NAT hairpinning, IPv6 & DNS vraag

Pagina: 1
Acties:

Vraag


Acties:
  • 0 Henk 'm!

  • cobalt60
  • Registratie: December 2009
  • Laatst online: 16-09 11:45
Ik hoop dat iemand mij kan helpen.
Sinds ik over ben naar Delta heb ik een IPv4 adres en geen IPv6 (tot vandaag).
Ik draai een eigen mailserver en dat werkt prima, buiten het feit dat ik een modem bezit van Delta (Nokia) welke geen NAT hairpinning ondersteunt. Dus ik heb voor alle apparaten in mijn LAN mijn lokale IP ingesteld om lokaal gebruik te maken van diensten zoals mail. Echter, op mijn mobiele telefoon is dat alleen maar leuk zolang ik mij binnen mijn eigen LAN bevind middels WiFi. Nu is mij verteld (zonder verdere uitleg), dat zodra Delta IPv6 adressen ondersteunt, dat mijn probleem zou zijn opgelost. Dus ik was vandaag dolblij te zien dat ik eindelijk ook een IPv6 adres heb :) Echter... Wat ik probeer verandert weinig aan mijn situatie:
...

Nu heb ik bij mijn hosting provider additioneel AAAA records aangemaakt voor alle instances die verwijzen naar mijn server met mijn IPv6 adres. Maar dat werkt dus niet. Als ik alle A records weg haal met mijn IPv4 adres werkt helemaal niks meer, dus dat is ook niet de oplossing. Wat doe ik fout?
...

p.s. ik ben op te hoogte van de workaround met IPv4 dat het draaien van een eigen nameserver de Hairpinning issue oplost, maar die route wil ik liever niet bewandelen.

[ Voor 14% gewijzigd door cobalt60 op 31-10-2023 14:54 ]

Beste antwoord (via cobalt60 op 31-10-2023 15:59)


  • GeleFles
  • Registratie: Augustus 2001
  • Niet online

GeleFles

What's in a bottle?

Voor IPv6 moet je router/firewall/modem dan wel jouw publieke IPv6 adressen uitdelen aan de interne devices (en dus ook je mailserver).
Je gebruikt niet het IPv6 adres van je router (zoals bij IP4), omdat je geen NAT meer gebruikt bij IPv6; je router doet alleen nog maar firewalling en geen NAT voor IPv6.
Je zult dus nog wel de poorten open moeten zetten op de router.

Alle reacties


Acties:
  • 0 Henk 'm!

  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 01-10 14:26
Een interne DNS (met pihole heb je metee een adblocker) kan helpen idd.

Wat betreft IPv6, ik neem aan dat je wel het IPv6 adres van je server in je AAAA hebt gezet, en niet van je modem. En dat je de juiste poorten in je firewall hebt geopend.

Acties:
  • 0 Henk 'm!

  • cobalt60
  • Registratie: December 2009
  • Laatst online: 16-09 11:45
valkenier schreef op dinsdag 31 oktober 2023 @ 15:22:
Een interne DNS (met pihole heb je metee een adblocker) kan helpen idd.

Wat betreft IPv6, ik neem dat je wel het IPv6 adres van je server in je AAAA hebt gezet, en niet van je modem. En dat je de juiste poorten in je firewall hebt geopend.
Het WAN adres (IPv6) van het modem is toch wat ik juist bij het AAAA record in moet vullen bij een externe Nameserver? De nameserver is van een hostingprovider. Ja, in mijn modem zijn alle poorten juist geforward naar mijn server, want het (DNS) werkt immers als ik mijn mailserver niet vanuit mijn eigen IP benader (dus als ik mijn WiFi uit zet en de DNS invul bij servernaam).

Acties:
  • +4 Henk 'm!

  • ahbart
  • Registratie: Januari 2002
  • Laatst online: 17:35
Nee in het dns zet je het ipv6 adres van je mailserver en niet van de modem. Dus waarschijnlijk een 2001 adres of zo en niet de fe80.

Als ik het goed zeg .. De portforwarding werkt alleen voor de ipv4 en niet voor ipv6.

[ Voor 24% gewijzigd door ahbart op 31-10-2023 15:34 ]


Acties:
  • +1 Henk 'm!

  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 20:55
Precies. Bij IPv6 hangen alle apparaten direct aan het internet en hebben ze dus geen NAT-adres meer, zoals je gewend bent. In je modem('s firewall) zou dan wel (als het goed is) een poort kunnen openen naar het juiste adres en poort in je netwerk. Althans zo was het bij Ziggo een paar jaar geleden.

Acties:
  • Beste antwoord
  • +1 Henk 'm!

  • GeleFles
  • Registratie: Augustus 2001
  • Niet online

GeleFles

What's in a bottle?

Voor IPv6 moet je router/firewall/modem dan wel jouw publieke IPv6 adressen uitdelen aan de interne devices (en dus ook je mailserver).
Je gebruikt niet het IPv6 adres van je router (zoals bij IP4), omdat je geen NAT meer gebruikt bij IPv6; je router doet alleen nog maar firewalling en geen NAT voor IPv6.
Je zult dus nog wel de poorten open moeten zetten op de router.

Acties:
  • 0 Henk 'm!

  • cobalt60
  • Registratie: December 2009
  • Laatst online: 16-09 11:45
Misschien een domme vraag, maar hoe kom ik dan achter het IPv6 adres van mijn mailserver? Al mijn LAN apparaten zitten weer op een ander IPv4 range (192.168.x.x)

Acties:
  • +1 Henk 'm!

  • Groentjuh
  • Registratie: September 2011
  • Laatst online: 13:20
Kijken op jouw mailserver welke IPv6 hij heeft gekregen/heeft aangenomen?

Acties:
  • 0 Henk 'm!

  • cobalt60
  • Registratie: December 2009
  • Laatst online: 16-09 11:45
cobalt60 schreef op dinsdag 31 oktober 2023 @ 15:42:
Misschien een domme vraag, maar hoe kom ik dan achter het IPv6 adres van mijn mailserver? Al mijn LAN apparaten zitten weer op een ander IPv4 range (192.168.x.x)
Die heb ik gevonden, staat wel op 'automatisch' is dat niet een risico (is het zelfde als DHCP neem ik aan), en kan ik niet beter handmatig een reeks invoeren? Of is verandert het bij IPv6 nooit?

Acties:
  • +1 Henk 'm!

  • valkenier
  • Registratie: Maart 2000
  • Laatst online: 01-10 14:26
Volgens mij moet je je nog even inlezen hoe IPv6 eigenlijk werkt. Zoek op termen als SLAAC, prefix delegation. en van NAT is geen sprake idd, zoals hierboven al opgemerkt. dus ook niet van port forwarding, wel van poorten openen

[ Voor 14% gewijzigd door valkenier op 31-10-2023 15:53 ]


Acties:
  • +1 Henk 'm!

  • alex3305
  • Registratie: Januari 2004
  • Laatst online: 20:55
In principe gebruik je bij IPv6 SLAAC, waardoor er niet zomaar clashes kunnen ontstaan. Alleen wordt dat volgens mij niet zo breed gedragen. Dan veranderd het adres nooit. Anderzijds kan het zomaar zijn dat je modem DHCPv6 gebruikt, dan kan het adres wel veranderen. Maar hoe dit in de praktijk zit, ligt aan de DHCPv6 server.

Acties:
  • 0 Henk 'm!

  • cobalt60
  • Registratie: December 2009
  • Laatst online: 16-09 11:45
Heel erg bedankt tot dusver, ik ga mij er in verdiepen. Nooit geweten dat het heel anders werkt dan IPv4.

P.s. Het werkt!!! _/-\o_

[ Voor 8% gewijzigd door cobalt60 op 31-10-2023 15:59 ]


Acties:
  • 0 Henk 'm!

  • Nickname55
  • Registratie: Maart 2004
  • Laatst online: 11-09 20:53
cobalt60 schreef op dinsdag 31 oktober 2023 @ 15:42:
Misschien een domme vraag, maar hoe kom ik dan achter het IPv6 adres van mijn mailserver? Al mijn LAN apparaten zitten weer op een ander IPv4 range (192.168.x.x)
Met "ip a":Afbeeldingslocatie: https://tweakers.net/i/OI_9JB0JD9W8HMw0jBL80E_R7lk=/800x/filters:strip_icc():strip_exif()/f/image/s4i0Xtpq3vNlgj5rJVnYuBsw.jpg?f=fotoalbum_large
Hier zie je bij mij 2 adressen die beginnen met 2a02. Dat zijn de publieke adressen waarmee dit systeem vanaf internet bereikbaar zou zijn. Als de router geen firewall zou hebben of als deze open zou staan.

Het onderste adres van die 2 is tot stand gekomen via SLAAC. En dat verandert volgens mij zo af en toe. Het laatste stukje achter "102". Dat zorgt er voor dat je op internet niet gevolgd kan worden. Dacht ik. Weet ik niet zeker.

Het bovenste 2a02 adres is tot stand gekomen via DHCP. Op vergelijkbare manier als bij ipv4. Dat kan ik dus in de router vastzetten. Net als bij ipv4 op basis van het MAC adres. Je kan ook zien: dat is korter. De pool is ::1000 - ::2000

[ Voor 3% gewijzigd door Nickname55 op 31-10-2023 16:06 ]

Euhm... \n ...


Acties:
  • +1 Henk 'm!

  • Groentjuh
  • Registratie: September 2011
  • Laatst online: 13:20
alex3305 schreef op dinsdag 31 oktober 2023 @ 15:52:
In principe gebruik je bij IPv6 SLAAC, waardoor er niet zomaar clashes kunnen ontstaan.
SLAAC heeft ook nog Privacy Extensions for Stateless Address Autoconfiguration in IPv6
/Temporary Address Extensions for Stateless Address Autoconfiguration in IPv6, dus ook daarmee is het opletten of bij SLAAC het IPv6 adres niet veranderd.
Pagina: 1