IPv6 bij Telenet - As of today!

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Gebruikersavatar
mailracer
Elite Poster
Elite Poster
Berichten: 3872
Lid geworden op: 23 feb 2010, 21:03
Uitgedeelde bedankjes: 217 keer
Bedankt: 315 keer

Enkele artikels doorgenomen in verband met nat

http://computerworld.nl/it-beheer/75560-wat-is-nat

en de nat variant voor IPv6, NPT of nat66

http://www.howfunky.com/2012/02/ipv6-to ... ation.html
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Ja, een van die ipv6 nat varianten zit er toch aan te komen.
Multihoming (loadbalance of failover dmv 2 isp's) is een probleem wanneer het eerste deel van het ip adres van de provider komt. Alleen al daarvoor zou een nat variant een handige oplossing zijn.

[Afbeelding Post made via mobile device ]
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Net een artikel gelezen ivm dynamic ipv6 prefixen. Blijkbaar doen sommige isps dit, bv in Duitsland, om privacy redenen. Een fixed ip prefix is nefast voor de privacy.
Dus politiek > techniek hier, en mss is het wel niet zo slecht op die manier. NPT kan hier de beste oplossing bieden om de nadelen van een dynamisch ipv6 tegen te gaan.

[Afbeelding Post made via mobile device ]
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Ik betwijfel of een ISP wakker ligt van jou privacy... volgens mij denken ze nog steeds geld te slaan uit het verkopen van een fixed IP.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Effe linkje naar bovengenoemd artikel:

http://www.ipv6conference.ch/wp-content ... Pfx_en.pdf

Volgens de slide is er in Duitsland alleszins beslist om de ips dynamisch te blijven uitdelen omwille van privacy redenen.

[Afbeelding Post made via mobile device ]

[Mod Edit] url link verbeterd
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Leuk linkje... vooral de waslijst aan problemen die dit veroorzaakt :bang:
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Tja, hoe oud ipv6 ook al mag zijn, nu komt pas de stresstest eraan met het eerste contact met de "echte wereld".

Kijk maar naar de nachtmerrie van adressen die 1 lankaart kunnen hebben:
Global (zoals je public ip), link-local (niet routable, zoals de apipa 169.254.0.0/16 range), unique local (routable, zoals de rfc1918 private adressen, 10.0.0.0/8, 172.16.0.0/12, en 192.168.0.0/16), windows die nog een privacy ipv6 adres maakt, 20000 andere speciallekes die we allemaal gaan moeten onthouden en herkennen als ITers, ...

Discussies over npt6, nat66, ... En andere methodes om meer controle te hebben over je intern netwerk, en problemen te fixen als privacy ("de buitenwereld mag niet zien hoeveel toestellen en dewelke ik heb"), dynamic prefixen, multihoming (altijd leuk 2 of meer isps te hebben in loadbalance als je intern netwerk zijn prefix krijgt van de isp), ...

Historische tijden :-)



Btw, hoe heeft de mod dit linkje gefixed? Ik kreeg dat maar niet aan de praat :-)

[Afbeelding Post made via mobile device ]
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Speciale karakters moet je vervangen door %nn waarbij nn hun hexadecimale ASCII code is ;-)
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Ah, de "ö". Eigenlijk hebben enkel alphanumerics daar te staan, geen speciale leestekens etc... Mensen die "erop staan" hun naam met leestekens juist te hebben, ik krijg er zo af en toe over de vloer. Maar niet met mij, dan heb ik bij elke database export potentiele miserie (bv van personeel db naar active directory by way of csv is zo ne klassieker) :-)

[Afbeelding Post made via mobile device ]
philippe_d
Moderator
Moderator
Berichten: 17490
Lid geworden op: 28 apr 2008, 11:22
Locatie: Waregem
Uitgedeelde bedankjes: 923 keer
Bedankt: 3349 keer
Recent bedankt: 4 keer

ITnetadmin schreef:Btw, hoe heeft de mod dit linkje gefixed? Ik kreeg dat maar niet aan de praat :-)
via een omwegje: /Technical Track/T04 - Döring-14_council_homenet_en-final.pdf wordt dan automatisch omgezet naar:
/Technical%20Track/T04%20-%20D%C3%B6ring-14_council_homenet_en-final.pdf

Niet alleen speciale tekens (ö), maar ook spaties mogen niet in de link!'
VoIP: WeePee (vaste nummers geporteerd), Sipgate.de, Sipgate.co.uk, MegaVoip (uitgaand België).
Provider: Proximus Fiber Essential (50/8 mbps down/up).
Modem/Router: Fritz!Box 7590 int, OS 07.50, aangesloten op Proximus ONT (VLAN20).
Telefoon centrale: Euracom 181 achter FritzBox So.
TV: Telenet CI+, Fritz!DVB-C.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Weet er iemand welke range Telenet nu uitdeelt aan hun modems?

Hun technische pagina spreekt van een /60, en iets verder van een /56.

https://www2.telenet.be/nl/klantenservi ... he-uitleg/
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

/56 bij modem-only, kan ik bevestigen uit de praktijk.

Als ik die tekst goed begrijp is die /60 in het geval je een eigen router achter een CH7465LG-TN plaatst (een modem/WRT combi, ik vermoed beter gekend als de "nieuwe/witte modem"?). Die CH7465LG-TN pakt dan zelf de /56 en delegeert vervolgens een /60 aan eventuele downstream routers, I guess (vereist bevestiging van iemand die een CH7465LG-TN heeft).
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Dat zou idd kunnen. Niet echt de meest duidelijke verwoording ooit :-)
Yarisken
Plus Member
Plus Member
Berichten: 202
Lid geworden op: 09 dec 2008, 16:28
Uitgedeelde bedankjes: 2 keer
Bedankt: 5 keer

Ik ben nog niet helemaal mee met ipv6. Krijg je van telenet dan ook statische ipv6 adressen of is dat nog steeds dynamisch ?
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Nog steeds dynamisch... daarom blijf ik wel bij m'n tunnel oplossing.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

Als je een abo met statisch IP hebt (zoals Business Fibernet 240 plus), zit daar zowel een statische IPv4 in als een statische IPv6 prefix.

Beiden via My Telenet te configureren.
yaris
Premium Member
Premium Member
Berichten: 564
Lid geworden op: 14 mei 2004, 00:16
Uitgedeelde bedankjes: 16 keer
Bedankt: 34 keer
Recent bedankt: 1 keer

CCatalyst schreef:Als je een abo met statisch IP hebt (zoals Business Fibernet 240 plus), zit daar zowel een statische IPv4 in als een statische IPv6 prefix.

Beiden via My Telenet te configureren.
Heb business fibernet 200 ... maar statisch ip zou fantastisch zijn natuurlijk. Hoop er wel op dat ze dit met ipv6 gaan aanbieden. Hopelijk meerdere ..
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Statische IPv6 gaan ze bij de gewone abbos wss nooit aanbieden.
Net zoals in Duitsland is dat vanwege privacy redenen (officieel dan toch; als ze statische IPv6 gaan aanbieden koop niemand natuurlijk nog een fixed ip pakket).

Dit is tegelijk een van de redenen waarom NAT66 (of NPT) een zegen gaat zijn; met dynamische IPv6 zou je anders geen static IPs meer kunnen configgen en zeker zijn dat alles morgen nog werkt.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ITnetadmin schreef: Dit is tegelijk een van de redenen waarom NAT66 (of NPT) een zegen gaat zijn; met dynamische IPv6 zou je anders geen static IPs meer kunnen configgen en zeker zijn dat alles morgen nog werkt.
Kan je opvangen ahv DHCPv6. Dynamische prefix (die de router trackt) + statische suffix. Als de prefix wijzigt zal dat dan ook propageren naar de clients. De statische suffix blijft wel altijd dezelfde.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Zoiets gelijkaardigs als DHCPv4 reservations dus?

Soit, zoiezo geen fan van DHCP op mijn netwerk.

Dat vind ik ook direct het slechtste aspect van IPv6, dat zijn die RAs die de router effectief de controle over het netwerk geven, en direct automatisch config informatie gaan pushen.
Bij IPv4 kon je nog zeggen "niks geen automatische info, als je de config info zelf niet hebt kom je er niet op". Ik geef bv veel toestellen die niet op internet moeten zijn gewoon geen (of een valse, als ze moeilijk doen) gateway.
Maar ik wijk af, deze afweging is voor een ander topic.


Het werd enigszins tijd dat telenet eindelijk zijn implementatie een beetje fatsoenlijk heeft.
Tot voor een paar maand was er nog een pagina die excuses gaf omdat ze het protocol nog niet volledig geimplementeerd hadden "omdat alle standaarden nog niet (goed) vastlagen".
dovo
Plus Member
Plus Member
Berichten: 118
Lid geworden op: 28 nov 2015, 21:18
Uitgedeelde bedankjes: 13 keer
Bedankt: 39 keer

Om een antwoord te geven:
- emta-modem: ::/56 prefix, volledig te gebruiken
- Witte HGW: ::/56 prefix allocated, waarvan eerste ::/64 voor de lan van je HGW, en één ::/60 te verkrijgen via dhcp-PD. Waarom je de resterende ruimte in de allocated prefix niet kan/mag gebruiken, en maar één ::/60 via dhcp-PD kan krijgen blijft mij een raadsel.
Bijvoorbeeld:

Code: Selecteer alles

2a02:1810:db8:ee00::/64 op je hgw lan
2a02:1810:db8:eef0::/60 via dhchp-PD, 
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ITnetadmin schreef: Dat vind ik ook direct het slechtste aspect van IPv6, dat zijn die RAs die de router effectief de controle over het netwerk geven, en direct automatisch config informatie gaan pushen.
Is geen controle geven he, evenmin is het "pushen". Het is puur adverteren dat er een router is in het netwerk + (optioneel) info over hoe een device zich moet configureren als het met die router wil werken. Een device doet er dan nog mee wat ie wilt. Er is geen plicht om die info te gebruiken.

Je hebt zelf wel volledige controle over welke info daar in komt te staan uiteraard. Evenmin is het verplicht om een radvd te draaien in je netwerk.
Maar als je dat handig gebruikt kan een RA ook heel nuttig zijn, zeker in grotere netwerken.
ITnetadmin schreef: Bij IPv4 kon je nog zeggen "niks geen automatische info, als je de config info zelf niet hebt kom je er niet op". Ik geef bv veel toestellen die niet op internet moeten zijn gewoon geen (of een valse, als ze moeilijk doen) gateway.
Kan bij IPv6 ook allemaal. Het is gewoon een upgrade van het internet protocol om meer adressen mogelijk te maken. Al de andere principes van IPv4 blijven, soms wat in gewijzigde vorm, maar niet met minder controle.
ITnetadmin schreef: Het werd enigszins tijd dat telenet eindelijk zijn implementatie een beetje fatsoenlijk heeft.
Tot voor een paar maand was er nog een pagina die excuses gaf omdat ze het protocol nog niet volledig geimplementeerd hadden "omdat alle standaarden nog niet (goed) vastlagen".
Jep, nu werkt het wel goed, al een hele tijd geen problemen meer met IPv6 hier. Hun implementatie zal eindelijk afgerond zijn.
dovo schreef:Om een antwoord te geven:
- emta-modem: ::/56 prefix, volledig te gebruiken
- Witte HGW: ::/56 prefix allocated, waarvan eerste ::/64 voor de lan van je HGW, en één ::/60 te verkrijgen via dhcp-PD. Waarom je de resterende ruimte in de allocated prefix niet kan/mag gebruiken, en maar één ::/60 via dhcp-PD kan krijgen blijft mij een raadsel.
Bijvoorbeeld:

Code: Selecteer alles

2a02:1810:db8:ee00::/64 op je hgw lan
2a02:1810:db8:eef0::/60 via dhchp-PD, 
Thanks! Idd vreemd dat je maar 1 /60 kan krijgen.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

1 subnet /60 maar? Dat is idd vreemd.
Iemand met zo'n setup die meerdere eigen routers heeft en ns wilt aansluiten?

Verder: de vraag is dus: kan je RAs afzetten en toch IPv6 capable zijn? Dat is eigenlijk waar ik naartoe wil. Dat of een ander, eigengekozen device de RAs laten uitzenden indien gewenst, maar niet de router.
dovo
Plus Member
Plus Member
Berichten: 118
Lid geworden op: 28 nov 2015, 21:18
Uitgedeelde bedankjes: 13 keer
Bedankt: 39 keer

Je kan ook gewoon met dhclient op meerdere VM's dit testen;
Voorbeeld hieronder vanop 2 VM's die bij mij thuis draaien. Merk op dat enkel de eerste prefix request wordt beantwoord, op de twede vm: 'IA_PD status code NoPrefixAvail: "Unable to provide any prefixes. Sorry.'

Code: Selecteer alles

root@VM1:~# dhclient -6 -P -d -v eth0
Internet Systems Consortium DHCP Client 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on Socket/eth0
Sending on   Socket/eth0
Created duid \000\001\000\001\037\366\335T\000\014){5j.
PRC: Soliciting for leases (INIT).
XMT: Forming Solicit, 0 ms elapsed.
XMT:  X-- IA_PD "){5j"
XMT:  | X-- Request renew in  +3600
XMT:  | X-- Request rebind in +5400
XMT: Solicit on eth0, interval 1070ms.
RCV: Advertise message on eth0 from fe80::xxxx:xxxx:xxxx:4137.
RCV:  X-- Preference 0.
RCV:  X-- IA_PD "){5j"
RCV:  | X-- starts 1482957012
RCV:  | X-- t1 - renew  +30856
RCV:  | X-- t2 - rebind +43205
RCV:  | X-- [Options]
RCV:  | | X-- IAPREFIX 2a02:1810:xxxx:xxf0::/60
RCV:  | | | X-- Preferred lifetime 61712.
RCV:  | | | X-- Max lifetime 580112.
RCV:  X-- Server ID: 00:01:00:01:1f:ec:xx:xx:xx:xx:xx:xx:xx:35
IA_PD status code Success: "Assigned 1 prefix(es)."
RCV:  Advertisement recorded.
PRC: Selecting best advertised lease.
PRC: Considering best lease.
PRC:  X-- Initial candidate 00:01:00:01:1f:ec:xx:xx:xx:xx:xx:xx:xx:35 (s: 155, p: 0).
XMT: Forming Request, 0 ms elapsed.
XMT:  X-- IA_PD "){5j"
XMT:  | X-- Requested renew  +3600
XMT:  | X-- Requested rebind +5400
XMT:  | | X-- IAPREFIX 2a02:1810:xxxx:xxf0::/60
XMT:  | | | X-- Preferred lifetime +7200
XMT:  | | | X-- Max lifetime +7500
XMT:  V IA_PD appended.
XMT: Request on eth0, interval 970ms.
RCV: Reply message on eth0 from fe80::xxxx:xxxx:xxxx:4137.
RCV:  X-- Preference 0.
RCV:  X-- IA_PD "){5j"
RCV:  | X-- starts 1482957013
RCV:  | X-- t1 - renew  +30856
RCV:  | X-- t2 - rebind +43205
RCV:  | X-- [Options]
RCV:  | | X-- IAPREFIX 2a02:1810:xxxx:xxf0::/60
RCV:  | | | X-- Preferred lifetime 61712.
RCV:  | | | X-- Max lifetime 580112.
RCV:  X-- Server ID: 00:01:00:01:1f:xx:xx:xx:xx:xx:xx:xx:xx:35
IA_PD status code Success: "Assigned 1 prefix(es)."
PRC: Bound to lease 00:01:00:01:1f:xx:xx:xx:xx:xx:xx:xx:xx:35.
PRC: Renewal event scheduled in 30856 seconds, to run for 12349 seconds.
PRC: Depreference scheduled in 61712 seconds.
PRC: Expiration scheduled in 580112 seconds.

Code: Selecteer alles

root@VM2:~# dhclient -6 -P -d -v ens160
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on Socket/ens160
Sending on   Socket/ens160
PRC: Confirming active lease (INIT-REBOOT).
XMT: Forming Rebind, 0 ms elapsed.
XMT:  X-- IA_PD xx:xx:xx:33
XMT:  | X-- Requested renew  +3600
XMT:  | X-- Requested rebind +5400
XMT:  | | X-- IAPREFIX 2a02:1810:xxxx:xxf0::/60
XMT:  | | | X-- Preferred lifetime +7200
XMT:  | | | X-- Max lifetime +7500
XMT:  V IA_PD appended.
XMT: Rebind on ens160, interval 970ms.
RCV: Reply message on ens160 from fe80::xxxx:xxxx:xxxx:4137.
RCV:  X-- Preference 0.
RCV:  X-- IA_PD xx:xx:xx:33
RCV:  | X-- starts 1482957347
RCV:  | X-- t1 - renew  +3600
RCV:  | X-- t2 - rebind +5400
RCV:  X-- Server ID: 00:01:00:01:1f:xx:xx:xx:xx:xx:xx:xx:xx:35
PRC: Bound to lease 00:01:00:01:1f:xx:xx:xx:xx:xx:xx:xx:xx:35.
PRC: Renewal event scheduled in 3600 seconds, to run for 1800 seconds.
PRC: Depreference scheduled in -3663923 seconds.
PRC: Expiration scheduled in -3145523 seconds.
RTNETLINK answers: Invalid argument
PRC: Prefix 2a02:1810:xxxx:xxf0::/60 depreferred.
PRC: Renewal event scheduled in 3600 seconds, to run for 1800 seconds.
PRC: Expiration scheduled in -3145523 seconds.
PRC: Prefix 2a02:1810:xxxx:xxf0::/60 expired.
PRC: Bound lease is devoid of active addresses.  Re-initializing.
PRC: Soliciting for leases (INIT).
XMT: Forming Solicit, 0 ms elapsed.
XMT:  X-- IA_PD xx:xx:xx:33
XMT:  | X-- Request renew in  +3600
XMT:  | X-- Request rebind in +5400
XMT: Solicit on ens160, interval 1050ms.
RCV: Advertise message on ens160 from fe80::xxxx:xxxx:xxxx:4137.
RCV:  X-- Preference 0.
RCV:  X-- IA_PD xx:xx:xx:33
RCV:  | X-- starts 1482957347
RCV:  | X-- t1 - renew  +3600
RCV:  | X-- t2 - rebind +5400
RCV:  | X-- [Options]
RCV:  X-- Server ID: 00:01:00:01:1f:xx:xx:xx:xx:xx:xx:xx:xx:35
IA_PD status code NoPrefixAvail: "Unable to provide any prefixes. Sorry."
PRC: Lease failed to satisfy.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ITnetadmin schreef: Verder: de vraag is dus: kan je RAs afzetten en toch IPv6 capable zijn? Dat is eigenlijk waar ik naartoe wil. Dat of een ander, eigengekozen device de RAs laten uitzenden indien gewenst, maar niet de router.
Jep, zoals ik zei, radvd is niet verplicht. Je zal dan wel alles statisch moeten configureren, in dat geval is een statische prefix uiteraard een must. Eigen device kan idd ook radvd service draaien.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef:Ik geef bv veel toestellen die niet op internet moeten zijn gewoon geen (of een valse, als ze moeilijk doen) gateway.
Maar ik wijk af, deze afweging is voor een ander topic.
Daar hebben ze een firewall of ACL's voor uitgevonden ;-)
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Firewall, ACLs, da's wel leuk, maar makkelijker is toch nog altijd om het toestel gewoon niet te vertellen waar de "deur" is ;-)

RAs via apart toestel moet ik dringend nog ns opzoeken dan; wel benieuwd hoe dat combineert met isp prefixen, en NPT of NAT66.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ITnetadmin schreef:Firewall, ACLs, da's wel leuk, maar makkelijker is toch nog altijd om het toestel gewoon niet te vertellen waar de "deur" is ;-)
Ze vinden de deur zelf wel hoor, als ze echt willen. Maar soit, die discussie hebben we wel al gehad. Statisch configureren is uiteraard geen excuus om geen firewall te draaien, maar dat weet je zelf ook wel.
ITnetadmin schreef: RAs via apart toestel moet ik dringend nog ns opzoeken dan; wel benieuwd hoe dat combineert met isp prefixen, en NPT of NAT66.
Ja, als je niet op je router draait zal je zal inderdaad moeten maken dat je radvd op een of andere manier kan weten wat de prefix is. Hoe dat gebeurt zal afhangen van je setup.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

CCatalyst schreef:
ITnetadmin schreef:Firewall, ACLs, da's wel leuk, maar makkelijker is toch nog altijd om het toestel gewoon niet te vertellen waar de "deur" is ;-)
Ze vinden de deur zelf wel hoor, als ze echt willen. Maar soit, die discussie hebben we wel al gehad. Statisch configureren is uiteraard geen excuus om geen firewall te draaien, maar dat weet je zelf ook wel.
Dát zal je me idd nooit horen zeggen :-)
Maar kom, het gaat vaak over randapparatuur die toch echt geen zaken heeft om op internet te komen, van een printer tot een managed switch of exotischere netwerkapparatuur toe.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Ns effe een testje aan het doen met pfsense.
Ik snap het niet goed;

Mijn WAN IP is 2a02:181f:zzzz:yyyy:1234:abcd:efgh:1234/128
Mijn LAN IP is 2a02:1811:xxxx:wwww:5678:ijkl:mnop:5678/64

(Prefix obfuscated in de 3e en 4e block; suffix volledig obfuscated; out-of-range characters zijn opzettelijk)

Ik dacht dat een eigen router, achter een EMTA (modem-only), een /56 kreeg om mee te werken?
En de router zou dan een eigen /64 uitdelen aan zijn LAN kant.
Dan zouden WAN en LAN ranges toch in dezelfde /56 moeten zitten (uiteraard verschillende /64)?
Deze adressen zitten zelfs niet in dezelfde /32, enkel in dezelfde /28.

Weet er iemand hoe dit zit?

Ipv6 werkt verder wel; als gateway krijgt hij wel een fe80 adres toegewezen en die is niet bereikbaar (mogelijk blokkeert die icmp echo requests).
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

Vergelijk het met IPv4.

Je router krijgt een uniek WAN-adres in een LAN dat Telenet beheerst en routeert. Dat is jouw gateway naar Telenet en het internet.
Daarnaast heb je dan je eigen LAN met uiteraard je eigen adressen dat jij routeert. Waar dit bij IPv4 meestal private adressen waren wegens gebrek aan publieke adressen, zijn dit bij IPv6 publieke adressen (binnen de range van Telenet uiteraard) omdat er meer dan genoeg zijn.

Er is geen enkele reden waarom die WAN en LAN anders een verband zouden moeten houden. Je router heeft via DHCPv6 beide gevraagd en gekregen van Telenet: een IPv6 in hun WAN enerzijds (vergelijk het met je publieke IPv4), en daarnaast een delegatie van Telenet IPv6 adressen, normaliter een /56 delegatie. Door het geven van die delegatie weet Telenet dat ze die /56 moeten routeren naar je WAN-adres, en dat is genoeg.

Wat pfSense betreft, dat is prosumer stuff, je moet weten dat je daar itt een D-Link geval meerdere lokale interfaces op kunt configureren, die hij dan elk een /64 PD subnet kan delegeren. Als je slechts 1 LAN hebt, zal hij die LAN dan een /64 delegeren (op basis van de IPv6 Prefix ID). Als je dan nog verdere interfaces configureert kan je die ook een /64 delegeren. Daarom dus dat je Telenet /56 niet helemaal naar 1 lokale interface gaat, ook al staat die volledig ter beschikking van je router. Een /64 is meer dan genoeg voor een enkel residential LAN. Net zoals bij Telenet, weet jou router door het delegeren aan de hand van de uitgereikte Prefix ID, naar welke interface hij een bepaald IPv6 subnet moet routeren.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Nee, je begrijpt me lichtelijk verkeerd.
Ik besef dat de router een /64 gaat gebruiken die uit de toegewezen /56 komt, voor het lan netwerk.
Ik verbaas me er alleen over dat de wan kant een ip adres gebruikt dat *niet* uit de toegewezen /56 komt.
Ik zou gedacht hebben dat een router een /56 toegewezen krijgt, en dat de wan kant van die router een adres krijgt uit een /64 die in die /56 zit.
Dus 1 /56 per router (as indicated bij telenet), en alle adressen voor alle interfaces daaruit halen.

Dat maakt de routing toch stukken makkelijker?
Gewoon 1 /56 doorrouten en de router moet maar zien.
Met de hierarchische structuur van ipv6 zou mij dat de betere oplossing lijken.
Nuja...


Ik verbaasde me ook effe bij het gebruik van een link-local adres als gateway (maar blijkbaar is er op het internet discussie over de best practices hierover; cisco gaat zelfs zover om fe80::1 aan te bevelen als gateway adres, en de verschillende fe80::1 interfaces te onderscheiden met hun naam, bv fe80::1%fastethernet0/1 etc)

Dat de gateway niet wil reageren op echo requests (of wat pfsense ook gebruikt om te checken of de gateway up is) vind ik wel erg; dat breekt implementaties, er is geen enkele reden om dit te blokkeren.
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

ITnetadmin schreef: Ik verbaas me er alleen over dat de wan kant een ip adres gebruikt dat *niet* uit de toegewezen /56 komt.
Ik zou gedacht hebben dat een router een /56 toegewezen krijgt, en dat de wan kant van die router een adres krijgt uit een /64 die in die /56 zit.
Dus 1 /56 per router (as indicated bij telenet), en alle adressen voor alle interfaces daaruit halen.
Nee, je krijgt wel een /56, maar het IP aan de WAN kant is onderdeel van een ander netwerk en maakt dan ook geen deel uit van jouw /56. De functionaliteit van de router is en blijft immers wat ze was onder IPv4: de knoop tussen 2 (of meer) verschillende netwerken.
ITnetadmin schreef: Dat maakt de routing toch stukken makkelijker?
goh, als TN maar weet naar waar ze die /56 moeten routen zeker? Of dat nu via IP of via een tabel is...
ITnetadmin schreef: Gewoon 1 /56 doorrouten en de router moet maar zien.
Dat is nochtans wel het geval. Alleen wordt die block gerouted via je WAN adres.
ITnetadmin schreef: Dat de gateway niet wil reageren op echo requests (of wat pfsense ook gebruikt om te checken of de gateway up is) vind ik wel erg; dat breekt implementaties, er is geen enkele reden om dit te blokkeren.
Er was een reden voor, kan het me niet meteen herinneren. Ik gebruik 2620:0:ccc::2 voor monitor, werkt perfect.
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

Ik merk ook op met mijn modem only dat ik een 128Bit ipv6 subnet mask verkrijgt ipv 56Bit.

Ik heb ook al een tijdje heel het ipv6 gebeuren niet meer gevolgd maar ik dacht dat het idee was om elk toestel een uniek ipv6 adres te geven en geen gebruik meer van NAT te maken of zo weinig mogelijk want dit is een factor dat invloed kan hebben op netwerk performantie.

Ipv NAT dat je een firewall moet gebruiken die een muur opzet naar de WAN kant. Maar zo te lezen en horen is dit dus aan het veranderen? :)
CCatalyst
Elite Poster
Elite Poster
Berichten: 8269
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

PleXuS schreef: Ipv NAT dat je een firewall moet gebruiken die een muur opzet naar de WAN kant. Maar zo te lezen en horen is dit dus aan het veranderen? :)
Nee, dat is en blijft de bedoeling. Ook onder IPv4 trouwens. Een NAT is geen substituut voor een firewall. NATting is niets meer dan een tijdelijk lapmiddel voor het gebrek aan IPv4 adressen, IPv6 is de definitieve oplossing voor dat probleem.

Een goed afgestelde firewall is altijd een must.
PleXuS schreef:Ik merk ook op met mijn modem only dat ik een 128Bit ipv6 subnet mask verkrijgt ipv 56Bit.
Je router kan een /56 delegatie vragen.
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

CCatalyst schreef:
PleXuS schreef: Ipv NAT dat je een firewall moet gebruiken die een muur opzet naar de WAN kant. Maar zo te lezen en horen is dit dus aan het veranderen? :)
Nee, dat is en blijft de bedoeling. Ook onder IPv4 trouwens. Een NAT is geen substituut voor een firewall. NATting is niets meer dan een tijdelijk lapmiddel voor het gebrek aan IPv4 adressen, IPv6 is de definitieve oplossing voor dat probleem.

Een goed afgestelde firewall is altijd een must.
Ik had die zin niet zo goed geformuleerd denk ik :)
Dat je altijd een Firewall nodig hebt dat weet ik wel :-D

Ik bedoelde dat er geen NAT meer nodig was bij IPv6 omdat je zo groot aantal ip adressen hebt, maar als je wan kant 128bit mask gebruikt lijkt het mij dat je dit wel gaat nodig hebben om te kunnen communiceren tussen WAN <-> LAN ?
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Nee, ze routen gewoon je /56 subnet dat je aan je lan kant mag gebruiken naar je /128 adres aan je wan kant.
Puur routing op de telenet routers, geen nat nodig.
Beschouw het als een gateway setting.

Ik vind het alleen raar / grappig / enigszins jammer dat ze niet gewoon een van de /64s stelen om daarmee aan je wan kant een adres toe te kennen.
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

Ik heb men vorig bericht gedelete.. omdat ik nu pas begrijp wat je wil zeggen lol :-D

Toen EDPnet met IPv6 uitrol startte gebruikten zij aan de wan kant een 56 prefix waar je de rest verder kon aan toevoegen.
Maar dit kan ondertussen al gewijzigd zijn (dit is 1 of 2 jaar geleden).

Daarom ook dat ik deze manier van werken zo vreemd vond, maar blijkbaar is dit niet zo abnormaal. Ik heb van andere in het buitenland ook vernomen dat zij ook te werk gaan.

Dus Telenet doet eigenlijk de routering van jou WAN <-> LAN verkeer op IPv6 al ik het goed begrijp?
Dit lijkt mij weer een factor extra dat kan mislopen als zij iets fout doen op hun netwerk of ben ik mis? :)
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

Ik heb in OPNsense heb onderstaande geconfigureerd:
WAN IP is 2a02:181f:zzzz:yyyy:1234:abcd:efgh:1234/128
LAN1 IP is 2a02:181f:a::1/64
LAN2 IP is 2a02:181f:b::1/64

Maar zowel op LAN1 als LAN2 kan ik geen ping of trace doen naar google ipv6.
Als ik ping doe naar WAN/LAN1/LAN2 IP werkt dit wel. Firewall rules zijn aanwezig voor IPv6.

De routering aan Telenet kant werkt dit onmiddellijk of zit daar een bepaalde tijd tussen tot deze in werking gaat?
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Heb je die lan prefixen van telenet gekregen?
Plaats reactie

Terug naar “Netwerken en Security”