Het grote IPv6 topic

agresionpower schreef op vrijdag 18 november 2016 @ 09:59:
Er zijn nieuwe cijfers binnen, en KPN is goed bezig:
http://www.worldipv6launc...ent/images/graphs/KPN.png

Ziggo daar in tegen staat stil:
http://www.worldipv6launc...t/images/graphs/Ziggo.png

KPN is inderdaad goed bezig. Vergeleken met de andere grote aanbieders in Nederland dan. Maar het is wel relatief. Vergeleken met grote aanbieders in andere landen in W Europa is het maar zeer magertjes...

http://www.worldipv6launc...phs/DeutscheTelekomAG.png
http://www.worldipv6launc...ritishSkyBroadcasting.png
http://www.worldipv6launc...ages/graphs/SKTelecom.png
http://www.worldipv6launc...mages/graphs/Belgacom.png
http://www.worldipv6launc...images/graphs/Telenet.png
http://www.worldipv6launc...raphs/O2CzechRepublic.png
http://www.worldipv6launc...mages/graphs/Swisscom.png
http://www.worldipv6launc...ent/images/graphs/VOO.png
http://www.worldipv6launc...images/graphs/Tele2AB.png
http://www.worldipv6launc...LDETELECOMUNICACIONES.png

Need I say more?

[ Voor 4% gewijzigd door Roetzen op 18-11-2016 17:41 ]

Hoi allen,
ik ben bezig mij in te lezen in de ipv6 materie.
Ook omdat ik bezig ben om mijn (web)mail op ipv6 werkend te krijgen .
Nu heb ik helaas geen ipv6 van mijn ISP op dit moment.
Daarom probeer ik middels een HE tunnel het ipv6 web op te komen, helaas lukt dit niet.
Ik heb mij geregistreerd en de tunnel aangemaakt.

De tunnel wil ik vanaf mijn Win10 machine opbouwen.
Ik heb als endpoint mijn ip adres van de buitenkant opgegeven, en plak de win10 netsh commandos in dos admin prompt.
Helaas kan ik desondanks niet het ipv6 stuk bereiken.
Op het forum word ook niet veel wijzer waar het aan kan liggen.
Mogelijk hebben jullie een idee?
alvast bedankt.

Phyt_ schreef op vrijdag 18 november 2016 @ 22:14:


De tunnel wil ik vanaf mijn Win10 machine opbouwen.
Ik heb als endpoint mijn ip adres van de buitenkant opgegeven, en plak de win10 netsh commandos in dos admin prompt.

Het ip adres van de buitenkant van wat? Je router? Dan gaat het niet werken. Als je een router tussen je Win10 machine en de buitenwereld heb, kun je het tunneleindpunt niet op je Win10 machine installeren. Je moet de tunnel op je router laten eindigen.

Roetzen schreef op vrijdag 18 november 2016 @ 22:26:
[...]

Het ip adres van de buitenkant van wat? Je router? Dan gaat het niet werken. Als je een router tussen je Win10 machine en de buitenwereld heb, kun je het tunneleindpunt niet op je Win10 machine installeren. Je moet de tunnel op je router laten eindigen.

Ai dat is jammer, ik had gehoopt vanaf mijn endpoint dat te kunnen doen .
Ik heb op dit moment nog een experia box v8 er tussen zitten dus daar kan kan ik niks op instellen dat is jammer.
Komt hij op de to do list als ik mijn pfsense weer in gebruik heb genomen.
Ondertussen maar de certificering doorlopen .
Wat niet gaat zonder tunnel :\

Roetzen schreef op vrijdag 18 november 2016 @ 22:26:
[...]

Het ip adres van de buitenkant van wat? Je router? Dan gaat het niet werken. Als je een router tussen je Win10 machine en de buitenwereld heb, kun je het tunneleindpunt niet op je Win10 machine installeren. Je moet de tunnel op je router laten eindigen.

Volgens mij is dat prima mogelijk, zolang je op je router maar de proto-41-pakketten maar forward naar die machine die je als endpoint van je tunnel gebruikt.

Dat is inderdaad een theoretische mogelijkheid die ik nog niemand in de praktijk heb zien brengen. Logisch, want de gewone huis- tuin- en keukenroutertjes kunnen dat niet en de meer geavanceerde routers die wel protocol 41 kunnen forwarden, die kunnen óók een 6in4 tunnel termineren. En dan is die laatste mogelijkheid veel aantrekkelijker. Phyt_ heeft daar in elk geval niks aan, want met zijn experiabox kan het zeker niet.

Ik heb eigenlijk alleen máar tunnel endpoints achter m'n NAT-boxje opgebouwd?

Meeste routers die ík heb gehad (Draytek, Fritz!Box) maken van het proto-41-verkeer een enkele NAT entry.

Osiris schreef op zaterdag 19 november 2016 @ 10:31:
Ik heb eigenlijk alleen máar tunnel endpoints achter m'n NAT-boxje opgebouwd?

Meeste routers die ík heb gehad (Draytek, Fritz!Box) maken van het proto-41-verkeer een enkele NAT entry.

Draytek kan ook het tunnel endpoint zijn, in ieder geval met de GlasOperator firmware

ANdrode schreef op zaterdag 19 november 2016 @ 10:57:
[...]


Draytek kan ook het tunnel endpoint zijn, in ieder geval met de GlasOperator firmware

Die van mij toentertijd niet of ik had geen benul van die FW, maar heb ondertussen al jaren native

Osiris schreef op zaterdag 19 november 2016 @ 13:25:
[...]
Die van mij toentertijd niet of ik had geen benul van die FW, maar heb ondertussen al jaren native

Het stond ergens in het menu onder IPv6. Kan ook aan het exacte type liggen (ik had een 2130VFN).

Native is in ieder geval superieur aan een tunnel. Voor DS-lite is het nog te vroeg. Ik ga daarom binnenkort naar een ISP met native IPv6 en goede routering. Waarschijnlijk KPN of mogelijk XS4ALL.

ANdrode schreef op zaterdag 19 november 2016 @ 13:33:
[...]
Voor DS-lite is het nog te vroeg.

Dat is maar hoe je het bekijkt. Jij wilt er nog niet aan, maar dat is omdat je met alleen een IPv6 GUA nog niet uit de voeten kunt. DS-Lite is best op tijd. De IPv4 adressen zijn immers op. Het is IPv6 wat te laat is...

Roetzen schreef op zaterdag 19 november 2016 @ 16:16:
[...]
Dat is maar hoe je het bekijkt. Jij wilt er nog niet aan, maar dat is omdat je met alleen een IPv6 GUA nog niet uit de voeten kunt. DS-Lite is best op tijd. De IPv4 adressen zijn immers op. Het is IPv6 wat te laat is...

Ik zou een ISP met DS-lite/slechte routing/hoge bandbreedte overwegen, mits hij goedkoop is.

De propositie die nu in de markt staat die deze eigenschappen heeft is niet goedkoop.

Daarnaast heeft deze ISP alleen last van kunstmatige schaarste, doordat set top boxes nog een uniek IPv4 adres krijgen. Voor zulke apparaten is het al lang tijd voor IPv6.

ANdrode schreef op zaterdag 19 november 2016 @ 17:42:
[...]


Ik zou een ISP met DS-lite/slechte routing/hoge bandbreedte overwegen, mits hij goedkoop is.

De propositie die nu in de markt staat die deze eigenschappen heeft is niet goedkoop.

Daarnaast heeft deze ISP alleen last van kunstmatige schaarste, doordat set top boxes nog een uniek IPv4 adres krijgen. Voor zulke apparaten is het al lang tijd voor IPv6.

dat die horizon boxjes een ipv4 adres krijgen is inderdaad overbodig. Maar ik kan me herinneren dat er bij de ipv6 taskforce meeting in februari werd gezegd dat ze die nog dit jaar van ipv6 wile voorzien ipv ipv4. Maar dat is alweer even geleden.

agresionpower schreef op zaterdag 19 november 2016 @ 19:41:
[...]
dat die horizon boxjes een ipv4 adres krijgen is inderdaad overbodig. Maar ik kan me herinneren dat er bij de ipv6 taskforce meeting in februari werd gezegd dat ze die nog dit jaar van ipv6 wile voorzien ipv ipv4. Maar dat is alweer even geleden.

Wist ik niet, maar goed nieuws

Imo een goede casus. Juist bij CPE heb je de volledige controle over zowel de software, hardware als het gedrag. Daardoor kan je goed telemetrie verzamelen.
Het zou mij niet verbazen als providers vanaf CPE distributed netwerkkwaliteit/signaal kwaliteit/etc meten

agresionpower schreef op zaterdag 19 november 2016 @ 19:41:

dat die horizon boxjes een ipv4 adres krijgen is inderdaad overbodig. Maar ik kan me herinneren dat er bij de ipv6 taskforce meeting in februari werd gezegd dat ze die nog dit jaar van ipv6 wile voorzien ipv ipv4. Maar dat is alweer even geleden.

Hmm, de combinatie "Ziggo", "IPv6" en "nog dit jaar" is een contradictio in terminis. Over zes weken is het jaar al weer voorbij, dus ik verwacht niet dat daar dit jaar nog verandering in komt.

fiberdordrecht schreef op vrijdag 18 november 2016 @ 12:32:
Kleine update..........

Zag dat ze eindelijk de telfort V10 hebben.

Gelijk gebelt of ik kon omruilen V8 <> V10, nou dat kon niet alleen als je een erggge goede reden heb

Momenteel heb ik V8 + wifi versterker van telfort, moet nog 1 jaar daarna ga ik verder (provider) kijken.

[afbeelding]

Dit maakt de weg vrij voor KPN dochter Telfort om ook IPv6 uit te gaan rollen!

St00mwals schreef op zondag 20 november 2016 @ 10:25:
[...]
Dit maakt de weg vrij voor KPN dochter Telfort om ook IPv6 uit te gaan rollen!

Is Telfort al mee begonnen, ik heb geregeld IPv6 verbindingen.

Freee!! schreef op zondag 20 november 2016 @ 16:16:
[...]

Is Telfort al mee begonnen, ik heb geregeld IPv6 verbindingen.

Dat is mij nog niet opgevallen, ik heb een ExperiaBox v8, jij?

Wellicht weet iemand dit.
Bij Ziggo krijgen nieuwe klanten al DS-LITE.
Maar hoe zit dat bij KPN? Ik zie dat 13% van hun verbindingen al ipv6 heeft, maar draaien deze op dualstack?
Zit er nog een verschil tussen nieuwe lijnen en al bestaande lijnen die van ipv6 voorzien worden?

Ik vraag dit omdat een van de argumenten om ipv6 uit te rollen is dat onze klanten nu al geen verbinding zouden kunnen maken met een server achter een ziggo DS-LITE verbinding als we onze klanten niet van ipv6 voorzien.
Als dit ook geld voor KPN dan maakt het die case sterker.

agresionpower schreef op maandag 21 november 2016 @ 11:26:
Wellicht weet iemand dit.
Bij Ziggo krijgen nieuwe klanten al DS-LITE.
Maar hoe zit dat bij KPN? Ik zie dat 13% van hun verbindingen al ipv6 heeft, maar draaien deze op dualstack?
Zit er nog een verschil tussen nieuwe lijnen en al bestaande lijnen die van ipv6 voorzien worden?

Ik vraag dit omdat een van de argumenten om ipv6 uit te rollen is dat onze klanten nu al geen verbinding zouden kunnen maken met een server achter een ziggo DS-LITE verbinding als we onze klanten niet van ipv6 voorzien.
Als dit ook geld voor KPN dan maakt het die case sterker.

Vooralsnog is het alleen Ziggo die dit in Nederland doet bij mijn weten, maar gezien hun marktaandeel lijkt me dat al een aardige case. Bovendien is inmiddels aangetoond dat IPv6 de gebruikservaring voor iedereen beter maakt en zul je vroeg of laat toch moeten.

St00mwals schreef op zondag 20 november 2016 @ 17:59:
[...]

Dat is mij nog niet opgevallen, ik heb een ExperiaBox v8, jij?

Mijn vriendin heeft Telfort en een v8, maar geen IPv6.

Zijn het toevallig niet alleen de ex-XMS/KickXL/ConceptsICT klanten die bij Telfort IPv6 krijgen, via 6RD?
Dus dat "native" Telfort klanten überhaupt geen IPv6 krijgen.

Ter info voor andere Telfort klanten: Ik zit er al heel lang bij (ooit Speedlinq) en ik heb een Zyxel-modem. In de instellingen daarvan heb ik IPv6 aangezet.

Bigs schreef op maandag 21 november 2016 @ 11:41:
[...]
Vooralsnog is het alleen Ziggo die dit in Nederland doet bij mijn weten, maar gezien hun marktaandeel lijkt me dat al een aardige case. Bovendien is inmiddels aangetoond dat IPv6 de gebruikservaring voor iedereen beter maakt en zul je vroeg of laat toch moeten.

IPv6 maakt de beleving beter. Dat gaat dan alleen niet zomaar direct op voor DS-lite.

DS-lite maakt de beleving volgens slechter. Daardoor snappen ook enigszins technisch onderlegde mensen niet waarom ze ondanks een port forward niet bij hun Synology kunnen etc.

Ik heb hier al een hele tijd het probleem dat plaatjeshoster mupload.nl de pics niet wil weergeven tot ik een regelmatig terugkerende captcha-check doorloop. Omdat anderen van een ander forum (waar deze hoster regelmatig voorbijkomt) daar geen last van hebben, heb ik ter test die site m.b.v. de host-file geforceerd via IPv4 te openen. Gevolg: plaatjes werken meteen, geen captcha.

Afgaand op de 1e indruk lijkt het met IPv6 te maken te hebben, maar waarom

Kan je eens wat praktijkvoorbeelden geven?
Hoofdsite zelf werkt. Een mooie witte afbeelding uploaden ook, maar ik krijg geen captcha?
Misschien dat ze een (data)limiet per IP doen, en dat die via IPv6 niet goed gaat/te laag staat.
Kan dus dat het nu werkt via IPv4, totdat je ook hier tegen een mogelijk limiet komt.

De pics van https://gathering.tweakers.net/forum/view_message/48287213 bijvoorbeeld.

Misschien heeft het te maken met de ingeschakelde privacy extensions en/of dat ik een tunnel gebruik?

[ Voor 29% gewijzigd door Raven op 21-11-2016 14:15 ]

Raven schreef op maandag 21 november 2016 @ 14:13:
De pics van https://gathering.tweakers.net/forum/view_message/48287213 bijvoorbeeld.

Misschien heeft het te maken met de ingeschakelde privacy extensions en/of dat ik een tunnel gebruik?

Zou kunnen. Hier met native IPv6 van Ziggo en ingeschakelde PE geen probleem.

* Nakebod eens is met Roetzen.
Alleen dan native XS4ALL.

Plus.. niet de eerste keer dat je vreemde (mogelijk) tunnel-related problemen hebt toch?
Alleen tja, is het dan specifiek een tunnel probleem, MTU probleem, doet de ontvanger iets raars waardoor tunnels niet goed werken, doe jij nog ergens een "rare" instelling. Mijn IPv6 kennis is helaas te beperkt verder.

Nu FF nog zo ver krijgen die site altijd via IPv4 te openen, sinds het aanpassen van de hostfile wisselt het tussen IPv4 (werkt nog altijd prima) en IPv6 (captcha). Ctrl-F5'en van een pagina met embedded pics helpt niet, maar als ik mupload direct open en dan ctrl+f5 doe dan switcht ie wel naar IPv4. Tot FF die site weer via IPv6 probeert te openen.

En die tunnel-problemen zijn tot nu toe altijd MTU-gerelateerd geweest, maar een MTU-issue verklaart de captcha-pagina toch niet?

Bigs schreef op maandag 21 november 2016 @ 11:41:
[...]
Bovendien is inmiddels aangetoond dat IPv6 de gebruikservaring voor iedereen beter maakt en zul je vroeg of laat toch moeten.

Ben het helemaal met je eens dat er vaart achter IPv6 moet komen, maar ik zou niet zeggen dan DS-Lite de gebruikservaring beter maakt. Voor de gemiddelde consument maakt het waarschijnlijk niet al te veel uit maar ik zou het persoonlijk voor geen geld willen

DS-Lite is gewoon een groot nadeel (je hebt geen eigen IPv4-adres meer) en een noodoplossing omdat de wereld nog niet op tijd over is op IPv6.

---

Raven schreef op maandag 21 november 2016 @ 14:13:
De pics van https://gathering.tweakers.net/forum/view_message/48287213 bijvoorbeeld.

Misschien heeft het te maken met de ingeschakelde privacy extensions en/of dat ik een tunnel gebruik?

Ik heb ook een tunnel en heb geen probleem met het openen van die plaatjes. Het enige wat Privacy Extensions doet, is het randomisen van je IP-adres (normaal zijn SLAAC-adressen gebaseerd op je MAC-adres en onveranderlijk). Zou dus niks uit moeten maken lijkt me.

[ Voor 42% gewijzigd door Compizfox op 21-11-2016 15:44 ]

Mooie cijfers van Cloudflare
https://blog.cloudflare.com/98-percent-ipv6/

Compizfox schreef op maandag 21 november 2016 @ 15:41:
[...]

Ik heb ook een tunnel en heb geen probleem met het openen van die plaatjes. Het enige wat Privacy Extensions doet, is het randomisen van je IP-adres (normaal zijn SLAAC-adressen gebaseerd op je MAC-adres en onveranderlijk). Zou dus niks uit moeten maken lijkt me.

Ik weet wat 't doet, dacht dat het misschien daar mee te maken had.

Maar inmiddels lijk ik de oorzaak van het switchen tussen IPv6/IPv4 gevonden te hebben. Heb mupload nu met en zonder www ervoor in de hostfile gezet. Had eerst alleen zonder www erin staan. Dan kan ik die site nu iig zonder gezeur met captchas bekijken tot de oorzaak is gevonden.

[ Voor 6% gewijzigd door Raven op 21-11-2016 15:58 ]

Compizfox schreef op maandag 21 november 2016 @ 15:41:
[...]

Ben het helemaal met je eens dat er vaart achter IPv6 moet komen, maar ik zou niet zeggen dan DS-Lite de gebruikservaring beter maakt. Voor de gemiddelde consument maakt het waarschijnlijk niet al te veel uit maar ik zou het persoonlijk voor geen geld willen

DS-Lite is gewoon een groot nadeel (je hebt geen eigen IPv4-adres meer) en een noodoplossing omdat de wereld nog niet op tijd over is op IPv6.

[...]

Daar gaat het hier toch niet om? agresionpower zoekt argumenten om een aanbieder hun dienst te laten aanbieden via IPv6. Een argument is dat iedereen daar baat bij heeft (inclusief DS-Lite gebruikers), zie: http://www.internetsociet...d-20-40-faster-over-ipv6/

Bigs schreef op maandag 21 november 2016 @ 15:59:
[...]


Daar gaat het hier toch niet om? agresionpower zoekt argumenten om een aanbieder hun dienst te laten aanbieden via IPv6. Een argument is dat iedereen daar baat bij heeft (inclusief DS-Lite gebruikers), zie: http://www.internetsociet...d-20-40-faster-over-ipv6/

Dan heb ik je bericht verkeerd opgevat. Ik zie nu wat je bedoelt.

Bigs schreef op maandag 21 november 2016 @ 15:59:
[...]
Daar gaat het hier toch niet om? agresionpower zoekt argumenten om een aanbieder hun dienst te laten aanbieden via IPv6. Een argument is dat iedereen daar baat bij heeft (inclusief DS-Lite gebruikers), zie: http://www.internetsociet...d-20-40-faster-over-ipv6/

Helaas is het makkelijk om op basis van de kop van dat artikel verkeerde conclusies te trekken. In de hoofdtekst staat dat ze niet weten wat het achterliggende fenomeen is.

Ze meten "bij klanten die via IPv6 verbinding maken laden diensten sneller". Dit is gecorreleerd met 4G/Snelle internetverbindingen (Surf/XS4all zijn vroeg), moderne systemen, etc.

<=> "Bij een snelle PC verbonden met Surfnet laden diensten sneller" is evident.

Wat je wilt meten is: "In >x% van de situaties waar zowel IPv6 als IPv4 aanwezig is, biedt IPv6 een snellere ervaring". Daarnaast natuurlijk de adoptie percentages ("x% heeft IPv4 only, y% heeft IPv6 only, z% heeft dual stack).

[ Voor 4% gewijzigd door ANdrode op 21-11-2016 16:15 ]

ANdrode schreef op maandag 21 november 2016 @ 16:11:
[...]


Helaas is het makkelijk om op basis van de kop van dat artikel verkeerde conclusies te trekken. In de hoofdtekst staat dat ze niet weten wat het achterliggende fenomeen is.

Ze meten "bij klanten die via IPv6 verbinding maken laden diensten sneller". Dit is gecorreleerd met 4G/Snelle internetverbindingen (Surf/XS4all zijn vroeg), moderne systemen, etc.

Wat je wilt meten is: "In >x% van de situaties waar zowel IPv6 als IPv4 aanwezig is, biedt IPv6 een snellere ervaring". Daarnaast natuurlijk de adoptie percentages ("x% heeft IPv4 only, y% heeft IPv6 only, z% heeft dual stack).

Dat berichtje van Cloudflare die ik net poste meld:
"IPv6 is faster for two reasons. The first is that many major operating systems and browsers like iOS, MacOS, Chrome and Firefox impose anywhere from a 25ms to 300ms artificial delay on connections made over IPv4. The second is that some mobile networks won’t need to perform extra v4 -> v6 and v6 -> v4 translations to connect visitors to IPv6 enabled sites if the phone is only assigned an IPv6 address. (IPv6-only phones are becoming very common. If you have a phone on T-Mobile, Telstra, SK Telecom, Orange, or EE UK, to name a few, it’s likely you’re v6-only.)
How much faster is IPv6? Our data shows that visitors connecting over IPv6 were able to connect and load pages in 27% less time than visitors connecting over IPv4. LinkedIn found an even more dramatic effect, with up to a 40% performance boost on mobile connections over IPv6. Facebook also found a significant performance increase, around 10-15% on IPv6."

agresionpower schreef op maandag 21 november 2016 @ 16:14:
[...]
Dat berichtje van Cloudflare die ik net poste meld:
"IPv6 is faster for two reasons. The first is that many major operating systems and browsers like iOS, MacOS, Chrome and Firefox impose anywhere from a 25ms to 300ms artificial delay on connections made over IPv4. The second is that some mobile networks won’t need to perform extra v4 -> v6 and v6 -> v4 translations to connect visitors to IPv6 enabled sites if the phone is only assigned an IPv6 address. (IPv6-only phones are becoming very common. If you have a phone on T-Mobile, Telstra, SK Telecom, Orange, or EE UK, to name a few, it’s likely you’re v6-only.)

Die extra vertraging (mits de DNS server ook AAAA teruggeeft en niet filtert) snap ik. Het effect van extra NAT stel ik op nihil t.o.v. de latency.

Dan is mijn intuïtie nog steeds dat de confounders het gemeten effect domineren. Als ik nu IPv6 uitzet wordt mijn internet ervaring geen 20 (?) procent sneller.

N=1 experiment;



Zoals je ziet is het verschil verwaarloosbaar. Over het effect van in een vaste situatie enkel IPv4 ipv dual-stack gebruiken kan ik op basis hiervan natuurlijk niets zeggen omdat n=1.

Verschil in RTT tussen IPv6 en IPv4 is in ieder geval nihil:

www.tweakers.net:
ping: round-trip min/avg/max/stddev = 5.197/5.519/6.047/0.144 ms
ping6: round-trip min/avg/max/std-dev = 5.344/6.245/57.012/5.110 ms

www.google.com:
ping: round-trip min/avg/max/stddev = 4.939/5.180/6.138/0.174 ms
ping6: round-trip min/avg/max/std-dev = 4.942/5.249/8.588/0.398 ms

edit: Dit is natuurlijk niet op mobiel getest (überhaupt niet/niet over 4G/niet over IPv6), dus zegt strikt genomen niets over IPv6 vs IPv4 op mobiel

[ Voor 32% gewijzigd door ANdrode op 21-11-2016 19:38 ]

Bigs schreef op maandag 21 november 2016 @ 11:41:
[...]


Vooralsnog is het alleen Ziggo die dit in Nederland doet bij mijn weten, maar gezien hun marktaandeel lijkt me dat al een aardige case. Bovendien is inmiddels aangetoond dat IPv6 de gebruikservaring voor iedereen beter maakt en zul je vroeg of laat toch moeten.

Je moet in dezen dan wel alleen kijken naar het marktaandeel van het oud-UPC-gedeelte. In oud-Ziggo-gebied wordt gewoon Dual Stack uitgerold.

Jerrythafast schreef op maandag 21 november 2016 @ 21:25:
[...]

Je moet in dezen dan wel alleen kijken naar het marktaandeel van het oud-UPC-gedeelte. In oud-Ziggo-gebied wordt gewoon Dual Stack uitgerold.

Daarnaast gaat dit volgens wat ik lees niet om alle modems. Het ging vooral om de Technicolor TC 7200 (nu deprecated). Of dit ook met de nieuwere modems uitgerold is weet ik niet.

Het zat bij die TC 7200 goed verstopt. Het niet overduidelijk dat het ds-lite was

ANdrode schreef op maandag 21 november 2016 @ 21:36:
[...]
Daarnaast gaat dit volgens wat ik lees niet om alle modems. Het ging vooral om de Technicolor TC 7200 (nu deprecated). Of dit ook met de nieuwere modems uitgerold is weet ik niet.

Het oorspronkelijke argument van agresionpower was:

Ik vraag dit omdat een van de argumenten om ipv6 uit te rollen is dat onze klanten nu al geen verbinding zouden kunnen maken met een server achter een ziggo DS-LITE verbinding als we onze klanten niet van ipv6 voorzien.

En daarvoor mag je best verder kijken dan Nederland. In Duitsland en Oostenrijk wordt DS-Lite grootschalig uitgerold. Internet is groter dan Nederland. Ook daar zijn servers die alleen via IPv6 te bereiken zijn.

Ik ben op Bali bij familie en daar hebben ze net 10/10 glasvezel gekregen. Dus ik hoopte dat ze ook IPv6 hebben, maar nee... Wel glas aanleggen naar huizen die wellicht geen eens een WC hebben, maar dan geen IPv6 uitrollen.

Het ZTE modem wat er bij zit ondersteund het overigens wel gewoon.

Snow_King schreef op woensdag 23 november 2016 @ 15:14:
Ik ben op Bali bij familie en daar hebben ze net 10/10 glasvezel gekregen. Dus ik hoopte dat ze ook IPv6 hebben, maar nee... Wel glas aanleggen naar huizen die wellicht geen eens een WC hebben, maar dan geen IPv6 uitrollen.

En dan te bedenken dat Indonesië valt onder APNIC dat vijf jaar geleden al door zijn IPv4 heen was.

Krijg je nog wel een publiek IPv4 of zit het achter CGNAT?

Het ZTE modem wat er bij zit ondersteund het overigens wel gewoon.

Dat is in elk geval wat. De CPE is dan in elk geval niet de bottleneck.

Roetzen schreef op woensdag 23 november 2016 @ 16:23:
[...]

En dan te bedenken dat Indonesië valt onder APNIC dat vijf jaar geleden al door zijn IPv4 heen was.

Krijg je nog wel een publiek IPv4 of zit het achter CGNAT?

Rare situatie idd, maar het is zo.

Gewoon een publiek IPv4 adres, ik was ook even bang voor CGNAT.

IPv6 staat in het CPE gewoon aan, wachtende op die Router Advertisement en Prefix via DHCPv6.

Roetzen schreef op maandag 21 november 2016 @ 22:00:
[...]
Ik vraag dit omdat een van de argumenten om ipv6 uit te rollen is dat onze klanten nu al geen verbinding zouden kunnen maken met een server achter een ziggo DS-LITE verbinding als we onze klanten niet van ipv6 voorzien.

En daarvoor mag je best verder kijken dan Nederland. In Duitsland en Oostenrijk wordt DS-Lite grootschalig uitgerold. Internet is groter dan Nederland. Ook daar zijn servers die alleen via IPv6 te bereiken zijn.

IPv6 is niet overal aanwezig. Dus een publiek IPv4 IP heb je altijd nodig voor de dienst.
Als het een toepassing is die geen port forwards nodig heeft dan maakt DS-lite niet uit. Dan is het equivalent aan nat-achter-nat.

Als je port forwards nodig hebt én gebruikers met DS-lite, dan kunnen die bij de Ziggo implementatie geen IPv4 port forward doen. Daarvoor moeten ze over IPv6 bereikbaar zijn en moeten ze iirc nog steeds die port forward instellen vanwege firewall in modem

Je zit voor een derde groep klanten, die achter CGNAT (denk: 4G) zitten toch aan een VPN of reverse-tunneling oplossing. En bij de oplossing die je voor die klanten kiest maakt IPv4/IPv6/NAT niet meer uit.

Ik ben voorstander van IPv6 en heb recent zelfs mijn nieuwe ISP er op uitgekozen. Ik zie alleen geen business requirements om nu IPv6 uit te rollen voor een server toepassing. Als de architectuur het door DS-lite vereist dan heb je sowieso een fragiele architectuur.
Technisch: Ja, je zou er al jaren klaar voor moeten zijn

ANdrode schreef op woensdag 23 november 2016 @ 19:59:
[...]
en moeten ze iirc nog steeds die port forward instellen vanwege firewall in modem

Dat is toch niet zo raar? Bij IPv6 doe je geen NAT dus als ISPs in de standaardconfig van de router geen firewall zouden hebben, zou alles wijd open staan. Het overgrote merendeel van de gebruikers zal het niet zelf aanzetten en heeft dan allemaal dingen die naar het grote boze internet open staan.

Compizfox schreef op woensdag 23 november 2016 @ 23:20:
[...]
Dat is toch niet zo raar? Bij IPv6 doe je geen NAT dus als ISPs in de standaardconfig van de router geen firewall zouden hebben, zou alles wijd open staan. Het overgrote merendeel van de gebruikers zal het niet zelf aanzetten en heeft dan allemaal dingen die naar het grote boze internet open staan.

Ja/nee. Geef het in ieder geval de naam firewall en voorkom dat gebruikers forwards gaan aanmaken van router:global address:port -> LAN ipv4 adres:port.
En die UI laat dus *niet* zien dat het om een port forward gaat vanaf het IPv6 adres, gebruikers denken dat het om een IPv4 port forward gaat :x

Überhaupt biedt een firewall in een router, die alle uitgaande verbindingen wel toestaat, weinig veiligheid tegen kwaadaardige toepassingen.

Mijn ervaring is dat een software bijvoorbeeld de ingebouwde windows firewall eigenlijk voldoende is om te voorkomen dat toepassingen onbedoeld openstaan.

Daarnaast luistert de meeste software hopelijk niet op de privacy addresses die je gebruikt om externe verbindingen te maken (een test waard!). En een /64 port scannen is vrijwel niet te doen . Het is in mijn ogen dus snakeoil…

ANdrode schreef op donderdag 24 november 2016 @ 09:12:
[...]


Ja/nee. Geef het in ieder geval de naam firewall en voorkom dat gebruikers forwards gaan aanmaken van router:global address:port -> LAN ipv4 adres:port.
En die UI laat dus *niet* zien dat het om een port forward gaat vanaf het IPv6 adres, gebruikers denken dat het om een IPv4 port forward gaat :x

Oh, dat is wel misleidend ja. Het gaat hier inderdaad niet om een port forward (dat is een NAT-specifiek ding) maar om een 'normale' firewall rule.

Überhaupt biedt een firewall in een router, die alle uitgaande verbindingen wel toestaat, weinig veiligheid tegen kwaadaardige toepassingen.

Het idee is ook niet dat het veiligheid biedt tegen "kwaadaardige toepassingen", maar tegen het onbedoeld openzetten van dingen naar het internet toe.

Mijn ervaring is dat een software bijvoorbeeld de ingebouwde windows firewall eigenlijk voldoende is om te voorkomen dat toepassingen onbedoeld openstaan.

Daarnaast luistert de meeste software hopelijk niet op de privacy addresses die je gebruikt om externe verbindingen te maken (een test waard!). En een /64 port scannen is vrijwel niet te doen . Het is in mijn ogen dus snakeoil…

Niet per se. Het is wat mij betreft toch wel zo handig om alles by default dicht te hebben staan en dingen expliciet open te zetten naar het internet toe. Als je dat niet doet, krijg je toch snel het probleem dat dingen die binnen het LAN moeten blijven onbedoeld naar het internet open staan. Denk aan printers, NASen/homeservers met services (denk aan Plex of Sabnzbd of zo), enz.

Windows Firewall is niet echt relevant in dat opzicht omdat het alle inkomende verbindingen blokkeert, niet alleen die van het internet (je kunt het volgens mij wel tweaken qua source address/network maar de gemiddelde gebruiker zal dat niet doen). Bovendien zullen de meeste Windows-PCs toch geen dingen hosten; als er geen servers luisteren dan valt er ook niks te blokkeren.

[ Voor 4% gewijzigd door Compizfox op 24-11-2016 09:41 ]

Compizfox schreef op donderdag 24 november 2016 @ 09:40:
[...]

Oh, dat is wel misleidend ja. Het gaat hier inderdaad niet om een port forward (dat is een NAT-specifiek ding) maar om een 'normale' firewall rule.

Degene die dit idd "Port Forwarding" genoemd heeft mag IMHO achter de sauna meegenomen worden

[...]

Het idee is ook niet dat het veiligheid biedt tegen "kwaadaardige toepassingen", maar tegen het onbedoeld openzetten van dingen naar het internet toe.

[...]

Niet per se. Het is wat mij betreft toch wel zo handig om alles by default dicht te hebben staan en dingen expliciet open te zetten naar het internet toe. Als je dat niet doet, krijg je toch snel het probleem dat dingen die binnen het LAN moeten blijven onbedoeld naar het internet open staan. Denk aan printers, NASen/homeservers met services (denk aan Plex of Sabnzbd of zo), enz.

Windows Firewall is niet echt relevant in dat opzicht omdat het alle inkomende verbindingen blokkeert, niet alleen die van het internet (je kunt het volgens mij wel tweaken qua source address/network maar de gemiddelde gebruiker zal dat niet doen). Bovendien zullen de meeste Windows-PCs toch geen dingen hosten; als er geen servers luisteren dan valt er ook niks te blokkeren.

Windows firewall doet het inderdaad prima, maar met IPv6 zitten *al* je apparaten op het publieke internet, dus ook volstrekt onbeveiligde IoT-zooi, iDevices waarvan Apple aangeeft dat een firewall overbodig etc.

Deny all incoming als default rule is gewoon verstandig. Als je je nergens van bewust bent, komt er niets binnen. Zodra je bewust ergens mee bezig gaat kun je de firewall geheel uitzetten danwel specifieke rules aanmaken.
Sterker nog, dit is per default veiliger dan menig IPv4-oplossing met UPnP per default aan

dion_b schreef op donderdag 24 november 2016 @ 10:09:
[...]
Windows firewall doet het inderdaad prima, maar met IPv6 zitten *al* je apparaten op het publieke internet, dus ook volstrekt onbeveiligde IoT-zooi, iDevices waarvan Apple aangeeft dat een firewall overbodig etc.

Deny all incoming als default rule is gewoon verstandig. Als je je nergens van bewust bent, komt er niets binnen. Zodra je bewust ergens mee bezig gaat kun je de firewall geheel uitzetten danwel specifieke rules aanmaken.
Sterker nog, dit is per default veiliger dan menig IPv4-oplossing met UPnP per default aan

Precies mijn punt. Het risico is niet zozeer Windows-PCs (die hosten meestal toch niks), maar IoT-devices en NASes en zo. Zonder firewall op je router staat dat allemaal zomaar naar het internet open.

UPnP is nog zoiets; enorm beveiligingsgat. Meteen uitzetten die handel

[ Voor 4% gewijzigd door Compizfox op 24-11-2016 10:24 ]

dion_b schreef op donderdag 24 november 2016 @ 10:09:
[...]
Windows firewall doet het inderdaad prima, maar met IPv6 zitten *al* je apparaten op het publieke internet, dus ook volstrekt onbeveiligde IoT-zooi, iDevices waarvan Apple aangeeft dat een firewall overbodig etc.

Deny all incoming als default rule is gewoon verstandig. Als je je nergens van bewust bent, komt er niets binnen. Zodra je bewust ergens mee bezig gaat kun je de firewall geheel uitzetten danwel specifieke rules aanmaken.
Sterker nog, dit is per default veiliger dan menig IPv4-oplossing met UPnP per default aan

IPv6 (*zonder sequentiële adressen*, hopelijk gebeurt dat nooit bij DHCPv6) biedt al wat security through obscurity doordat de IP range te groot wordt om te scannen.

Als windows standaard de "publiek netwerk" setting pakt bij een globaal IPv6 adres dan komt het wel goed. Maar een firewall die default aanstaat voorkomt misschien wat mogelijkheden om jezelf in de voet te schieten.

Ik hoop echt dat daemons standaard niet luisteren op de privacy extension adressen. Wie weet dat?

Daemons die luisteren op IN6ADDR_ANY luisteren ook op PE adressen.

Compizfox schreef op donderdag 24 november 2016 @ 10:23:
UPnP is nog zoiets; enorm beveiligingsgat. Meteen uitzetten die handel

Ik snap niet dat mensen dit nog steeds zeggen, fundamenteel is er niks mis met UPnP. Van buitenaf zijn poorten niet open te zetten, en als de malware al binnen het netwerk zit, hoeven er geen poorten op de router meer open want dan kan a) de malware zelf al een uitgaande verbinding opzetten of b) vanaf een besmet device binnen het LAN aankloppen.

UPnP is "schijnonveiligheid".

Dreamvoid schreef op vrijdag 25 november 2016 @ 13:08:
[...]

Ik snap niet dat mensen dit nog steeds zeggen, fundamenteel is er niks mis met UPnP. Van buitenaf zijn poorten niet open te zetten, en als de malware al binnen het netwerk zit, hoeven er geen poorten op de router meer open want dan kan a) de malware zelf al een uitgaande verbinding opzetten of b) vanaf een besmet device binnen het LAN aankloppen.

UPnP is "schijnonveiligheid".

Ik ben blij dat ik niet de enige ben die er zo over denkt. De meeste mensen hebben alleen een deny-all regel op inkomend verkeer terwijl uitgaand verkeer ten alle tijde ongehinderd door mag. UPNP heeft in de praktijk hetzelfde effect.

UPNP is niet minder veilig dan een standaard NAT bijvoorbeeld en in de meeste gevallen niet minder veilig dan de default instellingen van een firewall.

Dreamvoid schreef op vrijdag 25 november 2016 @ 13:08:
[...]

Ik snap niet dat mensen dit nog steeds zeggen, fundamenteel is er niks mis met UPnP. Van buitenaf zijn poorten niet open te zetten, en als de malware al binnen het netwerk zit, hoeven er geen poorten op de router meer open want dan kan a) de malware zelf al een uitgaande verbinding opzetten of b) vanaf een besmet device binnen het LAN aankloppen.

UPnP is "schijnonveiligheid".

Het probleem is wel dat UPnP op veel routers zodanig geconfigureerd is dat je port forwards naar alle devices kunt opzetten, niet alleen het device vanwaar het request komt. Dat betekent dus dat als PC 1 besmet is, de malware via UPnP poorten in de router kan openzetten naar PC 2.

Dat is precies de genoemde schijnonveiligheid. De malware op PC 1 kan al rechtstreeks naar PC 2 verbinden, daar heeft het geen UPnP voor nodig. De malware heeft al toegang tot het interne netwerk.

Ook om buitenstaanders binnen te laten heeft het geen UPnP nodig. Het heeft zelfs geen inkomende verbindingen nodig. Één verbinding naar buiten is voldoende.

[ Voor 44% gewijzigd door Zr40 op 25-11-2016 15:24 ]

Dreamvoid schreef op vrijdag 25 november 2016 @ 13:08:
[...]

Ik snap niet dat mensen dit nog steeds zeggen, fundamenteel is er niks mis met UPnP. Van buitenaf zijn poorten niet open te zetten.

Nou dat is dus wel het geval, zoals bijvoorbeeld hier wordt uitgelegd: https://threatpost.com/up...-firewall-at-risk/114493/

Dreamvoid schreef op vrijdag 25 november 2016 @ 13:08:
Ik snap niet dat mensen dit nog steeds zeggen, fundamenteel is er niks mis met UPnP.

Met het idee op zich is niet zo heel veel mis, met de implementatie wel. Er zijn al zo veel fouten in en rond UPnP gevonden dat ik het te gevaarlijk vind. Geef mijn portie maar aan fikkie, ik beheer het zelf wel (maar ik ben dan ook zo'n idioot die ook z'n uitgaande verkeer firewalled).

Los van UPnP probeer ik sowieso om geen verbanden te leggen tussen mijn firewalls en andere systemen. Iedere extra dienst die daar draait is een potentieel extra gat. Dat is natuurlijk zo voor alle systemen, niet alleen firewalls, maar voor firewalls is het een extra groot risico.

Zr40 schreef op vrijdag 25 november 2016 @ 15:20:
Dat is precies de genoemde schijnonveiligheid. De malware op PC 1 kan al rechtstreeks naar PC 2 verbinden, daar heeft het geen UPnP voor nodig. De malware heeft al toegang tot het interne netwerk.

De malware op PC 1 moet dan wel continu beschikbaar zijn (om het reverse tunnelen mogelijk te maken). Met UPnP maak je het, ook zonder implementatiefouten mee te nemen in de overweging, veel makkelijker om verbindingen van buiten -> binnen te maken en om dit persistent te maken.

Tegen een gemotiveerde aanvaller met veel tijd en vaardigheden maakt dit niet uit. Bij geautomatiseerde aanvallen wel.
Wat hierbij bijvoorbeeld ook een grote verbetering is: routers met unieke wachtwoorden die er bij geleverd worden, zodat je niet meer triviaal via de web interface wat settings gescript kan veranderen

ANdrode schreef op vrijdag 25 november 2016 @ 18:11:
[...]
De malware op PC 1 moet dan wel continu beschikbaar zijn (om het reverse tunnelen mogelijk te maken).

Dat werkt met UPnP net zo - is de applicatie niet meer actief (omdat PC1 uit staat bv) dan gaat ook de mapped poort weer dicht.

Maar implementatiefouten daargelaten, het handmatig configureren van portmapping is voor het grote publiek veel en veel gevaarlijker - deelt je DHCP router onverhoopt nieuwe IP adressen uit, dan heb je zomaar je ports gemapt staan naar het verkeerde device.

Handmatig portmappen is veiliger mits je alle admin perfect doet. Ik heb niet de illusie dat dit zelfs met ervaren experts altijd goed gaat.

[ Voor 10% gewijzigd door Dreamvoid op 25-11-2016 22:14 ]

Zijn er mensen die IPv6 Tunnel Broker ( https://tunnelbroker.net/ ) gebruiken om content van andere landen te zien ? Ik gebruik er nu vpn voor maar een ipv6 tunnel opzetten kan ook leuk zijn.

Dreamvoid schreef op vrijdag 25 november 2016 @ 22:10:
[...]
Dat werkt met UPnP net zo - is de applicatie niet meer actief (omdat PC1 uit staat bv) dan gaat ook de mapped poort weer dicht.

Je controleert er niet mee dat de applicatie die de UPnP berichten doet ook de applicatie is waarvoor je de poort open zet. Dat is iets wat software firewalls (Windows firewall & Little Snitch op OSX) wel kunnen.

Ik vind dat geen erg groot probleem maar het is wel een zwakte in het protocol.

Maar implementatiefouten daargelaten, het handmatig configureren van portmapping is voor het grote publiek veel en veel gevaarlijker - deelt je DHCP router onverhoopt nieuwe IP adressen uit, dan heb je zomaar je ports gemapt staan naar het verkeerde device.

Handmatig portmappen is veiliger mits je alle admin perfect doet. Ik heb niet de illusie dat dit zelfs met ervaren experts altijd goed gaat.

"Een klein beetje degelijke thuisrouter" zorgt er voor dat er na het instellen van een port forward meteen een statische DHCP lease toegekend wordt. Sterker nog: Mijn ervaring is dat je bij veel routers (kpn experia box/ziggo cisco epc3928/ziggo connect box/ziggo technicolor tc 7200) alleen impliciet een statisch IP kan toekennen door een NAT regel te maken.

Yarisken schreef op zondag 27 november 2016 @ 15:57:
Zijn er mensen die IPv6 Tunnel Broker ( https://tunnelbroker.net/ ) gebruiken om content van andere landen te zien ? Ik gebruik er nu vpn voor maar een ipv6 tunnel opzetten kan ook leuk zijn.

Ik gebruik HEnet tunnel om content uit NL te zien en dat gaat niet. Noch bij Netflix, noch bij Ziggo.
Netflix blokkeert sowieso alles van HEnet

Kan iemand met een he.net tunnel controleren of ze ipv6 op een willekeurige IRC (6667) server kunnen.

Het lijkt bij mij niet te gaan, maar draai zelf geen firewall (living on the edge )

Was he.net er niet zo een waarbij je een bepaalde mate van betrouwbaarheid moest demonstreren voor je mocht irc'en?

Why can I not connect to IRC?

Due to a high and persistent amount of abuse, we've had to filter IRC access by default. If you need IRC access, complete the Sage level of the free IPv6 certification and then please send an email to ipv6@he.net explaining your situation. Approvals will be handled on a case-by-case basis and will usually require completion of the Sage level of the IPv6 certification.

Heb m'n cert onder ander account gedaan dan van m'n tunnels omdat ie daar vastgelopen was

Ik heb hier (Driebergen, fZiggo) sinds begin gistermiddag een Ubee EVW321b in de meterkast hangen. Ik heb nu native IP6 (dual stack). Ziet er stabiel uit..

Maakt Ziggo onderscheid per modem type? Ik zag vorige week een Cisco EPC3925 in Driebergen, en die had geen IPv6.

Dus Ziggo is nog steeds bezig met de uitrol van dual stack? Dat is heel voorzichtig hoopgevend. Ik dacht dat ze daarmee gestopt waren omdat Liberty Global wil standaardiseren op DS-lite.

Dreamvoid schreef op woensdag 30 november 2016 @ 12:29:
Maakt Ziggo onderscheid per modem type? Ik zag vorige week een Cisco EPC3925 in Driebergen, en die had geen IPv6.

Klopt. Geen IPv6 met een Cisco modem. Er is eerder wel een test gedaan met de Cisco, maar dat is weer terug gedraaid. Momenteel is de Ubee EVM321b de enige waarmee (in fZiggo gebied) native IPv6 wordt ondersteeund. Alle CMTSen zouden inmiddels IPv6 ready zijn, dus dat zou overal in fZiggo gebied moeten werken.

bartvb schreef op woensdag 30 november 2016 @ 12:44:
Dus Ziggo is nog steeds bezig met de uitrol van dual stack? Dat is heel voorzichtig hoopgevend. Ik dacht dat ze daarmee gestopt waren omdat Liberty Global wil standaardiseren op DS-lite.

In fZiggo gebied wordt dual stack uitgerold. Nou ja, "wordt uitgerold".. Sinds maart dit jaar staat staat het eigenlijk stil.


In fIPC krijgen nieuwe klanten DS-Lite. Dual stack wordt daar niet aangeboden. Wie niet kan leven met DS-Lite heeft de optie terug gezet te worden maar IPv4 only.

bartvb schreef op woensdag 30 november 2016 @ 12:44:
Dus Ziggo is nog steeds bezig met de uitrol van dual stack? Dat is heel voorzichtig hoopgevend. Ik dacht dat ze daarmee gestopt waren omdat Liberty Global wil standaardiseren op DS-lite.

DS-Lite en full dual stack zijn twee verschillende dingen met verschillende doelen. Full dual stack gaat om mensen die al IPv4-connectivity hebben ook IPv6 aan te bieden. DS-Lite is een manier om nieuwe gebruikers (IPv4) connectivity te kunnen aanbieden zonder meer IPv4-adressen op te maken.

Je kunt ze dus vergelijken, ondanks dat beide wel IPv6 connectivity bieden. Standaardiseren op DS-Lite voor nieuwe uitrol sluit allerminst uit dat mensen die al een IPv4-adres hebben op gegeven moment ook IPv6 erbij krijgen.

Roetzen schreef op woensdag 30 november 2016 @ 13:33:
[...]

Klopt. Geen IPv6 met een Cisco modem. Er is eerder wel een test gedaan met de Cisco, maar dat is weer terug gedraaid.

Best schandalig dat een bedrijf dat zich juist profileert als voorvechter en evangelist van IPv6 niet in staat is om de eigen producten stabiel erop werkend te krijgen. Zal er vast mee te maken hebben dat Cisco's modemafdeling verkocht is, maar dan nog, IPv6 support zou er al sinds 2010 in hebben moeten zitten...

@dion_b; technisch ben ik het helemaal met je eens. Maar wat ik begrepen heb is dat Liberty Global helemaal niet zit te wachten op een netwerk waarin onderscheid wordt gemaakt tussen mensen met 'IPv6 als extra' (dual stack) en 'nieuwe klant' (DS-lite). Je netwerk wordt een heel stuk overzichtelijker als iedereen op DS-lite zit.

Dacht dat om die reden het verder uitrollen van dual stack was gestopt maar het lijkt erop dat @Roetzen recent nog een dergelijke aansluiting heeft gekregen.

Je krijgt wel veel gebruikersellende met IPv4 server software als je op DS-lite zit - een nogal populair voorbeeld is Plex, hun auth/server discovery protocol werkt alleen over IPv4.

Ook krijgen clients met een IPv4 provider problemen om te verbinden met servers bij DS-lite klanten, neem bv het voorbeeld van een VPN server die bij een Ziggo klant met DS-lite draait. Een client ergens op de wereld met IPv6 heeft geen problemen met verbinden, een client met IPv4 kan er niet bij. Je ziet nu al dat in Duitsland (waar veel DS-lite is) veel mensen moeten uitwijken naar omslachtige abonnementen bij 3rd party IPv4-to-IPv6 tunnelling providers om bij hun eigen thuiscomputer te kunnen verbinden.

DS-lite is een mooie "eindoplossing", maar wel voor een wereld waar vrijwel iedereen op IPv6 zit.

Zijn de Ziggo IPv6 adressen eigenlijk vast (oftewel, kan ik mijn domain name ernaar laten verwijzen?)

[ Voor 104% gewijzigd door Dreamvoid op 30-11-2016 17:16 ]

Dreamvoid schreef op woensdag 30 november 2016 @ 16:36:
DS-lite is een mooie "eindoplossing", maar wel voor een wereld waar vrijwel iedereen op IPv6 zit.

DS-lite is óók een overgangsmaatregel. De eindstreep is IPv6 only. Maar dat gaat nog even duren..

Zijn de Ziggo IPv6 adressen eigenlijk vast (oftewel, kan ik mijn domain name ernaar laten verwijzen?)

Het reverse resolve komt voor het hele Ziggo segment uit op ipv6.dynamic.ziggo.nl. Dat suggereert dat het dynamisch is.Ik laat mijn domein naam er overigens zonder probleem naar verwijzen. Als het net zo dynamisch is als het IPv4 adres zal het wel loslopen...

Amazon brengt IPv6 naar EC2! Super goed nieuws: https://aws.amazon.com/bl...n-virtual-private-clouds/

Roetzen schreef op woensdag 30 november 2016 @ 13:33:
Momenteel is de Ubee EVM321b de enige waarmee (in fZiggo gebied) native IPv6 wordt ondersteeund.

De EVW321b 'EVM' is de prefix voor modem-only spul van Ubee. Dat wordt al heel wat jaren niet meer geleverd.

Roetzen schreef op woensdag 30 november 2016 @ 17:23:
[...]

Het reverse resolve komt voor het hele Ziggo segment uit op ipv6.dynamic.ziggo.nl. Dat suggereert dat het dynamisch is.Ik laat mijn domein naam er overigens zonder probleem naar verwijzen. Als het net zo dynamisch is als het IPv4 adres zal het wel loslopen...

Ik gebruik een scriptje dat m.b.v. de API van TransIP de DNS records van mijn domeinnaam automatisch aanpast als mijn prefix of IPv4-adres verandert. Dat draait hier sinds 28 februari 1x per uur. Op 26 mei en 10 september is mijn IPv6 prefix gewijzigd. Op 13 augustus veranderde mijn IPv4 adres.

Is het eigenlijk niet raar dat die IPv6 prefixes dynamisch zijn?

Dynamische IP adressen worden gebruikt om een beetje efficient met beschikbare IPv4 adressen om te gaan. Je zou denken dat dit bij IPv6 niet meer nodig is, toch?

Dus ben ik dan heel vervelend als ik de indruk krijg dat dit vooral wordt gedaan om een onderscheid te houden tussen een particuliere en een zakelijke aansluiting? Die laatste hebben nu een of meerdere vaste IP adressen bij Ziggo.

bartvb schreef op vrijdag 2 december 2016 @ 10:14:
Is het eigenlijk niet raar dat die IPv6 prefixes dynamisch zijn?

Dynamische IP adressen worden gebruikt om een beetje efficient met beschikbare IPv4 adressen om te gaan. Je zou denken dat dit bij IPv6 niet meer nodig is, toch?

Dat argument van adressen sparen ging voor IPv4 ook al niet meer op toen dial up internet verdween. Bij dial up internet kon het IP adres weer vrij gegeven worden en aan iemand anders uitgedeeld worden na het verbreken van de verbinding, Bij breedband internet staat de router 24/7 aan en neemt ook 24/7 een IP adres in beslag.

Dus ben ik dan heel vervelend als ik de indruk krijg dat dit vooral wordt gedaan om een onderscheid te houden tussen een particuliere en een zakelijke aansluiting? Die laatste hebben nu een of meerdere vaste IP adressen bij Ziggo.

Dat zou je dan gaan denken ja....

"Efficiënt" is meer dan alleen hergebruiken. Nu weet ik niet hoe een Ziggo het indeelt maar het kan zijn dat ze op een later tijdstip regio's anders in willen delen of routetabellen wil optimaliseren, dan is het wel handig als je eindgebruikers een ander adres kunt geven.

Bij mijn vorige provider in Frankrijk (Free) kon elke gebruiker in de 'advanced settings' een vaste DNS naam instellen: naamnaarkeuze.hd.free.fr, was erg handig want dat verhuisde automatisch mee als er een IP adres veranderde. Waarom doet niemand dat in Nederland eigenlijk?

XS4ALL doet dat, maar met statische ip's.

Roetzen schreef op vrijdag 2 december 2016 @ 10:31:
[...]

Dat argument van adressen sparen ging voor IPv4 ook al niet meer op toen dial up internet verdween. Bij dial up internet kon het IP adres weer vrij gegeven worden en aan iemand anders uitgedeeld worden na het verbreken van de verbinding, Bij breedband internet staat de router 24/7 aan en neemt ook 24/7 een IP adres in beslag.

[...]

Dat zou je dan gaan denken ja....

In landen zoals Duitsland, Zwitserland en mogelijk ook Oostenrijk is het dan zelfs weer verplicht om het verkrijgen van een nieuwe prefix mogelijk te maken vanwege de privacy bezwaren die een vaste prefix oplevert. Er zijn dus altijd twee kanten van het verhaal.

Ik heb ook positief nieuws op ipv6 gebied: Ik heb vandaag de resultaten van een business case gezien van een grote provider die aangeeft dat er ook operationele voordelen en kostenbesparingen zijn aan het migreren van het interne netwerk naar IPv6 only. Ik heb dan ook hoop dat die discussie nu ook steeds meer bij andere providers omhoog zal komen en vaker onderdeel wordt van de mainstream discussie rond netwerk vernieuwing. Als dat hek van de dam is, is er vaak ook een hoop meer tractie om echt werk te maken van klantenmigratie naar IPv6

Belgar schreef op vrijdag 2 december 2016 @ 13:20:
[...]

Ik heb ook positief nieuws op ipv6 gebied: Ik heb vandaag de resultaten van een business case gezien van een grote provider die aangeeft dat er ook operationele voordelen en kostenbesparingen zijn aan het migreren van het interne netwerk naar IPv6 only. Ik heb dan ook hoop dat die discussie nu ook steeds meer bij andere providers omhoog zal komen en vaker onderdeel wordt van de mainstream discussie rond netwerk vernieuwing. Als dat hek van de dam is, is er vaak ook een hoop meer tractie om echt werk te maken van klantenmigratie naar IPv6

Interessant, ik verwacht dan een soort NAT64/DNS64 oplossing om IPv4 bestemmingen te kunnen bereiken? Ik ben wel benieuwd naar praktijkervaringen voor zoiets in een doorsnee kantooromgeving.

Is Ziggo al in staat om ipv6 te leveren (in oud upc gebied) op een modem in bridge mode?
En welk modem is daar voor nodig?

Paul schreef op vrijdag 2 december 2016 @ 10:57:
"Efficiënt" is meer dan alleen hergebruiken. Nu weet ik niet hoe een Ziggo het indeelt maar het kan zijn dat ze op een later tijdstip regio's anders in willen delen of routetabellen wil optimaliseren, dan is het wel handig als je eindgebruikers een ander adres kunt geven.

Dat zou ook een reden kunnen zijn. Misschien is de adminstratieve last voor door DHCP uitgegeven prefixen/adressen ook lichter.

Belgar schreef op vrijdag 2 december 2016 @ 13:20:

In landen zoals Duitsland, Zwitserland en mogelijk ook Oostenrijk is het dan zelfs weer verplicht om het verkrijgen van een nieuwe prefix mogelijk te maken vanwege de privacy bezwaren die een vaste prefix oplevert

Niks mis mee, als de klant dan maar de keuze heeft om van die mogelijkheid al dan niet gebruik te maken. Ik denk zelf dat een dynamisch adres weinig of geen bescherming geeft tegen inbreuken op de privacy. Er zijn genoeg mogelijkheden om ook bij een dynamisch adres de identiteit van de gebruiker te achterhalen.

Ik heb ook positief nieuws op ipv6 gebied: Ik heb vandaag de resultaten van een business case gezien van een grote provider die aangeeft dat er ook operationele voordelen en kostenbesparingen zijn aan het migreren van het interne netwerk naar IPv6 only

Dan heb je niks aan de Ubee EVW321b die ziggo uitdeelt, die doet weliswaar IPV6, maar het webinterface is alleen via IPv4 bereikbaar. Nog niet geschikt voor een IPv6 only intern netwerk dus...

Roetzen schreef op vrijdag 2 december 2016 @ 15:14:
[...]

Dan heb je niks aan de Ubee EVW321b die ziggo uitdeelt, die doet weliswaar IPV6, maar het webinterface is alleen via IPv4 bereikbaar. Nog niet geschikt voor een IPv6 only intern netwerk dus...

Niet waar! Die van mij is ook via IPv6 te bereiken

Bigs schreef op vrijdag 2 december 2016 @ 14:02:
[...]
Interessant, ik verwacht dan een soort NAT64/DNS64 oplossing om IPv4 bestemmingen te kunnen bereiken? Ik ben wel benieuwd naar praktijkervaringen voor zoiets in een doorsnee kantooromgeving.

Niet echt, binnen network providers wordt er meestal met tunnels gewerkt vanaf de BNG naar, bijvoorbeeld, de internet gateway. De tunnels worden dan verwezenlijkt op IPv6, maar het verkeer daarbinnen kan in principe alles zijn (6, 4, VPN, VLAN, etc.). Wel wordt het makkelijker deze tunnels te aggregeren en te beheren.

Natuurlijk, als het interne netwerk volledig op IPv6 draait is het daarna wel makkelijker om dit door te zetten naar klanten en komt het makkelijker op de agenda.

Het opzetten van IPv6 naar klanten is wel een ander verhaal. Daar ga je dan vaak CGNAT (DS-Lite) zien om alles ineens naar IPv6 te krijgen en juist geen uitzonderingen meer naar IPv4 te krijgen. Echter krijg je juist daardoor weer legitieme redenen voor klanten om specifiek IPv4 te vragen. Die kant van het verhaal is een stuk lastiger. Maar tot nu toe werden juist IPv6 netwerken juist standaard nog intern getransporteerd en beheerd via IPv4. Nu zie je ook interesse om de binnenkant naar IPv6 te brengen.

@Dorus12; nee. Toevallig een paar dagen terug nog eens een telefoontje aan gewaagd. Twee medewerkers aan de lijn gehad. 1 bij de zakelijke lijn, die moest het navragen en zei dat IPv6 nog geen optie is met ZZP abonnementen, over MKB Connect heeft hij het niet gehad, voor zover ik weet krijg je daar wel een IPv6 prefix bij.

Daarna doorgezet naar de technische afdeling van de particuliere tak. Ook deze medewerker had geen flauw idee waar ik het over had. Vroeg het na en ja, ze doen aan IPv6 voor nieuwe aansluitingen. Wist niet hoe. Nog eens nagevraagd en het gaat via DS-lite (iig voor mij, ex-UPC gebied). Bridge mode kan niet, terugzetten naar IPv4 kan wel maar dat is natuurlijk geen oplossing.

Ik heb ooit Ziggo zakelijk bij iemand aangesloten, al jaren geleden, en daar kreeg 'ie idd een IPv6 prefix bij.

Daar was echter niks mee te doen op dat moment

Dreamvoid schreef op vrijdag 2 december 2016 @ 11:06:
Bij mijn vorige provider in Frankrijk (Free) kon elke gebruiker in de 'advanced settings' een vaste DNS naam instellen: naamnaarkeuze.hd.free.fr, was erg handig want dat verhuisde automatisch mee als er een IP adres veranderde. Waarom doet niemand dat in Nederland eigenlijk?

De meeste IPs in Nederland zijn zo goed als statisch. Ja, op papier niet, maar in de praktijk krijg je alleen een nieuwe als je de lease laat verlopen (wat alleen gebeurt als je router op dat moment uit staat).

Jerrythafast schreef op vrijdag 2 december 2016 @ 15:23:
[...]

Niet waar! Die van mij is ook via IPv6 te bereiken

Hoe dan? Ik heb zowel het link local address als het SLAAC adres geprobeerd. Geen verbinding...

Roetzen schreef op vrijdag 2 december 2016 @ 16:49:
[...]

Hoe dan? Ik heb zowel het link local address als het SLAAC adres geprobeerd. Geen verbinding...

Via het SLAAC adres wat onder Network Configuration bij IPv6 Address staat. Bovenaan op deze pagina dus.

(Wellicht voor jou ten overvloede, maar als je in je browser naar een IPv6-adres wilt surfen moet je het adres tussen blokhaken zetten. Zoals bijvoorbeeld http://[2a03:2880:f11b:83:face:b00c:0:25de] voor Faceb00c).

[ Voor 26% gewijzigd door Jerrythafast op 02-12-2016 19:44 ]

Jerrythafast schreef op vrijdag 2 december 2016 @ 19:41:
[...]

Via het SLAAC adres wat onder Network Configuration bij IPv6 Address staat. Bovenaan op deze pagina dus.

Nope, doet het niet.

Hmmm... wacht eens even.... Laat ik mijn laptop eens opstarten...

En daar doet ie het wel! En ook met het link local adres. (uiteraard tussen blokhaken) .

Verschil: De PC waar ik het eerst op probeerde draait WinXp SP3. Op de laptop draait Win 7.

Als overigens het SLAAC adres de enige mogelijkheid zou zijn om het webinterface via IPv6 te benaderen, dan heb je in een IPv6 only ongeving een leuk kip en ei probleem. Om dat adres te weten te komen moet je immers eerst toegang krijgen tot het web interface. Maar gelukkig kan het ook via het link local adres. Dat kun je uit het MAC afleiden.

OK, bedankt, zonder feedback, had ik ten onrechte aangenomen dat het webinterface van de Ubee geen IPv6 heeft. Maar het is dus kennelijk een Win XP probleem. Ik heb al vaker gemerkt dat Win XP slechts een gedeeltelijke IPv6 implementatie heeft.

Of de router weigert logons door XP-machines, als anti-zombie maatregel

Het opzetten van IPv6 naar klanten is wel een ander verhaal. Daar ga je dan vaak CGNAT (DS-Lite) zien om alles ineens naar IPv6 te krijgen en juist geen uitzonderingen meer naar IPv4 te krijgen. Echter krijg je juist daardoor weer legitieme redenen voor klanten om specifiek IPv4 te vragen. Die kant van het verhaal is een stuk lastiger.

Logischer lijkt het om iedereen naar DS-lite te zetten, en klagers op Dual Stack? Of nog zelfs nog wat pro-actiever, eerst kijken welke klanten verbindingen hebben op de typische VPN poorten, die voorlopig op Dual Stack zetten met je (schaarse) ipv4 adressen, en de rest (de overgrote meerderheid) op DS-lite zetten.

[ Voor 81% gewijzigd door Dreamvoid op 02-12-2016 23:34 ]

Dank je. De VPN die ik draai gebruikt niet de standaard poorten.

Dat bedoel ik natuurlijk niet - om het aantal support calls te minimaliseren scheid je als provider je gebruikers eerst op poortgebruik, als iemand een VPN op andere poorten heeft draaien en klaagt, dan zal je die aansluiting alsnog naar DS moeten zetten natuurlijk, dit is alleen om een optimale uitgangspositie op te bouwen.

[ Voor 16% gewijzigd door Dreamvoid op 03-12-2016 13:45 ]

Dreamvoid schreef op vrijdag 2 december 2016 @ 23:29:
Logischer lijkt het om iedereen naar DS-lite te zetten, en klagers op Dual Stack? Of nog zelfs nog wat pro-actiever, eerst kijken welke klanten verbindingen hebben op de typische VPN poorten, die voorlopig op Dual Stack zetten met je (schaarse) ipv4 adressen, en de rest (de overgrote meerderheid) op DS-lite zetten.

Om dan effectief ook werkelijk een besparing te krijgen voor IPv4 moet je ook je ip-ranges aan gaan passen natuurlijk. en je blokken herdistribueren over je edge. DHCP en RADIUS/AAA aanpassen. Nieuwe profielen voor de BNG, etc. etc. Echter zitten bij sommige providers bijvoorbeeld enterprise klanten met vaste IP's in diezelfde ranges. Die moeten dan omgenummerd worden, maar daar gaat dan vaak weer een lange tijd overheen, omdat klanten de kans moeten krijgen DNS, VPN's e.d. op tijd te migreren naar de nieuwe IP's. Heel cru gesteld is wat je met DS-LITE vooral bereikt is minimale moeite om de netwerken de synchroniseren (vooral bij providers die nog genoeg IPv4 hebben.

Vaak is het net zo eenvoudig om mensen die geen DS-LITE willen gewoon terug in een IPv4 only profiel te duwen dan moeite te doen om ze dual stack te geven..

Als je toch al de moeite moet doen om ze weer een ipv4 adres te geven, waarom dan niet direct ook een ipv6 geven, zoals je bij alle andere klanten met DS-Lite toch al moet doen?

Op die manier schuif je de ellende alleen verder vooruit. Bij een Dual Stack klant kan je het na 2 jaar nog een keer proberen met DS-lite, of die ene ipv4-only applicatie nog draait. Bij een ipv4-only klant dwing je hem om niet alleen die ene applicatie, maar alle andere (evt ipv6-compatible) software en port/firewall rules in te stellen op ipv4, waardoor een latere migratie alleen maar voor meer werk/klachten gaat zorgen.

Dreamvoid schreef op zondag 4 december 2016 @ 00:13:
Als je toch al de moeite moet doen om ze weer een ipv4 adres te geven, waarom dan niet direct ook een ipv6 geven, zoals je bij alle andere klanten met DS-Lite toch al moet doen?

Op die manier schuif je de ellende alleen verder vooruit. Bij een Dual Stack klant kan je het na 2 jaar nog een keer proberen met DS-lite, of die ene ipv4-only applicatie nog draait. Bij een ipv4-only klant dwing je hem om niet alleen die ene applicatie, maar alle andere (evt ipv6-compatible) software en port/firewall rules in te stellen op ipv4, waardoor een latere migratie alleen maar voor meer werk/klachten gaat zorgen.

Ten eerste hoeft een provider natuurlijk niet in het belang van de klant te handelen. Dat geld voor het invoeren van DS-lite (kan beginnen terwijl je nog IPv4 zat vrij kan maken) en ook voor de keuze voor dual-stack of niet.

En als een provider korte termijn problemen oplost hoeft daar natuurlijk geen lange termijn strategie achter te zitten.

Ik denk dat bij sommige ISP's in nederland de keuze tussen dual-stack en DS-lite plaatsvindt op basis van "sampling". Het is een loterij welk modem je krijgt en op dat DS-lite/dual-stack ondersteunt.
Geen lange termijn strategie, geen visie, enkel besparing van engineering tijd doordat STB's zo nog op publieke IPv4 adressen kunnen zitten

bartvb schreef op vrijdag 2 december 2016 @ 15:25:
@Dorus12; nee. Toevallig een paar dagen terug nog eens een telefoontje aan gewaagd. Twee medewerkers aan de lijn gehad. 1 bij de zakelijke lijn, die moest het navragen en zei dat IPv6 nog geen optie is met ZZP abonnementen, over MKB Connect heeft hij het niet gehad, voor zover ik weet krijg je daar wel een IPv6 prefix bij.

Dat is niet de informatie die ik gisteren heb mogen verwelkomen. Gisteren namelijk aan de telefoon gehangen met Ziggo Zakelijk klantenservice. Voor mijn B.V. een Connect ZZP Pro Plus (5 vaste IPv4 adressen) pakket voor zakelijk thuisgebruik i.v.m. ZZP-schap. Zit in fUPC gebied.

Ook navraag gedaan of het overstappen op een Connect MKB dan een optie is op het verkrijgen van IPv6. Nee, niet mogelijk... Zelfs als proefkonijn is er geen interesse. Wilde zelfs de modem uit eigen zak betalen..... Voor mijn bedrijfsvoering is het uitblijven van IPv6 mogelijkheden op redelijk afzienbare termijn een serieus bedrijfsrisico aan het worden.

Ziggo denkt niet mee met de zakelijke klanten. Het begint nu wel uitermate betreurenswaardig te worden van Ziggo anno 2016/2017 ... blijf lekker

Samenvattend

• Connect ZZP (Pro Plus): geen zicht op IPv6
• Connect MKB (Pro Plus): geen zicht op IPv6

@Michiel van TechConnect.nl inzake je blog artikel IPv6 en Ziggo Connect MKB. Weet jij wellicht meer over de laatste status?

[ Voor 12% gewijzigd door ibodar op 06-12-2016 14:55 ]