RIPE NCC deelt nog dit jaar laatste ipv4-adressen uit

RIPE NCC, de organisatie die ip-adressen in Europa, Rusland en West-Azië verstrekt, meldt dat er nog 1,91 miljoen ipv4-adressen beschikbaar zijn voor deze regio's. Eind 2019 zijn ze op, zo is de verwachting.

Wanneer de ipv4-adressen definitief op zijn, kan RIPE NCC nog niet zeggen omdat dit afhangt van het tempo waarin nieuwe accounts door Local Internet Registry's of LIR's geopend worden. Zodra de adressen op zijn, betekent dit dat nieuwe internet registry's geen ipv4/22-blokken van ip-adressen kunnen krijgen.

Wel kunnen ze nog in aanmerking komen voor een kleinere ipv4/24-toewijzing op basis van adressen die in de toekomst vrijkomen en die RIPE opnieuw kan uitgeven. Daarvoor moeten ze echter op een wachtlijst staan zonder zekerheid wanneer adressen beschikbaar komen.

RIPE NCC waarschuwt al vele jaren voor het opraken van ipv4-adressen. Sinds 2012 kunnen alleen nog nieuwe accounts eenmalig /22-blokken van 1024 ipv4-adressen krijgen. Internetproviders putten sindsdien uit hun bestaande voorraden van ipv4-adressen, maken gebruik van network address translation of zijn overgestapt op ipv6 maar die overstap gaat langzaam.

In Europa is 18 procent ipv6 capable, wat wil zeggen dat 18 procent van de internetgebruikers in Europa met een ipv6-adres online kan. In Nederland is dat slechts 16,71 procent, maar België doet het aanzienlijk beter met 57,32 procent.

RIPE NCC ipv4 2019

Reacties (205)

205

200

128

Wijzig sortering

Roger Beurskens 29 augustus 2019 20:26

Mooi overzicht van google hoeveel ipv6 er gebruikt wordt in het totaal en per land:

https://www.google.com/in...cs.html#tab=ipv6-adoption

https://www.google.com/in...per-country-ipv6-adoption

Jerie

@Roger Beurskens • 30 augustus 2019 12:33

Uruguy een latency van -720 ms.

Het is een interessante statistiek maar ik vind het vele malen interessanter hoeveel computers dual stack hebben. Met native IPv4 zonder IPv6 mis je vooralsnog niets. NAT kun je ook tegenwoordig goed genoeg omheen werken (en functioneert meteen als firewall). Met native IPv6 plus CGNAT mis je wel degelijk bepaalde functionaliteit (zo weet ik uit eigen ervaring, kan voorbeelden noemen). Vandaar dat dual stack de heilige graal is. Helaas hebben maar bar weinig providers dual stack geimplementeerd...

Verwijderd @Jerie • 30 augustus 2019 13:23

De heilige graal is natuurlijk dat iedereen gewoon ipv6 heeft zodat ipv4 uit kan. Er zijn al providers genoeg in de wereld die alleen nog ipv4 verstrekken achter een provider wide NAT. En dan doet je router thuis dus nog een keer NAT. Verre van ideaal. Deze aansluitingen hebben vaak wel native ipv6. Ik heb thuis gelukkig dual stack Maar uit luiheid heb ik ipv6 uitstaan. Geen zin om m'n router, Pi hole e.d. opnieuw in te moeten stellen. Maar ooit moet het wel een keer.

Jerie

@Verwijderd • 30 augustus 2019 14:09

Je krijgt niets "extras" als je dual stack hebt. Het enige dat je krijgt is een goed gevoel omdat je voor hogere IPv6 adoption rate zorgt. Zolang IPv4 nog blijft werken is "ooit" gelijk aan "voorlopig niet".

Verwijderd @Jerie • 30 augustus 2019 14:39

Zolang er landen zijn zoals Nederland waar dual stack niet echt aanslaat kunnen landen waar ipv4-adressen schaars worden naar minder ideale oplossingen zoeken. Dual stack heeft namelijk niets met gevoel te maken. Het zorgt voor toekomstbestendigheid en dat straks uberhaupt ipv4 uit kan. Want het oude gezegde luidt: nooit je oude sokken weggooien voor je nieuwe hebt. Zonder native ipv6 kan ipv4 immers nooit uitgezet worden.

Het niet ondersteunen van ipv6 begint langzamerhand echt asociaal te worden in een wereld waarin interconnectiviteit van levensbelang is.

Jerie

@Verwijderd • 30 augustus 2019 14:44

Het niet ondersteunen van ipv6 begint langzamerhand echt asociaal te worden in een wereld waarin interconnectiviteit van levensbelang is.

IPv6-only is ook asociaal. Het niet ondersteunen van dual-stack is al een kleine 20 jaar asociaal. Collectief gezien zou het ideaal zijn als we 20 jaar geleden al dual stack hadden, en een paar jaar later IPv6-only. Het belang van het individu en kleinere groepen mensen strookt echter niet met dat collectieve belang. Ik denk dat we inmiddels lang genoeg hebben gewacht tot 'de industrie' dit oplost. Het wordt tijd dat we dit groter aanpakken, en dat kan prima: via wetgeving.

[Reactie gewijzigd door Jerie op 23 juli 2024 12:14]

Dreamvoid @Jerie • 30 augustus 2019 15:58

Het grote voordeel van dual stack is inderdaad dat de IPv6 adoption rate omhoog gaat, zodat anderen aan de server kant ook sneller permanent over kunnen naar IPv6.

CAPSLOCK2000

Networking en security

@Jerie • 30 augustus 2019 14:58

Met native IPv4 zonder IPv6 mis je vooralsnog niets.

Helaas niet, anders was het nu wel geregeld.

Maar anderen hebben er last van. Het is alsof je met paard-en-wagen op de snelweg rijdt. Jij kan gewoon op je normale manier verder, maar zolang er met paard-en-wagen gereden wordt moet de rest van het verkeer daar rekening mee houden en stapvoets rijden.

Jerie

@CAPSLOCK2000 • 30 augustus 2019 15:05

Hmm, behalve dan dat IPv4 niet trager is dan IPv6. Ik vind de analogie met elektrisch rijden en uitstoot een betere. Maar ik zit dan ook in een eko-bubbel

Dreamvoid @Jerie • 30 augustus 2019 15:55

Het probleem is natuurlijk dat je met dual-stack het probleem niet oplost

Je ziet wel dat steeds meer internet aansluitingen achter CG-NAT verdwijnen. De opkomst van 4G routers, en de gestage uitrol van DS-Lite zorgt ervoor dat een eigen IPv4 adres langzaamaan steeds zeldzamer gaat worden bij consumenten.

fractus @Roger Beurskens • 30 augustus 2019 13:48

Er mag in Europa dan zo'n 18% zijn die met ipv6 online kan, ze gebruiken het bar weinig. Op de statistiekenpagina van het AMS-IX kun je zien dat van de totale hoeveelheid traffic gemiddeld zo'n 2,5 procent over ipv6 wordt verzonden, de rest in ipv4 (bron).

Beeldbuis 29 augustus 2019 21:05

Dan mag Ziggo er wel een keer voor zorgen dat je ook poorten kunt forwarden als je een ipv6 adres hebt. Ik heb het naar ipv4 laten zetten om poorten te kunnen forwarden.

RefriedNoodle @Beeldbuis • 29 augustus 2019 21:18

Dan mag Ziggo er wel een keer voor zorgen dat je ook poorten kunt forwarden als je een ipv6 adres hebt. Ik heb het naar ipv4 laten zetten om poorten te kunnen forwarden.

Het hele idee van IPv6 is dat je eindelijk van NAT af bent. Wat valt er dan nog te forwarden? Je devices zijn rechtstreeks routeerbaar vanaf internet, dus van forwarding is geen sprake meer. Hooguit een firewall die bepaalt wat wel en niet door mag. Of bedoel je iets anders?

dmantione @RefriedNoodle • 29 augustus 2019 21:30

Bijvoorbeeld een Fritzbox firewallt inkomende verbindingen naar IPV6-apparaten, zodat een situatie vergelijkbaar met IPV4 NAT wordt gesimuleerd. Je kunt net als bij IPV4 poorten forwarden, of een apparaat als "exposed host" markeren, waarna hij wel van buiten te bereiken is. Vanuit beveiligingsoogpunt lijkt me dit een zinnig gedrag.

Odie @dmantione • 29 augustus 2019 21:40

Mensen zijn NAT als een luie firewall variant gaan gebruiken. Gebruik gewoon tools waarvoor ze zijn: een ipv6 firewall. Klaar.

Pietervs @RefriedNoodle • 29 augustus 2019 23:05

Een firewall? Tja.

Bedoel je 1 per netwerk (waardoor het handige neefje niet alleen maar zijn familie mag gaan helpen, maar ook de hele buurt), of 1 per apparaat? IoT devices zijn berucht om hun gebrek aan beveiliging en updates, dus als de thuisnetwerken volledig rechtstreeks worden het interessante tijden...

RuudAnders

@Pietervs • 30 augustus 2019 11:31

Ja, een firewall per netwerk. Want met IPv6 kun je zonder problemen een heel /64-subnet uitdelen aan iedere klant.

dmantione @RefriedNoodle • 29 augustus 2019 21:36

Overigens nog een ding: Ondanks dat het tegen alle aanbevelingen is, kan en zal het toch voorkomen dat een gebruiker maar één IPV6-adres tot zijn beschikking heeft. NAT en portforwarding zijn dan toch noodzakelijk. NAT is ondanks fel verzet onderdeel van de IPV6-standaard geworden en ja, we willen niets liever dan ervan af, maar het is realisme dat het niet 1-2-3 de wereld uit gaat zijn.

Odie @dmantione • 29 augustus 2019 21:41

Waar kan dat dan voorkomen? Er is echt nul reden om dat te doen, nul.

ISPs die dat toch proberen moet je boycotten. Moet je eens zien hoe snel het afgelopen is.

dmantione @Odie • 29 augustus 2019 21:51

Ik heb een Strato V-server. IPv6 staat aan en hij krijgt keurig een IPV6-adres. Een adres, geen netwerk en daar kan ik inkomen, want ik huur tenslotte en server en dat een server een enkel ip-adres heeft is niet zo raar.

Stel ik wil mijn IP-adres verbergen en een website met het ip-adres van mijn Stratoserver bezoeken om een geoblock te vermijden. Dat heb ik in het verleden wel eens gedaan door een VPN'etje met het ding op te zetten en dan NAT te gebruiken, op IPV4 overigens. Maar als ik het op IPV6 zou willen doen, dan zou ik geen andere keus hebben dan IPV6-NAT te gebruiken.

Ik denk dat er een hele hoop vergelijkbare situaties te bedenken zijn waar je een enkel IPV6 adres toegekend hebt gekregen, meer wilt, en daardoor NAT moet gebruiken. Professionele internetaanbieders zullen naar ik verwacht zich wel aan de internetrichtlijnen houden en comfortabele adresruimte aanbieden, maar je hebt heel vaak internet in situaties waarbij je niet direct op het modem zit.

Het kan een bedrijfsnetwerk zijn, een internetverbinding in een hotel, en ga zo verder.

Jerie

@dmantione • 30 augustus 2019 14:18

Maar als ik het op IPV6 zou willen doen, dan zou ik geen andere keus hebben dan IPV6-NAT te gebruiken.

Er zijn nog steeds alternatieven te bedenken, zoals een proxy. NAT ligt voor de hand. Maar dit probleem lijkt mij een gevalletje PEBCAK. In een hotel is het juist eenvoudig om via IPv6 ranges toe te wijzen per klant. Waarom zouden die voor een /128 gaan? Dat is onlogisch.

[Reactie gewijzigd door Jerie op 23 juli 2024 12:14]

Sebazzz

@RefriedNoodle • 29 augustus 2019 22:45

Je zal je thuisnetwerk toch ook vaak vanaf netwerken willen benaderen die nog geen IPv6 heeft. Bij Ziggo ga je als je IPv6 wilt op DS-Lite, waardoor je samen met vele andere gebruikers op hetzelfde externe IPv4 adres zit en mogelijkheid tot IPv4 portforwarding sowieso verliest.

Blokker_1999

Networking en security

@RefriedNoodle • 29 augustus 2019 21:33

Je moet nog altijd inkomend verkeer mogelijk kunnen maken, iets wat vaak expliciet geblokkeerd wordt net omdat je geen NAT meer hebt.

Yinchie @RefriedNoodle • 30 augustus 2019 12:11

ZIggo gebruikt DS-Lite in oud-UPC gebied, je IPv6 word geshared door meerdere mensen, dus port forwarden werkt niet.

Beeldbuis @RefriedNoodle • 31 augustus 2019 01:33

Ik heb geprobeerd een verbinding op te zetten naar de thuis server, maar dat lukte steeds niet omdat ik geen porten kon forwarden. Ik wist niet beter dan dat je dat moest doen. Als ik de firewall uit zette, lukte het overigens wel om verbinding te maken. Maar meer dan dat kun je ook niet op de Ziggo router. Alleen de firewall aan of uit zetten toen ik nog IPv6 had.

CH4OS @Beeldbuis • 30 augustus 2019 08:35

Dan heb je mazzel dat het werkt en zit je niet achter een NAT bij Ziggo. Port forwarding in IPv6 zou zover ik altijd begreep niet nodig zijn. Elk device in het netwerk heeft een eigen unieke IPv6 IP, dus je zou dan in theorie een directe verbinding op moeten zetten en de poort op de server open moeten zetten voor buiten in de firewall.

[Reactie gewijzigd door CH4OS op 23 juli 2024 12:14]

Beeldbuis @CH4OS • 31 augustus 2019 01:16

Hmmmm.. Ik heb altijd gedacht dat je poorten moet forwarden op je modem/router als je je eigen thuis server bereikbaar wilt maken vanaf het internet. Ik kan wel nog een test doen door een FTP server bij iemand anders op te zetten via IPv6 en dan kijken of het bereikbaar is via het internet.

Ik meende dat ik wel achter een NAT zat, ik had namelijk het probleem dat ik geen actieve FTP verbinding kon maken vanaf een computer op het internet naar de thuis server.

Het is wel even geleden dat ik daarmee bezig was. Kan zijn dat ik iets mis heb. Maar ik wil er binnenkort weer verder mee gaan als ik weer tijd heb

CH4OS @Beeldbuis • 31 augustus 2019 01:20

Hou er wel rekening mee dat de ander ook een IPv6 adres nodig heeft om met het IPv6 adres te kunnen verbinden.

Beeldbuis @CH4OS • 31 augustus 2019 01:23

Dank u, dat wist ik nog niet

Er valt voor mij nog genoeg te leren/lezen

TD-er

@Beeldbuis • 29 augustus 2019 21:21

Dan mag Ziggo er wel een keer voor zorgen dat je ook poorten kunt forwarden als je een ipv6 adres hebt. Ik heb het naar ipv4 laten zetten om poorten te kunnen forwarden.

Ligt dat aan de implementatie in de modem?
Of had je eerst DS-lite met IPv6?
Oftewel vergelijkbaar met IPv4 achter een NAT router bij de provider, samen met een hoop andere klanten.
Tsja, dan is het niet gek dat je geen IPv4 portforwarding kunt doen, omdat je niet de enige bent achter het publieke IPv4 adres.

Dutch2007 @TD-er • 29 augustus 2019 22:44

ziggo heeft gewoon een zware IPv6 filter in t modem zitten zonder configuratie mogelijkhied.

native IPv6 of IPv6+cgnat helpt je daar niet tegen ;-)

Dreamvoid @Dutch2007 • 30 augustus 2019 16:33

WTF, kan je bij Ziggo geen poorten open zetten in de IPv6 firewall?

Dutch2007 @Dreamvoid • 30 augustus 2019 16:34

De 2 afbeeldingen gaat dr over waarom je geen IPv6 + bridged modem mogelijkheid hebt bij ziggo.

Maar veel zaken zijn gefiltert/staan dicht op IPv6

Dreamvoid @Dutch2007 • 30 augustus 2019 16:40

Ah ok de bridge mode alleen, dat scheelt al dan.

Het is inderdaad op IPv6 'best practice' dat de ISP een router met firewall levert, maar die moet dan wel configureerbaar zijn natuurlijk.

Dutch2007 @Dreamvoid • 30 augustus 2019 16:46

Zou je denken, maar zo denkt Ziggo (helaas) niet ;-)

Dreamvoid @Dutch2007 • 30 augustus 2019 16:46

Kan je in router-mode dan wel de firewall configureren?

Dutch2007 @Dreamvoid • 30 augustus 2019 16:47

Zover ik weet niet, IPv6 is een beetje een ondergeschoven kindje bij ziggo..

bvdli @Dutch2007 • 31 augustus 2019 20:22

IPv6 is gewoon standaard bij Ziggo

Dutch2007 @bvdli • 31 augustus 2019 22:19

alleen bij nieuwe abonnees, als je t je laat inschakelen (met moeite via ziggo community moderator)

Dan krijg je IPV6 + CGNAT ipv4 (dus shared IPv4 adres en dus geen portforwarding..; ivm shared IP)

tweazer @Dutch2007 • 29 augustus 2019 23:08

Mag ISP filteren, ontoegankelijk maken, behalve dan door de eingebruiker heden ten dagen juridisch ?

Dutch2007 @tweazer • 30 augustus 2019 08:46

Geen idee, ze doen het iig...

https://i.imgur.com/sQfyyBm.png
https://i.imgur.com/BxhV1df.png

Beeldbuis @TD-er • 31 augustus 2019 01:41

Ik durf niet te zeggen of het DS-lite met IPv6. Totaal niet naar gekeken

Maar ik zat wel achter een NAT, ik had een probleem met het opzetten van een actieve FTP verbinding. Het is weer een tijd geleden dat ik ermee bezig was. Binnenkort maar weer eens kijken

Dreamvoid @Beeldbuis • 30 augustus 2019 16:04

Kan je bij Ziggo geen poorten open zetten in de IPv6 firewall dan?

Beeldbuis @Dreamvoid • 31 augustus 2019 00:53

Nee, Dat kon niet. Ik kon hem alleen uit zetten, of aan zetten. Maar er was geen optie om poorten te forwarden als je IPv6 hebt^_^

itlee 29 augustus 2019 20:00

Als ripe bij de overheden en hele grote bedrijven de adressen terug halen is er weer om wat uit te geven. Er zijn zat bedrijven die grote reeksen hebben gehad die er niks of te weinig mee doen. ipv6 adoptie zal nog jaren en jaren duren.

Ik ben ook van mening zo makkelijk als ze nu ipv6 uitgeven, grote reeks hier, grote reeks daar dat daar uit eindelijk ook problemen mee komen. (en ja ik weet dat je er heel veel kan uitgeven, maar in de jaren gaven ze ook ipv4 uit als een dolle...en nu 20 jr later in de problemen. )

MrFax @itlee • 29 augustus 2019 20:06

ipv6 is gewoon nog steeds niet stabiel genoeg om breed uitgerold te worden. Ziggo is heel erg voorzichtig met ipv6 en ze laten bijv. eigen routers geen ipv6 gebruiken omdat er heel veel routers zijn die er verkeerd mee omgaan en het hele netwerk plat kan leggen.

Maar ja, des te langer je wacht, des te desastreuzer het effect zal zijn als de ipv4 adressen op zijn.

Het kan zelfs zo erg worden dat straks meerdere huishoudens of zelfs hele wijken hetzelfde IP-adres moeten gaan gebruiken. Zoals in veel derde wereldlanden het geval is.

[Reactie gewijzigd door MrFax op 23 juli 2024 12:14]

TD-er

@MrFax • 29 augustus 2019 20:29

ipv6 is gewoon nog steeds niet stabiel genoeg om breed uitgerold te worden. Ziggo is heel erg voorzichtig met ipv6 en ze laten bijv. eigen routers geen ipv6 gebruiken omdat er heel veel routers zijn die er verkeerd mee omgaan en het hele netwerk plat kan leggen.
[...]

Ik heb hier thuis al zo'n 10 jaar ongeveer dual-stack IPv6 & IPv4 en het is prima stabiel.
Ziggo heeft om de paar jaar zo'n beetje nieuwe modems/routers, omdat ze weer een fikse upgrade uitrollen van hun netwerk.
Dus als het via XS4all al bijna een decennium lukt voor thuisgebruikers, waarom zou een grote partij als Ziggo dan nog steeds geen stabiel IPv6 kunnen leveren?

Het is echt niet zo dat je geen IPv4 meer hebt, voor dat spul wat niet met IPv6 overweg kan. Maar dat het op het niveau van modem/router nog steeds niet stabiel is, geloof ik geen donder van.

Ook voor mijn eigen colocated server gebruik ik ook al jaren dual-stack IPv4 & IPv6 naar volle tevredenheid.
5 - 10 jaar geleden was het wellicht nog een tikkeltje experimenteel te noemen, om het grootschalig uit te rollen naar elke thuisgebruiker, maar ik zou echt niet weten wat er nu nog het probleem is.

pleh @TD-er • 29 augustus 2019 20:36

XS4all levert toch al jaren ipv6 only connecties voor thuis gebruikers. als je IPv4 wil moet je dat apart aanvinken bij je bestelling. Dus zeker dat het stabiel draait. Je zou denken er binnen de liberty global groep wel een team samen te stellen is om dat varkentje te wassen.

lezzmeister @pleh • 29 augustus 2019 21:00

XS4all levert toch al jaren ipv6 only connecties voor thuis gebruikers. als je IPv4 wil moet je dat apart aanvinken bij je bestelling. Dus zeker dat het stabiel draait. Je zou denken er binnen de liberty global groep wel een team samen te stellen is om dat varkentje te wassen.

Ik krijg het idee dat iedere ISP huiverig is om ipv6 te geven aan thuisgebruikers. Waarom? XS4all laat zien dat het wel kan. Dat terwijl iedere router, switch, exchange, server, datacentre etc er ondertussen mee om kan gaan. Waarom liggen de providers zo dwars? Ik vroeg het ook aan de support van mijn provider: status is experimenteel, alleen zakelijke verbindingen hebben bij ons v6. Met andere woorden: alleen stabiel voor klanten die voor hun dienstverlening afhankelijk zijn van hun verbinding. Die logica is van het niveau overheid.

CAPSLOCK2000

Networking en security

@lezzmeister • 30 augustus 2019 15:08

Waarom liggen de providers zo dwars?

Om hun markt te beschermen. Zij hebben al adressen, zonder adressen geen concurrentie.

Zolang de wereld op IPv4 draait is het vrijwel onmogelijk om nog een nieuwe ISP op te richten.
De investering die je zou moeten doen om voldoende IPv4-adressen te kopen is gigantisch.
De grote ISPs hebben genoeg adressen om het nog een tijdje uit te zingen. Heel veel nieuwe klanten komen er toch niet meer bij, vrijwel iedereen heeft tegenwoordig al internet.

Dreamvoid @lezzmeister • 30 augustus 2019 16:19

Dat terwijl iedere router, switch, exchange, server, datacentre etc er ondertussen mee om kan gaan. Waarom liggen de providers zo dwars?

Het is geen directe onwil. Maar IPv4 werkt, en als je als provider geen IPv4 adressen meer hebt knikker je je klanten vrolijk achter CG-NAT (zoals de telco's doen, elke mobiele dataverbinding is op het moment IPv4-only met CG-NAT). Hoef je niks voor te doen.

Je kan op het moment niet naar IPv6-only migreren, omdat je klanten dan:
a) niet meer naar IPv4 servers kunnen verbinden en
b) clients met IPv4-only verbindingen (alle mobiele telefoons bv!) niet naar die klanten kunnen verbinden

Wil je naar IPv6 gaan, dan zal je dus een dubbele netwerkinfrastructuur van IPv4 *en* IPv6 moeten opzetten, en dat is klote. Troubleshooting wordt lastiger, security ook (2 entry vectors ipv 1), en je kan je dure IPv4 adressen niet verkopen.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 12:14]

Jerie

@Dreamvoid • 7 september 2019 12:04

Je hebt helemaal gelijk. Het probleem zou in 1x kunnen worden opgelost als iedereen die IPv4 native heeft, dual stack zou krijgen. Dat gebeurd niet (want men ziet de noodzaak niet). Je kunt echter via wetgeving en policies zoiets wel degelijk afdwingen. We zouden dit in internationaal verband moeten regelen. Bijvoorbeeld door te stellen dat iedereen die over 3 jaar nog steeds IPv4-only biedt wordt afgesloten. Dan zet je die rommel maar achter een NAT welke dan dual stack is.

The Zep Man

Networking en security

@pleh • 29 augustus 2019 21:08

XS4all levert toch al jaren ipv6 only connecties voor thuis gebruikers. als je IPv4 wil moet je dat apart aanvinken bij je bestelling.

Jarenlang XS4ALL bestellingen gedaan. Dit heb ik nog nooit gezien.

XS4ALL levert standaard één vast IPv4 adres en een vaste /48 IPv6 range. Tegen betaling kan een XS4ALL verbinding één vaste /29 IPv4 range (effectief 5 extra bruikbare adressen) erbij krijgen.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 12:14]

mrmrmr @The Zep Man • 30 augustus 2019 01:48

Ik begrijp niet dat access providers (en ook sommige old school hosters) nog zoveel routeradressen nodig hebben gebruiken anno 2019, wat een verspilling van IPv4 adressen.

jDuke @mrmrmr • 30 augustus 2019 09:35

Waarom is het een verspilling? Ik heb servers op zolder staan die ik graag bereikbaar heb op het internet (is wel handig voor mail). Dat NAT geneuzel is leuk voor een enkele webserver ofzo die je thuis hebt staan maar als je wat meer hebt draaien heb je toch liever aparte IP adressen. Hetzelfde geldt als je een TOR-Exit node hebt draaien, die heb je liever ook op aparte publiek IP.

The Zep Man

Networking en security

@jDuke • 30 augustus 2019 10:01

Dat NAT geneuzel is leuk voor een enkele webserver ofzo die je thuis hebt staan maar als je wat meer hebt draaien heb je toch liever aparte IP adressen.

Een reverse proxy op basis van HTTP host header (HTTP) en Server Name Indication (HTTPS) maakt meerdere IP adressen voor meerdere webservers overbodig.

Hetzelfde geldt als je een TOR-Exit node hebt draaien, die heb je liever ook op aparte publiek IP.

Dat zeker. Vergeet niet je ISP hierover te informeren als je dit doet.

jDuke @The Zep Man • 30 augustus 2019 10:14

Ondanks de IP adressen gebruik ik ook 1 IP adres voor SNI voor al het https verkeer, maar uiteindelijk zit ik wel met mail (reverse-DNS), VoIP, VPN, SSH (Git) etc. Het zou wel kunnen met NAT uiteraard, heb ik ook jaren gedaan.

Uiteindelijk met de extra IPs heb ik het netwerk wel wat fijner kunnen inrichten, tevens is het erg handig om SSH op poort 443 te zetten als er corporate firewalls zijn die zowat alles blokkeren, dan kun je nog wat tunnels maken ;-).

The Zep Man

Networking en security

@jDuke • 30 augustus 2019 12:52

Uiteindelijk met de extra IPs heb ik het netwerk wel wat fijner kunnen inrichten, tevens is het erg handig om SSH op poort 443 te zetten als er corporate firewalls zijn die zowat alles blokkeren, dan kun je nog wat tunnels maken ;-).

Met iets als haproxy kan je een SSL VPN, een SSH server en meerdere TLS sites tegelijkertijd bedienen via TCP 443 op een enkel IP adres.

Meerdere IP adressen zijn zeker nuttig en overzichtelijker, maar het is zeldzaam dat het tot de mogelijkheden behoort.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 12:14]

mrmrmr @jDuke • 30 augustus 2019 15:43

Ik heb het over routeradressen (en dergelijke, ook broadcast). Je hebt 8 IPv4 adressen nodig voor slechts 5 effectief bruikbare adressen. Dat kan efficiënter.

dmantione @mrmrmr • 30 augustus 2019 17:04

Dat geldt alleen als je een subnet configureert. Er is bij een verbindingen zoals XS4All levert geen noodzaak een subnet te configureren: Je kunt 8 keer een /32 configureren en statisch routeren. Op die manier kun je 8 van de 8 adressen gebruiken.

jDuke @The Zep Man • 30 augustus 2019 09:33

Ik heb dus ook een extra subnet van XS4ALL en kan ze alle 8 gebruiken ;-). XS4ALL routeert gewoon het hele subnet naar je, als je dus 8x /32 adres configureert heb je effectief 8 IP adressen. Althans zo doe ik het. Werkt het makkelijkste als je dit publiek IP adres als alias op je machines zet ivm je default gateway. Als je in je router configureert dan is het weer een forward naar je interne IP adres.

Je zou evt op je eigen router ook een breder subnet kunnen configureren maar dan zijn de IP adressen die erom heen staan niet voor jou bereikbaar. Daarom vind ik de /32 methode wat netter werken.

wica @pleh • 29 augustus 2019 20:51

Heb je daar een URL van? Vind het nog al moeilijk om te geloven dat xs4all IPv6 only levert.
Dat ze al jaren duelstack leveren is mij bekent.

sylvester79 @wica • 30 augustus 2019 20:03

XS4ALL levert geen IPv6 only ook nooit gedaan. Dual stack hebben ze al jaren en krijg je nu standaard dat was een jaar of 7 anders toen moest je een vinkje zetten om IPv6 aan te zetten.

[Reactie gewijzigd door sylvester79 op 23 juli 2024 12:14]

wica @sylvester79 • 30 augustus 2019 20:54

Weet ik, maar was ook een reactie op @pleh
pleh in 'nieuws: RIPE NCC deelt nog dit jaar laatste ipv4-adressen uit'

.oisyn Moderator Devschuur® @pleh • 29 augustus 2019 21:00

als je IPv4 wil moet je dat apart aanvinken bij je bestelling

Ik zit sinds afgelopen november bij xs4all, een dergelijk vinkje heb ik nog nooit gezien.

sympa @TD-er • 29 augustus 2019 20:33

Wellicht klagen mensen over port forwards op IPv4. Dat werkt niet zo best met IPv6 en ds-lite.

Dutch2007 @sympa • 29 augustus 2019 22:39

met ipv6 is elke ip adres internet facing (zolang t een routeerbaar IPv6 adres is), je hoeft geen poorten meer te forwarden, hooguit op je router definieren welk IPv6 adres op poort X of Y mag communiceren (kan overigens ook de firewall bij de client zijn)

MrFax @Dutch2007 • 29 augustus 2019 23:16

Je wilt nog steeds je ip masken, omdat het veiliger is, dat kan met randomisatie(niet handig voor thuisservers) of zoals het nu gebeurt met ipv4 en NAT.

[Reactie gewijzigd door MrFax op 23 juli 2024 12:14]

DataGhost

@MrFax • 30 augustus 2019 04:21

Kan je ook uitleggen waarom het "veiliger" is, en waarom een firewall minder veiligheid zou bieden dan NAT? En dan niet aankomen met gelul van "ja maar niemand stelt m goed in". By default zet je alle inkomende poorten dicht (als fabrikant), en dat kan nog steeds op je router. Nu klinkt het nogal alsof je ooit een ADSL-modem hebt aangesloten en vindt dat je netwerkexpert bent.

lenwar

@DataGhost • 30 augustus 2019 07:46

(( Ik word graag gecorrigeerd als ik er naast zit ))
IPv6 adressen worden standaard gegenereerd op basis van het MAC adres van de NIC van het verbonden apparaat.
Dan maakt het dus niet uit op welk wifi netwerk je verbindt. Je apparaat is altijd te 'volgen' door alles en iedereen waar je mee verbindt. Doordat het MAC adres dus bekent is, kan een potentiele kwaadwillende (tot op zekere hoogte) zien wat voor soort apparaat verbindt, en makkelijker bepaalde bekende exploits proberen toe te passen. Of anders gezegd. Iedere dienst kan dus zien dat 'IK' (of in elk geval mijn telefoon) op vakantie ben, omdat mijn MAC adres ineens in Griekenland is.

Anekdotisch:
Als ik op https://macvendors.com/ het wifi-MAC adres van m'n telefoon opgeef krijg ik netjes te zien wat voor merk telefoon ik heb. (waarschijnlijk heeft het merk een bepaald MAC-adres-blok toegewezen gekregen - weet niet zeker hoe dit is geregeld). Hetzelfde geldt voor mijn versterker, wasmachine en babyfoon.

Ja, men kan statische adressen opgeven, maar we weten allemaal dat slechts anderhalve paardenkop dit zal doen (waarschijnlijk de bezoekers van deze site bovengemiddeld veel). Ook zijn er systemen die per wifi netwerk het MAC adres 'willekeurig' maken (softwarematig), maar zolang niet alle apparaten dit standaard doen blijft dit natuurlijk (of in elk geval naar mijn mening) wel een dingetje.

Het maskeren van je 'echte IP adres' (bijvoorbeeld zoals dit effectief standaard is met IPv4/NAT) heeft dus wel degelijk een toegevoegde waarde voor beveiliging en privacy.

Ik ben het overigens 100% met je eens dat als de firewalls standaard (af-fabriek) 'dicht' staan, en een hele simpele beheerinterface krijgen (zoals nu veelal is met de NAT-instellingen op consumentenrouters/modems) dat dit dan effectief 'net zo veilig' is of kan zijn. (er is natuurlijk een risico, dat als er iets niet werkt, dat de huis-ICT'er dan maar besluit alles open te zetten voor een bepaald adres, en het vergeet weer dicht te zetten, of denkt 'ik weet wat ik doe', maar dit zal waarschijnlijk marginaal gebeuren)

Edit: Bedankt aan iedereen hieronder die me wezen op de SLAAC Privacy Extension. Ik had ooit een keer begrepen dat die niet geïmplementeerd zou worden. Aldoende was ik in de overtuiging dat het nog steeds op MAC adres was gebaseerd. Dit blijkt dus niet waar.

[Reactie gewijzigd door lenwar op 23 juli 2024 12:14]

DataGhost

@lenwar • 30 augustus 2019 11:03

Ik kan daar heel kort op reageren: lees https://en.wikipedia.org/wiki/IPv6#SLAAC_privacy_extensions eventjes. Precies deze situatie is door anderen ook gezien en daar hebben ze in september 2007, 12 jaar geleden dus, al een oplossing voor bedacht door je machine automatisch een random IP's te geven welke ongeveer elke dag verandert. En je hebt alsnog het statische IP om een service te draaien, als het goed is wordt alleeen het random IP voor uitgaande verbindingen gebruikt waardoor de statische in principe niet "per ongeluk het net op lekt". Dit zit overigens zelfs in Windows XP nog, en Android 4.0.

Ik zou het echt toejuichen als er meer in oplossingen gedacht wordt dan in problemen. Heel vaak hoor ik over nieuwe dingen "ja maar X is nu een issue met B en dat is het met outdated A niet", waarbij de "oplossing" dan is om A te blijven gebruiken in plaats van te kijken hoe X bij B op te lossen is. Zeker als A een hele hoop extra problemen heeft waar men al aan gewend is vind ik dat raar.

[Reactie gewijzigd door DataGhost op 23 juli 2024 12:14]

MrFax @lenwar • 30 augustus 2019 11:43

Je maskeert je "echte" IP adres niet, je maskeert effectief je hele LAN door NAT. Als jij met je PC een pakketje verstuurd weet de remote host niet waar deze nou precies vandaan kwam, behalve de router zelf. Alleen de router weet naar welke lokale IP het pakketje omgezet moet worden als deze weer binnenkomt.

DataGhost

@MrFax • 30 augustus 2019 14:30

Je maskeert je "echte" IP adres niet, je maskeert effectief je hele LAN door NAT. Als jij met je PC een pakketje verstuurd weet de remote host niet waar deze nou precies vandaan kwam, behalve de router zelf. Alleen de router weet naar welke lokale IP het pakketje omgezet moet worden als deze weer binnenkomt.

Je legt nu uit wat er gebeurt, ik vroeg waarom het veiliger zou zijn.
Als jij verbinding maakt naar een website wordt met NAT het IP van je router bekend, zonder NAT het IP van je computer. Als je NAT draait gebeurt er effectief hetzelfde als wanneer je op je router zonder NAT een firewall draait met alle poorten dicht. Je kan in beide gevallen niet bij je computer komen, tenzij je computer eerst een verbinding initieert (aangenomen dat de default outgoing policy open staat). Wat is dan het voordeel qua veiligheid van het maskeren van het IP van je computer ten opzichte van het gebruik van een firewall?

Ik durf te stellen dat NAT juist "minder veilig is", vooral door hoe het gebruikt wordt. NAT wordt helaas misbruikt als firewall, waardoor mensen niet de moeite nemen een firewall op hun computer te zetten, waardoor je allerlei veiligheidsissues kan krijgen als je ergens in een netwerk terecht komt wat geen NAT gebruikt. Tegenwoordig zit er in veel OS'en wel een firewall by default, maar dat heeft ook een hele tijd geduurd. Op het moment dat er verbindingsproblemen zijn die door NAT veroorzaakt worden is de lokale firewall vaak het eerste ding wat uitgezet wordt, en natuurlijk nooit meer terug aangaat. Ik ben zelf ook niet heilig, dit is mij daadwerkelijk overkomen (lang geleden) omdat ik de firewall van mijn laptop uit had staan (want ik had toch NAT) en een webserver met oude PHP en lekke software draaide, die eigenlijk alleen voor intern gebruik op m'n laptop bedoeld was. Toen ik in een universiteitsgebouw was kreeg ik een publiek IP en na een tijdje flitsten er wat cmd-vensters langs en zag ik aan de rare prut in m'n access log waar dat vandaan kwam.
Bovendien draagt een NAT niks bij aan de veiligheid van je interne netwerk. Als je een virus/indringer op een van de machines achter je NAT hebt, hebben zij vrij spel op al je machines die daarachter staan. Het is daarom veel beter om gewoon te zorgen voor goed ingestelde firewalls overal, en dan niet alleen op je router maar op elk device. Daarmee kan je de toegang ook nog eens veel beter regelen, met een firewall kan je zeggen "alleen dat IP of die range mag erin, alleen tijdens kantooruren" en met een NAT is het alles of niets.

Voor situaties waar je P2P verbindingen wilt maken is NAT juist een obstakel omdat de client op je computer niet zomaar kan uitleggen welk IP 'ie heeft. Dat daar omheen te werken is (en dat dat gebeurt) is geinig, maar nutteloos, en programma's die dat niet doen of niet kunnen doen hebben een probleem.
En als je een server wilt draaien moet je een poort open zetten in je NAT of een poort open zetten in je firewall. Lood om oud ijzer dus, met wederom gezeik als je dynamic DNS gebruikt omdat je server z'n eigen externe IP niet weet. En wat moet ik doen als ik https://server1.example.com en https://server2.example.com in hetzelfde netwerk heb staan, maar achter een NAT, en bovendien ervoor zorgen dat de ene nog bereikbaar is als de andere offline is (dus de ene door de andere proxyen is geen geldige oplossing)? Je kan niet beide servers exposen over poort 443, dus dat is onmogelijk. Zonder NAT (of met IPv6) is dat een fluitje van een cent, want ze hebben allebei verschillende IP's. Dit is in een thuissituatie misschien niet zo veelvoorkomend (maar zeker niet ondenkbaar), maar dit is precies waar (nieuwe) hostingpartijen nu mee te kampen hebben. Ze kunnen simpelweg geen IP's meer krijgen dus dan is het einde verhaal.

Je kan wat mij betreft dus de NAT weglaten en vervangen voor een firewall met dezelfde regels, dan verandert er qua security niets. Je machines worden individueel bereikbaar, dus in plaats van 1 service per netwerk/NAT is het 1 service per IP (dus eventueel zelfs meerdere per machine) op dezelfde poort. Dan kan je daarna verder gaan met het netjes firewallen van alle machines individueel.

[Reactie gewijzigd door DataGhost op 23 juli 2024 12:14]

lenwar

@DataGhost • 30 augustus 2019 15:01

Ik schreef in m'n laatste alinea dat het 'even veilig' kan zijn.

Het "onveilige" dat ik schetste ging voornamelijk over het feit dat als je IP adres gebaseerd is op je MAC adres (wat dus blijkbaar niet (meer) zo is heb ik net geleerd

) dat dan een 'kwaadwillende' simpel kan zien wat voor telefoon/tablet je hebt (in elk geval het merk) en daarmee dus makkelijker bekende exploits kan toepassen. Daarnaast benoemde ik het privacy stuk om een uniek stuk van je ip-adres (namelijk het MAC deel) over netwerken heen gelijk blijft.

Ik heb niks gezegd over lokale firewalls, die overigen wel al vrij lang in besturingssystemen, in elk geval Windows zit en standaard aan staat (sinds Windows XP SP2), waardoor in elk geval de meeste inkomende zaken werden afgevangen. iptables voor o.a. Linux komt uit m'n hoofd uit eind jaren-90. Ik weet niet sinds wanneer de distro's het standaard meeleverden.

Bovendien draagt een NAT niks bij aan de veiligheid van je interne netwerk

Klopt. Een firewall op een router ook niet.

Op het moment dat er verbindingsproblemen zijn die door NAT veroorzaakt worden is de lokale firewall vaak het eerste ding wat uitgezet wordt

In mijn directe omgeving weet ongeveer 95-100% van de mensen niet wat NAT of firewalls zijn, laat staan dat ze denken dat het problemen veroorzaakt.

Ik ben in elk geval van mening dat, in elk geval voor thuissituaties, dat NAT even veilig is als een gesloten firewall. En het zal sowieso aangevuld moeten worden met lokale firewalls op de nodes. Het voordeel van een standaard NAT implementatie is in elk geval dat je die niet 'kan uitzetten' (je snapt hoe ik hem bedoel

), maar dat zou dan ook geïmplementeerd kunnen worden met firewalls in consumentenrouters. Je kan uiteraard flexibeler zijn met firewalls.

Dreamvoid @lenwar • 30 augustus 2019 16:11

Het voordeel van een standaard NAT implementatie is in elk geval dat je die niet 'kan uitzetten' (je snapt hoe ik hem bedoel ), maar dat zou dan ook geïmplementeerd kunnen worden met firewalls in consumentenrouters. Je kan uiteraard flexibeler zijn met firewalls.

Bestaat er uberhaupt een IPv6 provider ergens ter wereld die geen IPv6 firewall op zijn routers activeert?

DataGhost

@lenwar • 30 augustus 2019 15:19

Ik schreef in m'n laatste alinea dat het 'even veilig' kan zijn.

Ik reageerde eigenlijk op de stelling van NotCYF dat je IP maskeren veiliger zou zijn, dat was misschien niet helemaal duidelijk.

In mijn directe omgeving weet ongeveer 95-100% van de mensen niet wat NAT of firewalls zijn, laat staan dat ze denken dat het problemen veroorzaakt.

Het probleem zit 'm dan ook vooral in de mensen die inderdaad niet weten wat het is, maar een probleem hebben en dat vervolgens "Google zegt" dat ze de firewall uit moeten zetten, en dat het vervolgens wel of niet werkt, maar dat 'ie in ieder geval lang niet altijd weer terug aangezet wordt.

Ik ben in elk geval van mening dat, in elk geval voor thuissituaties, dat NAT even veilig is als een gesloten firewall.

Tegenwoordig gebruiken veel mensen laptops, volgens mij meer dan desktops, dus gaat de thuissituatie lang niet altijd op. Alles wordt daar echter wel op ingesteld zonder dat er wordt nagedacht hoe de "beveiligingsmaatregelen" met de laptop meereizen naar andere netwerken. In dat opzicht zou het goed zijn om mensen te dwingen zonder NAT te werken, om ze daarmee te dwingen een fatsoenlijke firewall te gebruiken. Tegenwoordig zit dat wel redelijk goed dus het valt inderdaad behoorlijk mee, maar dat NAT nog steeds als "beveiliging" gezien wordt is wel tekenend.

maar dat zou dan ook geïmplementeerd kunnen worden met firewalls in consumentenrouters.

En dit is inderdaad waar we naartoe moeten. Nou nog de fabrikanten van consumentenmeuk en internetproviders een schop geven dat ze eens fatsoenlijke producten gaan leveren

[Reactie gewijzigd door DataGhost op 23 juli 2024 12:14]

dmantione @lenwar • 30 augustus 2019 16:57

Ik ben in elk geval van mening dat, in elk geval voor thuissituaties, dat NAT even veilig is als een gesloten firewall.

Voor diensten die via TCP verlopen worden is dat juist. Voor diensten die via UDP lopen ligt het complexer: Zodra jouw machine een UDP-pakketje op een bepaalde poort verstuurt, is die poort automatisch "geforward" op de machine die de NAT uitvoert, totdat een timeout optreedt. Vervolgens kan vanaf overal op het internet je machine achter de NAT bereikt worden.

feico.de.boer @lenwar • 30 augustus 2019 08:47

Naast het adres gegenereerd uit het MAC adres is er ook een randomized ip6 adres welke eens in de zoveel tijd (preferred_lft 24518sec) verandert. Standaard routing gebruikt het random adres voor uitgaand verkeer. Ingaand verkeer kan op beide adressen.

Dutch2007 @lenwar • 30 augustus 2019 08:49

Daarom zijn er privacy extentions voor IPv6

https://www.internetsocie...xtensions-for-ipv6-slaac/

idef1x @lenwar • 30 augustus 2019 08:54

Die "issues" zijn ook al lang ondervangen via privacy extensions. Staat bij windows iig standaard aan meen ik.
Lees https://tools.ietf.org/html/rfc4941 en https://tools.ietf.org/html/rfc7217 maar.

Heidistein @lenwar • 30 augustus 2019 11:20

Klopt, het werd gedaan op basis van mac adres. Nog steeds wel, maar dat adres wordt niet gebruikt om mee te communiceren naar internet. Dit leek (toen het verzonnen werd) een heel goed idee, toen was tracking nog niet aan de orde, of iig nog geen probleem.
Er wordt daarnaast namelijk nog een totaal willekeurog adres op je interface gezet. Dit adres wordt (soms: Mac wel, linux soms, windows begrijp ik niet) elke x (10) minuten weer veranderd.
https://tools.ietf.org/html/rfc4941 staat er iets over.

Over de mac adressen, klopt. Een organisatie vraagt een reeks aan van adressen, dan krijgen ze een blok (de eerste helft) waarbinnen ze adressen op hun apparaten mogen zetten. Je kan dus op basis van de eerste zes digits de fabrikant vinden.

sympa @Dutch2007 • 30 augustus 2019 11:39

Ja maar het werkt wel anders. Als het dan niet meer werkt bellen ze de ISP. Heb je geld terug naar ipv4 want dat is het makkelijkst.

ASS-Ware @sympa • 29 augustus 2019 22:52

Wellicht klagen mensen over port forwards op IPv4. Dat werkt niet zo best met IPv6 en ds-lite.

Dat is alleen een probleem bij DS-Lite, omdat je geen publiek IPv4 adres hebt.
Voor IPv6 heb je geen port forwarding, dan zet je per adres een poort open.

Dreamvoid @ASS-Ware • 30 augustus 2019 16:22

Dit heeft niks te maken met IPv6, alle providers die hun IPv4 zonder publieke IPv4 adressen doen lopen tegen dit probleem aan.

ASS-Ware @Dreamvoid • 30 augustus 2019 17:20

Dat zeg ik toch ook, "omdat je geen publiek IPv4 adres hebt".

Dreamvoid @ASS-Ware • 31 augustus 2019 13:37

Precies, maar je hoeft niet op DS-lite te zitten om dit probleem te hebben.

BushWhacker @TD-er • 29 augustus 2019 20:38

Hier precies dezelfde ervaring. Ook al iets van 10 jaar dualstack.
In het begin waren er nog we leens sites verkeerd geconfigureerd, maar dat kom ik de laatste jaren eigenlijk niet meer tegen.

De eerste 6 jaar een Fritzbox gehad en nu sinds een aantal jaar een Edgerouter.
Bij beiden werkt IPv6 gewoon zoals het hoort.

N8w8 @TD-er • 29 augustus 2019 22:50

Ik had hier thuis ook enthousiast IPv6 aangezet (Telfort 6rd), en dat werkte van zichzelf idd helemaal prima. Maar toen haperde Youtube af en toe, debuggen leerde dat eoa Youtube CDN server niet goed werkte via IPv6.
Toen besloot ik IPv6 uit te zetten, totdat ik problemen krijg door het _niet_ hebben ervan.

Dat heeft uiteraard niets te maken met de stabiliteit van IPv6 zelf; dit was ws n configuratieprobleem in 1 van de tienduizenden routers/servers waar ik indirect mee te maken heb.
Maar onder de streep heb ik graag zo min mogelijk last van andermans problemen, en zolang IPv4 dominant/default is, is dat wel het meest beproefd en minst problematisch (natuurlijk vooropgesteld dat je zoals ik prima kan leven met IP schaarste en NAT etc).

Kan me voorstellen dat ISPs dat ook meewegen in hun aarzelingen IPv6 overal aan te zetten, zoveel vraag is er toch niet naar van hun klanten. Vooral een vocale minderheid van tweakers, die dat dan toch wel (iig bij Telfort zoals ik) zelf aan kunnen zetten.

[Reactie gewijzigd door N8w8 op 23 juli 2024 12:14]

muertos @TD-er • 29 augustus 2019 23:34

Ik heb sinds ongeveer een jaar een stabiele IPV6 verbinding via Ziggo, ze zijn er dus wel mee bezig!

Mel33 @TD-er • 30 augustus 2019 02:32

Ik heb ziggo met een connect box en ik heb sinds kort opeens IPv6, kwam na een update een maand geleden geloof ik.
Ik heb nu 17 / 20 goed op https://ipv6-test.com/
Zelf niets aan gedaan.

TD-er

@Mel33 • 30 augustus 2019 15:36

Hier met XS4all ook 17/20, omdat ik geen (IPv6) reverse DNS heb aangemaakt voor mijn PC waar ik nu op werk en ICMP pakketten filter van buiten.

Mel33 @TD-er • 30 augustus 2019 15:45

Score is nu 18 / 20

Ook ik filter ICMP, tenminste dat doet mijn firewall in de ziggo modem al standaard, is nogal wat discussie over.
De ene zegt dat de firmware van bepaalde fabrikanten het een risico vinden het filteren 'niet aan' te zetten, en de ander zegt dat het 'niet aan' moet/hoeft.
weet jij hoe dat zit, of iemand>?

De test op https://ipv6-test.com/ geeft nu een certificaat mee voor windows admin center, en hij slaat de ICMP test nu over( misschien dat ik daarom nu naar 18 / 20 ben)

Edit:
Het grappige is nu wel dat ik een ipv4 van Vodafone heb, en een ipv6 van ziggo, ik ben ziggo klant.
kwil ook een ziggo ip haha

[Reactie gewijzigd door Mel33 op 23 juli 2024 12:14]

dmantione @Mel33 • 31 augustus 2019 00:26

Icmp gaat om meer dan ping, het zenden en ontvangen is integraal onderdeel van het functioneren van internetverkeer. Nuttige icmp-berichten zijn bijvoorbeeld de "unreachable"-pakketten, die aangeven dat een verbinding niet mogelijk is. Blokkeer je die dan zal iets hangen i.p.v. een foutmelding geven. Of als icmp-redirects niet aankomen, dan krijgt je computer niet te horen waar verkeer heen moet.

Adviezen om het te blokkeren komen mijn inziens vanuit het dogma "alles blokkeren wat niet strict noodzakelijk is". Enig veiligheidsrisico van belang zie ik niet.

Sp3ci3s8472 @MrFax • 29 augustus 2019 20:48

Misschien een uitermate domme reactie van mij; maar als een land zoals Griekenland al het dubbele heeft in IPV6 adoptie dan loop je als NL belachelijk achter.
Als ze het daar al werkend hebben, met imho een technologische achterstand...

Ook Frankrijk waar je op het platteland nu pas een beetje (betaalbaar) internet krijgt loopt voor.

Eagle Creek

@Sp3ci3s8472 • 29 augustus 2019 20:55

Dat komt niet omdat Nederland achterloopt maar voorloopt. Wij werken al jaren op 4 daar is alles op gebaseerd. Dat verander je niet zomaar. Landen die pas veel later überhaupt begonnen zijn met grootschalig opzetten van netwerken zijn niet gestart met de oude techniek maar met de nieuwe. Het gevolg is dat wij een heel grote geschiedenis hebben met 4 en een kleine aanwas met 6. In de achterlopende landen hebben ze een grote aanwas met 6 en nauwelijks geschiedenis met 4. Dan kan je al heel snel deze verschillen in percentages verklaren.

svenk91 @Eagle Creek • 29 augustus 2019 21:09

Mwah, hier in Griekenland zijn er sinds 1990 dial up mogelijkheden, en sinds 2003 is er breed ADSL beschikbaar. Het probleem is juist dat het vrijwel allemaal over de zeer verouderde telefoonlijn infrastructuur gaat (geen kabel zoals in NL laat is opgezet

). Fiber is ook nog iets dat pas net begint hier.

Dus ja, die IPV6 adoptie gaat gewoon over ouwe ruk netwerken. Ik heb het zelf trouwens nog niet op mijn 24mbit adsl lijntje

Blokker_1999

Networking en security

@Eagle Creek • 29 augustus 2019 21:26

Zo werkt het toch echt niet in ontwikkelde landen. Neem nu mijn Belgenlandje. Jarenlang het land met grootste IPv6 adoptie maar het is nu niet alsof internet hier iets recent is. Telenet bied al meer dan 20 jaar internet via de kabel aan maar heeft op een gegeven moment de beslissing genomen om zowat alle klanten op v6 te zetten.

kodak

Networking en security

@Eagle Creek • 30 augustus 2019 08:49

Het heeft weinig tot niets met voorlopen op gebied van IPv4 of het bestaan van netwerken te maken. Griekenland is ook al ruim 30 jaar op het internet aangesloten en al de vele dienstverleners gebruiken ook sinds dat begin al ipv4. In Griekenland hebben de bedrijven die connectiviteit leveren ook al van ruim voor de algemene introductie van ipv6, in de jaren 90, grote netwerken opgezet die de miljoenen inwoners en de markt van internet voorzien. Griekenland heeft ook diverse overnames en fusies gehad bij het onstaan van ISPs en hostingbedrijven. Daarnaast zijn er landen met veel complexere netwerken zoals India, USA en Japan die een veel grotere adoptie van IPv6 zouden hebben terwijl die ook al jaren ipv4 gebruiken.

We hebben in Nederland vooral veel meer (buitenlandse)bedrijven met een eigen netwerk die in Nederland geregistreerd zijn. Daarnaast zijn er veel micro hostingbedrijven met eigen kleine netwerkjes die NL als land-aanduiding hebben, niet complex zijn, en die gewoon geen IPv6 willen leveren. In adoptie telt ook mee welke website ipv6 ondersteunen en daarvan hebben we in Nederland ook veel (buitenlandse) eigenaren die daarin niet mee doen terwijl de netwerken er geschikt voor zijn.

Het lijkt niet perse in voorlopen of complexiteit te zitten maar eerder van de afhankelijkheid van een groter aantal (buitenlandse) bedrijven die ook in Nederland actief zijn.

Het internet en IPv6 gaan niet zo zeer om landen maar vooral om mixen van (inter)nationale bedrijven die wereldwijd of regionaal invloed hebben. Het zou meer passen om het per netwerkeigenaar of domein te meten. Het zijn vooral bedrijven die voor of achter lopen, die meer of minder invloed hebben op de adoptie van IPv6 op het internet, meer of minder invloed hebben op de gevolgen van het (uitblijven van) adoptie. Die percentages zeggen nagenoeg niets over landen of de impact van de adoptie.

Ortep

@Sp3ci3s8472 • 29 augustus 2019 21:00

Dat heet de wet van de remmende voorsprong.

In landen als Laos, Cambodia en ook Indonesie had bijna niemand telefoon thuis. Dit soort landen van koperdraden voorzien is onbegonnen werk. Dus toen GSM opkwam stepten ze direct over naar mobieltjes. Ze waren daar in een recordtijd verder dan wij. Want onze vaste lijnen deden het prima.

Malarky @Ortep • 30 augustus 2019 00:53

Zelfs de grote mobiele providers in Indonesie vallen om de paar dagen wel heel even uit, met paar weken geleden weer een urenlange blackout in heel Jakarta. Totaal geen stabiel netwerk. Nu is bijvoorbeeld de dekking in Duitsland en USA ook slecht en in laatstgenoemde vaak instabiel... al met al zijn er weinig landen als Nederland waar alles gewoon vrijwel altijd draait.

batjes

Networking en security

@Malarky • 30 augustus 2019 07:34

Is vaak de stroomvoorziening en niet het netwerk zelf. Er zijn maar weinig landen met zo'n stabiel energienetwerk als de onze. En dat mag wat kosten.

Armin @MrFax • 29 augustus 2019 20:21

Het kan zelfs zo erg worden dat straks meerdere huishoudens of zelfs hele wijken hetzelfde IP-adres moeten gaan gebruiken. Zoals in veel derde wereldlanden het geval is.

En dat is ook geen echt probleem. Immers het gros van machines zijn clients. Natuurlijk krijg je dan 0,0001% van de gebruikers die thuis een server willen draaien, en deze zijn op deze website oververtegenwoordigd

maar in de praktijk maakt het niets uit, en kan zelfs helpen. NAT is geen beveiliging, maar maakt het hacken van telefoons en auto's ietsje moeilijker in de praktijk, omdat je moeilijker direct een port kunt scannen van een individuele telefoon/auto.

Magic @Armin • 30 augustus 2019 08:27

Je vergeet de mensen die bijvoorbeeld een potje Fifa online willen spelen, en daarmee afhankelijk zijn van UPNP om automatisch een portforwarding te maken.

Ofwel je krijgt dan een boel mensen met NAT type 3 (zoals de ps4 dat dan noemt) en dan werkt online spelen echt niet lekker.

[Reactie gewijzigd door Magic op 23 juli 2024 12:14]

Dreamvoid @Magic • 30 augustus 2019 16:25

Dit snap ik dan ook nooit zo, als de providers gewoon IPv6 routers ondersteuning voor PCP geven dan kan dezelfde functionaliteit gewoon door blijven gaan, dan zet de applicatie gewoon weer zelf de poort open op de firewall, net zoals hij dat op IPv4 doet.

Maar om 1 of andere reden moet je bij de IPv6 routers die nu bij diverse providers ter wereld uitgerold zijn de router interface in om handmatig je poorten open te zetten in de firewall.

Armin @Dreamvoid • 30 augustus 2019 19:44

Maar om 1 of andere reden moet je bij de IPv6 routers die nu bij diverse providers ter wereld uitgerold zijn de router interface in om handmatig je poorten open te zetten in de firewall.

Volgens mij is dat omdat die providers bang zijn dat men rechtstreeks hun klanten kan aanvallen.

Maar verder eens, dat het een onzin 'feature' is.

Dreamvoid @Armin • 30 augustus 2019 21:04

PCP (net als UPNP/NAT-PMP) werkt alleen van binnen uit he

Armin @Dreamvoid • 30 augustus 2019 21:20

Ja, maar - oprechte vraag - waarom is het relevant wat daarna gebeurd? Ik ken FIFI Online niet, en daardoor komt mij verwarring wellicht, maar die nemen toch niet aan dat alles tussen de consumenten-router en hun netwerken direct en zonder enige filters benaderbaar is op IPv4? Dat is een krankzinnige aanname geheel buiten NAT.

PCP in zijn algemeenheid kan gewoon werken met verschillende lagen van NAT, dus waarom is FIFA Online anders?

Armin @Magic • 30 augustus 2019 19:42

Je vergeet de mensen die bijvoorbeeld een potje Fifa online willen spelen, en daarmee afhankelijk zijn van UPNP om automatisch een portforwarding te maken.

Ik mis even de technische achtergrond? Waarom zou FIFA Online perse een uniek IP moeten hebben op de client? Port forwarding met UPnP is een IPv4 ding op thuis-routers, en zou normaal geen effect mogen hebben op wat achter je thuis-router gebeurd.

Doen z edat wel, zullen ze op heel veel meer netwerken ook niet werken lijkt mij.

Verder zou FIFA Online natuurlijk ook gewoon IPv6 kunnen gaan gebruiken. Het is tenslotte 2019 ... $_/-\o_$

Dreamvoid @Armin • 30 augustus 2019 21:35

Veel games werken op basis van P2P oftewel de hostende speler moet bereikbaar zijn voor de clients. Via UPnP is dat met IPv4-achter-NAT eenvoudig te doen zonder ooit in de router interface te hoeven gaan.

Maar het IPv6 equivalent (een firewall op de router, waar je vanaf de client met PCP een inkomende poort open zet) is in de huidige generatie routers van de providers niet geimplementeerd, zodat je handmatig telkens de router moet gaan instellen.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 12:14]

Armin @Dreamvoid • 30 augustus 2019 21:41

Klopt, maar waar ik op reageerde was Magic die stelde dat meervoudige IPv4 NAT ene probleem in deze context zou zijn.

Dat IPv6 op veel provider en helaas ook nog zelfs consumenten apparatuur een ramp is, is absoluut waar. Ik he zelf nog een drama met Linksys gehad, waar men bepaalde wireless IPv6 gewoon dropte op de router bij roaming op een access point. Wired IPv6 niet en ook wireless IPv4 niet. Geen interesse om te fixen, want te exotisch. Dus uiteindelijk maar een derde router genomen en als access point ingesteld en de oorspronkelijke router zijn wifi uitgezet.

WhatsappHack

Networking en security

@MrFax • 29 augustus 2019 21:12

Wat is er niet stabiel aan dan? Het werkt hier al jaren prima bij KPN. oO Echt totaal geen klachten over.

evanuden @MrFax • 29 augustus 2019 21:24

Het samengaan van UPC en Ziggo heeft in ieder geval de prioriteiten ver naar achter geschoven. Doorpakken en goed uit rollen van IPV6 is een must. Andere LGI bedrijven (moeder van Ziggo) kunnen dit ook, dus aub snel alle DOCSIS lijnen met IPv6 graag. (Conform DOCSIS 3.0 speciaal)

Odie @MrFax • 29 augustus 2019 21:38

IPv6 is prima stabiel maar de markt is lui.

skai21 @MrFax • 29 augustus 2019 22:29

Onzin... IPv6 is juist stabieler, veel minder netwerk trucjes nodig om het te laten werken. Echter 6 laten praten naar 4(waar het niet voor ontworpen is) is het probleem wat "het" instabiel laat lijken. Als providers gewoon dual-stack uitrollen, dan kunnen (web)servers gewoon beginnen met IPv6 only draaien. Dan kunnen we vanzelf een keer 4 uitzetten

zx9r_mario @MrFax • 29 augustus 2019 22:44

IPv6 is net zo stabiel als IPv4 en geen vage NAT problemen meer. Als IPv6 niet stabiel is, zal het eerder liggen aan de kennis en kunde van degene die het beheert.

Pietervs @MrFax • 29 augustus 2019 22:57

omdat er heel veel routers zijn die er verkeerd mee omgaan en het hele netwerk plat kan leggen.
Sorry, maar daar geloof ik dus niks van. Alle grote fabrikanten ondersteunen IPv6 "out of the box", en zeker in de backbone gebruikt Ziggo geen kleuter-apparaatjes om de zaak aan de gang te houden.
Daarnaast "het hele netwerk platleggen" kan alleen bij een fors verkeerde configuratie. Ziggo is prima in staat hun netwerk te segmenteren waardoor een verkeerde configuratie in het slechtste geval een wijk plat gaat.
Vanuit de consument ligt het misschien iets anders, maar Ziggo gaat geen apparatuur uitleveren dat delen van het netwerk plat kan leggen.

En wat betreft het delen van een IP adres door meerdere huishoudens of zelfs wijken: hebben al jouw pc's, telefoons, laptops, tablets enzovoort allemaal unieke adressen als je nu het internet op gaat? Juist: daar is een oplossing voor gevonden: NAT.

Enige interessante is of mensen straks inderdaad met ieder apparaat rechtstreeks het internet op gaan of nog steeds via een NAT router: dat roept namelijk heel nieuwe vragen op omtrent beveiliging...

ewoutw @MrFax • 30 augustus 2019 00:19

ipv6 is gewoon nog steeds niet stabiel genoeg om breed uitgerold te worden. Ziggo is heel erg voorzichtig met ipv6 en ze laten bijv. eigen routers geen ipv6 gebruiken omdat er heel veel routers zijn die er verkeerd mee omgaan en het hele netwerk plat kan leggen.

Wat is dit voor onzin. Als er problemen met IPv6 zijn is dat een laag 8 issue. Heeft niets met het protocol zelf te maken. Wel met gebrek aan kennis en kunde van de beheerders.

XS4ALL draait al 10 jaar zonder problemen een dual-stack. Grootste probleem AAAA-records in de DNS niet niet goed staan.

Henk Poley @MrFax • 30 augustus 2019 04:55

Ik vermoed waar jij aan denkt, is dat Ziggo (voorheen?) geen dual-stack IPv4 met IPv6 aanbiedt, maar een soort IPv4 emulatie boven op IPv6. En dat werkt niet altijd lekker, omdat IPv6 net even anders werkt dan zeg maar IPv4 met langere adressen. Voorbeelden zijn IP pakket fragmentatie en verschillen bij geavanceerde TCP vlaggen. Ook kan je naar ik meen pakket tunnelling effecten krijgen, zoals de vertragingen die je wel merkt over VPN verbindingen, bijvoorbeeld door buffers boven op buffers (bufferbloat).

Bij Ziggo zullen ze dan zeggen, “Ja maar.. het is in de jaren 90 beloofd dat IPv6 een drop-in-replacement zou zijn”. Maar dat is het in de praktijk niet, dus laat het gewoon lekker naast elkaar bestaan. Wat ook gewoon kan. Het lijkt er op dat ze met “DualStack-Full” daar aan bezig zijn.

gday

@MrFax • 30 augustus 2019 13:11

Het kan zelfs zo erg worden dat straks meerdere huishoudens of zelfs hele wijken hetzelfde IP-adres moeten gaan gebruiken. Zoals in veel derde wereldlanden het geval is.

Dat is bij providers zoals Ziggo al het geval met hun DS-lite verbindingen. Je deelt dan je IPv4-adres met anderen. Als je lokaal ook IPv4 gebruikt heb je dus dubbel NAT. En je bent natuurlijk compleet onbereikbaar van buitenaf via IPv4. Voor mij is dat onacceptabel zo lang mobiele netwerken nog IPv4-only blijven.

[Reactie gewijzigd door gday op 23 juli 2024 12:14]

Dreamvoid @gday • 30 augustus 2019 16:27

Ja de grote achterblijvers zijn niet zozeer de providers van DSL/kabel/glas, maar de mobiele telco's. Er is maar een handjevol telco's in heel Europa te vinden die IPv6 doen.

mr_evil08 @MrFax • 31 augustus 2019 10:26

Het kan zelfs zo erg worden dat straks meerdere huishoudens of zelfs hele wijken hetzelfde IP-adres moeten gaan gebruiken. Zoals in veel derde wereldlanden het geval is.

Dat gaat leuk worden als er een ip ban wordt uitgedeeld omdat iemand zich niet kan gedragen, dan heeft de hele straat er last van.

Snow_King

@itlee • 29 augustus 2019 20:02

Terug vragen is zoooooo veel werk en het echte probleem los je niet op.

IPv6 kan je prima met zo veel uit geven, daar is echt bizar veel ruimte.

itlee @Snow_King • 29 augustus 2019 20:03

je hele netwerk per bedrijf/instantie/provider omprogrammeren is nog veel meer werk.

rbr320 @itlee • 29 augustus 2019 20:12

Op globaal niveau IPv4 adressen terug bietsen is echt veel meer werk dan bedrijven/instanties/providers gewoon hun verantwoordelijkheid laten nemen en IPv6 te laten implementeren. Dat lost meteen het probleem op en bovendien kunnen IPv4 en IPv6 prima naast elkaar bestaan, dus problemen hoeft het niet te geven.

Ik hoop dat de IPv4 adressen snel op raken en dat dit als stok achter de deur gebruikt gaat worden om IPv6 eindelijk eens definitief door te drukken.

lezzmeister @rbr320 • 29 augustus 2019 21:49

Het is nu al jaren dat er geroepen wordt: ipv4 is op! En ze geven de adressen gewoon uit en je mag op een wachtlijst voor nieuwe blokken. Dat geeft niet een drang om over te stappen. Dat nog los van het feit dat er een 2e hands markt is voor de adressen. Dan nog de paniekkoppen boven nieuwsberichten op sommige websites, "Ipv4 nu echt op!!". En dan de volgende week weer. Dat schept een beeld van "ja dat zal wel, wordt iedere maand geroepen".

Doe de wachtlijsten weg, en de blokken gaan allemaal maar de 2e hands markt op, dat houdt je niet tegen. Dan kan een bedrijf kiezen tussen een kwak geld voor een klein ipv4 blok, of een goeie deal met een ruim ipv6 blok.

MSalters @lezzmeister • 29 augustus 2019 22:30

ze geven de adressen gewoon uit

Nee, dat doen ze al jaren niet meer. De uitgifte nu is alleen voor Carrier-Grade NAT, en dus alleen voor ISP's. Als gewoon bedrijf kun je geen IPv4 adres meer krijgen bij RIPE.

Bor Coördinator Frontpage Admins / FP Powermod @MSalters • 29 augustus 2019 22:39

De oplossing is als bedrijf Ripe NCC member te worden en je kunt zelfs nog een /22 subnet krijgen, dat zijn zelfs 1024 adressen.

If you are a RIPE NCC member (LIR), you may be eligible for a one-time allocation of a /22 (1,024 IPv4 addresses).

Let ook op onderstaande:

Any legal entity or natural person can become a member of RIPE NCC.

Wat je zegt lijkt niet te kloppen.

[Reactie gewijzigd door Bor op 23 juli 2024 12:14]

dmantione @lezzmeister • 29 augustus 2019 22:04

Er is nu eenmaal besloten om geen ontmoedigingsbeleid voor V4 te voeren. Over 20 jaar is V4 nog volop in de licht en dat helpt V6 inderdaad niet. Desondanks zullen IPV4-adressen dusdanig prijzig worden dat uiteindelijk de overstap wel gemaakt gaat worden. De grafieken van Google waarnaar hierboven gelinkt wordt zien er in ieder geval hoopvol uit.

Maurits van Baerle @dmantione • 29 augustus 2019 22:17

Och, over tien jaar heb jij als thuisgebruiker geen IPv4 adres meer hoor. Die worden uiteindelijk allemaal verplaatst naar de serverkant om de laatste IPv4-only clients nog te kunnen bedienen. Een IPv4 adres is veel te duur om aan huis-tuin-en-keukengebruikers te geven.

We hebben nu al Europese ISP's met grootschalige DS-Lite uitrol waarbij iedere gebruiker een publiek IPv6 subnet krijgt maar met een heleboel mensen één IPv4 adres moet delen. Dat gaat alleen maar meer worden. Nu eerst alleen de goedkoopste abonnementen zonder publiek IPv4 adres, daarna krijg je standaard geen IPv4 adres tenzij je er om vraagt, daarna is het alleen nog maar tegen bijbetaling te krijgen, daarna alleen nog maar op zakelijke abonnementen.

Net zoals je nu nog IPX/SPX netwerken kunt tegenkomen die nooit zijn gemigreerd naar TCP/IP zul je over twintig jaar ook nog wel IPv4 vinden. Maar niet bij thuisgebruikers en alleen nog voor legacy toepassingen.

dmantione @Maurits van Baerle • 29 augustus 2019 22:55

Dat gaat zeker gebeuren en ik zie ernaar uit, want een ipv6-wereld, is zelfs als er geen toegang meer is tot V4, een betere wereld.

Wat betreft het tijdschema van 10 jaar heb ik wel mijn bedenkingen: Het tempo is sterk afhankelijk van de groei van het internet. Nederland heeft altijd redelijk vooraan gelegen in het uitrollen van internet en zo ondertussen heeft iedereen een internetverbinding, vrijwel allemaal voorzien van ipv4. Wij hebben de thuisverbindingen van ipv4 kunnen voorzien, maar ook onze mobieltjes. Een gebrek aan ipv4-adressen moet dan vooral komen van verdere groei en alhoewel de bevolking groeit, is die niet dusdanig dat ik verwacht dat internetaanbieders binnen enkele jaren massaal ipv4 moeten uitzetten voor klanten. Ik denk dat exclusieve ipv6-verbindingen voor mobieltjes (weinig behoefte aan poorten forwarden e.d.) het meest acceptabel zijn en dat aanbieders daar dan het eerst ipv4-adressen zullen gaan weghalen.

In landen waarbij uitrol van internetverbindingen later op gang kwam, hadden internetaanbieders veel eerder te maken met situaties waar ze niet voldoende ipv4-adressen konden krijgen en dat verklaart waarom in andere landen carrier-NAT al veel gebruikelijker is dan hier. Als het internet in die landen verder groeit zul je zien dat die groei nagenoeg exclusief ipv6 betreft.

Voor een snelle overstap op ipv6 in Nederland is het noodzakelijk dat er veel aangesloten apparatuur bijkomt, bijvoorbeeld vergelijkbaar met de opkomst van mobiel internet. Dat kan gebeuren, want het internet is beslist niet uitontwikkeld, ik zou alleen even niet weten wat voor apparaten dat op dit moment zouden moeten zijn.

Dreamvoid @Maurits van Baerle • 30 augustus 2019 16:29

Het grootste nadeel van DS-Lite is dat het weliswaar prima is voor de toekomst, maar op het moment ben je dan wel praktisch gezien de mogelijkheid kwijt om een IPv4 service naar buiten te draaien, wat nogal nodig aangezien elke telefoon in Nederland IPv4-only is.

Maurits van Baerle @Dreamvoid • 30 augustus 2019 17:25

Telefoons zijn niet perse IPv4 only. Volgens zal zeker driekwart van de telefoons in Nederland prima dual stack kunnen draaien.

Het struikelblok zijn de mobiele providers die nu geen IPv6 aanbieden in NL (ook geen publiek IPv4 trouwens, zit vrijwel allemaal achter NAT). Maar goed, daar zijn er maar een paar van, die zo zouden kunnen omschakelen en in één klap zijn miljoenen Nederlanders dual stack. Best kans dat dat al bij de overstap naar 5G gebeurt.

Het belangrijkst zijn de servers. Die moeten om compatibiliteitsredenen nog heel lang legacy IPv4 draaien voor oude clients. Daarom verwacht ik dan ook dat IPv4 addressen steeds meer van clients/consumentenverbindingen zullen verhuizen naar gebruik door servers. Daar zit de waarde straks.

dmantione @Maurits van Baerle • 30 augustus 2019 19:12

Android doet in ieder geval keurig ipv6 indien op Wifi, die geeft zich via SLAAC kerug een ipv6-adres in je netwerk en gaat uit eigen beweging ipv6 gebruiken met websites die AAAA-adressen hebben, waaronder de communicatie met moederschip Google. Ik lijkt me in de rede liggen dat zodra zo'n telefoon via de mobiele aanbieder een V6-adres kan krijgen hetzelfde gebeurt.

Dreamvoid @Maurits van Baerle • 30 augustus 2019 19:27

Uiteraard doen de telefoons wel IPv6, maar de providers zijn op het moment tevreden met IPv4 achter CG-NAT. Het wordt wel steeds vervelender nu klanten steeds vaker een huishouden achter een 4G router zetten. Ik zelf zou erg blij zijn met IPv6 (tenminste, zolang ze de boel niet firewallen).

mr_evil08 @Dreamvoid • 31 augustus 2019 10:27

Waarom zou je een "server" op een smartphone willen draaien op een consumenten abbo ?

[Reactie gewijzigd door mr_evil08 op 23 juli 2024 12:14]

Dreamvoid @mr_evil08 • 31 augustus 2019 12:16

4G routers, personal hotspot, remote management van telefoons, P2P file transfer, etc.

Blokker_1999

Networking en security

@theMob • 29 augustus 2019 21:28

IPv4 is eenvoudiger benaderbaar te maken vanuit v6 dan omgekeerd. Maar als we geen v4 Dresden meer hebben gaan we servers en services krijgen die alleen via v6 te benaderen zijn.

Dutch2007 @Blokker_1999 • 29 augustus 2019 22:36

Gewoon alles via dns entries ... Niet moeijk lopen doen met hard coded ip adressen 😉

theMob @Blokker_1999 • 29 augustus 2019 22:18

Tja. Wil je ook het gas zo snel mogelijk opstoken om eindelijk zonnepanelen erdoor te drukken? etc, etc,...

Wat is trouwens v4 Dresden?

Blokker_1999

Networking en security

@theMob • 29 augustus 2019 22:18

stupid autocorrect, v4 adressen

tweazer @Blokker_1999 • 29 augustus 2019 23:16

autocorrect

LOL "Shit happens. To really foul up requires a computer"

StefanJanssen @itlee • 29 augustus 2019 23:38

Dat is werk wat sowieso gedaan moet worden. Of het nu is of over een jaar of twee. Terughalen van IPs stelt het werk misschien iets uit.

skai21 @Snow_King • 29 augustus 2019 22:25

Ach, wij delen ze al sinds jaar en dag dual stack uit. Klanten kunnen zelf kiezen: Alleen IPv4, Alleen IPv6 of Beide tegelijk. We hadden ooit 3 actieve IPv6 klanten, nu is er zelfs nog een opgehouden omdat hij een nieuwe bon-capable firewall kocht

. providers bieden het al jaren, adoptie bij klanten is het probleem

Zolexxi @Snow_King • 29 augustus 2019 22:45

Ik werk voor een telco, en wij mogen allesinds al wel niet zomaar ranges groter dan /29 uitdelen aan klanten. Dan sturen we altijd een documentje (wij noemen dat een RIPE document

) waar de klant moet uitleggen waar hij dit voor nodig heeft met een duidelijk adres plan. Als ze niet kunnen aantonen dat ze meer dan 80%, van de adressen nodig hebben, en nog een paar andere regeltjes, krijgen ze dus maximum een /29 range. Natuurlijk kan een klant daar maar gewoon wat invullen en nu weet ik niet of dit 'industry wide' is, maar wij zijn allesinds wel al een stuk zuiniger geworden met het uitdelen van grote ranges.

Epidemias @itlee • 29 augustus 2019 20:45

IPv4 bestaat 36 jaar, ondanks dat er kwistig mee omgesprongen wordt, zijn ze nog altijd verkrijgbaar.
IPv6 bestaat 21 jaar, het gaat nog 20 jaar duren eer iedereen is overgeschakeld op IPv6.
Er zijn echter zoveel IPv6 adressen dat het echt allemaal niet uitmaakt.
Er zijn 3.4x10^38 adressen beschikbaar. Om dit even in perspectief te zetten:
er zijn 7.5x10^9 mensen op de aardbol (of 4.5x10^28 per persoon)
Er zijn 10^18 insecten op de aarbol (of 3.4x10^20 per insect)
Er zijn 10^24 zandkorrels op de aardbol (of 3.4x10^14 per zandkorrel)

Verwijderd @Epidemias • 29 augustus 2019 22:09

Alleen krijg ik in mijn eentje al 1,208,925,819,614,629,174,706,176 (!) IPv6 adressen van XS4all. (Voor de goede orde: dat is het aantal adressen in een /48 subnet)
Dat is toch anders dan dat ene IPv4 adresje....

markjanssen @Verwijderd • 29 augustus 2019 22:48

Er zijn dan ook 18.446.744.073.709.551.616 /64 subnetten beschikbaar... dus dat zijn dan weer 3.074.457.345 subnetten per persoon op aarde... (3 miljard /64's per persoon).

Simpelweg, iedere ISP krijg een /29 aan v6, die geven hun klanten dan meestal een /48 of /56 aan klanten, in geval van home-users eventueel iets als een /64 zelfs. Geloof mij maar... ipv6 gaat niet op raken. Het zal eerder uitgefaseerd worden als we buiten 'de aarde' een protocol nodig gaan hebben. maar dan meer wegens latency dan wegens niet genoeg address-space.

dmantione @markjanssen • 29 augustus 2019 23:33

De norm vanuit de IETF is dat een eindgebruiker (consumenten inbegrepen), meerdere /64-netwerken moeten kunnen draaien (/64 vanwege SLAAC). "Meerdere" is verder niet gedefinieerd en dat wordt vaak ingevuld met een /48 of /56.

DaanHetEendje @Verwijderd • 29 augustus 2019 23:01

In de huidige gealloceerde 2000::/3 is er ruimte voor 35,184 biljoen /48's...

Ik ben blij dat XS4ALL me een /48 geeft, het geeft me namelijk de mogelijkheid om mijn addressering makkelijk en overzichtelijk te houden.

vlan 5:
10.0.5.0/24
2001:db8:aa9a:5::/64

vlan 10:
10.0.10.0/24
2001:db8:aa9a:10::/64

IPv6 is bij mij al een tijd de standaard. Helaas moet ik alles nog een geNAT IPv4 adres geven omdat er nog kleine startups zoals github.com zijn die geen IPv6 doen..

CH4OS @itlee • 30 augustus 2019 08:31

Terugnemen van (blokken) IPv4 adressen en vervolgens heruitgeven verschuift het probleem, IPv6 uitgeven (als dat al nodig is) is een veel effectievere oplossing en helpt ons veel verder.

Plus zolang bedrijven wel betalen boeit het ook niet of bedrijven de IP-adressen gebruiken of niet. Nieuwe blokken krijgen is veel lastiger geworden, dus vasthouden aan wat je al hebt (terwijl het toch ook steeds goedkoper wordt blijkbaar) is dan zo'n gek idee ook nog niet.

Terr-E

@itlee • 30 augustus 2019 10:45

https://en.wikipedia.org/...ed_/8_IPv4_address_blocks

Wat moet een bedrijf als Apple / Ford / "The Prudential Insurance Company of America" / USPS nou met een eigen /8 block ? Dat is anno 2019 gewoon lui / asociaal.
Om maar te zwijgen van de United States Department of Defense met z'n 13 (!!!) /8 blocks.
( Juridisch staan ze natuurlijk gewoon in hun recht )

Als we deze blocks zouden kunnen herclaimen dan zouden we nog jaren vooruit kunnen.
(wishful thinking, wat geen van deze partijen heeft ook maar enige motivatie om hieraan me te werken, want fuck de rest van de wereld)

dmantione @Terr-E • 30 augustus 2019 12:49

Als er nu een /8 zou voor vrij gebruik zou vrijkomen dan zouden partijen er als stieren op een rode lap op af stormen en het zou binnen een mum van tijd verkocht zijn. Die observatie is ook gemaakt en het terughalen van ipv4 levert enkel voor enige jaren soelaas, dus terughalen werd als verspilde moeite gezien. Niettemin zijn er her en der toch wel wat activiteiten om v4-adressen terug te halen.

Adm.Spock @itlee • 29 augustus 2019 21:51

Met IPv6 kun je elke zandkorrel in he zonnestelsel >1000 adressen geven, dus dat zal wel loslopen

Verwijderd 29 augustus 2019 20:23

Weet iemand wat de huidige prijs is van een (blok) IPv4 adressen?

pleh @Verwijderd • 29 augustus 2019 20:34

kopen bedoel je? nu op de markt ong 10 eur per IP in een /24. dus ong 2,5k voor een /24. Je moet alleen heel goed opletten dat je geen vervuild blok koopt of een blok dat later opeens wordt teruggetrokken. Zitten ook in die wereld een hoop shady mensen. RIPE heeft een maktplaats voor IP blokken.

rvdm- @pleh • 30 augustus 2019 08:20

Dat bedrag is oud. Inmiddels bijna 2x zoveel.

Verwijderd @decide1000 • 30 augustus 2019 11:00

Hier zitten toch een aantal dingen bij die niet kloppen:

"Als je een eigen blok wil kun je deze eigenlijk alleen maar via RIPE kopen."
Je koopt niets van RIPE NCC, je kan lid worden, je betaalt dus een lidmaatschap, net als bij een sportvereniging. Als je lid bent, kan je een blok IPs aanvragen, die worden op jouw naam toegekend. Er is geen sprake van een koopovereenkomst.

"Naast het lidmaatschap van enkele duizenden euro's per jaar betaal je ongeveer €1000 voor 1000 ip's."
Het lidmaatschap kost dit jaar 1400 Euro. Binnen het lidmaatschapsgeld valt ook je blok IP adressen.
RIPE NCC vraagt een eenmalige start-up fee van 2000 Euro.

Dat bedrag betaal je per jaar en daalt naarmate je een blok langer bezit.
Nee, het lidmaatschaps bedrag is al jaren hetzelfde.

"Je kunt niet zomaar meer een blok ips kopen. Hiervoor dien je en aanvraag te doen waarin je aangeeft waarvoor de ips nodig zijn."
Sinds 2012 is de "need-base" verdwenen. Je hoeft niet meer uit te leggen waar je de IP adressen voor gebruikt.

"Je kunt ook niet lid worden en een grote aanvraag doen; ik geloof dat er tegenwoordig zelfs een wachtperiode is van 1-2 jaar."
Je kunt geen IPv4 adressen toegewezen krijgen als je geen lid bent.

"Er is tegenwoordig een strikte controle, dus ips kopen met een valse reden zit er ook niet meer in."
Er is inderdaad strikte controle op valse KVK papieren. Zoals gezegd is er geen controle op het gebruik van de IP adressen.

"Een valide reden kan bijvoorbeeld zijn dat je een eigen cloud hebt draaien op een eigen hardware omgeving waar ipv4 ips voor nodig zijn."
Er is geen reden meer nodig om op te geven.

"VPN en crawlers die een eigen IP nodig hebben komen niet door de aanvraag heen, wellicht wel als ze onderdeel zijn van een groter plan.
Verder moet je na toewijzing je 'shit' op orde hebben. Dus een core-router met iptables oid."
Ook dit is dus niet correct.

gday

@decide1000 • 30 augustus 2019 12:39

Fijn dat je de details even hebt gegoogled. In grote lijnen klopt mijn verhaal wel.
Hoe vaak heb jij ips gekocht?

@decide1000 Zucht. Natha wérkt bij RIPE NCC, joh.

[Reactie gewijzigd door gday op 23 juli 2024 12:14]

avatar @decide1000 • 30 augustus 2019 12:26

gratis tip: google even op 'natha ripe ncc'

Jerie

@decide1000 • 30 augustus 2019 14:11

waar is +5 grappig

Marcel Loesberg @decide1000 • 30 augustus 2019 08:22

IP adressen kopen kan alleen via beursen. Vaak wordt een dergelijke beurs door een RIR (Regional Internet Registry) gefaciliteerd (RIPE is een RIR).
IP adressen die je als LIR (Local Internet Registry) van een RIR krijgt zijn gratis, je betaald alleen je lidmaatschap bij de RIR (ongeveer EUR 1200/jaar maar het bedrag wordt bijgesteld naar gelang de inkomsten en uitgaven van RIPE want RIPE heeft geen winstoogmerk.
Naast het lidmaatschap betaal je, afhankelijk van wanneer je lid werd en onder welke regeling je valt, een handling fee van EUR 50,- per resource per jaar. Een blok IP adressen (prefix) of een AS nummer zijn resources. Wil je als LIR/ISP IPv4 en IPv6 adressen dan betaal je dus voor 3 resources (IPv4 prefix, IPv6 prefix en het AS nummer) EUR 150,- per jaar. Het 1 euro per IP adres verhaal is dus niet correct. Wanneer je op een beurs IP adressen koopt betaal je wel, en zelfs veel meer dan een euro.
https://www.ripe.net/mana...sfers-and-mergers/brokers

pleh @decide1000 • 30 augustus 2019 09:12

Wij hebben meerdere as nummers dus weet wat het kost. Wij hebben zelf geen core routers maar doen dit middels eens full transit provider. Werkt een stuk soepeler en je zit aan veel config vast. Voor de kosten hoef je het ook niet meer te doen aangezien 2 mx204 routers ook al >70k kosten.
Maar in je ripe lir portal zit een ipv4 “marketplace” mocht je blokken willen kopen. Staan ook van /24 tot /20 in. Zit een fors prijskaartje aan.

SMGGM 29 augustus 2019 21:51

Voor België zitten alle gebruikers met een Telenet Wireless Modem 3.0 en Proximus B-box 3 op IPv6. Ook Voo (in Wallonië) lijkt IPv6 adressen uit te delen.
Gezien deze 3 samen praktisch alle klanten van Vlaanderen en Wallonië hebben, is het logisch dat België aan > 50% zit. Het lijkt dus aan te komen op de oudere hardware die gebruikers nog hebben staan (alsook misschien klanten bij alternatieve providers die zelf hun modem moeten beheren en misschien nog een ouder model hebben).

Dreamvoid @SMGGM • 30 augustus 2019 16:41

Hoe zitten de Belgische mobiele telco's eigenlijk met de IPv6 uitrol?

SMGGM @Dreamvoid • 30 augustus 2019 17:09

Kijkend naar enkel mijn IP adres (Proximus in Brussel centraal) en daar alvast geen IPv6.
Ik vermoed dat daar nog steeds wat marge is voor verbetering.

skelleniels @SMGGM • 29 augustus 2019 22:12

Sinds enkele weken overgeschakeld naar Orange. Zopas eens gechecked, maar helaas heb ik geen IPv6 adres.

WCA

29 augustus 2019 22:06

Niet zo gek dat het zo hard gaat. Wij zijn op de zaak Ripe NCC lid geworden omdat dat goedkoper was dan een klein blok IP's kopen bij een reseller...

Freeaqingme @WCA • 30 augustus 2019 00:49

Puur uit nieuwsgierigheid, weet je nog hoe groot dat blok was, en wat die ip's moesten kosten?

WCA

@Freeaqingme • 30 augustus 2019 11:21

Het is een /22 (dikke overkill, alsnog goedkoper)

Het exacte bedrag weet ik niet uit mijn hoofd, maar met het aantal IP's dat wij nodig hadden was het goedkoper, en we kunnen eventueel blokjes doorverkopen dus dat is sowieso interessant.

Freeaqingme @WCA • 30 augustus 2019 11:28

en we kunnen eventueel blokjes doorverkopen dus dat is sowieso interessant.

True. Let wel op dat dit pas na 2 jaar kan volgens RIPE voorwaarden.

WCA

@Freeaqingme • 30 augustus 2019 11:29

Yes, klopt. Maar die zijn we inmiddels bijna voorbij dus dat komt wel goed

jordynegen11 29 augustus 2019 23:56

Er zijn zoveel bedrijven en overheden met enorme IP blokken die niet tot amper worden gebruikt...

Niet gebruiken = inleveren, dat beleid zouden ze is moeten doorvoeren...

grimlock @jordynegen11 • 30 augustus 2019 07:56

Mee eens, we kregen in het verleden van KPN 256 IP nummers en er werd nooit iets van gezegd. En dat voor een bedrijf met 300 medewerkers. Totale overkill, het zou me niets verbazen als ze met een beetje optimalisatie 10-20% terug kunnen halen, dus een dikke half miljard (!) ip nummers.

Freeaqingme @grimlock • 30 augustus 2019 11:30

Ik weet niet hoe je rekensom er exact uitziet, maar bij IPv4 zijn er in totaal 4 miljard (2^32) ip's. De kans dat 10-20% van KPN's ip-adressenbestand neerkomt op een half miljard lijkt me dan ook uiterst gering.

Terrestrial 29 augustus 2019 22:14

Ik zou me persoonlijk nog niet zo druk over die IPv4 schaarste, elk half jaar komt er weer zo'n bericht en jaren daarna is er nog steeds niks aan de hand. Ik draai zelf een aantal servers waarop ik ipv6 verkeer direct naar /dev/null stuur, nog nooit klachten gehad. Eerlijk gezegd denk ik dat over 10 jaar nog steeds weinig veranderd zal zijn.

Freeaqingme @Terrestrial • 29 augustus 2019 22:24

Wat mij betreft mag je je post wel even iets meer onderbouwen. Er is weldegelijk wat aan de hand, sinds 2012 levert RIPE enkel nog /22 subnets (1024 ip's), en dan 1 per LIR. Dat wordt nu 1 /24 (256 ip's), en daarbij moet je dan nog wachten tot er een toevallig iets beschikbaar komt. Het is dus zeer zeker wel schaars. En door mensen als jij die zich nergens iets van aantrekken zal dat ook nog heel lang zo blijven.

Terrestrial @Freeaqingme • 29 augustus 2019 23:27

Zwaai-zwaai... Gast er wordt nu al 20 jaar! hetzelfde geroepen dat de IPv4 adressen op zijn maar de werkelijkheid is dat die adressen nooit op echt zullen geraken. Er gaat wel meer verhandeld worden.

En IPv6 zal vast oooit wel een keer de overhand krijgen maar ik vraag me af of wij dat gaan mee maken. Bovendien het is een klote systeem en in werkelijkheid zit praktisch niemand er op te wachten.

Freeaqingme @Terrestrial • 29 augustus 2019 23:47

Dat is hetzelfde als zeggen dat er geen tekort op de woningmarkt is omdat er nog steeds woningen ge- en verkocht worden. Toch is het aantal mensen dat ofwel zo'n ding heeft, ofwel zo'n ding zou willen kopen significant groter dan het totale aanbod.

En in plaats van alleen maar te roepen dat er 20 jaar hetzelfde geroepen wordt, zou je verschillen zien tussen de artikelen van 20 jaar terug en het artikel van vandaag. Wellicht klopte de tijdlijn niet altijd, maar de trend is heel helder.

Bovendien het is een klote systeem en in werkelijkheid zit praktisch niemand er op te wachten.

Waarom is het een klote systeem? Waarom zit er praktisch niemand op te wachten?

ZeroMinded

@Terrestrial • 29 augustus 2019 23:57

Het is dan ook al jaren op. Waarom denk je dat NAT bestaat?

ewoutw @Terrestrial • 30 augustus 2019 00:32

Het is alleen een klote systeem als je het niet snapt!.

Ik vind het heerlijk, geen nat meer. Adresruimpte tot te max. Alleen zitter er ook letters in een adres. Lekker boeient.

Verwijderd @Terrestrial • 30 augustus 2019 04:45

Is niet waar. Waar ik mijn servers heb staan kan ik niet eindeloos IPV4 adressen toewijzen. Ik heb er maximaal 24 ofzo. Meer mag ik er als het ware niet bij gaan kopen.

Dutch2007 @Terrestrial • 29 augustus 2019 22:46

waarom zou je 't uberhaubt naar /dev/null sturen?

#lui?

Dreamvoid @Terrestrial • 30 augustus 2019 16:10

OK kijk eens op je telefoon in de netwerkinstellingen van je 4G verbinding - heeft die een eigen IPv4 adres? Nee? Dan zie je daar al een duidelijk voorbeeld van het gebrek aan IPv4 adressen.

dmantione @Terrestrial • 29 augustus 2019 23:28

Je zult niet snel klachten krijgen, omdat er nagenoeg geen internetverbindingen zijn waar de gebruikers geen ipv4-only-websites kunnen raadplegen. Wat wel een gevolg kan zijn is stel je wilt op je website een ip-adres blokkeren omdat daar misbruik vandaan komt, dan kan het gevolg zijn dat je in plaats van één gebruiker nu een grote hoeveelheid (potentiële) gebruikers blokkeert. Dit zal naar mate de ipv4-schaarste toeneemt steeds grotere vormen aannemen.

Voor mij is het op een nette manier configureren van ipv6 een dusdanig kleine moeite dat ik het altijd doe. En... op het moment dat je het doet en zelf ook ipv6 thuis draait, wil je niet anders meer, want de hoeveelheid tijdverlies die NAT oplevert moet je niet onderschatten. Het zit in kleine dingetjes, zoals een bestand direct naar je desktop kunnen scp'en, maar het telt echt wel op.

dmantione @Terrestrial • 30 augustus 2019 00:15

Op het moment dat je ipv6 hebt, dan bezoek je automatisch grote spelers als Google, Facebook, Netflix over ipv6, waarmee een groot gedeelte van het internetverkeer van iemand gelijk ook V6 is. Daarmee is de grafiek van Google ook een graadmeter voor het daadwerkelijk gebruik van V6. Maak je geen zorgen, de migratie is gaande en dat 'ie voor jou onzichtbaar is, is eigenlijk alleen maar een goede zaak, want dat betekent dat de migratie pijnloos is.

mutley69 @dmantione • 30 augustus 2019 14:34

Dze migratie is voor niemand pijnloos. Alle beveiligingen moeten dubbel - zowel voor IPv4 als IPv6. Hoe zit het met je routers, accesspoints en al je hardware? Incl. smartphone???
Veel loopt achter - vaak geen of slechte/brakke support voor IPv6...

dmantione @mutley69 • 30 augustus 2019 14:42

Een steeds groter deel van het internet moet IPV4-sites bezoeken via carrier-NAT. Als die gebruikers daar hinder van ondervinden, zouden ze massaal verzoeken doen aan serverbeheerders om dualstack te gaan draaien. Als die verzoeken er niet zijn, dan is dat een teken dat die gebruikers geen overlast ondervinden.

Dingen die jij noemt zijn kwesties die iemand kan ervaren om zijn infrastructuur over te zetten. Alle migraties hebben dat soort kwesties die je noemt en niets is uniek voor ipv6. Een server dual stack draaien is evenwel weinig meer dan inschakelen en klaar.

Dreamvoid @dmantione • 30 augustus 2019 16:37

Nou, alle mobiele netwerkverbindingen zitten al twintig jaar achter CG-NAT, dat is klote, maar er is door de gebruikers erg weinig gezeurd om IPv6, geen enkele telco in Nederland biedt het aan (niet als DS-Lite, niet als 464XLAT, niet als dual stack).

Dreamvoid @Terrestrial • 30 augustus 2019 16:06

Nou als gebruiker met mijn thuisnetwerk achter een 4G router zie ik heel duidelijk wat de voordelen van IPv6 zijn, ik kan nu niet bij mijn server.