Overschakelen naar ipv6. Waar te beginnen?

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
Gebruikersavatar
biebel
Plus Member
Plus Member
Berichten: 101
Lid geworden op: 08 jun 2004, 00:25
Locatie: Leuven
Bedankt: 4 keer

Ik probeer me wat in te werken in de materie om met enige kennis van zaken mijn thuisnetwerk eventueel over te zetten naar ipv6.
Van 0 opbouwen lijkt me het beste om geen "half-zijn-gat" netwerk met meer gaten dan kaas te verkrijgen, maar dat betekent wellicht doelbewust keuzes maken en om de juiste keuzes te maken moet je de opties begrijpen.
Waar vind ik informatie in niet IT-mensentaal (Engels of Nederlands), maar ook niet in Jip-en-Janneke-taal, over hoe ik hier het beste aan begin?

Ter info mijn huidige situatie:
Inet: edpnet vdsl2
Modem/router: obox 3
Toestellen op netwerk:
- linux "server" = altijd draaiende veredelde smb nas met paar "websites", web interfaces voor torrent en download clients en plex server
- dual boot linux/windows 10 werk/game pc met mounted smb shares van bovenstaande server
- android toestellen met toegang tot smb shares van server via smb link in es file explorer
- tv
- printer (zonder ipv6 ondersteuning)
- nest thermostaat
- toestellen van gasten (laptop, gsm, tablet, ...)

Ik: - beperkte netwerkkennis, maar voldoende om een eenvoudig ipv4 thuisnetwerk op te zetten. Ter illustratie van mijn beperking: ik weet niet waarom ik in linux 'hostname.local' en in windows en android 'hostname.lan' kan gebruiken ipv het ip adres.
- al paar x ingehouden om gewoon v6 te activeren en samen met google aan de slag te gaan
- voor mij is ipv6 momenteel zoals de snaartheorie: hoe meer ik er over lees hoe minder ik er van denk te begrijpen
- buikgevoel a zegt me overal af te blijven aangezien het werkt zoals ik het wil
- buikgevoel b zegt me het beter nu te leren dan wanneer het van moeten is

Doel: pijnarme overgang; alleen mijn hersenen mogen gepijnigd worden, geen nieuwe hard- of software, alleen herconfiguraties en betere beveiliging. Ben ik nu iets te laks in omdat alleen bepaalde poorten openen en ip-restriction minder werk is dan degelijk configureren en (tot nog toe) afdoende is om ongewilde gasten buiten te houden.

Vrezen: - zelf geen gemakkelijke toegang tot eigen toestellen en shares op het netwerk. Ik moet nu bv in windows ipv6 disablen om aan de webinterface van mijn printer te geraken.
- iedereen krijgt toegang tot de toestellen en files op mijn netwerk
- het duurt maanden voor alles naar wens werkt
- ik krijg er een punthoofd van
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Vergeet alles wat je denkt te kennen omdat je iets kent van IPv4; het is totaal anders.

Een paar bullet points:
- Ipv6 heeft 128 bit, met het kleinste subnet als een 64 bit netwerk.
- Ipv6 is hierarchisch, je hebt dus altijd een subnet van je provider's ip range, die op zijn beurt een subnet is van zijn provider's range.
- Je hebt minstens 2 ipv6 adressen per connectie, een link-local (kan niet geroute worden) en een global; daar kan nog een unique-local (kan geroute worden prive, maar niet over het internet) bijkomen.
- Je kan meerdere global IP adressen per interface hebben.
- De prefix van je global IP (normaal de eerste 64 bit) krijg je van je provider. Die deelt dus letterlijk een deel van het IP uit op je prive netwerk. Aangezien in Belgie ipv6 adressen dynamisch worden uitgedeeld, gaat die prefix dus veranderen, wat een probleem vormt als je met static ips wil werken.
- In detail bij telenet: je krijgt bij een modem only een /56 subnet, waaruit je /64 subnets kan verdelen voor je routers; heb je een telenet router, dan heeft die een /60 klaarstaan waarvan je eigen router een /64 kan verdelen.
- Een IPv6 adres begint normaal gezien bij de router. Die deelt een RA (router advertisement) uit, met de nodige configgegevens. Dat kan gaan van SLAAC (waarbij de interface een prefix krijgt en het bevel zelf zijn suffix te berekenen adhv zijn mac adres) en een DNS, tot "doe maar slaac en haal je DNS data bij de DHCP server hier aanwezig", tot "haal al je config maar bij de dhcp server". IPv6 zal dus niet by default direct naar een dhcp server zoeken, maar eerst op die RA wachten.
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5491
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 5 keer

Interessant topic dat ik zeker ga volgen aangezien ik met dezelfde vraag als de topicstarter zit. Momenteel weer ik overal IPv6 uit onwetendheid, maar wil het ook graag inzetten.

Vraag: ITnetadmin zegt dat de prefix dynamisch is, maar ik dacht gelezen te hebben dat dit bij EDPnet static was, klopt dat?
Gebruikersavatar
Nob
Erelid
Erelid
Berichten: 3442
Lid geworden op: 09 sep 2002, 18:19
Locatie: Belgium, Bever
Uitgedeelde bedankjes: 104 keer
Bedankt: 125 keer

Ik sluit me aan bij Nukem en Biebel.
Van ITnetadmin zijn post heb ik al niet teveel begrepen (maar dat ligt eerder aan mij vrees ik). Ik denk echter vandaar ook de vraag van biebel: mensentaal, maar geen peutertaal.
De toenemende haast is een symptoom van de wereld die steeds meer in getallen wordt uitgedrukt.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

IPv6 is een stuk ingewikkelder dan IPv4, en om ipv4 goed uit te leggen aan leerlingen heb ik al een paar uur lesmateriaal voorhanden.
IPv6 is dan ook een hel om te leren, zeker als je al voorkennis van ipv4 hebt, omdat je verwachtingen hebt die totaal gebroken worden.

Ik somde dan ook slechts bullet points op, geen handleiding.

Als je echt basis wilt gaan, zijn er hier nog een paar:
- IPv4 is 4 blokken van elk 1 byte (8bits), omgezet in decimaal.
- IPv6 is 8 blokken van elk 2 bytes (16bits), omgezet in hexadecimale notering.

- De scheidig bij ipv6 is ":" ipv het punt bij ipv4. Dit maakt dat een port definieren met een punt gebeurt bij ipv6, ipv een dubbelpunt (de tekens wisselen dus om).
Vb: "127.0.0.1:80" vs "::1.80"

- Bij ipv6 mag je blokken, die bestaan uit allemaal nullen weglaten. Dit duid je aan door het gebruik van "::", 2 dubbelpunten. Je mag dit maar 1! keer gebruiken in een adres.
Als je bv 2001:0000:0000:1234:0000:0000:0000:0001 wilt verkorten, mag je ofwel 2001::1234:0000:0000:0000:0001 schrijven, ofwel 2001:0000:0000:1234::0001; als je het foute 2001::1234::0001 zou schrijven, weet je nl niet op welke plaats de 1234 moet komen.
Je mag ook "leading zeroes" laten wegvallen, dus moet je niet 0012 schrijven als je ook gewoon 12 kan schrijven.
Toegepast op vorig vb, kan je dus 2001::1234:0:0:0:1 of 2001:0:0:1234::1 schrijven.

- Er wordt geen subnet mask meer toegepast als notatie (de oude vertrouwde 255.255.255.0 of soortgelijke), enkel nog een prefix notatie (bv /64).

- Alle lokale communicatie gebeurt met het link-local adres, dat een toestel zichzelf geeft. Dit zit in de fe80::/10 range, specifiek het fe80::/64 subnet. De suffix kent een toestel zichzelf toe door op het mac adres een eigen IP te berekenen.

- voor je global IPs krijg je het prefix van de provider toegespeeld. Behalve met trucjes als NPT en NAT die nog niet volledig af zijn en waar tegenstand voor bestaat, heb je dus geen volledig geisoleerd thuisnetwerk meer, maar komt de prefix van je IP adres voor al je internet toestellen van je provider.

- dynamisch IP is geen regel (ipv6 is gemaakt om statisch te zijn), maar in navolging van Duitsland dat een statisch ip als een breuk op het recht op privacy ziet, zullen er veel providers zijn die ipv6 dynamisch zullen uitdelen (het feit dat ze dan extra kunnen doorrekenen om statische ips te geven zal daar ook wel veel mee te maken hebben)

- nogmaals, in tegenstelling tot iv4, waar je ofwel een static ip invult, ofwel het toestel een dhcp ip laat geven, zijn er meer opties in ipv6. Een toestel dat geen static ip heeft (en eentje dat er wel een heeft ook, want ipv6 kan meerdere ips per interface aan), gaat allereerst wachten tot er een router op het netwerk een RA uitstuurt. Die RA heeft verschillende flags die de config bepalen.
Je pc kan de instructie krijgen om alles zelf te configgen; de RA deelt de network prefix mee en de gateway, en dan berekent hij een eigen suffix adhv zijn mac adres; dit noemt SLAAC
Je kan ook de pc doorverwijzen naar een dhcp server. In dat geval kan je kiezen om de dhcp server alles te laten afhandelen (uitdelen van ip en dns), of enkel dns en de pc zelf via slaac een ip te laten selecteren.

Nog een interessant weetje:
Het equivalent van het localhost adres, 127.0.0.1, is 0000:0000:0000:0000:0000:0000:0000:0001, oftewel ::1/128

Lees ook dit ns na:
https://en.wikipedia.org/wiki/IPv6_address
Er staat veel overkill in, maar de gedeeltes over "special adresses" en "slaac" (stateless autoconfig) zien er nuttig uit.
philippe_d
Moderator
Moderator
Berichten: 17487
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 921 keer
Bedankt: 3348 keer
Recent bedankt: 5 keer

Als beginner is het goed dat wij iets van de theorie begrijpen.
Aan de andere kant maakt dat de mensen die er niets van snappen toch een beetje achterdochtig.

Ikzelf heb gewoon:
  1. In mijn router IPv6 enabeld. In de FritzBox dus IPv6 AAN, en gekozen voor Dual Stack.
    • Jouw Provider moet dus ook IPv6 ondersteunen (anders moet je kiezen voor een Tunnel provider, dat is al een stapje ingewikkelder.
    • Zoals ITadmin beschrijft, krijg je dan één IPv6 adres, en een IPv6 /56 subnet. De FritzBox zelf gebruikt hiervan één /64 subnet voor het lokaal netwerk
    • IPv4 en IPv6 blijven gewoon naast elkaar staan. Dus voor al je toestellen, die je nu via IPv4 kan bereiken (intern), verandert er niets.
  2. Alle toestellen die IPv6 ondersteunen, IPv6 enabled.
Ik stel vast dat ik via IPv6 surf naar de websites die IPv6 ondersteunen :-) .
En het is niet omdat jouw toestellen nu een (globaal) IPv6 hebben, dat ze daardoor automatisch van buiten bereikbaar zijn.
Er is wel geen NAT meer, maar de firewall van jouw router moet nog altijd de ongewenste traffiek tegenhouden (heeft niets met NAT te maken).

Je moet je je dus niet teveel aantrekken (en bang laten maken) van die theoretische achtergrond, en gewoon de stap zetten (in feite 2 stappen: IPv6 op je router inschakelen, IPv6 op je PC's inschakelen), de rest gaat vanzelf.
Tenzij je servers hebt, die van buitenaf bereikbaar moeten zijn, dat zal wel wat meer kennis vereisen.
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Fiber Essential (50/8 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.50, aangesloten op Proximus ONT (VLAN20).
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
Gebruikersavatar
James.
Premium Member
Premium Member
Berichten: 563
Lid geworden op: 20 okt 2008, 19:56
Uitgedeelde bedankjes: 14 keer
Bedankt: 32 keer

Hoe zit het met alle apparaten in het netwerk? krijgen die een adres waarin hun MAC-adres in vermeld staat? Aangezien bij ipv6 het lokaal adres ook op het internetwerk wordt gebruikt, is dat een mogelijke aanslag op de privacy: het is adhv een MAC-adres mogelijk om te weten welk merk (en eventueel ook type) een apparaat is.
Gebruikersavatar
raf1
Elite Poster
Elite Poster
Berichten: 5780
Lid geworden op: 17 nov 2009, 22:39
Uitgedeelde bedankjes: 261 keer
Bedankt: 1770 keer
Recent bedankt: 10 keer

Je moet natuurlijk ook een internetprovider nemen die native IPv6 ondersteunt. Want wat ben je met IPv6 op je LAN als dit uiteindelijk toch naar IPv4 moet vertaald worden?
Ik vraag me eigenlijk af wat het praktisch nut van IPv6 in een LAN is. Is dit niet puur een soort nerdy snobisme? Met IPv4 werkt dat toch veel eenvoudiger?
IPv6-adressen intypen is alvast omslachtiger dan iPv4-adressen intypen.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

James. schreef:Hoe zit het met alle apparaten in het netwerk? krijgen die een adres waarin hun MAC-adres in vermeld staat? Aangezien bij ipv6 het lokaal adres ook op het internetwerk wordt gebruikt, is dat een mogelijke aanslag op de privacy: het is adhv een MAC-adres mogelijk om te weten welk merk (en eventueel ook type) een apparaat is.
Als je SLAAC gebruikt om een IP adres te auto genereren, gebeurt er dit:
A 64-bit interface identifier is most commonly derived from its 48-bit MAC address.
A MAC address 00:0C:29:0C:47:D5 is turned into a 64-bit EUI-64 by inserting FF:FE in the middle: 00:0C:29:FF:FE:0C:47:D5.

When this EUI-64 is used to form an IPv6 address it is modified:[1] the meaning of the Universal/Local bit (the 7th most significant bit of the EUI-64, starting from 1) is inverted, so that a 1 now means Universal.

To create an IPv6 address with the network prefix 2001:db8:1:2::/64 it yields the address 2001:db8:1:2:020c:29ff:fe0c:47d5 (with the underlined U/L (=Universal/Local) bit inverted to a 1, because the MAC address is universally unique).
Gebruikersavatar
James.
Premium Member
Premium Member
Berichten: 563
Lid geworden op: 20 okt 2008, 19:56
Uitgedeelde bedankjes: 14 keer
Bedankt: 32 keer

ITnetadmin schreef:...
Met andere woorden: je stelt je MAC-adres de hele tijd bloot aan het gehele internet. Toch?

Ook niet leuk als je niet overal uniek identificeerbaar wilt zijn.

Eén van de voordelen van de huidige manier van werken bij ipv4 en NAT, is dat je router alle lokaal-identificeerbare informatie uit de header stript zodat de router langs WAN-zijde de enige actor is die identificeerbaar is over het internet - een (zeer beperkte) tunnel als het ware. Het leuke was ook dat bij elke openstaande verbinding een (telkens andere) willekeurige poort van hoog nummer werd gebruikt, zodat een server via het bronadres 'ipv4+poort' niet meteen kon weten dat opeenvolgende openstaande sockets van hetzelfde apparaat kwamen.

Dat elk apparaat nu zijn eigen (tijdelijk-)vast ipv6-adres krijgt en dat gebruikt om te communiceren via het internet, stoort mij als privacy-zeloot wel nogal.

EDIT: Ik ben niet de eerste met deze bezwaren. Blijkbaar zijn die ook al besproken én aangepakt. Goed nieuws! 8)

EDIT: de 'fixes' lijken nogal te botsen met instellingen van de providers, leid ik af uit de comments.

Ikzelf heb ipv6 vroeger effe aangezet, maar dan bleek dat nameserver resolving op beide android foons veel trager ging, omdat sommige websites geen ipv6 ondersteunen en android eerst altijd ipv6 probeert en vaak terugvalt op ipv4 wat extra vertraging oplevert.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Je kan perfect slaac afzetten, en de dhcp server een ip laten kiezen.
Het mac adres is ook niet routable, dus technisch gezien is er geen issue.

Enkel op privacy vlak idd, afhankelijk van hoe hard je je dat aantrekt.
Een mac adres is de helft vendor id, de helft unit id.

Zolang je slaac niet aanstaan hebt, maar je ips static of via dhcp laat uitdelen, heb je daar alvast geen probleem.
Bedenk wel dat de ontwikkeling van ipv6 begon in 1993, en de eerste versie in 1996 uitkwam; dat is dus nog voor NAT bestond. Het heeft dus ingebakken systemen en problematieken die niet aangepast zijn aan het moderne internet, en nu pas (nu de pragmatische users ermee beginnen ipv enkel de developers) beginnen de oplossingen langzaam naar boven te komen.

Blijf in godsnaam van privacy addressing weg. Ik vind dat bucht, en je mac address hoeft niet eens in je ip adres te komen, zolang je niet lui bent en slaac aanzet.
Manuele ip config (opgepast als je dat doet en je krijgt een dynamic prefix) of dhcp based config werken ook en gebruiken het mac adres *niet*.

Met uitzondering van je link local address: dat is ofwel static, ofwel automatisch gegenereerd, en in dat laatste geval heb je er idd je mac adres inzitten, maar aangezien dat niet routable is naar de buitenwereld, zou dat geen probleem mogen geven.

Ps: van wat ik hoor, hebben providers zoals telenet nog altijd de plooien ivm ipv6 routing niet volledig gladgestreken.
We zijn dus nog wel effe verwijderd van een foutloze implementatie.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

philippe_d schreef:Er is wel geen NAT meer, maar de firewall van jouw router moet nog altijd de ongewenste traffiek tegenhouden (heeft niets met NAT te maken).

Je moet je je dus niet teveel aantrekken (en bang laten maken) van die theoretische achtergrond, en gewoon de stap zetten
Net omdat je geen NAT meer hebt moet je toch een beetje weten waar je mee bezig bent... bij IPv6 moet je dus effectief zelf je firewall gaan configureren of gans je netwerk staat gewoon open van buitenaf.
raf1 schreef:Ik vraag me eigenlijk af wat het praktisch nut van IPv6 in een LAN is. Is dit niet puur een soort nerdy snobisme? Met IPv4 werkt dat toch veel eenvoudiger?
Sommige dingen in Windows Server werken gewoon niet meer als je geen IPv6 actief hebt op je LAN.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Voor de duidelijkheid en volledigheid naar de geinteresseerden toe:
Er bestaat wel degelijk NAT in IPv6, tot grote ergernis van de puristen.
Je hebt NAT66, die een fullscale vertaling doet van het volledige interne IPv6 adres naar een volledig nieuw extern IPv6 adres, prefix en suffix.
Je hebt ook NPT, die enkel de prefix vervangt tussen externe en interne poort.

Maar aangezien dat geavanceerder gebruik is, en we het hier over basic ipv6 hebben, ga ik er verder niet teveel over uitweiden.
Je kan altijd zelf wat opzoekingswerk verrichten.
Lang verhaal kort: het is een eeuwige discussie tussen de puristen en de pragmatici.
De puristen beweren dat ipv6 gemaakt is om zonder nat te werken, en dat nat een hack is (ipv4 was ook gemaakt om zonder nat te werken), de pragmatici hebben allerlei praktische redenen (bv privacy, praktische implementatie van static ips in een wereld waar dynamic ipv6 prefixen uitgedeeld worden, multihoming, ...) om voor een vorm van nat te kiezen.

Net omdat het zo'n kat/hond gedoe is, blijf ik er hier liever effe van weg.
IPv6 is al moelijk genoeg zo, zonder de grote discussies en debatten over de juiste implementatie erbij te betrekken.

Maar wat r2504 hierboven schrijft klopt wel. Omdat er standaard geen nat meer voorzien wordt, moet je een firewall hebben, want de oude nat functie speelde bij ipv4 eigenlijk voor een stuk voor firewall; een aanvraag op de wan poort die geen nat table entry had, en waar de nat dus niet wist naar welke pc het te sturen, werd gewoon genegeerd.
dupondje
Premium Member
Premium Member
Berichten: 605
Lid geworden op: 14 sep 2006, 23:55
Uitgedeelde bedankjes: 1 keer
Bedankt: 47 keer

Wel belangrijk is dat bijvoorbeeld Android geen support heeft voor DHCPv6 ..
Als je dus geen SLAAC hebt op je netwerk, geen IPv6 op je Android phone :(

Wil je niet dat je MAC adres zichtbaar is => Privacy Extensions.

En nog een paar zaken:
- Ipv6 heeft 128 bit, met het kleinste subnet als een 64 bit netwerk.
=> Je kan perfect een /112 bijvoorbeeld uitdelen (doen veel VPS providers enzo bijvoorbeeld).
Enige reden waarom een /64 nodig is is SLAAC.

- Ipv6 is hierarchisch, je hebt dus altijd een subnet van je provider's ip range, die op zijn beurt een subnet is van zijn provider's range.
=> Zelfde als bij IPv4 :)

- Je kan meerdere global IP adressen per interface hebben.
=> Je kan ook perfect meerdere IPv4's op 1 interface hangen.


En er zijn natuurlijk heel wat voordelen aan IPv6.
- Omdat er geen NAT meer nodig is, is de snelheid ook iets beter.
- Een overvloed aan IP's. Nu vragen ze voor 1 IPv4 adres al graag 2eur/maand .. En dit zal er niet op verbeteren.
- Geen dingen als uPnP meer nodig enzo om 1<->1 connectie te maken naar een andere host.
- Wil je bijvoorbeeld verbinden naar een device in uw home netwerk, als je zijn IPv6 adres kent, kan dat gewoon rechtstreeks. Zonder NAT.
- IPSec build in bijvoorbeeld
- Zoveel meer :)
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5491
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 5 keer

Als ik nog eens tijd heb voor mezelf, ga ik denk ik gewoon mijn stoute schoenen aantrekken, IPv6 aanzetten en zien waar we komen :) Dan zal ik mijn bevindingen hier ook neerpennen.
Mijn setup: EDPnet, FritzBox router, pfSense router&firewall, VLANs en massa's hosts die IPv4 only zijn.
Ik hoop dat pfSense IPv6 goed voor elkaar heeft en de FritzBox netjes de/een IPv6 prefix hogerop kan doorgeven aan pfSense. Stel me al direct de vraag hoe je firewall rules maakt met een dynamische prefix... We zien wel :)
Heb nog een afgeschreven routerboard liggen om ook te testen moest pfSense falen (al is dat een optie die ik niet zal aanvaarden).
We zien wel, ik hoop in de komende weken hier mijn bevindingen en struikelblokken te kunnen zetten :)
dupondje
Premium Member
Premium Member
Berichten: 605
Lid geworden op: 14 sep 2006, 23:55
Uitgedeelde bedankjes: 1 keer
Bedankt: 47 keer

Met dynamische prefix kan je volgende ip6tables rules gebruiken:
ip6tables -I INPUT -d ::a413:beff:ff89:93af/::ffff:ffff:ffff:ffff -j ACCEPT

:)
Gebruikersavatar
xming
Pro Member
Pro Member
Berichten: 434
Lid geworden op: 06 okt 2005, 10:35
Uitgedeelde bedankjes: 9 keer
Bedankt: 47 keer

Overschakelen doe je (nog) niet, je moet eerst een tijdje (forever) dual-stack (ipv4 en ipv6) onderhouden.

ipv6 is niet veel verschillend dan ipv4, ja adres bereik is groter, IP adres ziet er monstrueus uit, de echte verschillen zitten in de details (die je niet hoeft te kennen om een thuis netwerk te beheren)
- routing via LL
- SLAAC via RA
- andere afspraken/administratie
- ...

Voor diegene die alleen thuis/simpel netwerk willen beheren, moet je volgende kennen/hebben
- tools die ipv6 enabled zijn
- ipv6 adres en verkorte vormen kennen, bvb ::1 is localhost
- ipv6 firewall
- weten wanneer een programma/toepassing ipv6 of ipv4 gebruikt en welke verkiest
- DNS AAAA record voor ipv6

Voor de rest blijft alles ongeveer hetzelfde, je kan adressen/poorten toelaten/blokken op een firewall, je kan routeren, je kan NATten, ...

Meer specifiek onder linux (en met EDPnet)
- ping6, traceroute6, ip -6, ip6tables, mtr -6 voor ipv6
- +ipv6 in je option van ppp (om ipv6 LL en dyn /64 te hebben)
- dhcpv6 client (isc, dribbler, ...) om je fixed ipv6 range van de provider (edpnet) te verkrijgen
- radvd om RA te gebruiken
- ip -6 route (om route aan te passen)
- ip -6 route add default dev ppp0 (zodat je op het internet kan via ipv6)
- ip6tables (voor ipv6 fw)
- je dns cache/server/proxy moet wel AAAA records doorgeven
- in /etc/gai.conf zet je voorkeur voor ipv4/6
- eventueel dhcpv6 server om adressen uit te delen ipv radvd (RA)
- sommige programma's/commando's werken met beide ipv4 en v6, dus pas op wat ie gebruikt, bvb `telnet localhost 80` kan zowel `telnet 0 25` of `telnet ::1 25`zijn afhankelijk vvan de configuratie.

Alles is dubbel werk, 2x routing, 2x fw, 2x trouble-shooting als iets niet werkt.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Voor de iets geavanceerderen die mss eens een wiresharkje wagen: vergeet niet dat een aantal v6 protocols er totaal anders uitzien dan dun v4 tegenhanger.

Vb: DHCPv4 geeft standaard een DORA reeks (discover, offer, request, acknowledge); bij DHCPv6 is dat SARR geworden (solicit, advertise, request, reply).
Gebruikersavatar
James.
Premium Member
Premium Member
Berichten: 563
Lid geworden op: 20 okt 2008, 19:56
Uitgedeelde bedankjes: 14 keer
Bedankt: 32 keer

En wat met ARP?

edit: gevonden, Why is ARP replaced by NDP in IPv6?.
Plaats reactie

Terug naar “Netwerken en Security”