Thuis Dual WAN (Failover) IPv6 uitdaging

Heb je problemen met het instellen van je netwerk, bedraad of draadloos, dan kan je hier altijd terecht!
Plaats reactie
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

Ik heb in het verleden al met IPv6 liggen spelen. Maar dual WAN (Failover) heb ik nooit deftig aan de praat gekregen met IPv6.

Mijn internet formules zijn:
Telenet Woppa + speedboost (Modem Only)
EDPNET VDSL XL (bbox3 via pppoe)

Bij beiden formules zit geen optie tot vast IPv4/v6.

Veel mensen die ik gesproken hebben spreken over NAT66 of NPTv6 en dan hoor je veel mensen discussiëren dat NAT niet nodig is.
Maar ik merk op als je een van die uitzonderingen bent die toch een dual WAN (failover) nood heeft dat IPv6 niet echt een deftige oplossing ter beschikking heeft en dan vraag ik mij af in godsnaam waarom? Het brengt waarschijnlijk niet genoeg geld op :P

Nu ik kan mis zijn dus aan jullie om het tegendeel te bewijzen :P

Momenteel ben ik de tests aan het doen op men nieuwe hardware die dat momenteel opnsense draait maar ben er nog niet volledig uit of het opnsense of toch bij pfsense blijf.

Analyse van IPv6 configuraties:
TELENET:
WAN IPv6 heeft hier een /128 prefix !? Men heeft mij verteld dat men /128 meestal zou gebruiken voor routeringen?
LAN IPv6 (Track interface configuratie) geeft mij een /56 indien ik op de wan kant een /64 prefix vraag wanneer ik daar /56 aanvraag krijg ik op LAN
dus een /64 te zien.

Wat mij ook opmerkt is dat ik telkens de zelfde IPv6 adressen terug krijg!? Vorm van statisch ip maar dan uitgedeeld door Telenet of louter toeval of misschien veranderd dit pas nadat ik de modem reset?

EDPNET:
WAN IPv6 is hier een /64 prefix
LAN IPv6 hier krijg ik een reeks met /56 prefix

Ik weet dat je op een interface met IPv6 meerdere adressen kan koppelen en dat er global/local-link/ula adressen zijn.

Wat ik mij nu afvraag is er iemand in geslaagd om Dual WAN opgezet te krijgen met thuis internet lijnen zonder statisch IPv6?
Indien ja, met NPTv6? Kan je mij hiervan een voorbeeld configuratie geven?

Ik heb NPTv6 geconfigureerd maar met /56 werkte het niet, wanneer ik /128 gebruikt dan lukte het mij wel maar dan kon opnsense zelf geen ipv6 netwerk meer bereiken voor firmware updates.

Het voorbeeld mag van opnsense of pfsense zijn, deze zijn nagenoeg hetzelfde.
Ook graag voorbeeld van IPv6 configuratie van edpnet, ik heb dit ooit werkende gekregen een tijd geleden maar ben die juiste config kwijt. :(

Moest je de vraag hebben waarom in godsnaam ik dit nodig heb, ik ben een thuis werker die veel remote werkt en soms op de gekste momenten remote moet kunnen verbinden. Ik heb dit en vorig jaar al meerdere keren ondervonden dat Telenet mij in de steek liet op bepaalde momenten.
Dus mijn 2de lijn is al goed van pas gekomen! Alleen wil ik eenvoudig kunnen overschakelen en dit met IPv6.

Indien er geen deftige oplossing uit de bus komt ga ik waarschijnlijk het netwerk opsplitsen in meerdere internet VLAN's en manueel VLAN overschakelen als de ene down gaat.

Alvast bedankt!
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

PleXuS schreef:Ik heb in het verleden al met IPv6 liggen spelen. Maar dual WAN (Failover) heb ik nooit deftig aan de praat gekregen met IPv6.

Veel mensen die ik gesproken hebben spreken over NAT66 of NPTv6 en dan hoor je veel mensen discussiëren dat NAT niet nodig is.
Maar ik merk op als je een van die uitzonderingen bent die toch een dual WAN (failover) nood heeft dat IPv6 niet echt een deftige oplossing ter beschikking heeft en dan vraag ik mij af in godsnaam waarom? Het brengt waarschijnlijk niet genoeg geld op :P
Dit is vooral een discussie tussen de puristen en de pragmatici.
De puristen willen af van het end-to-end brekende NAT protocol, en de pragmatici vinden dat IPv6 problemen heeft dat enkel door een variant van NAT opgelost kan worden (IPv6 is ouder dan NAT, vandaar). Zoals vaak zullen de pragmatici dit ook wel weer winnen.

Het probleem bij IPv6 is dat je provider intern de prefixen uitdeelt.
Hoewel alle IPv6 NICs meerdere IPs per connection aankunnen (1 link local, en meerdere globals), blijft het een miserie om te dual wannen. Vooral dan omdat sessions wel ns durven breken aangezien IPv6 hierarchisch is en dus provider 2 niks met de IP range van provider 1 kan aanvangen.

NPT lost dit op door een interne prefix uit te delen en de externe prefix te NATten (Network Prefix Translation ipv Network Address Translation).

De "officiele" methode (iirc) is aan het RIR een routable internal range aanvragen. In de praktijk ken ik die methode niet en ik kan me voorstellen dat men echt geen zin gaat hebben om voor consumenten, hobbyisten en KMOtjes dit te gaan doen.
Blijft dus NPT of NAT66.

Verder zijn static IPs uitdelen in een wereld van dynamic IPv6 een absolute nachtmerrie.
En hoewel IPv6 (ook weer de puristen) niet gemaakt is voor dynamic IPs, komen die er toch.
De beweegredenen gaan van "we willen de mensen geld aanrekenen voor static IPs" tot "in naam van de privacy willen we niet dat iemand een ganse tijd achter hetzelfde IP zit want dan zijn zijn activiteiten te makkelijk te traceren".
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

ITnetadmin schreef: NPT lost dit op door een interne prefix uit te delen en de externe prefix te NATten (Network Prefix Translation ipv Network Address Translation).

De "officiele" methode (iirc) is aan het RIR een routable internal range aanvragen. In de praktijk ken ik die methode niet en ik kan me voorstellen dat men echt geen zin gaat hebben om voor consumenten, hobbyisten en KMOtjes dit te gaan doen.
Blijft dus NPT of NAT66.
NPT is geen oplossing aangezien Telenet je een /128 adres geeft.
Je gaat dus niet verder geraken dan 1 translation.

Wanneer je via DHCPv6 IPv6 een addres opgevraagd krijg je /64 of /56 adhv hoe je uw prefix grote insteld.
Maar de eerste aansluiting is altijd /128 (modem-only) bij de andere toestellen ga je waarschijnlijk alleen de /64 of /56 zien?

Dat is hoe ik het bij mijn modem-only config zie of er is iets mis met opnsense.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Bij een modem only deelt telenet een /56 uit aan je netwerk. Het is dan aan je router om die te verdelen (maw er 1 /64 uit te kiezen en te gebruiken voor je LAN).
Die range (de prefix dan toch) komt zoiezo van Telenet, en die moet jij intern uitdelen (of met NPT vertalen).

Heb je een HGW, dan krijgt je HGW een /56, en deelt hij een /60 uit aan 1 router, als ik me de infopagina goed herinner.
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

Nochtans krijg ik alleen een /128 met mijn modem only zie maar:
https://pasteboard.co/HgVNWmW.jpg

Volgens mij krijg je bij thuis gebruikers die modem only hebben geen /56 of er moet iets mis zijn met opnsense.
Ik heb diverse configs al getest altijd een /128 ook al vraag ik een /56 of /64
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Dat is het subnetmask van je WAN IP.
Verwar het assigned IP op je WAN port niet met je assigned IP range voor je LAN.

IPv6 *kan* gewoon *niet* werken met een /128, dat is een single IP voor een single device.
Het is ook tegen de regels om dit te doen, want die vereisen een /64 als kleinste subnet, ma soit, da's hun issue.
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

Dus die /128 is puur voor routering op IPv6 naar je LAN IPv6 prefix range of versta ik het verkeerd?

- Voor thuis gebruikers is dit DHCPv6 of SLAAC (track interface config in pfsense of opnsense)
- Voor kmo/bedrijven krijgen ze zelf een IPv6 prefix range toegewezen van de provider

Nu komt mijn vraag, hoe ga je NPT gebruiken als je uw LAN al een Global IPv6 van uw provider hebt toegewezen via de track interface config?
In bijvoorbeeld pfsense of opnsense zie ik geen 2de setting om een ULA address in te geven die je enkel local gaat gebruiken op diezelfde LAN interface of is het de bedoeling die tracking interface op een dummy LAN2 poort bvb te configureren?
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Yup.

As for the rest: ik heb vorig jaar met pfSense wat gepruld en hoewel ik een static IPv6 perfect heb kunnen configgen op een Belnet connectie, heb ik een dynamische IPv6 op een Telenet lijn nooit in werking gekregen. WAN wel, LAN niet (laat staan met NPT).
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

Ik heb het met telenet en edpnet wel aan de praat gekregen.
Maar niet tegelijk met de 2..

Met NPT heb ik wat liggen mee spelen en van ULA naar Global IPv6 /128 ging perfect maar wanneer ik een LAN /56 of /64 gebruikte kon ik niet meer pingen naar google vanaf de lan poort met het ula address. Nu ik was wel met bridged interfaces aan het werken.

Nu ik heb liggen spelen op opnsense, ik heb de indruk dat opnsense IPv6 nog niet volwassen is dus misschien eens met pfsense testen.
Het opnsense team wist mij ook te zeggen dat IPv6 over pppoe broken is dus tja..

Ik blijf het gevoel hebben dat de software voor IPv6 nog niet helemaal klaar is. :)
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

Ik heb opgemerkt dat Telenet steeds dezelfde IP Prefix range geeft.
Dus /56 en 8 bits kan ik subnetten.

bvb LAN IP: 2a02:1234:1234:56::/56 kan ik statisch invullen met 2a02:1234:1234:5600::1/64 tot 2a02:1234:1234:56ff::1/64

Ik heb een tijd geleden het LAN IP adres opgeschreven en dit is nog steeds na een maandje het zelfde gebleven.
Misschien na modem reboot dat het pas veranderd dat test ik eens in het weekend. Maar het lijkt dat men uw wel een statische LAN range geeft alleen niet vermeld. Natuurlijk kan Telenet dit ten alle tijden aanpassen. Maar ik vermoed dat dit op gebied van beheerd misschien moeilijker is voor hun?
Dat hoop ik toch een beetje :D

Maar ik weet niet of dit mijn probleem gaat oplossen met Dual WAN, telkens ik er een 2de wan connectie bij aanmaakt loopt opnsense in soep en werkt er maar 1 tegelijk.
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Geven ze fixed? ("static" impliceert dat je het IP adres manueel configged op je toestel en dat er geen DHCP aan te pas komt)
Of assignen ze gewoon telkens dezelfde range aan je mac address?
Zoals ze dat ook met IP4 doen; mijn router heeft wekenlang hetzelfde IP.
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

ja met IPv4 hou je het zelfde zolang je uw modem niet uit trekt en terug insteekt.

Maar dit gaat over een volledige 8 bit range ik kan moeilijk geloven dat men die telkens veranderd?
Telenet moet toch ook IP logs bijhouden wie waar wat etc.. gedaan heeft zou ik denken voor een bepaalde termijn?
Als men telkens die ranges gaat veranderen gaat men nogal een soep maken denk ik :)
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Men verandert die ranges voor 2 redenen:
1) Fixed IPs verkoopt men voor grof geld; Fixed IPv6 ranges zouden dus economisch een slechte zet zijn voor veel ISPs.
2) Fixed IPs betekent dat men je makkelijk kan tracen op het internet; veel ISPs (bv in Duitsland) weigeren dat dus in naam van de privacy.
PleXuS
Plus Member
Plus Member
Berichten: 128
Lid geworden op: 10 dec 2009, 02:35
Locatie: Heist-op-den-berg
Uitgedeelde bedankjes: 24 keer
Bedankt: 2 keer

Wat ik opmerk heb is dat de uitgedeelde range van IPv6 voor je LAN alvast de zelfde blijft. Ik heb modem uitgetrokken meer dan een minuut gewacht en terug ingestoken. IPv4 veranderd maar IPv6 range blijft dezelfde.

1) zolang de kost van het beheren van IPv6 niet hoger ligt bij dynamisch dan bij statisch, want daarop baseert men uiteindelijk + de mogelijke winst natuurlijk.

2) privacy van het feit dat anderen op het internet jou kunnen identificeren? Want 100% privacy heb je niet met dynamische adressen aangezien een provider steeds moet bijhouden wie welk waar iets gedaan heeft voor x aantal jaar. Zij zijn verplicht om x aantal jaar traceability van hun klanten te hebben. In theorie is dit informatie dat enkel voor gerechtelijke bevelen gebruikt worden maar ja hoe zeker zijn we dat die info veilig is bewaard?

Ik merk op wanneer ik de 2 providers tegelijk op IPv6 zet op 1 opnsense dat enkel die met default gateway is die werkt. Ik had gehoopt die naast elkaar te kunnen gebruiken ook :)

Bij Telenet krijg ik ook altijd IPv6 default gateway timeout geen idee hoe dat komt?
ITnetadmin
userbase crew
userbase crew
Berichten: 8965
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 689 keer
Recent bedankt: 2 keer

Het gaat hem bij 2 idd om de privacy tegenover sites die je IP loggen.
Aangezien dat common practice is, zou dus ongeveer iedere data logger je met gemak kunnen tracen gewoon adhv je fixed IPv6 range.
En vandaar...

Security gewijs helpt het ook een beetje, dat je geen permanent slachtoffer van een DDOS kan worden.
Plaats reactie

Terug naar “Netwerken en Security”