.vandekraats.com
oudvanenburg.vandekraats.com has no AAAA record

Gogol schreef op dinsdag 05 juli 2016 @ 23:55:
http://www.breda.nl doet ook geen ipv6, althans via een he.net tunnel.
Mogelijk een geoblock? Kan iemand dat testen?
Ik heb via een Google-zoek een twitter bericht gevonden waar iemand ook klaagde, maar dat zou verholpen zijn.

[ Voor 8% gewijzigd door Compizfox op 06-07-2016 00:00 ]

Compizfox schreef op woensdag 06 juli 2016 @ 00:00:
[...]

breda.nl heeft een AAAA-record en is inderdaad onbereikbaar via IPv6. Misconfiguratie waarschijnlijk.

Ik weet niet wat je bedoelt met geoblock; dat je het alleen kunt bereiken vanuit Breda?

CyBeR schreef op dinsdag 05 juli 2016 @ 23:18:
[...]


Tenzij dat inmiddels aangepast is:

$ host -t  AAAA oudvanenburg.vandekraats.com
oudvanenburg.vandekraats.com has no AAAA record

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

D:\FIDO\Golded>ping oudvanenburg.vandekraats.com

Ping oudvanenburg.vandekraats.com [2a01:7c8:eb:0:95:170:70:116] mit 32 Bytes Daten:

Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=12ms
Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=12ms
Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=12ms
Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=14ms

Ping-Statistik für 2a01:7c8:eb:0:95:170:70:116:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 12ms, Maximum = 14ms, Mittelwert = 12ms

D:\FIDO\Golded>

Zr40 schreef op woensdag 06 juli 2016 @ 00:03:
[...]

Deze site is voor mij via IPv6 (XS4ALL) gewoon bereikbaar.

Roetzen schreef op woensdag 06 juli 2016 @ 00:03:
[...]

Hmmm..

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

D:\FIDO\Golded>ping oudvanenburg.vandekraats.com Ping oudvanenburg.vandekraats.com [2a01:7c8:eb:0:95:170:70:116] mit 32 Bytes Daten: Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=12ms Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=12ms Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=12ms Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=14ms Ping-Statistik für 2a01:7c8:eb:0:95:170:70:116: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 12ms, Maximum = 14ms, Mittelwert = 12ms D:\FIDO\Golded>

Toch echt een AAAA record..

En het geeft hier nog steeds een redirect naar www.vandekraats.net/oudvanenburg en error 404

# host oudvanenburg.vandekraats.com
oudvanenburg.vandekraats.com has address 83.247.24.4

Zr40 schreef op woensdag 06 juli 2016 @ 00:03:
[...]

Deze site is voor mij via IPv6 (XS4ALL) gewoon bereikbaar.

[ Voor 3% gewijzigd door Gogol op 06-07-2016 00:17 ]

Gogol schreef op woensdag 06 juli 2016 @ 00:15:
[...]

Dat bedoel ik. Een Hurricane Electric tunnel levert bij Netflix ook problemen op. Een Geoblock wil zeggen dat ik geografisch geblokkeerd wordt. XS4all levert dual stack met IP adressen uit NL.
Overigens kent Hurricane Electric een rWHOIS database en daarin kun je zien dat mijn ipv6 adres uit NL komt, maar die wordt door alleen herkend door https://db-ip.com/

Compizfox schreef op woensdag 06 juli 2016 @ 00:17:
[...]

Ja, maar ik heb een tunnel met een PoP in Nederland (Surfnet, Amsterdam) en ik kan hem ook niet bereiken.

Gogol schreef op woensdag 06 juli 2016 @ 00:19:
[...]

Hurricane Electric heeft een pop in Amsterdam.Dus hetzelfde probleem!

Roetzen schreef op woensdag 06 juli 2016 @ 00:03:
[...]

Hmmm..

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

D:\FIDO\Golded>ping oudvanenburg.vandekraats.com Ping oudvanenburg.vandekraats.com [2a01:7c8:eb:0:95:170:70:116] mit 32 Bytes Daten: Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=12ms Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=12ms Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=12ms Antwort von 2a01:7c8:eb:0:95:170:70:116: Zeit=14ms Ping-Statistik für 2a01:7c8:eb:0:95:170:70:116: Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0 (0% Verlust), Ca. Zeitangaben in Millisek.: Minimum = 12ms, Maximum = 14ms, Mittelwert = 12ms D:\FIDO\Golded>

Toch echt een AAAA record..

En het geeft hier nog steeds een redirect naar www.vandekraats.net/oudvanenburg en error 404

[cyber@miranda ~]$ host -t  AAAA oudvanenburg.vandekraats.com ns1.transip.nl.
Using domain server:
Name: ns1.transip.nl.
Address: 2a01:7c8:b::53#53
Aliases: 

oudvanenburg.vandekraats.com has IPv6 address 2a01:7c8:eb::95:170:70:116
[cyber@miranda ~]$ host -t  AAAA oudvanenburg.vandekraats.com
oudvanenburg.vandekraats.com has no AAAA record

CyBeR schreef op woensdag 06 juli 2016 @ 00:46:
[...]

Caching vermoedelijk.

Compizfox schreef op woensdag 06 juli 2016 @ 00:45:
[...]

Maar zover ik weet heb ik gewoon een Nederlands IPv6-adres.

Heb jij een voorbeeld van een geo-IP-database die aangeeft dat jij ergens anders zit? Dan kan ik even kijken wat hij bij mij aangeeft. ipv6locator.net zegt dat ik in Nederland zit.

Zr40 schreef op woensdag 06 juli 2016 @ 00:03:
[...]

Deze site is voor mij via IPv6 (XS4ALL) gewoon bereikbaar.

CyBeR schreef op woensdag 06 juli 2016 @ 03:05:
Stuk inderdaad via m'n tunnel maar werkt wel op native (met mtu 1500). Die blokkeren blijkbaar ICMPv6.

linkforsoad schreef op woensdag 06 juli 2016 @ 02:59:
[...]

Hier XS4ALL FTTH, www.breda.nl onbereikbaar over IPv6.

tlpeter schreef op woensdag 06 juli 2016 @ 12:49:
[...]

XS4all VDSL en www.breda.nl werkt prima via IPv6

Kees schreef op woensdag 06 juli 2016 @ 15:15:
In ander nieuws, zo te zien had 3.2% van de tweakers een ipv6 verbinding met tweakimg.net de afgelopen 4 uur.

Raven schreef op woensdag 06 juli 2016 @ 15:24:
[...]

Krijg nou wat, ben je meer naar IPv6 aan het overzetten?

[ Voor 22% gewijzigd door Kees op 06-07-2016 15:36 ]

Raven schreef op woensdag 06 juli 2016 @ 15:36:
"eerst op tweakimg.net" ..... Hmm, hier krijg ik https://gathering.tweakers.net ook via IPv6 te zien, maar https://tweakers.net juist weer niet. Dus blijkbaar zit er wel wat meer op IPv6.

Kees schreef op woensdag 06 juli 2016 @ 15:15:
[...]

Hier een Sixxs tunnel en die site is onbereikbaar. Jammer dat er nog zoveel fout gaat met ipv6, zeker op het gebied van icmpv6.

CyBeR schreef op woensdag 06 juli 2016 @ 15:38:
[...]


Het algemene idee van "icmp blokkeren want security" met ipv4 gaat met ipv6 niet echt op, dan gaan er dingen stuk. Helaas passen nog veel mensen een ipv4-mentaliteit toe.

Kees schreef op woensdag 06 juli 2016 @ 15:42:
[...]

Klopt, zo kan ik de helft van tumblr ook niet bereiken.

Gogol schreef op woensdag 06 juli 2016 @ 15:04:
En ik wil ook nog wel even melden dat ik sinds gisteren problemen heb met www.horizon.tv in combinatie met IPv6 van Hurricane Electric. Ook weer een Geoblock.
Kennelijk is dit ook op IPv6 overgegaan of was dat al?
In ieder geval ook weer een reject-rule gemaakt in de firewall op de IPv6 adressen van Horizon TV, net zoals bij www.breda.nl
Bij een reject-rule krijgt de host een onbereikbaar-seintje en wordt overgeschakeld op IPv4

Kees schreef op woensdag 06 juli 2016 @ 15:15:

In ander nieuws, zo te zien had 3.2% van de tweakers een ipv6 verbinding met tweakimg.net de afgelopen 4 uur.

$ dig +short -t AAAA tweakimg.net
2001:9a8:0:e:1337:0:80:1

Raven schreef op woensdag 06 juli 2016 @ 15:36:
"eerst op tweakimg.net" ..... Hmm, hier krijg ik https://gathering.tweakers.net ook via IPv6 te zien, maar https://tweakers.net juist weer niet. Dus blijkbaar zit er wel wat meer op IPv6.

Kees schreef op woensdag 06 juli 2016 @ 15:42:
[...]

Klopt, zo kan ik de helft van tumblr ook niet bereiken.

Kees schreef op woensdag 06 juli 2016 @ 15:34:
[...]

Dus nu zet ik het langzaam aan; eerst op tweakimg.net zodat niet meteen de hele site stuk is

CAPSLOCK2000 schreef op woensdag 06 juli 2016 @ 21:29:
[...]


Mijn DNS-server ziet geen IPv6-adres voor gathering.tweakers.net

Kees schreef op donderdag 07 juli 2016 @ 10:01:
[...]

Ik zie dat jij inderdaad afentoe een ipv6 adres gebruikt om te posten, en ook met het correcte IP. Ik vraag mij dan sterk af waar dat adres vandaan komt. Mischien dat Firefox doorheeft dat hij die connectie ook voor tweakers.net kan hergebruiken aan de hand van het certificaat.

Want als ik de nameservers zelf query dan geeft er geen een een AAAA record terug zoals het (nog) hoort.

Kees schreef op donderdag 07 juli 2016 @ 10:01:
[...]

Ik zie dat jij inderdaad afentoe een ipv6 adres gebruikt om te posten, en ook met het correcte IP. Ik vraag mij dan sterk af waar dat adres vandaan komt. Mischien dat Firefox doorheeft dat hij die connectie ook voor tweakers.net kan hergebruiken aan de hand van het certificaat.

Want als ik de nameservers zelf query dan geeft er geen een een AAAA record terug zoals het (nog) hoort.

Kees schreef op donderdag 07 juli 2016 @ 10:01:
[...]

Ik zie dat jij inderdaad afentoe een ipv6 adres gebruikt om te posten, en ook met het correcte IP. Ik vraag mij dan sterk af waar dat adres vandaan komt. Mischien dat Firefox doorheeft dat hij die connectie ook voor tweakers.net kan hergebruiken aan de hand van het certificaat.

Kees schreef op donderdag 07 juli 2016 @ 10:02:
[...]

1220 is volgens mij de juiste waarde

Snow_King schreef op donderdag 07 juli 2016 @ 10:14:
Heeft er hier toevallig iemand redundante routers met DHCPv6 Prefix Delegation draaien?

Ik probeer dit met mijn collega op twee Juniper MX960 routers nu al een tijdje werkend te krijgen maar DHCPv6 Relay Messages verdwijnen soms in een zwart gat. Krijg er grijze haren van.

ik222 schreef op donderdag 07 juli 2016 @ 19:50:
[...]

Bedoel je met redundante MX960 routers die als relay zijn geconfigureerd ? Of heb je achter die routers een redundante DHCPv6 server staan?

Heb er overigens zelf ook nog geen ervaring mee maar ben wel benieuwd wat er gebeurt

[ Voor 11% gewijzigd door Snow_King op 08-07-2016 01:02 ]

CyBeR schreef op donderdag 07 juli 2016 @ 19:04:
Alles klopt. Helaas kan mijn router wel MSS clamping doen maar dan alleen globaal, zover ik weet, dus dan fuck ik IPv4 er ook mee terwijl daar m'n MTU wel gewoon 1500 is.

CyBeR schreef op donderdag 07 juli 2016 @ 22:32:
ja ik ga JunOS vervangen door OpenWRT

Compizfox schreef op donderdag 07 juli 2016 @ 18:47:
[...]

Bedankt. Ik heb me nog even ingelezen over MTU, MSS en 6in4. Als ik het goed begrijp:

De MTU is de maximale grootte van een IP-pakket, en is, op het internet, 1500 bytes.

De MSS is de maximale grootte van de payload op TCP-level en is gelijk aan je MTU - IP header size - TCP header size. Voor IPv4 is dat dus MTU - 20 - 20 en voor IPv6 is dat MTU - 40 - 20.

6in4 encapsuleert een IPv6-pakket binnenin een IPv4-pakket. De MTU van het IPv6-pakket is daarmee dus 1500 - 20, omdat de IPv4-header 20 bytes is. De maximale MTU die SixXS ondersteunt is dus 1480.

De MSS is hier dan 1480 - 40 - 20 = 1420.

Klopt dat zo een beetje?

---

Ik heb dus de MTU van mijn tunnel zowel bij SixXS als aan mijn kant op 1480 gezet (was eerst 1280).

Daarnaast staat in pfSense als uitleg bij MSS clamping: "If a value is entered in this field, then MSS clamping for TCP connections to the value entered above minus 40 (TCP/IP header size) will be in effect.".

Met andere woorden, van het getal wat je hier invult wordt 40 bytes afgetrokken. Zal wel als 'handigheidje' zijn, want op die manier kun je gewoon je MTU invullen en hoef je niet zelf de MSS te berekenen. Voor IPv4 tenminste, want voor IPv6 klopt dat niet, want voor IPv6 moet je 60 bytes aftrekken.

Ik heb in dat vakje dus maar 1460 ingevuld. Daar wordt 40 bytes vanaf getrokken (omdat pfSense uitgaat van IPv4), waardoor ik uitkom op de correcte MSS van 1420.

En hiermee lijkt het te werken, want nu kan ik breda.nl gewoon bereiken terwijl dat niet lukt zonder MSS clamping

Keiichi schreef op vrijdag 08 juli 2016 @ 13:15:
ik heb nu een paar keer met sites van transip meegemaakt dat ik de pagina van 'Dit domein is gereservereerd' voor me kreeg. Begon dit nu verdacht te vinden, en onder v4 werkte de sites wel.
is die een transip probleem of van hun klanten die niets van DNS e.d. snappen?

CyBeR schreef op vrijdag 08 juli 2016 @ 14:02:
Mensen denken ook nog steeds dat DNS records naar de hele wereld gerepliceerd danwel gepropageerd worden.

Gogol schreef op vrijdag 08 juli 2016 @ 11:39:
[...]

Bedankt voor dit verhaal. Zover had ik nog niet gezocht. Ik had alleen de voorbeelden van pfSense gebruikt en daar stond helemaal geen MTU waarde ingevuld, dus die stond nog op 1500. Dit werkte dus kennelijk alleen niet bij www.breda.nl
Verder redenerend heb ik dus nu alleen een MTU van 1480 ingevuld en omdat pfSense daar toch automatisch 40 vanaf trekt heb ik MSS leeg gelaten. De 20 bytes header size hoeft dus niet nog een keer afgetrokken te worden omdat die al in 1500-1480 zit.
Nu werkt www.breda.nl weer!

Oh nee, het werkte dus niet. Dus toch maar 1480 MTU en 1420 MSS ingevuld

[ Voor 15% gewijzigd door Compizfox op 08-07-2016 14:18 ]

databeestje schreef op vrijdag 08 juli 2016 @ 14:06:
[...]

Er zit wel een kern van waarheid in, maar dat heeft meer met de caching te maken. Soms heb je pech dat er een ongebruikelijk lange TTL van 1 dag op een A record zit, en dan proberen uit te leggen dat het internet dan herstart moet worden.

Beveiligde verbinding mislukt

De verbinding met de server werd geherinitialiseerd tijdens het laden van de pagina.

De pagina die u wilt bekijken kan niet worden weergegeven, omdat de echtheid van de ontvangen gegevens niet kon worden geverifieerd.
Neem contact op met de website-eigenaars om ze over dit probleem te informeren.

Raven schreef op dinsdag 12 juli 2016 @ 00:10:
nieuws: Beveiligingsonderzoekers vinden Pokémon Go-app met backdoor .... leuk zo'n link dat niet via IPv6 te openen is https://www.proofpoint.co...ed-pokemon-go-android-app levert hier dit op:

[...]

Zet ik IPv6 uit, niks aan de hand...