Hulp IPv6 basis kennis

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
jos123
Elite Poster
Elite Poster
Berichten: 1348
Lid geworden op: 07 maa 2013, 12:32
Locatie: Antwerpen
Uitgedeelde bedankjes: 92 keer
Bedankt: 62 keer

Wie of wat kan mij helpen met basis kennis + praktijk van ipv6 (extern & locaal)? Suggesties?

[Afbeelding Post made via mobile device ]
Internet: edpnet internet vdsl
Telefonie: Weepee + FreeVoipDeal - Fritzbox 7360 V1 06.31
Modem/Router:Fritzbox 7360 V1 06.31
Mobiel: Base PRO Connect, onbeperkt bellen + sms + 5GB data 4G
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Heb je ons ipv6 forum al ns doornomen?

Laat ons beginnen met dit (heeeeeeeeel kort):

Ipv6 is een /128, verdeeld in /64 subnets.
De huidige practice is vaak om iedereen een /56 te geven, die ze dan zelf in /64 subnets kunnen steken.

Er zijn meerdere ipv6 adressen per netwerkkaart.
De link-locals, het equivalent van de apipa 169.254.0.0/16 range, die niet routeerbaar is.
De globals, equivalent van de gewone ips.
En de unique-locals, equivalent van de rfc1918 private ip adressen.

Wikipedia heeft een redelijke basis ivm ipv6 adressen.
http://en.wikipedia.org/wiki/IPv6_address

Verder mag je ipv6 niet verwarren met 4, het is heel anders.
Gateways bv worden via router advertisements gegeven, niet via dhcp.
Vergeet dus wat je al kent van ipv4, het is alleen maar misleidend.

[Afbeelding Post made via mobile device ]
jos123
Elite Poster
Elite Poster
Berichten: 1348
Lid geworden op: 07 maa 2013, 12:32
Locatie: Antwerpen
Uitgedeelde bedankjes: 92 keer
Bedankt: 62 keer

ITnetadmin schreef:Heb je ons ipv6 forum al ns doornomen?
Een beetje, daarom had ik een aantal (dummy) vragen:

1) Momenteel krijgt iedereen bij Proximus een publieke ipv4 & ipv6, wil dat zeggen als ik bv ipv6 op de Windows PC uitschakel dat die PC niet op een site kan geraken die alleen ipv6 gebruikt?

2) In de toekomst zal ieder netwerkkaart een publieke ipv6 hebben, dus als je van provider verandert zul je nieuwe adressen hebben voor elke netwerkkaart? Kan je niet gewoon met private ipv6 adressen statische ip adressen werken?
Internet: edpnet internet vdsl
Telefonie: Weepee + FreeVoipDeal - Fritzbox 7360 V1 06.31
Modem/Router:Fritzbox 7360 V1 06.31
Mobiel: Base PRO Connect, onbeperkt bellen + sms + 5GB data 4G
driesp
Plus Member
Plus Member
Berichten: 191
Lid geworden op: 17 jan 2014, 17:11
Uitgedeelde bedankjes: 10 keer
Bedankt: 12 keer

Om op je vragen te antwoorden.

1) Dat klopt, maar laten we er (voor het gemak) van uitgaan dat die er niet zijn.

2) Typische beginnersfout. Reden waarom itnetadmin zei, vergeet 'alles' van v4.

Typisch gaat uw computer de verbinding over v6 prefereren wanneer je een ipv6 enabled website bezoekt.
Heb je enkel v4 toegang, en de website is dual stack, zal je zoizo over v4 werken.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

jos123 schreef:dus als je van provider verandert zul je nieuwe adressen hebben voor elke netwerkkaart?
Niet alléén wanneer je van provider verandert maar zelfs wanneer je provider een nieuwe prefix geeft (bv. modem herstart).

Aangezien NAT niet meer van toepassing is heeft dit namelijk impact op al je "eigen" IP-adessen !
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

De prefix van je ipv6 global adressen krijg je altijd van je provider. Je zal dus ook intern telkens een publiek deel hebben.

Nu is men daar wel aan bezig om daar omwegen voor te vinden, want veel ITers zien dat echt niet zitten.
Dit bemoeilijkt idd bepaalde dingen zoals fixed ips, multihoming (2 of meer providers), en verhuis naar een andere provider; zeker voor grotere bedrijven.

Er wordt gewerkt aan een NAT variant voor ipv6, NAT66. Maar er is er ook een belovende variant die NPT66 noemt, network prefix translation. Deze zou in de router enkel de prefix vertalen, zodat je publieke, isp, prefix verandert in een lokale en terug.

Ipv6 zou in theorie static moeten zijn, maar veel isps geven je toch een dynamic prefix, met alle ellende vandien. In Duitsland bv doen ze dit omwille van privacy redenen, met een static ip zijn mensen gewoon veel te makkelijk te tracken.

Puntje 1: ipv4 en ipv6 zijn onderling niet compatibel. Er zullen dus nog lang dualstacks gebruikt worden, en daarna NAT64 systemen om toch maar ipv4 te kunnen contacteren. Het moet nl ondersteund worden zolang het bestaat, er is nog geen uitdoofscenario.

Puntje 2: je unique local adressen zijn het equivalent van private adressen. Elk toestel met 1 netwerkkaart heeft dus minstens 3 ip adressen: je global, je link local, en je unique local. Ik geloof dat windows daar zelfs een extra ip aan toevoegt. Verder is de vraag naar prefix vertaling groot genoeg dat NPT wss een goeie kans heeft om uit de startblokken te schieten.


[Afbeelding Post made via mobile device ]
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Er wordt gewerkt aan een NAT variant voor ipv6, NAT66. Maar er is er ook een belovende variant die NPT66 noemt, network prefix translation. Deze zou in de router enkel de prefix vertalen, zodat je publieke, isp, prefix verandert in een lokale en terug.
Er zijn diverse technologieen maar uiteindelijk zijn we terug dezelfde ellende aan het creeren als we met IPv4 hebben gedaan.

IPv6 heeft dit NIET nodig... als je het tenminste correct implementeerd (maar velen trachten het gewoon op de IPv4 manier te doen).
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Ipv6 is niet makkelijk om met multihoming te gebruiken. Welke prefix ga je aanvaarden bij meerdere isps? Hoe gaat je netwerk reageren als je fixed ips hebt staan op toestellen en je prefix verandert? Dat NAT niet echt nodig is ga ik akkoord mee. Maar ik ben wel een voorstander van NPT, tenzij er betere oplossingen komen.

Ik hoor nu al dat bepaalde embedded ipv6 oplossingen niet toelaten de link local adressen manueel in te stellen bv, en als een bedrijf met ip ranges werkt per soort toestel, kan het dus zijn dat ze toch per se de global fixed willen instellen (bv ook naar scripts toe). De merde van een link local is dat het ip aan het mac adres gekoppeld is, en dus aan de hardware. Dat kan leuk zijn als je hardware wisselt of met VMs werkt.

Nu geef ik ook grif toe dat ipv6, qua praktische implementatie, nog in zijn kinderschoenen staat; "first contact" met de echte wereld is nog volop bezig. En we weten allemaal: "A battle plan never survives first contact with the enemy". Dus de theoretische implementatie van ipv6 zal nog wel wat schade oplopen bij het praktisch invoeren. Veel netwerkbeheerders zullen huiverig staan tov een publieke prefix op *hun* netwerk, en alleen al daarmee zal NPT (of zelfs NAT) toch genoeg afzet vinden om te blijven bestaan; da's althans mijn voorspelling.

Dat dat in theorie niet nodig is zal geen belemmering zijn. De theorie en de praktijk zullen ver genoeg uit mekaar lopen dat men oplossingen zal gaan bedenken (er zal een markt voor zijn) om bepaalde gewoontes en gebruiken uit het ipv4 tijdperk in stand te houden.


[Afbeelding Post made via mobile device ]
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Nu geef ik ook grif toe dat ipv6, qua praktische implementatie, nog in zijn kinderschoenen staat; "first contact" met de echte wereld is nog volop bezig.
Op zich had dat geen probleem mogen zijn om het theoretisch correct te ontwerpen... er waren genoeg voorbeelden hoe het niet moest.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Theorie is mooi. Maar de mensen die in de praktijk staan doen het vaak liever anders.

Vergelijk het met die foto van de rubik's kubus: je ziet bij "theorie" een opgeloste rubik's kubus staan, en bij "praktijk" eentje waar aan elke kant met een borstel een verfkleur op is geschilderd.

http://xahlee.info/comp/i/real_world_co ... k_cube.jpg


Praktisch voorbeeld: ik ben echt geen fan van publieke ips en/of prefixen op mijn prive netwerk. Multihoming, je isp die weet hoeveel toestellen je hebt, geen totale controle over je intern ip adres, etc etc...

En dan mag de theorie nog zo mooi zijn (je hebt dat niet nodig bij ipv6, dat veroorzaakt moeilijkheden, ...) , als er genoeg ITers zijn als ik (en die zijn er) dan zullen daar oplossingen voor komen: NAT, NPT, ...


[Afbeelding Post made via mobile device ]
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Theorie is mooi. Maar de mensen die in de praktijk staan doen het vaak liever anders.
Ik kan me moeilijk inbeelden dat de mensen die de RFC's schrijven in zo'n ivoren toren zitten... alhoewel ik merk het dagelijks op andere projecten ook :cry:
driesp
Plus Member
Plus Member
Berichten: 191
Lid geworden op: 17 jan 2014, 17:11
Uitgedeelde bedankjes: 10 keer
Bedankt: 12 keer

- Dat de ISP weet hoeveel toestellen iedereen heeft,
Waarschijnlijk kunnen ze dat nu al veel eenvoudiger op ipv4.
De ISP weet veel meer dan je denkt, ze houden misschien zelfs bij welke websites je dagelijks bezoekt.
Het systeem dat bijhoud wat je dagelijks bezoekt moet mogelijks zelfs nog ontwikkeld worden voor ipv6. Dus ik zou er niet van wakker liggen :beerchug: .

Daarnaast zit in een /64 veel adressen,
en maakt het zelfs quasi onscanbaar voor een buitenstaander,
het zou voorlopig in ieder geval toch opvallen als dit zou gebeuren.

- Mbt controle:
Wat velen vergeten is dat je met ipv6 nog steeds totale controle hebt over je netwerk dmv je firewall op de router.
Ik weet dat u dit weet, ik wil het enkel duidelijk maken, het zou verkeerd kunnen geïnterpreteerd worden.

- Multihoming,
Er zijn waarschijnlijk heel weinig netwerkbeheerders dat hiervan wakker liggen.
Zelfs als je via 2 verschillende internet providers werkt, is het voorlopig voor een kleiner netwerk niet zo erg dat ipv6 er even uitgaat als er 1 path uitgaat.
Daarnaast heeft 99.99% van de particulieren of kleine bedrijven geen eens 2 internet verbindingen. En grote bedrijven lossen dit op met BGP.

Veel belangrijker is dat het van de grond geraakt, dat het wordt gebruikt.
Op een bepaald moment zal er voor het tekort aan ipv4 op te vangen, van die rare opzetten worden gemaakt (CGNAT).
Als ipv6 tegen dan van de grond is, zullen we zeer blij zijn dat we er tegen dan goed mee overweg kan en dat het er is, dat het wordt gebruikt.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

driesp schreef:- Mbt controle:
Wat velen vergeten is dat je met ipv6 nog steeds totale controle hebt over je netwerk dmv je firewall op de router.
Je hebt zelfs nog niet eens controle over je prefix op je eigen netwerk... en daar heeft je firewall niets mee te maken.

Trouwens definieer maar eens een specifieke rule als je niet weet wat je uiteindelijk intern adres zal zijn !
driesp schreef:Zelfs als je via 2 verschillende internet providers werkt, is het voorlopig voor een kleiner netwerk niet zo erg dat ipv6 er even uitgaat als er 1 path uitgaat.
Ik vrees dat je nog steeds in IPv4 termen denkt.
driesp schreef:Daarnaast heeft 99.99% van de particulieren of kleine bedrijven geen eens 2 internet verbindingen.
En dus bestaat het probleem niet ?
driesp schreef:Veel belangrijker is dat het van de grond geraakt, dat het wordt gebruikt.
Akkoord... maar dan wel op de correcte manier.
driesp
Plus Member
Plus Member
Berichten: 191
Lid geworden op: 17 jan 2014, 17:11
Uitgedeelde bedankjes: 10 keer
Bedankt: 12 keer

r2504 schreef:Trouwens definieer maar eens een specifieke rule als je niet weet wat je uiteindelijk intern adres zal zijn !
Dat belgacom of telenet een dynamische prefix gebruikt is beschamend.
Daar kan je inderdaad dan weinig aan doen.
Mocht je een vaste prefix hebben, kan je nog steeds vaste ipv6 adressen configureren, door ook de privacy extentions in windows uit te schakelen.
http://andatche.com/blog/2012/02/disabl ... n-windows/
r2504 schreef:Ik vrees dat je nog steeds in IPv4 termen denkt.
En dus bestaat het probleem niet ?
Ik begrijp dat er in beperkte mate enkelingen zijn dat internet aankopen bij 2 verschillende ISP's . (ik kwam op een berekening van 0.01%)
Ik begrijp enkel gedeeltelijk het multihome 'probleem'. (of misschien begrijp ik het gewoon niet ;) )
Zet ipv6 dan enkel aan via 1 ISP via degene het wel goed werkt.
Als die verbinding plat gaat, is het niet zo een probleem. Je zal wel tijdelijk verder kunnen werken zonder ipv6.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

driesp schreef:Dat belgacom of telenet een dynamische prefix gebruikt is beschamend.
Tja... ook daar denken ze nog in IPv4 termen... en vooral vast adres = extra GELD.
driesp schreef:Zet ipv6 dan enkel aan via 1 ISP via degene het wel goed werkt.
Als die verbinding plat gaat, is het niet zo een probleem. Je zal wel tijdelijk verder kunnen werken zonder ipv6.
Tot je IPv6-only services moet aanspreken.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Veel bedrijfjes net groter dan een kmo zitten vandaag de dag toch al met 2 lijnen, zeker met al die cloudtoepassingen. 5 minuten geen internet is vaak 5 minuten geen werk kunnen doen tegenwoordig. En dit gaat alleen maar vergroten. Waar ik kom steek ik alvast direct een tweede lijn bij, al is het maar in failover ipv loadbalance.

Geen controle over je prefix heeft serieuze gevolgen voor migraties naar andere isps, fixed ips, etc...
Je kan nl geen link local ip in scripts zetten, want als de netwerkkaart eraan gaat verandert die, tenzij je hem manueel definieert. En veel toestellen laten dat via hun menu niet toe (goedkope software). Dus ga je toch ergens een nood hebben aan een fixed global ip. Ik gok nog altijd op NPT om dat euvel te verhelpen. En dan hebben we terug een variant van NAT, hoewel een eenvoudige want enkel de prefix wordt vertaald.
Het gaat hem ook over controle, puur en simpel een vorm van "mijn netwerk, mijn controle", daardoor dat netwerkbeheerders niet happig zijn op die isp prefix.

En er zijn wel degelijk grote bedrijven die NAT willen om hun interne IPs volledig af te schermen van de buitenwereld. Ik heb al geruchten vanuit de bankensector gehoord dat daar in de IT mensen met minder dan volle NAT niet tevreden zijn.

En dan heb je nog de mensen die gewoon geen info over hun netwerk naar buiten willen geven. Of andere misbruiken. Stel dat een isp op een bepaalde dag het idee krijgt je te doen betalen voor het aantal toestellen dat je verbindt met het internet. Ze weten nl hoeveel er zijn want er is geen NAT. In Belgie mss niet, maar ik kan me voorstellen dat in situaties zoals de US de providers te springen staan om de mensen geld uit hun zakken te kloppen.

De dynamische prefix wordt ook gebruike voor privacy redenen. Voor mij mag dat gerust. Ik wil niet eeuwig en altijd hetzelfde IP hebben. Natuurlijk mag dat ook een fixed zijn, als ik met een druk op een knop ergens een ander fixed kan aanvragen.


Multihoming:
Ipv6 is een hierarchisch systeem.
Maw jouw prefix is een subset van jouw isp's prefix. Zij krijgen bv een /32 of een /48, en gaan van die prefix /56s uitdelen aan hun gebruikers. Je deelt dus de eerste blokken van je prefix met je provider. Uh oh, problemen als je twee providers hebt, en degene die jouw prefixen heeft uitgedeeld ligt uit. De andere gaat die nl niet routen.
Dit is expres gedaan om zo de routing tables niet te doen ontploffen qua grootte. Maar het maakt dat je wel vasthangt aan de isp die jouw prefixen heeft uitgedeeld.


Hieronder nog een citaat ivm het multihoming probleem, met dank aan
http://www.ciscopress.com/articles/arti ... 6&seqNum=7

IPv6 addresses are allocated by service providers to end-user organizations. IPv6 addresses are intended to be fully hierarchical to help reduce the size of the core Internet routing table. Because IPv6 has the ability to have far more address blocks than IPv4, it would be impossible to have a large number of routes in the Internet backbone routers.

If the rules of IPv6 addressing hierarchy were relaxed, many organizations could advertise their prefixes to the Internet. The address space would become fragmented, and the size of the Internet routing tables would expand out of control. Because of this fear, the addressing hierarchy has been enforced by the IANA, the IETF, the regional registries, and the ISPs.

Customers must be allowed to be multihomed to the Internet. However, problems arise when sites have multiple address assignments from multiple ISPs. If one ISP link goes down, the other ISP does not readvertise the other ISP's address space. The customer addresses its web servers in one ISP's address space, and if that ISP fails, the web servers cannot be reached through the other ISP link. Therefore, alternatives must exist to allow the redundancy and failover between service providers without violating the address hierarchy rule.

Effe terug naar het topic zelf: ipv6 heeft ook de ingebouwde mogelijkheid om de pakketen te encrypteren, waar je dat bij ipv4 nog met externe protocollen moest doen.



[Afbeelding Post made via mobile device ]
Plaats reactie

Terug naar “Netwerken en Security”