Het grote IPv6 topic

RobertMe schreef op maandag 17 februari 2025 @ 18:24:
[...]

Dat van de Apple app store heb ik ook vaker gelezen. Toch is op mijn werk de server alleen bereikbaar via IPv4 en staat er een app in de store. Lijkt mij dus dat dat getest wordt in een xlat omgeving, en dus niet echt IPv6 only met ook geen xlat op netwerk niveau.

Roetzen schreef op maandag 17 februari 2025 @ 19:52:
[...]

Ik denk dat je even twee dingen door elkaar haalt. De regel gaat niet over de bereikbaarheid van de App Store en de mogelijkheden van downloaden van apps maar over het functioneren van de apps zelf. Die moeten (ook) kunnen werken in een IPv6 only omgeving. Hoe dat precies getest wordt weet ik natuurlijk niet. Maar Apple kennende verwacht ik niet dat een app die het niet 100% doet in een volledige IPv6 only omgeving de App Store haalt.

Roetzen schreef op maandag 17 februari 2025 @ 19:52:
[...]

Ik denk dat je even twee dingen door elkaar haalt. De regel gaat niet over de bereikbaarheid van de App Store en de mogelijkheden van downloaden van apps maar over het functioneren van de apps zelf. Die moeten (ook) kunnen werken in een IPv6 only omgeving. Hoe dat precies getest wordt weet ik natuurlijk niet. Maar Apple kennende verwacht ik niet dat een app die het niet 100% doet in een volledige IPv6 only omgeving de App Store haalt.

Roetzen schreef op dinsdag 18 februari 2025 @ 11:59:
@RobertMe
Of misschien is het met die IPv6 only eis van Apple net als met het CE label. De maker van de app wordt op zijn blauwe ogen geloofd als hij verklaart dat de app kan functioneren in een IPv6 only omgeving. Er wordt niet pro actief op getest bij toelating tot de App Store.

Dat neemt niet weg dat ook al is de handhaving niet 100% de regel er wel degelijk is en dat geeft aan dat Apple een beleid voert dat IPv6 stimuleert.

Verder werd Freedom genoemd waar we niet zo veel meer van horen. Klopt, ze zijn een beetje stil. Mag ook want ze leveren al vanaf het prille begin volwaardig IPv6 aan alle klanten. Goede wijn behoeft geen krans. Probleem met Freedom is dat ze relatief duur zijn.

Since June 1, 2016, Apple has required that all apps submitted to the App Store must work in IPv6-only network environments. Specifically, this means your app must not rely on IPv4-specific APIs, hard-coded IP addresses, or other assumptions about available transport. Instead, you should use high-level networking frameworks (for example, NSURLSession, CFNetwork, or URLSession in Swift) that automatically handle both IPv4 and IPv6 under the hood. Apple tests new app submissions in NAT64-only (i.e., IPv6-only) environments, and an app may be rejected if it fails to function over IPv6.

Snow_King schreef op dinsdag 18 februari 2025 @ 13:41:
[...]

De eis is dat je geen IPv4 adressen in je app hardcoded mag zetten, moeten URLs zijn.

Je moet API's gebruiken die je een IPv4 of IPv6 adres kunnen terug geven en daar moet je app mee overweg kunnen.

Als je een IP-adres ergens verwerkt, dan moet je tooling van Apple gebruiken die valideert of het een goed adres is.

Dergelijke eisen zitten er in de App Store, maar hoe precies weet ik ook niet. ChatGPT verteld mij:

tomdh76 schreef op donderdag 20 februari 2025 @ 14:19:
Ik probeer af en toe wat met ipv6 maar blijf het lastig vinden.

Nu heb ik de volgende uitdaging. Ik wil een plex server via ipv6 beschikbaar maken op mydomain.com. Ik heb een OPNsense met HAproxy als reverse proxy die prima werkt voor ipv4. Voor ipv6 maak een AAAA record aan in cloudflare die ik dacht naar het publieke ipv6 adres van de plex server moest verwijzen maar dan zit HA proxy er natuurlijk niet tussen. En die HAproxy gebruik ik ook voor certificaten. Dus nu laat ik het AAAA record naar de publieke IPV6 van opnsense verwijzen. Daarop luistert dan HAproxy op [::]:443. Dit lijkt het te doen. Maar ik heb ook eerder begrepen dat het publieke IPV6 van de firewall telkens verandert. (kan ook natuurlijk met ipv4 maar dat gebeurt minder vaak?)

Is dit nu de goede methode of doe ik het verkeerd?

RobertMe schreef op donderdag 20 februari 2025 @ 15:11:
[...]

Als het werkt kan het de juiste methode zijn

Dat continu veranderen zou alleen mogen komen door de IPv6 privacy extension. Maar, bii IPv6 is het ook normaal om meerdere adressen te hebben. Als OPNSense al gebruikt maakt van de privacy extension (en dat lijkt me onwaarschijnlijk) dan zijn er twee IPv6 adressen, eentje die vaak veranderd, en eentje die statisch is. Waarbii statisch uiteraard afhankelijk is van de ISP. Bij een Ziggo heb je geen statisch adres. Maar in de 2 jaar dat ik mijn huidige router heb is noch het IPv4 adres noch de IPv6 prefix veranderd.

Waar je echter ook nog rekening mee moet houden is dat een router aan de WAN kant een totaal ander IPv6 adres heeft dan aan de LAN kant. Aan de WAN kant is het immers een gewone "client" in het subnet van de ISP en bepaalt die via SLAAC een IPv6 adres binnen de prefix die de ISP gebruikt. Aan de LAN kant wordt echter via DHCP PD een volledige prefix opgehaald, zal de LAN interface mogelijk zichzelf een ::1 adres geven binnen die prefix, etc.

tomdh76 schreef op donderdag 20 februari 2025 @ 17:14:
[...]


Als ik van internet naar de plex server wil heb ik toch alleen de WAN ipv6 adres nodig? Die heb ik via de shell van OPNsense gevonden via curl -6 icanhazip.com. Ik snap je opmerking dus niet over waarom ik rekening moet houden met de Ipv6 van de router in het lan.

tomdh76 schreef op donderdag 20 februari 2025 @ 17:14:
[...]


Als ik van internet naar de plex server wil heb ik toch alleen de WAN ipv6 adres nodig? Die heb ik via de shell van OPNsense gevonden via curl -6 icanhazip.com. Ik snap je opmerking dus niet over waarom ik rekening moet houden met de Ipv6 van de router in het lan.

tomdh76 schreef op donderdag 20 februari 2025 @ 14:19:
Ik probeer af en toe wat met ipv6 maar blijf het lastig vinden.

Nu heb ik de volgende uitdaging. Ik wil een plex server via ipv6 beschikbaar maken op mydomain.com. Ik heb een OPNsense met HAproxy als reverse proxy die prima werkt voor ipv4. Voor ipv6 maak een AAAA record aan in cloudflare die ik dacht naar het publieke ipv6 adres van de plex server moest verwijzen maar dan zit HA proxy er natuurlijk niet tussen. En die HAproxy gebruik ik ook voor certificaten. Dus nu laat ik het AAAA record naar de publieke IPV6 van opnsense verwijzen. Daarop luistert dan HAproxy op [::]:443. Dit lijkt het te doen. Maar ik heb ook eerder begrepen dat het publieke IPV6 van de firewall telkens verandert. (kan ook natuurlijk met ipv4 maar dat gebeurt minder vaak?)

Is dit nu de goede methode of doe ik het verkeerd?

tomdh76 schreef op donderdag 20 februari 2025 @ 18:52:
[...]


Bij deze. Ik weet niet of je het hele ipv6 adres zo maar op internet mag zetten? Dit zijn de publieke adressen. Of wil je de link local adressen?

Internet
|
|-- OPNsense Router (2a02:a469 xxxxxxxxxx)
|
|-- HAProxy (luistert op [::]:80 en [::]:443
|
|-- Plex Server (2a02:a469:68e9 xxxxxxxxxxx)

tomdh76 schreef op donderdag 20 februari 2025 @ 18:52:
[...]


Bij deze. Ik weet niet of je het hele ipv6 adres zo maar op internet mag zetten? Dit zijn de publieke adressen. Of wil je de link local adressen?

Internet
|
|-- OPNsense Router (2a02:a469 xxxxxxxxxx)
|
|-- HAProxy (luistert op [::]:80 en [::]:443
|
|-- Plex Server (2a02:a469:68e9 xxxxxxxxxxx)

RobertMe schreef op donderdag 20 februari 2025 @ 19:36:
[...]

Zelf draai ik geen Plex, maar ik kan mij zomaar indenken dat die geen SSL doet. Daarom dat HAProxy er voor is gezet.
Maarja, wat SSL echt toevoegt? Nog steeds kan de hele wereld verbinden, alleen kan niet de hele wereld meekijken. Ik zou er gewoon lekker een VPN voor gebruiken. Dan kunnen alleen die met VPN toegang verbinden. En SSL doet er dan een stuk minder toe.

RobertMe schreef op donderdag 20 februari 2025 @ 19:36:
[...]

Als HAProxy luistert op :: dan luistert die dus op alle interfaces en adressen. Oftewel: luistert niet alleen op "OPNsense Router (2a02:a469 xxxxxxxxxx)" maar ook op een van de in "2a02:a469:68e9 xxxxxxxxxxx". Welke je vervolgens gebruikt is aan jou, dat was een beetje mijn punt. Je hoeft niet het GUA van het WAN interface te gebruiken, je kunt ook de GUA van (een van de) LAN interfaces pakken.

@duvekot , de reden van HAProxy staat al benoemd. SSL termination. Zelf draai ik geen Plex, maar ik kan mij zomaar indenken dat die geen SSL doet. Daarom dat HAProxy er voor is gezet.
Maarja, wat SSL echt toevoegt? Nog steeds kan de hele wereld verbinden, alleen kan niet de hele wereld meekijken. Ik zou er gewoon lekker een VPN voor gebruiken. Dan kunnen alleen die met VPN toegang verbinden. En SSL doet er dan een stuk minder toe.

tomdh76 schreef op donderdag 20 februari 2025 @ 20:08:
[...]


Ah ok, dan zou HA proxy dus inderdaad ook op het ipv6 moeten luisteren van Plex. Dan zet ik mijn AAAA record in cloudflare weer terug naar plex ipv6.

RobertMe schreef op donderdag 20 februari 2025 @ 20:16:
[...]

Ik bedoelde niet het Plex adres, maar het adres in hetzelfde subnet, dat de (V)LAN interface in OPNSense heeft. (En dat is dus een ander /64 subnet dan wat de WAN interface heeft).

Noahlvb schreef op vrijdag 28 februari 2025 @ 14:39:
Iemand ervaring met clat (specifiek op almalinux / RHEL)? Ik probeer het nu voor enkele IPv6 only server bij Hetzner in te regelen maar dat lukt niet. Op mijnlaptop thuis die Fedora draait heb ik het zelfde euvel. Clatd meld dat alles goed gaat maar al het IPv4 verkeer dat dus vertaald zou moeten worden is unreachable. Ik probeer gebruik te maken van de publieke nat64 servers van nat64.net.

Noahlvb schreef op maandag 10 maart 2025 @ 22:01:
Recent was ik opzoek naar een internet provider die IPv6 leverd. Van KPN en Ziggo wist ik dat ze dat doen maar dat zijn nou net clubs die ik net wat te duur vond. Nergens online kon ik een goed overzicht vinden en de providers zelf hebben het vaak ook schaars op hun site. Dus ik heb een heel erg 2000 siteje gemaakt met een overzicht. Ik vul deze nogsteeds aan want mijn zoektocht is nog niet over. Schijnbaar kan het per postcode gebied verschillen. Dus misschien heeft iemand wat aan de info en als je aanvullende info hebt is het altijd welkom.
https://nederland-ipv6.noahlvb.nl

Houd je ook bij of de pagina via IPv6 vs IPv4 wordt bezocht?

RobertMe schreef op maandag 10 maart 2025 @ 23:10:
[...]

Wellicht ook "shamen"?

Roetzen schreef op dinsdag 11 maart 2025 @ 19:40:
@Noahlvb
Caiway geeft een “persistent” IPv6 prefix. In de 18 maanden dat ik IPv6 van Caiway heb, is de prefix niet gewijzigd.

RobertMe schreef op dinsdag 11 maart 2025 @ 20:33:
[...]

Maar ze kennen er geen toe toch? Het is geen statische prefix. Alleen veranderd die niet zo vaak.

Sinds ik 2 jaar terug mijn router vervangen heb heeft die ook hetzelfde IPv4 adres + IPv6 prefix, van Ziggo. Totdat ik afgelopen weekend een reboot van beiden deed. En toen was het IPv4 adres ineens veranderd. Maar de IPv6 prefix dus niet (en ook het IPv6 adres op de WAN interface niet, for that matter).

Snow_King schreef op dinsdag 11 maart 2025 @ 21:21:
[...]
Een prefix die je via DHCPv6 krijgt kan nog steeds statisch zijn, is gewoon afhankelijk van wat er in de DB van de DHCP server staat.

In DOCSIS netwerken kan je bijv de subscriber-id pakken als DHCP server en dan krijg je als klant altijd de zelfde prefix, ook als je je router vervangt.

RobertMe schreef op dinsdag 11 maart 2025 @ 21:31:
[...]

Klopt uiteraard. Maar er zit natuurlijk een verschil tussen een ISP die zegt "zal nooit veranderen" en de observatie "is nog nooit veranderd". En naar mijn idee doet @Roetzen het laatste. "Is nog nooit veranderd", maar dat betekent dus niet dat de ISP garandeert dat die niet veranderd. En waar die nu "in 18 maanden" nog niet veranderd is kan die volgende week 3x veranderen.

En nouja, het gaat over Caiway, die opgaat in Delta (/sowieso 2 namen op 1 toko zijn). En daarvan heb ik een tijd terug gelezen dat zakelijke klanten met een statistisch IP adres (daadwerkelijk de feature dus, die alleen bij de duurste zakelijke abos te krijgen is) bericht kregen dat op datum X hun IP adres zou veranderen (waarbij ik twijfel of het nieuwe IP al bekend was/in de mail stond). Dus zelfs een gegarandeerd statisch IP adres statement van hun hoort een asterisk bij dat het toch niet zo gegarandeerd is.

RobertMe schreef op maandag 10 maart 2025 @ 23:10:
[...]

Wellicht ook "shamen"? Niet om het shamen, wel om duidelijk te zien in wie het dus niet doet. Nu zie je niet of een ISP geen IPv6 doet of dat die simpelweg ontbreekt. (Misschien denkt nu iemand dat Odido toch wellicht IPv6 doet).

En v.w.b. een niet uitputtelijke lijst aan ISPs kun je wellicht iets vinden op de websites van KPN WBA, Delta Netwerk, ODF, ...? Een provider die ik in ieder geval "mis" is Glasnet. Ook zij leveren IPv6. Zelfs een statisch IP/prefix, dat wellicht ook een leuk gegeven is? De standaard zegt dan wel dat een prefix vast moet staan. Maar dat betekent niet dat een ISP zich daar aan houdt.

En bij mobiele providers heb je nu KPN staan. Maar dat geldt in ieder geval ook voor dochters Simyo & Youfone, kan ik uit eigen ervaring vertellen.

Houd je ook bij of de pagina via IPv6 vs IPv4 wordt bezocht?

Noahlvb schreef op maandag 10 maart 2025 @ 22:01:
Recent was ik opzoek naar een internet provider die IPv6 leverd. Van KPN en Ziggo wist ik dat ze dat doen maar dat zijn nou net clubs die ik net wat te duur vond. Nergens online kon ik een goed overzicht vinden en de providers zelf hebben het vaak ook schaars op hun site. Dus ik heb een heel erg 2000 siteje gemaakt met een overzicht. Ik vul deze nogsteeds aan want mijn zoektocht is nog niet over. Schijnbaar kan het per postcode gebied verschillen. Dus misschien heeft iemand wat aan de info en als je aanvullende info hebt is het altijd welkom.
https://nederland-ipv6.noahlvb.nl

RobertMe schreef op maandag 10 maart 2025 @ 23:10:
En bij mobiele providers heb je nu KPN staan. Maar dat geldt in ieder geval ook voor dochters Simyo & Youfone, kan ik uit eigen ervaring vertellen.

davegriffejoen schreef op woensdag 12 maart 2025 @ 21:23:
@Noahlvb op je site staat Youfone op nee, maar is qua internet (ook ipv6) exact hetzelfde als kpn.

Noahlvb schreef op woensdag 12 maart 2025 @ 21:42:
[...]

Thanks voor de info ga het erop zetten. Kon er online niks over vinden tot op heden. Enige idee wat voor prefix ze leveren?

davegriffejoen schreef op donderdag 13 maart 2025 @ 06:28:
@Noahlvb zoals RobertMe aangeeft. Precies hetzelfde als KPN, dus /48 en praktisch vast.

Noahlvb schreef op maandag 10 maart 2025 @ 22:01:... Ik vul deze nogsteeds aan want mijn zoektocht is nog niet over. Schijnbaar kan het per postcode gebied verschillen. Dus misschien heeft iemand wat aan de info en als je aanvullende info hebt is het altijd welkom.
https://nederland-ipv6.noahlvb.nl

Roetzen schreef op donderdag 13 maart 2025 @ 10:21:
Niet alleen is de prefix bij Delta/Caiway "persistent", het lijkt op een of andere manier aan mij persoonlijk gekoppeld. Ik ben van Caiway naar Delta overgestapt. Met het hele circus van ander XS2426G-B modem installeren en zo. Mijn abbo bij Delta is vanochtend vroeg in gegaan. En tot mijn stomme verbazing zie ik dat ik van Delta DEZELFDE IPv6 PREFIX heb gekregen als die ik eerst van Caiway had. Die prefix is zo "persistent" dat ie de overstap van Caiway naar Delta heeft overleeft. Wonderlijk!

Is het ook al niet alleen een administratieve verhuizing tussen beide naampjes

RobertMe schreef op donderdag 13 maart 2025 @ 11:12:
[...]
En daar waar je bij AON nog kunt zeggen dat de prefix wellicht aan de switch poort gekoppeld is zal dat bij XGS-PON niet gaan. Immers is het abo daar aan het serienummer van de ONT gekoppeld. En gezien je die vervangen hebt...

Noahlvb schreef op zondag 23 maart 2025 @ 16:13:
Robert, jij lijkt geen namen te willen noemen. Maar nu jij deze toestand zo omschrijft denk ik dat ik bij Liteserver tegen precies het zelfde aanloop. Mocht het relevante info zijn, bij Liteserver kon ik tot op heden alleen extra IPv6 gebruiken op mijn VM nadat ik in het control panel het betreffende adres had opgegeven.

RobertMe schreef op zondag 23 maart 2025 @ 13:39:
Ik heb een "vreemd" dingetje waarbij hier iemand wellicht toe kan lichten of ik verkeerd denk of iets verkeerd doe

Ik heb al een tijd een VPS bij partij A. Hierbij krijg ik een /64 IPv6 adres. Voor zover ik kan zien heb ik hier niks speciaals voor gedaan en in de netwerk configuratie staat gewoon "gebruik adres a:b:c:d::/72". De /72 gebruik ik hierbij omdat ik Docker gebruik en (bepaalde) Docker netwerken IPv6 ingeschakeld hebben en dus een ander subnet binnen de prefix /64 gebruiken. Dat werkt allemaal prima. En de Docker containers zijn dus rechtstreeks over IPv6 te bereiken. (De "host" forward het verkeer gewoon over de bridge heen, geen NAT of whatever).

Nu ben ik aan het kijken om over te stappen naar een andere VPS provider. Ook daar krijg ik een /64. Echter, werkt hetzelfde daar niet. De boel connect niet, en een ping naar een willekeurige suffix binnen de gebruikte /72 werkt ook niet en komt geen ping voor aan. Dus als de VPS IP a:b:c:d::1 heeft kan ik die pingen. Maar a:b:c::2 zie ik niet eens in een tcpdump voorbij komen. En het is ook een ander/afwijkend IP adres dat de unreachable antwoord.

Dus op de oude VPS als ik ::2 ping dan zie ik de ICMP6 echo request voorbij komen (en gaat er uiteindelijk een unreachable antwoord terug). Op de nieuwe VPS is dat echter niet het geval. Daar komt "in de plaats" een neigbor solicit voorbij op het ::2 adres. Dus de router van de provider gaat het netwerk "scannen" / "bevragen" waar <mijn prefix>::2 zich bevindt. Waar mijn VPS natuurlijk niet op antwoord (tenzij ik het als additioneel IP toevoeg natuurlijk).

Mijn conclusie is dus dat bij de oude provider hun router weet "alle verkeer binnen prefix X::/64 moet gestuurd worden naar VPS Y". Terwijl de nieuwe provider deze informatie ontbreekt, en die in de plaats een neigbor solicit doet. En dat vind ik, nogal raar? En lijkt mij dat hetgeen dat de oude provider doet / lijkt te doen ook hetgeen is hoe het zou moeten werken? Want nu zou zelfs mijn VPS kunnen reageren op een neigbor solicit van een IP dat niet mijn "eigendom" is (/niet tot mijn VPS behoort)?!

En concreet v.w.b. mijn probleem zou ik mogelijk twee dingen kunnen doen / overwegen / proberen? Of ik ga doodleuk router advertisements uitsturen, dat bv a:b:c:c:8000::/72 te bereiken is "via mij" (of mogelijk zelfs a:b:c:d::/64 gewoon in totaliteit, dat zou leiden tot hetzelfde als dat ik zou verwachten dat de provider zelf automatisch regelt). Of, volgens mij is er software / zijn er oplossingen om neighbor solicits etc te relayen? Waarna de solicit op de "WAN" poort (/fysieke ethernet zeg maar) geforward kan worden naar de Docker bridge(s) en er (mogelijk) een container is die antwoord op die solicit en die relay software dan vast het antwoord aanpast en uit stuurt (juiste MAC? invoegt, dat van de "WAN" poort dus?). Maar beiden lijken mij gewoon niet de bedoeling? En dus lijkt mij dat dit iets is dat de provider goed moet inregelen.

"Leuke" was dus ook dat ik met een tcpdump allemaal solicits voorbij zien komen van totaal andere prefixes. "Iemand" die binnen de prefix "c0de::cafe" gebruikte bv. Lijkt mij toch allemaal niet de bedoeling? .

1

net.bridge.bridge-nf-call-ip6tables

1

ip6tables -L

1

/etc/docker/daemon.json

Charlie_Root schreef op maandag 24 maart 2025 @ 05:33:
[...]


Welke versie van Docker gebruik je?

Kun je eens kijken of deze waarde is ingeschakeld (sysctl):

code:

1	net.bridge.bridge-nf-call-ip6tables

sudo sysctl net.bridge.bridge-nf-call-ip6tables
sysctl: cannot stat /proc/sys/net/bridge/bridge-nf-call-ip6tables: No such file or directory

Heb je verder een firewall actief op de nieuwe VM?

code:

1	ip6tables -L

En wat heb je ingesteld in

code:

1	/etc/docker/daemon.json

1
2
3
4
5
6

{
    "iptables": false,
    "ip6tables": false,
    "ipv6": true,
    "fixed-cidr-v6": "<knip>:0100::/72"
}

RobertMe schreef op zondag 23 maart 2025 @ 13:39:
Ik heb een "vreemd" dingetje waarbij hier iemand wellicht toe kan lichten of ik verkeerd denk of iets verkeerd doe

Ik heb al een tijd een VPS bij partij A. Hierbij krijg ik een /64 IPv6 adres. Voor zover ik kan zien heb ik hier niks speciaals voor gedaan en in de netwerk configuratie staat gewoon "gebruik adres a:b:c:d::/72". De /72 gebruik ik hierbij omdat ik Docker gebruik en (bepaalde) Docker netwerken IPv6 ingeschakeld hebben en dus een ander subnet binnen de prefix /64 gebruiken. Dat werkt allemaal prima. En de Docker containers zijn dus rechtstreeks over IPv6 te bereiken. (De "host" forward het verkeer gewoon over de bridge heen, geen NAT of whatever).

Nu ben ik aan het kijken om over te stappen naar een andere VPS provider. Ook daar krijg ik een /64. Echter, werkt hetzelfde daar niet. De boel connect niet, en een ping naar een willekeurige suffix binnen de gebruikte /72 werkt ook niet en komt geen ping voor aan. Dus als de VPS IP a:b:c:d::1 heeft kan ik die pingen. Maar a:b:c::2 zie ik niet eens in een tcpdump voorbij komen. En het is ook een ander/afwijkend IP adres dat de unreachable antwoord.

Dus op de oude VPS als ik ::2 ping dan zie ik de ICMP6 echo request voorbij komen (en gaat er uiteindelijk een unreachable antwoord terug). Op de nieuwe VPS is dat echter niet het geval. Daar komt "in de plaats" een neigbor solicit voorbij op het ::2 adres. Dus de router van de provider gaat het netwerk "scannen" / "bevragen" waar <mijn prefix>::2 zich bevindt. Waar mijn VPS natuurlijk niet op antwoord (tenzij ik het als additioneel IP toevoeg natuurlijk).

Mijn conclusie is dus dat bij de oude provider hun router weet "alle verkeer binnen prefix X::/64 moet gestuurd worden naar VPS Y". Terwijl de nieuwe provider deze informatie ontbreekt, en die in de plaats een neigbor solicit doet. En dat vind ik, nogal raar? En lijkt mij dat hetgeen dat de oude provider doet / lijkt te doen ook hetgeen is hoe het zou moeten werken? Want nu zou zelfs mijn VPS kunnen reageren op een neigbor solicit van een IP dat niet mijn "eigendom" is (/niet tot mijn VPS behoort)?!

En concreet v.w.b. mijn probleem zou ik mogelijk twee dingen kunnen doen / overwegen / proberen? Of ik ga doodleuk router advertisements uitsturen, dat bv a:b:c:c:8000::/72 te bereiken is "via mij" (of mogelijk zelfs a:b:c:d::/64 gewoon in totaliteit, dat zou leiden tot hetzelfde als dat ik zou verwachten dat de provider zelf automatisch regelt). Of, volgens mij is er software / zijn er oplossingen om neighbor solicits etc te relayen? Waarna de solicit op de "WAN" poort (/fysieke ethernet zeg maar) geforward kan worden naar de Docker bridge(s) en er (mogelijk) een container is die antwoord op die solicit en die relay software dan vast het antwoord aanpast en uit stuurt (juiste MAC? invoegt, dat van de "WAN" poort dus?). Maar beiden lijken mij gewoon niet de bedoeling? En dus lijkt mij dat dit iets is dat de provider goed moet inregelen.

"Leuke" was dus ook dat ik met een tcpdump allemaal solicits voorbij zien komen van totaal andere prefixes. "Iemand" die binnen de prefix "c0de::cafe" gebruikte bv. Lijkt mij toch allemaal niet de bedoeling? .

RobertMe schreef op zondag 23 maart 2025 @ 16:39:
[...]

Het leek mij an zich niet zo relevant om namen te benoemen. Maar momenteel zit ik bij Contabo (en daar gaat het goed), en zit te kijken bij Netcup (waar het niet goed gaat).

V.w.b. controle panel zie ik ook niks. Alleen een "tabel" waar je PTR kunt beheren. Gewoon één invoerveld voor IPv4 en een "plus knop" met dan IPv6 adres + domeinnaam voor IPv6. Staat verder geen indicatie bij dat het ook betrekking heeft op routing. Dus dat lijkt mij ook niet het geval. En als het via control panel geregeld moet worden verwacht ik nog steeds geen neigbor solicit voorbij te zien komen (incl dus neigbor solicits van IPs buiten mijn prefix (maar ik neem aan op dezelfde host / in hetzelfde rack / in hetzelfde DC).

Maar ik ben eigenlijk meer nieuwsgierig naar "hoe zou het uberhaupt moeten werken?". Gewoon dus naar de algemene werking van IPv6 en hoe je dan prefixes toekent aan systemen en de routering doet. Lijkt mij persoonlijk toch dat de enige juiste/aanbevolen manier is om in de router/... een harde koppeling te maken tussen de prefix en "het systeem". En dus gewoon alles binnen de /64 naar de VPS te sturen en die mag het uitzoeken. En dus niet met neigbor solicits gaan zitten werken, en ook niet met een statische lijst van specifieke IPs ingevoerd door de klant in een control panel.

offtopic:
Het zijn nog wel wat dingetjes die mij niet bevallen bij Netcup (leuk een 2,5Gbit/s link, en dat halen in iperf3 tests, maar iperf3 naar mij thuis of de Contabo VPS zou in beide gevallen 200Mbit/s (download in ieder geval) moeten doen. En bij de eerste de beste scp kwam die niet boven de 2,xMB/s, en iperf3 tussen thuis en Contabo komt eigenlijk niet boven de 100Mbit/s. Aangekaart bij support, die hebben VPS verplaatst, en daarna "nog een wijziging gedaan" maar zonder resultaat. Werd doorgezet naar de netwerk afdeling, en intussen 2 weken verder en geen reactie meer gehad. Dus v.w.b. dit al zowel technisch als qua support iffy (naast "geen reactie meer" ook elke keer 24 uur voordat er een reactie kwam. En dat was inclusief "mogen we systeem rebooten naar rescue systeem", binnen een uur "ja" antwoorden, en dan 24 uur later pas weer reactie). En daarnaast gaat mijn Ziggo internetverkeer vanuit Zuid Limburg naar de VPS in Netcups DC in Amsterdam ook naar een AS van Vodafone Zakelijk in Amsterdam (prima), en dan naar een Liberty Global AS in Wenen?! (WTF, Oostenrijk?!), en dan over 3 hops in Duitsland terug naar Amsterdam), ping tijd? 50ms. Ping tijd Contabo in Duitsland? 20-25 ms (neemt in Weert bij (/binnen?) Ziggo een afslag naar Duitsland, niet eens naar Amsterdam dus). Dus denk dat ik nog maar even binnen de "niet tevreden kun je binnen 30 dagen annuleren en krijg je geld terug" inzet. Performance, van goedkoopste ARM VPS, lijkt dan weer wel veel beter te zijn (/de oudere Contabo VPS, gewoon x64, is grote crap als je gaat benchmarken "NVMe SSD" is trager dan SATA en ook wat CPU benchmarks zijn in vergelijking vele malen slechter (uberhaupt, waar je ook mee vergelijkt, ook x64 bij Netcup, Hetzner, ... als je online vergelijkt)).

bart.koppers schreef op maandag 24 maart 2025 @ 14:06:
[...]


Zoals al uitgelegd (of geprobeerd..) in het vps-topic, pakt deze hoster het wat anders aan.

Ik gebruik ook Liteserver net als @Noahlvb, en de oplossing was om een bridge (br0) op te zetten icm ndp. Daarmee zijn de IPs binnen subnet bereikbaar, overigens zonder dat ik deze moet opgeven in hun controlpanel.

Snow_King schreef op maandag 24 maart 2025 @ 13:58:
Bij je nieuwe provider is het LAN een /64 en via een RA (vermoed ik) krijg je VM een adres in die /64. Deze /64 deel je met alle andere VPS'en in het zelfde VLAN/L2-segment. Uiteindelijk heeft je VPS maar een /128 (een enkel adres).

RobertMe schreef op maandag 24 maart 2025 @ 14:20:
[...]

Ik krijg wel een /64, deze staat ook gewoon in het control panel en kan ik prima zelf instellen in het OS (ook zelf geïnstalleerd en geconfigureerd, niet een pre-install) met dan een willekeurige suffix (en ik kan ook gewoon meerdere IPs op dezelfde interface zetten en die zijn dan ook allemaal bereikbaar). En in het control panel kan ik ook zelf specifieke IPs invoeren om de bijbehorende domeinnaam op te geven (voor reverse DNS dan). Meerdere IPs is het probleem dus niet. Het subnet is "van mij" en kan ik prima zelf uit kiezen.
Maar verkeer wordt vanuit hun gerouteerd naar de VPS op basis van neighbor solicit, i.p.v. van een statische routing ("alles naar IP a:b:c:d::/64 afleveren bij <(link local) address>" (/op interface X op het host systeem wat dan "virtueel" gekoppeld is aan de interface in de VPS)).

Snow_King schreef op maandag 24 maart 2025 @ 14:45:
[...]

Ja, maar toch lijk je dit subnet te delen met andere gebruikers. Wat is je IPv4 prefix? Want beiden deel je lijkt het.

In die zelfde IPv6 /64 zitten denk ik ook gewoon andere gebruikers. Ook hier lijken ze geen source filtering toe te passen en mag je gewoon pakken wat je wil. Je zal denk ik ook het adres van een buurman kunnen overnemen.

Ze routeren gewoon geen subnet naar jouw VPS waar jij dus de "next-hop" bent voor een bepaald subnet.

Execute the following command:

nano /etc/network/interfaces

Add the following line:

iface eth0 inet6 static address 2a03:4000:2:11c5::1 netmask 64 gateway fe80::1

Please replace "2a03:4000:2:11c5::1" with the desired IPv6 address from the assigned /64 subnet.

[ Voor 18% gewijzigd door RobertMe op 24-03-2025 16:24 ]

RobertMe schreef op maandag 24 maart 2025 @ 17:31:
[...]

Je hebt voorspellende gave? Want toen jij postte had ik wel het wel aan de praat maar was ik nog aan bovenstaande bericht bezig. Bij mijn post daarvoor had ik het zeer zeker nog niet aan de praat.

bart.koppers schreef op maandag 24 maart 2025 @ 18:31:
Je hoeft natuurlijk niet deze dynamische route te volgen - je kan bv ook alle /128 adressen die je gaat gebruiken toevoegen. Maar minder luie optie.

Overigens zie ik dat je bij deze hoster een /22 subnet krijgt (koopt?) voor IPv4.

En dat je in de webtool ook zelf te routeren (want gateway in te stellen) IPv6 adressen kan instellen.
Vrij flexibel!
Heb je deze laatste optie wel geprobeerd?

Snow_King schreef op maandag 24 maart 2025 @ 14:17:
[...]

Dat laatste is wel raar, want je neem dan dus gewoon "een adres" aan. Lijkt er dus op dat de hoster geen source filtering doet en je dus gewoon toe staat elk random adres te pakken.

Dat is een leuke om even voor paar minuten een adres te pakken, wat sneakys te doen en vervolgens adres te droppen.

bart.koppers schreef op maandag 24 maart 2025 @ 19:12:
[...]


Dat lukt vlgs mij niet - alleen bij adressen uit het eigen (/48) subnet.

RobertMe schreef op maandag 24 maart 2025 @ 16:21:
[...]

Dit is wat ik in in het control panel onder "Network" zie:
[Afbeelding]
Het verborgen IPv4 stukje is dus een specifiek nummer (geen .0 of zo). En dit is ook het IP adres dat ik als static IP heb opgegeven in het OS.
Het verborgen IPv6 stukje is dan ook een "blokje" (tussen twee : in dus), waarmee dus de eerste 64 bits de prefix zijn en 64 bits zelf te kiezen. Waarbij ik de ::1 als static IP heb ingesteld.


[...]

Nee. Ik heb nu een tcpdump op de "fysieke" interface gedaan, en krijg echt een shitload aan neighbor solicits te zien. Echter zijn die allemaal voor andere prefixes. Dus wel "2a0a:4cc0:40:" maar dan gevolgd door een ander "blokje" en niet dat wat bij mij in de interface staat.
Vervolgens dus wel "ja", ze doen geen source filtering, I guess. Zeker gezien een tcpdump doen op mijn Contabo VPS gewoon helemaal niks oplevert.


[...]

Zover was duidelijk . Maar de reden daarvan is dus niet "want je hebt helemaal geen eigen subnet" (voor zover ik kan zien).

Edit:
Stukje Netcup documentatie v.w.b. "additioneel IP adres": https://helpcenter.netcup.com/en/wiki/server/ip

[...]

Hierin zijn ze dus ook niet echt duidelijk in dat je een willekeurige suffix zou moeten gebruiken omdat je binnen een gedeeld subnet zit, zoals jij suggereert. En daarnaast dus ook niet "je moet SLAAC gebruiken" om gegarandeerd een uniek adres te hebben.
And last but not least, spreken ze ook (duidelijk) over dat je een IPv4 adres of IPv6 subnet koopt. En dus geen IPv6 adres.

Snow_King schreef op maandag 24 maart 2025 @ 20:18:
[...]

Je zit wel in het zelfde VLAN/L2 segment als alle andere VM's, te zien aan het feit dat je een in een /22 IPv4 zit.

Nu vermoed ik dat deze partij dan heel veel /64 subnets configureerd op hun routers, voor elke VM 1. Geen idee hoe ze dat precies aanpakken, maar het kan prima. Ze hebben dan fe80::1 als gateway adres staan.

Wellicht doen ze iets aan filteren zodat je dus de gehele /64 op jouw VM mag configureren

RobertMe schreef op maandag 24 maart 2025 @ 20:34:
[...]

Maar dat moet (bij v4) toch sowieso? Want er is maar 1 IP adres, en het is wel handig als de default gateway in hetzelfde segment zit En bij Contabo is IPv4 zelfs met een /21, nog groter segment dus.

Deze partij als in Netcup? Ze zouden natuurlijk ook qua binnenkomend "groter" kunnen werken, met een /56 of /48 (per DC of wat ook dan, want zo'n subnet over DCs heen zal wel lastig gaan Tenzij een deel weer over het internet naar een ander DC sturen).

jefjef schreef op zondag 20 april 2025 @ 10:48:
Ik heb dus een een fritzbox 7590 (en een glasvezelverbinding KPN) en kijkende hierin zag ik dat bij toegangsgegevens als standaard Ipv4 is aangevinkt. kijkende op IP6.nl blijkt dat mijn verbinding wel een Ipv6 is. Nu is het zo dat ik juist op mijn iphone, de rest van de fam heeft een samsung, sommige paginas langzaam laden of helemaal niet. Terwijl de samsung bezitters dit niet hebben. Wanneer ik de fritzbox op ipv4 laat staan zal dat de verbindingen verbeteren? En wanneer ik ipv6 selecteer heb ik keuze uit een aantal mogelijkheden: Native Ipv6 gebruiken enwel of niet aanvinken: Ipv4 verbinding tot stand brengen via DS-Lite met daaronder weer een aantal mogelijkheden: AFTR adres automatisch bepalen via DHCPv6 of AFTR adres opgeven → Ipv6…..(adres invullen) of → FQDN….(adres invullen)

Of selecteren: Alleen Ipv6 gebruiken.

Of selecteren: IPv6 met tunnelingprotocol gebruiken.

Help wat moet ik kiezen?

ReBr schreef op zondag 20 april 2025 @ 13:19:
Volgens mij gebruiken die Samsung bezitters de Google DNS servers, en jouw iphone de DNS servers, welke via je Fritz worden aangeboden (die van KPN, welke momenteel bij enkele gebruikers niet echt vlot werken)

Instellingen selecteren:

Native IPv6-verbinding gebruiken

Globaal adres afleiden uit het toegewezen prefix

DHCPv6 rapid-commit gebruiken

Overige opties niet aanvinken, bovenstaande is voldoende.

Ook kan je bij DNS-Server kiezen voor een andere DNS-V4, en DNS-V6 server. Dit kan ik je wel aanraden.
Hierna heb je een perfect werkende verbinding.


[...]

[ Voor 19% gewijzigd door CloudPrutser op 06-05-2025 11:44 ]

CloudPrutser schreef op dinsdag 6 mei 2025 @ 11:37:
Wat ik graag zou willen bereiken: al het IPv6-netwerkverkeer ontvangen op een VPS, en het verkeer doorsturen naar mijn IPv4 consumentenrouter zodat ik gewoon de huidige port-forwarding config kan blijven gebruiken.

CloudPrutser schreef op dinsdag 6 mei 2025 @ 11:37:
Lieve mensen,

Ik heb een vraag waarvan ik besef dat het niveau wel echt heel laag is, maar toch heb ik een antwoord nodig. Ik ben programmeur en geen professioneel netwerkbeheerder.

Wat ik graag zou willen bereiken: al het IPv6-netwerkverkeer ontvangen op een VPS, en het verkeer doorsturen naar mijn IPv4 consumentenrouter zodat ik gewoon de huidige port-forwarding config kan blijven gebruiken.

Iemand hier al tegenaan gelopen?

ChatGPT begint over dingen zoals socat, reverse SSH-tunnel, TCP-proxy met HAproxy en kernel-level DNAT met nftables.

Wat zouden jullie adviseren? Het lijkt alsof HAProxy het meest gangbaar is hier.

[ Voor 3% gewijzigd door bart.koppers op 06-05-2025 14:35 ]

CloudPrutser schreef op dinsdag 6 mei 2025 @ 11:37:

Wat ik graag zou willen bereiken: al het IPv6-netwerkverkeer ontvangen op een VPS, en het verkeer doorsturen naar mijn IPv4 consumentenrouter zodat ik gewoon de huidige port-forwarding config kan blijven gebruiken.

[ Voor 6% gewijzigd door Roetzen op 06-05-2025 16:47 ]

CloudPrutser schreef op vrijdag 9 mei 2025 @ 11:53:
[...]

Het ding is een beetje dat er een DMZ zit tussen zowel mijn privenetwerk als het Proxmox-netwerk.

Dat betekent dat je enkel vanuit de DMZ IPv6-connected bent; alles dat hier achter zit weet niet beter dan IPv4.

Maargoed, het probleem ben ik zelf dus in dit geval.

CloudPrutser schreef op vrijdag 9 mei 2025 @ 17:05:
Hoe gaat het trouwens met de transitie? Wat is de status van IPv6 adoptie in Nederland en de rest van de wereld?

CloudPrutser schreef op zondag 11 mei 2025 @ 08:54:
Allright, zoals ik het dus begrijp heb je miljarden adressen tot je beschikking op een aansluiting. Je eigen interne machines zijn bereikbaar met een publiekelijk adres die onder jouw subnet vallen.

Wellicht kan iemand het een heel klein beetje voorkauwen voor mij; dan ben ik gelijk een heel stuk verder voor nu: is er een manier om interne machines achter een tweede consumentenrouter toegang te laten krijgen tot IPv6 internet?
Ik hoorde over een soort IPv6 DHCP relay waarbij het apparaat te horen krijgt tot welk subnet het behoort en zichzelf hierin een eigen adres toewijst.

Dit klinkt alsof ik dat minimaal wil hebben op mijn netwerk.

duvekot schreef op zondag 11 mei 2025 @ 09:09:
En waarom een tweede consumenten router? Kan dat niet makkelijker met maar 1 router?

CloudPrutser schreef op zondag 11 mei 2025 @ 08:54:
Allright, zoals ik het dus begrijp heb je miljarden adressen tot je beschikking op een aansluiting. Je eigen interne machines zijn bereikbaar met een publiekelijk adres die onder jouw subnet vallen.

Wellicht kan iemand het een heel klein beetje voorkauwen voor mij; dan ben ik gelijk een heel stuk verder voor nu: is er een manier om interne machines achter een tweede consumentenrouter toegang te laten krijgen tot IPv6 internet?
Ik hoorde over een soort IPv6 DHCP relay waarbij het apparaat te horen krijgt tot welk subnet het behoort en zichzelf hierin een eigen adres toewijst.

Dit klinkt alsof ik dat minimaal wil hebben op mijn netwerk.

Nakebod schreef op maandag 19 mei 2025 @ 21:20:
Hier hebben we er niets aan maar... Frankrijk heeft sinds 2 dagen 85% IPv6 verkeer bij Google: Free Mobile heeft IPv6 nu standaard voor iedereen aangezet. Zo te lezen hadden ze het al langer, maar moesten gebruikers het handmatig aanzetten.

Nu nog in Nederland. Ooit

Blokker_1999 schreef op donderdag 22 mei 2025 @ 06:22:
Wel grappig om te zien hoe we in Belgie zijn blijven stilstaan. Jarenlang waren we koploper in IPv6 adoption nadat de twee grote ISPs hun vaste aansluitingen IPv6 capable hadden gemaakt, maar sindsdien is er weinig veranderd hier en worden we dus ingehaald door andere landen.

ed1703 schreef op donderdag 22 mei 2025 @ 07:58:
[...]

Managers kijken vooral wat het gaat opleveren en wat het kost aan geld en uren om het aan te zetten zodat het ook volledig zonder IPv4 kan draaien. Als het resultaat hetzelfde is als zonder, sta je als IT afdeling al gelijk met 1-0 achter en komt het er gewoonweg niet, want het werkt zonder ook. Blik naar die toekomst is er niet, er zijn andere prioriteiten en dus ook geen uren.

Roetzen schreef op donderdag 22 mei 2025 @ 17:59:
[...]

Het zijn nu de bedrijven die de zaak ophouden en inderdaad, lange termijn visie ontbreekt. Als we IPv4 zouden kunnen uitschakelen en alleen nog IPv6 zouden hebben zou het voor iedereen goedkoper en makkelijker zijn. Dual Stack is inefficient, je moet twee systemen naast elkaar onderhouden. Het zou veel goedkoper en efficiënter zijn als er maar één systeem was. Maar ja, zo lang dat nog niet zo is, is het voor niemand in de korte termijn aantrekkijk om te investeren. Het werkt toch? Hier zou een overheid in kunnen sturen. Maar helaas zie ik dat met de huidige regering niet gebeuren.

bart.koppers schreef op zaterdag 24 mei 2025 @ 12:11:
[...]


Veranderen is moeilijk, zeker als techniek het gewoon doet.
(“If it aint broken, why fix it?”)

Zakelijk houdt hier niks tegen in mijn optiek - de voordelen zijn simpelweg niet groot genoeg. Zakelijk kijkt naar kosten icm de baten en naar langere termijn.

En zolang er geen groot probleem is, vindt de verandering daarom geleidelijk plaats.

Er is helemaal geen politiek nodig (ajb niet…) voor deze verandering. Waarom zou je? IPv4 adressen worden vanzelf eenvoudigweg te duur.

De drijvende kracht bestaat uit meer kans op kostenbesparingen met IPv6, icm een beter serviceniveau.