Adviescommissie: te weinig sites bij overheid gebruiken IPv6 om doel te halen

Alle Nederlandse overheidswebsites en e-maildomeinen moeten voor het einde van het jaar bereikbaar zijn met IPv6. Dat doel lijkt niet te worden gehaald, waarschuwt adviescommissie Forum Standaardisatie.

Een flink aantal overheidsorganisaties moet dit jaar flink aan de bak om de gestelde doelen te halen, schrijft Forum Standaardisatie. Vorig jaar in april besloot het Overheidsbreed Beleidsoverleg Digitale Overheid dat overheidsinstanties voor het eind van 2021 volledig bereikbaar moeten zijn via IPv6, naast IPv4.

Met name het aantal maildomeinen met IPv6-ondersteuning ligt laag. Momenteel is zo'n 35 procent van de e-maildomeinen van de overheid bereikbaar via IPv6. Ook de ondersteuning van IPv6 bij websites vergt volgens de adviescommissie met 74 procent meer aandacht. De organisatie roept overheden op om hun leveranciers actief te vragen om hun websites en e-mailvoorzieningen per IPv6 bereikbaar te maken.

Twee keer per jaar voert Forum Standaardisatie een meting uit van de implementatie van internetstandaarden bij de overheid met behulp van Internet.nl. De laatste meting is van september 2020. In het eerste kwartaal van dit jaar publiceert de adviescommissie een nieuwe meting.

IT-banen

Reacties (145)

Verwijderd 2 maart 2021 14:44

Een ander dingetje, waarom heeft KPN mobiel wel ipv6 en ipv4, maar T-Mobile niet? En alleen v4? Als v4 uiteindelijk opraakt?. Zelfde geldt als T-Mobile en Ziggo thuis? Volgens mij heeft KPN thuis al v6

[Reactie gewijzigd door Verwijderd op 22 juli 2024 14:30]

wica @Verwijderd • 2 maart 2021 14:53

Als mobile gebruiker, maak je onbewust gebruik van CGNAT. Hierdoor kunnen providers 2 of meer gebruikers achter 1 IPv4 adres zetten.

Geloof het of niet, IPv6 bij mobile providers is wetgeving afhankelijk. In landen waar er wetgeving is, dat de provider "meta" gegevens van hun gebruikers moet doorgeven aan de overheid. Zal je zien, dat die sneller overschakelen naar IPv6. Wel om de volgende reden.
Bij IPv4 moet ze het volgende door geven of loggen.
Publiek IPv4 adres, source port, dest port, Interne IPv4 adres en datum+tijd.

Als jij als mobile provider, je gebruikers een IPv6 adres geeft. Hoef je alleen maar bij te houden welke IPv6 adres een bepaalde gebruiker heeft,

/edit
Zeer interessant van de WODC. Die het een en ander heeft onderzocht over de acceptatie rond IPv6 bij mobile providers.
https://www.dialogic.nl/w...ge_Tekst_tcm28-413412.pdf

[Reactie gewijzigd door wica op 22 juli 2024 14:30]

Oon

@wica • 2 maart 2021 15:28

Is dan de IPv6 die je mobiel gebruikt ook static (want 'onbeperkt')? En om daarop verder te gaan; krijg je dan een IPv6 range die je zelf kan indelen en evt. port forwarden zoals bij een gewone internetverbinding, of werkt dat netwerk dan weer anders?

tweaknico @Oon • 2 maart 2021 16:25

Dat is alleen als de IPv6 standaarden niet gevolgd worden. Dan hoort een TA adres uitgegeven te worden en die kunnen (moeten) regelmatig wissellen juist vanwege het voorkomen van tracking van devices door partijen aan de andere kant van de verbinding.

wica @tweaknico • 2 maart 2021 16:40

TA is niet noodzakelijk. Je kan best een static IPv6 adres aan een device gegeven. Moet er niet aan denken dat mijn server een TA hebben

tweaknico @wica • 2 maart 2021 16:47

Je kan zelfs meerdere TA's en statics gelijktijdig hebben. Een enkel adres op een interface is zo IPv4..... (jaren '90 zeg maar).
Een TA wordt regelmatig opnieuw gevraagd, het adres wordt verwijderd als de laatste active link erover gesloten is. Ik zie af en toe een stuk of 4 a 5 TA's actief op m'n laptop.
(btw al m'n server gebruiken TA's voor uitgaand verkeer.. waarom m'n servers laten profilen?)...

In de keuze voor een uitgaande verbinding hebben TA's de voorkeur boven een Static. Maar een service kan voor uitgaand expliciet een static kiezen...

Dus waarom zou je jezelf beperken.... Gewoon elke 10 minuten een nieuwe TA opvragen. Er zijn adressen ZAT.

[Reactie gewijzigd door tweaknico op 22 juli 2024 14:30]

wica @tweaknico • 2 maart 2021 17:00

Waarom zou je servers een tijdelijk adres gegeven?
TA kan ik begrijpen voor devices, waar privacy van belang is. Maar verder ook niet.

tweaknico @wica • 2 maart 2021 17:06

Omdat servers ook queries doen en de query niet aan een specifieke server gelinked hoeft te worden?
mail servers hebben een static nodig voor ontvangst van mail (binnen kant?) en kunnen TA's gebruiken aan de buiten kant. (tenzij er publieke mail ontvangen moet worden op DIE servers natuurlijk).
Waarom zou ik servers 1 adres geven... kan er ook een per dienst zijn (als een server meerdere diensten levert). dat maakt diensten migreerbaar. (of adressen naar containers).

Oon

@tweaknico • 2 maart 2021 16:27

Ik zou graag willen zeggen dat dat mijn vraag helemaal beantwoordt, maar helaas is dat niet het geval. Wat is een TA-adres?

tweaknico @Oon • 2 maart 2021 16:28

Temporary adres. Zie ook: https://en.wikipedia.org/...dress#Temporary_addresses

DataGhost

@wica • 2 maart 2021 15:43

Geloof het of niet, IPv6 bij mobile providers is wetgeving afhankelijk. In landen waar er wetgeving is, dat de provider "meta" gegevens van hun gebruikers moet doorgeven aan de overheid. Zal je zien, dat die sneller overschakelen naar IPv6. Wel om de volgende reden.
Bij IPv4 moet ze het volgende door geven of loggen.
Publiek IPv4 adres, source port, dest port, Interne IPv4 adres en datum+tijd.

Als jij als mobile provider, je gebruikers een IPv6 adres geeft. Hoef je alleen maar bij te houden welke IPv6 adres een bepaalde gebruiker heeft,

Vind ik persoonlijk een rare uitleg dat dat de enige reden zou zijn, maar goed. Kan je die verder onderbouwen? Ik heb het gevoel dat dit een voorbarige conclusie van je is naar aanleiding van het skimmen door dat document. Als het puur om omvang van de logs gaat heb je bij IPv4 twee IP's en twee poorten, totaal 2*4 + 2*2 = 12 bytes. Als je bij IPv6 alleen de adressen logt heb je 2*16 = 32 bytes, dus heb je bij IPv4 nog 20 bytes over voor een tijdstip (8 bytes) en klantnummer (resterende 12 bytes). Dat lijkt me juist in het nadeel van IPv6 uit te pakken.

Persoonlijk denk ik dat het met de alsmaar stijgende kosten van IPv4-adressen (want schaarste) en wensen van gebruikers te maken heeft.

Olaf van der Spek @DataGhost • 2 maart 2021 15:45

Kan je die verder onderbouwen?

Bij IPv6 heb je één log entry per dag nodig (ongeveer), bij IPv4 heb je één log entry per (TCP/UDP) verbinding nodig..
(om een IP adres te herleiden naar een aansluiting)

[Reactie gewijzigd door Olaf van der Spek op 22 juli 2024 14:30]

sympa @Olaf van der Spek • 2 maart 2021 20:31

Bij IPv4 kan je klanten ook een vast IPv4-adres en vaste poortrange geven.
Al dat spul staat er ook al, en IPv4 blijft toch ook nodig aan de 'internet' kant zolang er nog IPv4-only diensten zijn.

DataGhost

@Olaf van der Spek • 2 maart 2021 15:50

Ik ga er even vanuit dat voor bewijsvoering e.d. gewoon logging tot op de seconde gewenst is, dus dat het aantal log-entries niet afneemt, slechts de grootte ervan verandert. Anders krijg je straks 20000 mogelijke adressen terug die op dag X verbinding hebben gemaakt met Y, in plaats van 20 die dat om 12:34:56 hebben gedaan. Of andersom, dat er aangevoerd wordt dat jij een post hebt geplaatst omdat je op die dag verbinding hebt gehad terwijl jij op het specifieke moment geen verbinding ermee had.

Kewne @DataGhost • 2 maart 2021 16:09

In de meeste landen is de wetgeving zo dat de provider niet alle verbindingen hoeft te loggen. Wat ze wel moeten doen is kunnen zeggen wie IP 123.456.100.256 op tijdstip 2021-03-02 16:00:00 in handen had. (Of de lokale NSA/AIVD/etc dat soort dingen logt is dan natuurlijk een andere situatie.)

Bij normale IPv4 of IPv6 is het heel makkelijk om hierachter te komen: dan kijk je in de DHCP/etc logs van die dag en geef je door wie het adres op dat tijdstip had. Als de provider statische adressen geeft is het al helemaal makkelijk. Bij CGNAT is dat niet te doen zonder logs te hebben van iedere verbinding, en moet de partij die de informatie wil hebben ook even doorgeven waar de verbinding heenging, anders kun je niet eens beginnen met zoeken.

Tozz @DataGhost • 2 maart 2021 16:52

Jawel. Als er met IPv4 CGNAT 100.000 clients zijn die 10 IP-adressen delen, dan moet je van elke TCP connectie gaan loggen welke user op welke tijd connectie maakte met welk destination adres op welke poort. Doe je dat niet, dan kun je nooit meer achterhalen of het Pietje of Klaasje was.

Wanneer een toestel publiek IPv6 heeft dan is het enige dat gelogged hoeft te worden dat IPv6 adres X toebehoort aan toestel Y. Alle opgezetten communicatie is dan niet relevant, want je weet dat alles van IPv6 adres X hoort bij toestel Y.

In andere woorden, als als Pietje zijn toestel 2 maanden lang hetzelfde IPv6 kan behouden dan is er slechts 1 log-entry nodig. Versus bij IPv4 CGNAT moet elke keer dat Pietje z'n toestel pollt voor updates bij Facebook een log entry gemaakt worden.

Jij lijkt te veronderstellen dat elke gemaakte connectie gelogged moet worden. Dat is niet zo. Je moet kunnen achterhalen welk IP bij welke gebruiker hoort. En omdat CGNAT meerdere IP adressen deelt met een hele grote pool clients, ontkom je er niet aan om elke connectie te gaan loggen.

PolarBear @Verwijderd • 2 maart 2021 14:46

Ziggo heeft ook al IPv6. Denk dat het uiteindelijk gewoon een kwestie is van niet genoeg (commercieel) voordeel om massaal over te stappen naar IPv6.

MrFax @PolarBear • 2 maart 2021 14:55

Totdat mensen opeens niet meer online kunnen gaan omdat er geen IPv4-adressen beschikbaar meer zijn.

CAPSLOCK2000

Nederland
Overheid
Ipv6
Internet

@MrFax • 2 maart 2021 15:54

Dat is niet de praktijk. De praktijk is dat we steeds gekkere en lelijkere hacks bedenken om IPv4 toch maar te laten werken. Het hele NAT/Masquerading is in de jaren 90 uitgevonden om het tekort aan IP-adressen op te lossen. "Named based virtual hosts" en "SNI" (deel van https) zijn andere "uitvindingen" die zijn gedaan om een tekort aan IPv4 adressen op te vangen. Die middelen zijn tegenwoordig zo gewoon dat we haast niet beter weten. De nadelen die er bij horen zijn ook zo gewoon geworden dat mensen niet beter weten dan dat het zo hoort. Er zijn zelfs mensen die denken dat NAT een vorm van beveiliging is. Dat is alsof je een ophaalbrug inzet als vorkheftruck. Het werkt, een beetje, in somimge situaties, maar handig is het niet. De wereld is daar zo ver in meegegaan dat iedere modem tegenwoordig een ingewikkelde "port forwarding" pagina bevat in plaats van een simpele firewall.

We zijn nu al 30 jaar aan het rotzooien met dit soort maatregelen en we zijn eigenlijk niets verder gekomen maar wel een hoop extra beperkingen hebben gekregen. De wereld was toch zo veel simpeler geweest als we daar nooit aan waren begonnen.

mr_evil08 @CAPSLOCK2000 • 2 maart 2021 19:38

NAT is ook een soort beveiliging ondanks dat niet zo mag noemen/zien.

Als een computer buiten mijn netwerk een verzoek doet naar mijn internet ip op port X dan zegt mijn router ja wat moet ik daar mee en zal het gaan droppen, daarom zijn zaken als port forwarding nodig bij NAT.

De pc binnen mijn netwerk moet een aanvraag/verzoek doen naar buiten voordat er iets terug komt van buiten naar binnen.

Ja je hebt ook uPNP en ik ken het verschil ook tussen NAT v2 en v3 etc.
Maar in globale zin kan je het indirect wel een soort beveiliging noemen, natuurlijk vervangt het geen firrewall.

b12e @MrFax • 2 maart 2021 15:15

niet dat dat ooit zal gebeuren, CG-NAT bestaat en werkt vrij vlot, in principe hoeft een particuliere klant (en geen tweaker) zelfs geen eigen IP adres te hebben. Zolang je zelf niks wil hosten maakt het an sich niet zo heel veel uit. Je kan tientallen of honderden mensen op die manier achter hetzelfde IP adres zetten op een soortgelijke manier dat al jouw netwerkapparaten thuis achter 1 en hetzelfde IP adres zitten.

Maar CG-NAT heeft ook behoorlijk wat nadelen, dus dat is iig geen langetermijnoplossing.

MrFax @b12e • 2 maart 2021 15:16

CGNAT kan grote problemen leveren met P2P-games als deze niet met IPv6 werkt. Je bent dan vaak in principe al een host.

[Reactie gewijzigd door MrFax op 22 juli 2024 14:30]

b12e @MrFax • 2 maart 2021 15:19

Dat staat ook in het "nadelen" linkje:

Behalve beperkingen in applicaties veroorzaakt doordat gebruikers niet meer vanaf het internet benaderbaar zijn en daardoor met name problemen ondervinden bij het opzetten van peer-to-peer-verbindingen [1, 2], levert CGNAT ook veiligheidsproblemen op. Identificatie, filtering en configuratie gebeurt traditioneel immers op basis van IP-adres, en niet op basis van adres/poort-combinatie.

MrFax @b12e • 2 maart 2021 15:22

Ja, ze hadden natuurlijk ook de afgelopen 10 jaar al IPv6 kunnen ondersteunen. Het is al heel erg lang bekend dat IPv4 niet meer toekomstbestendig is. CGNAT is voor de normale thuisgebruiker natuurlijk gewoon goed, maar voor een gamer of homeserver moet een eigen IPv4 of Full-stack IPv6 beschikbaar zijn.

K-aroq @MrFax • 2 maart 2021 15:38

Volgens die gedachtengang kunnen heel veel meer dingen eerder gedaan worden. Tijdens onze studietijd hadden we ook ruim van te voren ons kunnen voorbereiden voor tentamens, en toch was het de paar dagen voor het tentamen stressen. Op het werk kunnen we ook verder vooruit plannen, en toch doen we nog veel dingen op het laatst. En als we op vakantie gaan hoeven we ook niet te wachten met inpakken tot het laatst. En toch doen veel mensen dat. Bedrijfsmatig is dat niet anders. Als iets pas over 2 jaar nodig is geeft je toch voorrang aan zaken die morgen een probleem worden.

mr_evil08 @MrFax • 2 maart 2021 19:43

Het probleem wat vooral meespeelt is als iemand zich misdraagt op internet en een IP ban krijgt dan hebben er vele anderen ook last van bij NAT.

mbbs1024 @MrFax • 3 maart 2021 22:52

Is CGNAT invoeren dan zoveel goedkoper dan IPV6 ?
ISP Orange.be heeft hier recent CGNAT ingevoerd, en ondersteunt geen IPV6.
In hun router kan je CGNAT wel uitzetten als je dyndns of port forwarding wil gebruiken, je komt dan terug in de vorige situatie terecht waarbij je modem/router via dhcp een tijdelijk IPV4 adres krijgt, maar je blijft dan nog wel met NAT zitten.

[Reactie gewijzigd door mbbs1024 op 22 juli 2024 14:30]

MrFax @mbbs1024 • 3 maart 2021 23:27

NAT is op zich gewoon goed, en veilig. IPv6 maakt ook gebruik van een soort NAT om ervoor te zorgen dat subnets nog steeds niet door het internet publiekelijk in te zien zijn. Met NAT is jouw LAN verborgen door je router. Als elk apparaat een eigen unieke internet-facing IP had is dat ook een veiligheidsprobleem.

[Reactie gewijzigd door MrFax op 22 juli 2024 14:30]

mbbs1024 @MrFax • 3 maart 2021 23:31

IPV6 maakt net geen gebruik van NAT, in plaats van NAT wordt er een firewall gebruikt, en is die ganse hocus pocus van port translatie en bijhorende ALG's niet nodig.

MrFax @mbbs1024 • 3 maart 2021 23:38

Er wordt wel gebruik gemaakt van IP-randomisatie, wat je als een soort vervanging van het "verbergen" van je apparaten gezien wordt. Het is inderdaad niet echt NAT, excuses voor de verwarring, maar wel dit: https://tools.ietf.org/html/rfc3041

Het is een soort van NAT in het feit dat je een blok aan IP-adressen krijgt van je ISP die je intern kan gebruiken. Deze worden dan gebruikt als een soort "NAT": Je apparaten krijgen random IPv6-adressen aangewezen en deze worden elke keer weer anders, waardoor tracking via je volledige IPv6-adres lastig wordt.

NAT deed dit al door al het verkeer over 1 IP te laten gaan waardoor individuele apparaten in een LAN verborgen zijn. Dat is wat ik bedoelde.

[Reactie gewijzigd door MrFax op 22 juli 2024 14:30]

Alex3 @MrFax • 4 maart 2021 01:21

Het probleem met IPv6 is dat je incompatibel met de rest van de wereld bent als je het als eerste invoert. De standaard ervoor is al meer dan 20 jaar oud. Als het toen algemeen was ingevoerd was het veel goedkoper geweest.

jongetje

@MrFax • 2 maart 2021 16:10

Precies, van ipv6 is zeker al 20 jaar bekend dat dit de toekomst is. Ze hebben in die 20 jaar al een aantal keer hun spullen vervangen dus had prima meegenomen kunnen worden in de architectuur. Klinkt mij meer als gemakzucht of onbekendheid (maar dan moet je misschien geen architect zijn...)

Olaf van der Spek @b12e • 2 maart 2021 15:49

niet dat dat ooit zal gebeuren, CG-NAT bestaat en werkt vrij vlot, in principe hoeft een particuliere klant (en geen tweaker) zelfs geen eigen IP adres te hebben.

Is dat zo?
Sommige games gebruikten vroeger een p2p architectuur.. bijvoorbeeld.
Of spelen niet-tweakers geen games?

(spuit elf)

[Reactie gewijzigd door Olaf van der Spek op 22 juli 2024 14:30]

b12e @Olaf van der Spek • 2 maart 2021 15:51

"sommige games" en "vroeger", ik denk dat die paar uitzonderingen wel gewoon hun eigen IP kunnen krijgen van hun provider.

Mijn vorige provider steekt iedereen achter CG-NAT maar als je naar klantendienst belt kennen ze je eigen IP adres toe zonder bijkomende kost. Adverteren ze zo ook online (pepephone).

Mijn huidige provider rekent je €3 per maand voor je eigen IP, verder iedereen achter CG-NAT. En dat vind ik prima (kviknet).

Olaf van der Spek @b12e • 2 maart 2021 17:53

"sommige games" en "vroeger", ik denk dat die paar uitzonderingen wel gewoon hun eigen IP kunnen krijgen van hun provider.

VoIP (voice / video) schijnt tegenwoordig ook nogal populair te zijn, maar dat kan dus ook niet meer met een p2p architectuur.. het is de vraag of die onmogelijkheden wenselijk zijn.
En consoles hebben (hadden) volgens mij ook baat bij p2p verbindingen. Consoles schijnen ook nogal populair te zijn.

[Reactie gewijzigd door Olaf van der Spek op 22 juli 2024 14:30]

b12e @Olaf van der Spek • 2 maart 2021 18:07

Ik zit achter CG-NAT en gebruik VoIP applicaties, die werken zelden of nooit p2p. En zelfs dan is p2p wel mogelijk (torrents downloaden bvb kan ook gewoon).

Er zullen situaties zijn waar het niet kan (slechte implementatie, bvb) maar CG-NAT hoeft niet te betekenen dat p2p of VOIP niet werkt. Het een sluit het ander niet uit.

Olaf van der Spek @b12e • 2 maart 2021 18:42

Ik zit achter CG-NAT en gebruik VoIP applicaties, die werken zelden of nooit p2p.

Niet meer inderdaad, dankzij problemen met NAT..

En zelfs dan is p2p wel mogelijk (torrents downloaden bvb kan ook gewoon).

Ja, maar ook daar kun jij dan geen verbinding maken met iemand die ook achter (CG) NAT zit.

Twam @MrFax • 2 maart 2021 14:57

Dan gaat het opeens heel vlot, gok ik

Verwijderd @Twam • 2 maart 2021 15:32

Een tijdje terug gelezen dat het potje V4-adressen bijna op is. Aan de andere kant: geef mij V4 maar, een stuk simpeler om mee te werken

Als het potje op dreigt te raken dan zullen de betreffende ISP's ruim van tevoren overstappen op V6.

zx9r_mario @Verwijderd • 2 maart 2021 15:45

Het IPv4 potje is allang op. Probeer als ISP starter maar eens een IPv4 blok te krijgen, kijk maar naar Freedom.

Iedere IT'er krijgt vroeg of laat met IPv6 te maken. Of je kunt voor je thuisnetwerkje ook NetBEUI draaien, nog makkelijker dan IPv4

Verwijderd @zx9r_mario • 2 maart 2021 20:44

Hmz, dat tijdje terug heb ik klaarblijkelijk ruim genomen

NetBEUI is helemaal terug in de tijd, volgens mij heb ik het zeker twintig jaar niet meer gebruikt.

tweaknico @Verwijderd • 2 maart 2021 16:34

Het potje is al bijna 8 jaar op in Azie, en al een jaar of 3 in Europa.
Dat overstappen is al voorgesteld sinds 2010 (6 juni ).

Verwijderd @tweaknico • 2 maart 2021 20:45

Dan is T-Mobile rijkelijk laat met overstappen, bedankt voor de info.

tweaknico @MrFax • 2 maart 2021 16:27

Nee eerder dat diensten niet meer beschikbaar zijn op IPv4 omdat een provider van de dienst geen zin heeft in een rekening voor een heel duur IPv4 adres.

IffyIffy @PolarBear • 2 maart 2021 15:02

Maar die ipv6 bij Ziggo is alleen als je geen bridge-modus aan hebt staan op de gateway. Zodra je je eigen apparatuur gebruikt wordt je op een ipv4 geparkeerd.

Umbrah @IffyIffy • 2 maart 2021 15:05

Om heel eerlijk te zijn is er met IPv6 eigenlijk geen onderscheid meer tussen bridge/NAT-modus... de IPv6 adressen zijn vrij riant namelijk (wel weer een dingetje om even goed mee te beveiligen). Wist overigens niet dat bridge/nat modus een verschil heeft, en eigenlijk hoop ik dat dit wel iets is wat in de wetgeving rondom 'vrije modemkeuze' wordt meegenomen (waar je de modem als een AOP kunt zien, en de router als modem)

Niemand_Anders @Umbrah • 2 maart 2021 15:27

IPv6 is niet moeilijker te beveiligen dan IPv4. Bij KPN blokkeerd de Experia (V10) box standaard alle het inkomend IPv6 verkeer. Vergelijkbaar met NAT, moet je applicaties opzetten voor een bepaalde machine..

Blokkeren van verkeer van interne machines naar de buitenwereld is ook eenvoudig te doen.

Ik ken de situatie bij Ziggo niet, maar bij ik kan de UniFi router gebruiken met KPN Glasvezel ik heb geen enkel probleem met IPv4 of IPv6..

Umbrah @Niemand_Anders • 2 maart 2021 15:42

Je kan kiezen of je stateful of stateless wilt configureren, waar je feitelijk een /64 afgeeft. Port filtering is dus wat je toepast, géén port forward. Eigenlijk heb je dus een heel /64 wat standaard alles gefilterd heeft, maar waar je mee kan doen/laten wat je wilt!

Kewne @Niemand_Anders • 2 maart 2021 15:48

Niet moeilijker, maar wel een stuk buggier op veel consumententroep. Praktisch voorbeeldje van de Ziggo/Arris Connect Box: het kastje heeft ondersteuning voor prefix delegation, maar als de inkomende firewall aanstaat staat het ook voor die prefixes volledig aan, en firewall regels kun je sinds een jaar ofzo alleen voor de /64 van de router zelf toevoegen.

Resultaat is dat ik een keuze moet maken: wil ik een IPv6 firewall voor de clients op de Connect Box onder (ja), of wil ik poorten open kunnen zetten boven (eigenlijk ook)? Op IPv4 werken de standaard port forwarding/DMZ settings gewoon en is er een stuk minder dat fout kan gaan.

rbr320 @Kewne • 2 maart 2021 17:49

Maar dat is toch precies het punt van deze hele discussie? Als we al jaren geleden op IPv6 waren over gegaan dan waren dat soort vervelende dingen ook al lang opgelost. Het is gewoon een kwestie van marktwerking, alleen heeft de markt momenteel wat mij betreft wel even een duwtje nodig om IPv6 te omarmen.

mr_evil08 @Niemand_Anders • 2 maart 2021 19:46

Is het blokkeren of kan de router er gewoon niet mee overweg en snapt gewoon niks van ipv6.

arjankoole

Overheid

@PolarBear • 2 maart 2021 15:24

Ziggo heeft ook al IPv6. Denk dat het uiteindelijk gewoon een kwestie is van niet genoeg (commercieel) voordeel om massaal over te stappen naar IPv6.

totdat je je modem in bridgemode laat zetten, dan is het opeens geen IPv6. en voor serieuze gebruikers is 't ook niet echt fijn, want je kunt niet eens fatsoenlijk segmenteren. (hierdoor gooien ze in weze bijna een hele /56 weg, want je kunt maar 1 /64 gebruiken.)

_Arjen_ @arjankoole • 2 maart 2021 15:31

Hier modem in Bridge en heb gewoon ipv6...
Verschil zal hem dan zitten in welke regio.

arjankoole

Overheid

@_Arjen_ • 2 maart 2021 15:38

hmmm, hebben ze dat aangepakt? Welke modem is dat mee?

_Arjen_ @arjankoole • 2 maart 2021 19:00

Gewoon het huidige modem dat ze leveren.

Tozz @_Arjen_ • 2 maart 2021 16:56

Nee, dat heb je niet. Je hebt misschien Teredo, maar je hebt geen native IPv6 van Ziggo

_Arjen_ @Tozz • 2 maart 2021 18:59

Is op basis van ds-lite, en prima zelf in te stellen met bijvoorbeeld openwrt, geen enkel probleem.
En ja, het is gewoon een reeks vanuit Ziggo.

arjankoole

Overheid

@Tozz • 7 maart 2021 10:58

Nee, dat heb je niet. Je hebt misschien Teredo, maar je hebt geen native IPv6 van Ziggo

Ziggo doet wel degelijk native ipv6. Met weliswaar een beroerde ds-lite implementatie.

Tozz @arjankoole • 9 maart 2021 12:33

Maar last time I checked (en dat is niet zo lang geleden) niet wanneer je modem in bridge staat. Alleen wanneer je modem ook router speelt.

arjankoole

Overheid

@Tozz • 11 maart 2021 14:19

Maar last time I checked (en dat is niet zo lang geleden) niet wanneer je modem in bridge staat. Alleen wanneer je modem ook router speelt.

Bij mij ook niet, maar dat schijnt modem en/of regio afhankelijk te zijn. Er loopt er eentje rond hier op tweakers die daadwerkelijk en bridge, en ipv6 heeft.

jaenster

@PolarBear • 2 maart 2021 15:11

Haal het woord `al` maar weg

SunnieNL

@PolarBear • 2 maart 2021 17:55

Klopt, alle nieuwe klanten worden al op ipv6 gezet en dan moet je vragen aan support om hem om te zetten naar ipv4

Gadget Freak @Verwijderd • 2 maart 2021 14:49

IPv4 is al "op", maar met trucs bij providers worden er nog wel wat adressen uitgeperst. Ze hadden er 50 jaar geleden geen rekening mee gehouden dat het aantal van 4 miljard computers in een netwerk wel eens een beperking zou kunnen zijn. En helaas zijn IPv4 en IPv6 niet uitwisselbaar

tom.cx @Gadget Freak • 2 maart 2021 14:53

Plus ze kopen allemaal ipv4 adressen op bij bedrijven. Maanden geleden in een podcast gehoord dat er bedrijven zijn met makelaars voor ipv4 adressen. Ze openen zelfs faillissementen van oude bedrijven als het blijft dat die nog ipv4 adressen hebben.

CAPSLOCK2000

Nederland
Overheid
Ipv6
Internet

@tom.cx • 2 maart 2021 16:40

Plus ze kopen allemaal ipv4 adressen op bij bedrijven. Maanden geleden in een podcast gehoord dat er bedrijven zijn met makelaars voor ipv4 adressen. Ze openen zelfs faillissementen van oude bedrijven als het blijft dat die nog ipv4 adressen hebben.

En zoals gewoonlijk kunnen de rijken landen hun problemen afkopen en zijn het de arme landen die de klappen moeten opvangen, terwijl die geen geld hebben en geen invloed om de situatie te veranderen. De rijke klanten bepalen de prioriteiten waardoor de problemen van de armen nooit worden opgelost.

IPv6 kan het tekort aan adressen in ieder geval wegnemen, maar op deze manier komen we er niet.

Tozz @CAPSLOCK2000 • 2 maart 2021 16:54

Dat is eigenlijk meer een voordeel dan een nadeel. Landen of bedrijven zonder IPv4 of een groot tekort aan IPv4 ontkomen dus niet aan implementatie van IPv6 en dan misschien een soort CGNAT voor rommel dat perse over IPv4 moet werken.

Deze landen zijn dus eerder 'over'.

Gadget Freak @Tozz • 3 maart 2021 10:25

Klopt. Over een paar jaar zijn de arme landen qua IP in een betere staat dan wij. En dat hebben we aan onszelf te danken.

Ge Someone @Gadget Freak • 2 maart 2021 15:42

Of een ander voorbeeld van @Verwijderd

We gebruiken nu ook IP’s uit een pool die we leasen in plaats van in bezit hebben. Dat is een juridisch verschil, maar voor de techniek maakt het niks uit .

-Colossalman- @Verwijderd • 2 maart 2021 14:49

Waarschijnlijk maken ze gebruik van Carrier Grade NAT.

MrFax @-Colossalman- • 2 maart 2021 15:10

Dat is het verplaatsen van de NAT van jouw modem naar die van de ISP. Dit is een noodoptie om ervoor te zorgen dat er toch genoeg IPv4-adressen beschikbaar zijn als deze op zijn. Maar dit gaat 100% problemen geven bij games die gebruik maken van P2P (zoals Destiny 2), omdat je niet meer zelf poorten kan openen. Ook een thuisserver wordt vrijwel onmogelijk.

Of het kan via DS-lite, maar zelfs dat is niet perfect, zeker niet bij services die niet goed IPv6 ondersteunen. Toen ik nog Ziggo had werkte het voor geen enkele meter.

Wel wordt CGNAT grootschalig gebruikt bij mobiele netwerken, omdat er gewoon teveel van zijn, daar zijn geen IPv4-adressen meer voor beschikbaar.

[Reactie gewijzigd door MrFax op 22 juli 2024 14:30]

DaveFlash @Verwijderd • 2 maart 2021 16:05

vodasloom lijkt ook geen IPv6 te doen op 4/5G

Tozz @DaveFlash • 2 maart 2021 17:02

Bij KPN krijg ik een IPv6-adres uit de 2a02:a420::/32 range, maar alleen als ik de APN in ANdroid forceer op IPv6. Standaard staat ie op IPv4/IPv6 en dan heb ik alleen IPv4.

Met geforceerd IPv6 werkt zo te zien vrij weinig. Het lijkt erop alsof er geen IPv6 DNS servers worden uitgedeeld door KPN.

[Reactie gewijzigd door Tozz op 22 juli 2024 14:30]

arjankoole

Overheid

@Tozz • 11 maart 2021 14:24

Bij KPN krijg ik een IPv6-adres uit de 2a02:a420::/32 range, maar alleen als ik de APN in ANdroid forceer op IPv6. Standaard staat ie op IPv4/IPv6 en dan heb ik alleen IPv4.

Met geforceerd IPv6 werkt zo te zien vrij weinig. Het lijkt erop alsof er geen IPv6 DNS servers worden uitgedeeld door KPN.

Op een iPhone X met alles standaard werkt alles naar behoren op IPv6 bij KPN. Het enige waar https://ipv6-test.com/ over moppert is dat ICMPv6 gefiltert wordt. Nette dual-stack DNS servers, en zelfs de forward en reverse records kloppen.

appollonius333 @Verwijderd • 2 maart 2021 15:31

KPN is al enige tijd op IPv6 en het bevalt prima.
Op het moment draai ik veel dingen Dualstack, alhoewel ik tegenwoordig veel apparatuur ook alleen een IPv6 adres geef.
Ook met een eigen modem/router heb ik tot op heden nog geen problemen ondervonden.

macaidwin @Verwijderd • 3 maart 2021 07:55

Laatst nog aan Solcon gevraagd of ze op mijn half jaar oude glasvezel aansluiting ipv6 kunnen leveren, maar helaas.

tom.cx 2 maart 2021 14:51

Het invoeren van ipv6 gaat sowieso een beetje langzaam. Ik heb het thuis daarnaast wel gehad maar moeten laten uitzetten door de provider omdat het gewoon niet goed werkte. Weet niet hoe het er inmiddels voorstaat bij de providers.

Umbrah @tom.cx • 2 maart 2021 15:10

Ik heb het bij Ziggo, en het werkt erg goed. Voordelen én nadelen echter: eigenlijk is elk device op m'n netwerk wat IPv6 snapt in principe "publiek" aangesloten... port forwarding is dus ineens ook IPv4-only... dit stelt wel wat strengere eisen aan m'n apparatuur.

Ook een DNS resolve pakt het in volgorde AAAA record > AAA record (6 > 4). En mixed sites werken ook lekker: whatismyip.com geeft dan ook leuke dingen aan:

My Public IPv6 is: 2001:1c02:21e:6b00:***:***:***:**
My Public IPv4 is: 83.87.**.**

Het jammere is dat sommige applicaties IPv4 afdwingen. Waar browsers goed gaan, en games die nogal "framework native" zijn zoals een minecraft Java, oid wel goed gaan, zul je bij een game als WoW echt met de hand een vinkje bij IPv6 moeten zetten.

Dat staat adoptie ook wel in de weg.

Tweakers resolved "default" ook IPv6 voor mij, hoewel ik niet elk subdomein heb getest:

Pinging tweakers.net [2001:9a8:0:e:1337:0:80:1] with 32 bytes of data:
Reply from 2001:9a8:0:e:1337:0:80:1: time=9ms

[Reactie gewijzigd door Umbrah op 22 juli 2024 14:30]

Twam @Umbrah • 2 maart 2021 15:25

Ik heb het bij Ziggo, en het werkt erg goed. Voordelen én nadelen echter: eigenlijk is elk device op m'n netwerk wat IPv6 snapt in principe "publiek" aangesloten... port forwarding is dus ineens ook IPv4-only... dit stelt wel wat strengere eisen aan m'n apparatuur.

Wait, what?

En LAN is dan op IPv6 in principe niet meer LAN maar WAN?

Hoe babbelen die apparaten met elkaar, wel nog op basis van MAC via lokaal router, of loopt alles potentieel via de ISP? Werkt firewall op niveau van router/modem wel nog gewoon zoals gewend, of heeft dat dan ook niet zoveel zin meer?

arjankoole

Overheid

@Twam • 2 maart 2021 15:37

[...]

Wait, what?

En LAN is dan op IPv6 in principe niet meer LAN maar WAN?

Hoe babbelen die apparaten met elkaar, wel nog op basis van MAC via lokaal router, of loopt alles potentieel via de ISP? Werkt firewall op niveau van router/modem wel nog gewoon zoals gewend, of heeft dat dan ook niet zoveel zin meer?

Als het lokaal is blijft het lokaal, als het niet lokaal is gaat 't via je router naar buiten. Lokaal gaat op een heel berg manieren. ( ndp, de ipv6 tegenhanger van arp, bijvoorbeeld). Praat gewoon tegen elkaar. Soms geholpen door leuke trucjes als mDNS bijvoorbeeld.

Dus net zoals IPv4 is LAN lokaal, en WAN is voorbij je modem. Dat heeft niet heel veel met IP adressen te maken, op zich. (ze zijn alleen nodig).

Op firewall niveau werkt 't anders. NAT is weg (hoera) en portforwarding is overbodig. (poortje open zetten, klaar)

wat ie bij mij doet is : verkeer van buiten naar binnen mag alleen als het van binnen geïnitieerd is. (dus related, established). Nieuw verkeer krijgt gewoon 'nee'. Van binnen naar buiten mag afhankelijk van het VLAN veel, weinig, of niets.

Dat is wat eigelijk alle routers/modems deden met NAT.

In principe is elk ipv6 adres uit mijn /48 routeerbaar en dus 'publiek'. Ik zet alleen specifieke poorten/protocollen open naar specifieke destinations, vanaf specifieke sources. En die sources kun je ook niet benaderen als ik je niet ken

Twam @arjankoole • 2 maart 2021 15:45

Hm, ok, helder. Mettertijd maar eens wat verder inlezen, ik weet er (duidelijk) nog niks vanaf. In theorie ook niet nodig, als we even aannemen dat Ziggo er voor mij vanalles vanaf weet, maar ik vind het toch prettig als ik snap hoe ik m'n spul beste kan instellen en wat ik wel of niet kan doen om iets aan de praat te krijgen.

Zit hier momenteel nog op puur IPv4, iig. Ziggo had me paar jaar terug een keer overgezet, maar toen gooide de VPN naar m'n werk acuut het bijltje ermee neer, dus na wat overleg met de Ziggo-helpdesk was de conclusie die toggle maar weer uit te zetten. Nu heeft onze IT'er die specifieke VPN-portal volgens mij inmiddels ritueel verbrand, maar het is toch slechte eerste ervaring met IPv6 geweest.

arjankoole

Overheid

@Twam • 11 maart 2021 14:28

Zit hier momenteel nog op puur IPv4, iig. Ziggo had me paar jaar terug een keer overgezet, maar toen gooide de VPN naar m'n werk acuut het bijltje ermee neer,

ik denk dat dit zo'n typisch voorbeeld is van: er is wel een IPv6 record, maar de service zelf luistert alleen op IPv4.

Ik ben dat letterlijk al 3000 keer tegengekomen. De meestel IPv6 problemen zijn redelijk snel en pijnloos op te lossen. Maar dat moet je we doen voor mensen het gaan uitrollen

Maurits van Baerle

Ipv6

@Twam • 2 maart 2021 15:34

Ook met IPv6 is je modem router nog steeds de grens tussen WAN en LAN en de plek waar de firewall zit, waar lokale IP adressen uitgedeeld worden (bij IPv6 heeft een apparaat op je LAN meerdere IP adressen afhankelijk van of het intern of extern is) en andere typische LAN zaken.

Jouw modem router weet dus ook of een pakketje naar je printer in je LAN moet of naar een server ergens op internet. Dat komt niet bij jouw ISP terecht.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 14:30]

TunefulDJ_Mike @Maurits van Baerle • 2 maart 2021 16:00

Kleine opmerking hierbij, je router is de grens. Je modem is een dom apparaat wat inkomende verbinding omzet in iets bruikbaars voor thuisgebruik

Maurits van Baerle

Ipv6

@TunefulDJ_Mike • 2 maart 2021 16:51

Je hebt gelijk natuurlijk.

Umbrah @Twam • 2 maart 2021 15:30

Natuurlijk is er lokaal peering, en een firewall, dat is nou eenmaal hoe het protocol werkt, echter is er niet meer sprake van een NAT.

Olaf van der Spek @Umbrah • 2 maart 2021 15:20

Voordelen én nadelen echter: eigenlijk is elk device op m'n netwerk wat IPv6 snapt in principe "publiek" aangesloten...

Geen standaard firewall voor IPv6 in de router? Lijkt mij anders nogal een beveiligingsvalkuil.

Dat staat adoptie ook wel in de weg..

In welke zin?

[Reactie gewijzigd door Olaf van der Spek op 22 juli 2024 14:30]

arjankoole

Overheid

@Olaf van der Spek • 2 maart 2021 15:32

Geen standaard firewall voor IPv6 in de router? Lijkt mij anders nogal een beveiligingsvalkuil.

publiek betekend niet geen firewall

wat ie bij mij doet is : verkeer van buiten naar binnen mag alleen als het van binnen geïnitieerd is. (dus related, established). Nieuw verkeer krijgt gewoon 'nee'. Van binnen naar buiten mag afhankelijk van het VLAN veel, weinig, of niets.

Maar in principe is elk ipv6 adres uit mijn /48 routeerbaar en dus 'publiek'. Ik zet alleen specifieke poorten/protocollen open naar specifieke destinations, vanaf specifieke sources. En die sources kun je ook niet benaderen als ik je niet ken

Umbrah @Olaf van der Spek • 2 maart 2021 15:28

Tuurlijk wel een firewall, echter géén NAT: je moet nog wel poorten open zetten, je hoeft ze alleen niet te forwarden.

En qua adoptie in de weg: protocol keuze zou geen gebruikerskeuze moeten zijn in de vorm van een checkbox ergens in een game instelling. Heb je het? Gebruik het. Heb je het niet? Gebruik het niet.

Om het voorbeeld van WoW aan te grijpen:

Het aanzetten is erg makkelijk. Maar je moet het zelf aanzetten. En als je het aanzet, zonder dat je het hebt, zul je met de hand een config file moeten gaan aanpassen om het spel uberhaupt weer te kunnen starten. Dat zou transparanter moeten zijn (en daar kan DNS natuurlijk mee helpen).

[Reactie gewijzigd door Umbrah op 22 juli 2024 14:30]

Olaf van der Spek @Umbrah • 2 maart 2021 15:41

dit stelt wel wat strengere eisen aan m'n apparatuur.

Dan begrijp ik dit niet.. welke strengere eisen stelt het dan, als er toch een firewall is?

Umbrah @Olaf van der Spek • 2 maart 2021 15:44

Firewalls zijn niet heiligmakend en je kunt je niet meer achter een NAT verschuilen waar je in principe hooguit UPnP de schuld kan geven als er iets lekt: en mocht je echt gek zijn online kan je je ook niet meer verschuilen achter: "dat was m'n huisgenoot"

Maurits van Baerle

Ipv6

@Umbrah • 2 maart 2021 17:01

Zoals @Heidistein al zegt. Bij vrijwel alle mainstream besturingssystemen staat IPv6 Privacy Extensions standaard aan. Dan krijgt je laptop of telefoon iedere 24 uur een nieuw publiek IP adres en kun je je nog steeds verschuilen achter je huisgenoot. 😎

arjankoole

Overheid

@Maurits van Baerle • 11 maart 2021 14:31

Zoals @Heidistein al zegt. Bij vrijwel alle mainstream besturingssystemen staat IPv6 Privacy Extensions standaard aan. Dan krijgt je laptop of telefoon iedere 24 uur een nieuw publiek IP adres en kun je je nog steeds verschuilen achter je huisgenoot. 😎

vaker zelfs

Mijn mac pakt om de haverklap, zelfs per browser tab dacht ik, een nieuw adres. Ik heb er een hele rits staan die continue veranderen. Alleen dingen als ssh gaan op het _echte_ ipv6 adres naar buiten. (wat ie krijgt middels SLAAC+SecurityExt)

Heidistein @Umbrah • 2 maart 2021 16:07

Nou, dat kan prima, mits je maar dat privacy enabled addressing(of hoe dat heet) aanzet... Krijg je elke tijd een nieuw adres.

CAPSLOCK2000

Nederland
Overheid
Ipv6
Internet

@Umbrah • 2 maart 2021 16:15

Ik heb het bij Ziggo, en het werkt erg goed. Voordelen én nadelen echter: eigenlijk is elk device op m'n netwerk wat IPv6 snapt in principe "publiek" aangesloten... port forwarding is dus ineens ook IPv4-only... dit stelt wel wat strengere eisen aan m'n apparatuur.

Hoezo?
Ik hoor dat wel vaker maar volgens mij is het een misverstand.

Iedere IPv6 (consumenten)router die ik ooit heb gezien heeft standaard een firewall aan staan die meer veiligheid geeft dan NAT. Er zijn allerlei manieren om NAT om de tuin te leiden omdat NAT een soort hack is vaak maar een beetje moet raden wat nu eigenlijk de bedoeling is. Meestal gaat het goed hoor, maar niet zo goed als een "echte" firewall.
Het is niet voor niets dat de meeste routers ook een firewall hebben voor IPv4. Die zorgt voor de veiligheid en NAT gaat met de eer lopen.

Tegelijkertijd maken we de configuratie van zo'n apparaat een stuk ingewikkelder dan een firewall. Zo kun je iedere externe poort maar 1 keer gebruiken. Maar de meeste applicaties hebben vaste poorten (80/443/22) . Daar is wel weer een mouw aan te passen maar het maakt het allemaal een stuk ingewikkelder. Een ingewikkeld is een vijand van veilig.

Als mensen het niet snappen dan zullen ze fouten maken.

aikebah @Umbrah • 2 maart 2021 21:15

Tweakers resolved "default" ook IPv6 voor mij, hoewel ik niet elk subdomein heb getest:

Pinging tweakers.net [2001:9a8:0:e:1337:0:80:1] with 32 bytes of data:
Reply from 2001:9a8:0:e:1337:0:80:1: time=9ms

nice

Panzer_V @tom.cx • 2 maart 2021 14:54

Als XS4ALL klant heb ik al vele jaren ipv6. Werkt prima. Andere providers zijn er idd wat laat mee.

blinchik @Panzer_V • 2 maart 2021 14:59

Tot mijn schande moet ik bekennen dat ik nog niet zo veel van ipv6 af weet.

Hoe ga je als client dan naar sites die enkel via ipv4 bereikbaar zijn? Via een ipv6 tunnel? En zet je die tunnel zelf op, of doet je provider dat?

En wat ziet de webhost wanneer jij naar hem verbindt? Ziet hij dan het tunnel (proxy) ipv4 in zijn logs (en ben je dus voor die webhost geen unieke bezoeker, maar eigenlijk iemand anoniem)?

beerse @blinchik • 2 maart 2021 15:40

Voor de meeste huidige IPv6 implementaties geldt dat er ook een IPv4 implementatie naast ligt. Bij XS4ALL heb ik al jaren IPv6 maar ook nog steeds IPv4.
De meeste thuis gebruikers die eventueel alleen op IPv6 zitten met hun netwerk aansluiting, hebben thuis, achter de router in de regel ook een IPv4 netwerk liggen, al is het alleen maar voor apparatuur die niet met IPv6 om kan gaan.

Als je in een IPv6 wereld een ipadres vraagt van een dns-server, dan zal dat in de regel eerst de IPv6 adressen geven en daarna de IPv4. Als er alleen maar IPv4 is, dan wordt die gewoon gebruikt. Het is aan de routers en dergelijke in het netwerk om dat adres te routeren en mogelijk te vertalen.

Panzer_V @blinchik • 2 maart 2021 15:00

Ik heb dus twee internetconnecties zeg maar. Een ipv4 en een ipv6. Standaard wordt ipv6 gebruikt voor sites die ipv6 hebben, ook al hebben ze ipv4. Sites die enkel ipv4 hebben gaan over dat lijntje.

Visgek82 @blinchik • 2 maart 2021 15:30

Ik denk dat 99.999% van Nederland daar niets vanaf weet.

Mij zal het persoonlijk ook een biet zijn , als het maar werkt

Keypunchie

Internet
Nederland

@tom.cx • 2 maart 2021 14:55

Werkt intussen eigenlijk prima. Ik heb voor de grap een browser extensie die aangeeft of ik via ipv4 of ipv6 verbindt. Je hebt het in principe (happy eyeballs protocol) niet door.

Voor Tweakers.net nu bvb. het domein zelf via Ipv4, maar van de CDN's (en tweakers heeft nogal wat domeinen serveren, meeste CDN's is het ongeveer 1/3e via cache, 1/3e via Ipv4 en 1/3e via IPv6). Geen centje pijn.

prodesk 2 maart 2021 15:02

Waarom wordt de hosting dan niet centraal geregeld? Nu is het zo dat elke overheidsdienst bij een andere hoster zit. Dan kan het nog lang duren...

TunefulDJ_Mike @prodesk • 2 maart 2021 15:55

Meeste overheids ogranisaties hebben hun eigen hardware en veelal ook eigen datacenters of plaatsen hun hardware in overheidsdata centers. Hosting voor de websites is dus veelal in eigen beheer. Zeker bij de grotere overheids organisaties

[Reactie gewijzigd door TunefulDJ_Mike op 22 juli 2024 14:30]

mrretret @prodesk • 2 maart 2021 15:11

Tja je zou overheidswebsites in de cloud moeten stoppen maar dat is eng.....

prodesk @mrretret • 2 maart 2021 15:16

Of hun websites bij Logius onderbrengen.

mrretret @prodesk • 2 maart 2021 16:31

Zover ik weet hebben zij geen enkele ervaring met zelfstandig hosting verzorgen.

ocn @mrretret • 2 maart 2021 17:50

https://www.logius.nl/diensten/standaard-platform

johnny2000 2 maart 2021 15:05

Tja ipv6 blijft lastig:
- Ziggo: ipv6 en hun ds-lite
- Google Cloud: Computing geen ondersteuning voor ipv6 (LB wel)
- Microsoft mail: mx records uitsluitend via ipv4 bereikbaar

Het is helaas geen druk op de knop en BAM je hebt ipv6. Voor de gebruiker maakt het geen fluit uit, dus daarom ook niet echt "sexy" om te verkopen. Alleen wij techneuten vinden het leuk :-)

Oon

@johnny2000 • 2 maart 2021 15:32

Het is ook redelijk wat werk als je thuis e.e.a. host. Als ik IPv6 volledig wil gaan gebruiken moet ik ook mijn thuisserver IPv6-ready krijgen (inclusief alle docker containers en VM's), alle poorten opnieuw open zetten, mijn (externe) mailserver IPv6-ready maken en ga zo maar door.

Het is allemaal wel te doen, maar ook als Tweaker niet een kwestie van een knopje omzetten

Maurits van Baerle

Ipv6

@Oon • 2 maart 2021 18:20

Achteraf ombouwen naar Dual Stack (IPv4 + IPv6) kan best complex zijn ja.

Ik hanteer nu een jaartje of vijf de eis dat ieder nieuw project standaard IP4+IPv6 is. Ergens vorig jaar ben ik begonnen met projecten die intern alleen IPv6 gebruiken (wel zo makkelijk) en alleen aan de edge nog IP4+IPv6 gebruiken voor clients die nog geen IPv6 begrijpen. Een beetje á la wat Facebook zes jaar geleden is gaan doen. Aangezien IPv4 een steeds kleiner aandeel in het verkeer wordt kun je dan op een gegeven moment waarschijnlijk de IPv4 ondersteuning gewoon uitschakelen zonder dat iemand het merkt. IPv4 uitzetten is een stuk makkelijker dan IPv6 aanzetten.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 14:30]

lenwar

Internet
Nederland

@johnny2000 • 2 maart 2021 15:53

Voor de gebruiker maakt het geen fluit uit, dus daarom ook niet echt "sexy" om te verkopen

Dat is natuurlijk alleen kwestie van de juiste marketing. 5g voor een telefoon maakt voor een eindgebruiker ook geen fluit uit, en toch spelen de telecomboeren er hard op in.

Hetgeen dat de adoptie nogal ingewikkeld maakt, is het feit dat er op dit moment ook nog steeds geen echte noodzaak is, door allerlei redenen die hierboven genoemd worden.
Naast elkaar draaien (IPv4 en IPv6) biedt geen concrete meerwaarde voor de eindgebruiker. Die zal het effectief niet eens merken. IPv6 biedt geen gebruikersvoordeel. Het is alleen technische noodzaak voor in de toekomst.
En volledig overstappen op 'pure IPv6' gaat heel veel stuk maken bij mensen thuis. Er is allerlei software/IOT spul dat alleen IPv4 ondersteund. Je zou een router natuurlijk een soort vertaalslag kunnen laten maken (IPv4 NAT naar IPv6 of andersom, net hoe je het bekijkt). Maar de dag dat dit standaard wordt, is natuurlijk dezelfde dag dat allerlei IOT-boeren of kleine softwareboeren niet eens de moeite gaan nemen om IPv6 te praten, want de router regelt het wel.

Off topic: Ik ben eigenlijk ook mening dat de groep die IPv6 heeft bedacht te ambitieus was. Ik denk dat het handiger had geweest als ze het zo hadden ontworpen dat je thuis-router gewoon één adres krijgt, al dan niet statisch en vanaf daar NATten. Net zoals het met IPv4 is, maar dan met een complexer IP-adres. Het is allicht handig al bedrijven of hobbyisten een subnetje aan adressen kunnen krijgen, maar voor Sjaak de Surfer is het natuurlijk niet nodig dat hij een exorbitante hoeveelheid IP-adressen toegewezen krijgt.

Maurits van Baerle

Ipv6

@lenwar • 2 maart 2021 17:42

Maar waarom NAT-ten? Dat maakt het voor thuistoepassingen nou juist zo complex met port-forwarding, UPnP en applicaties die zich met speciale protocollen in allerlei bochten moeten wringen om toch een internetverbinding te krijgen.

Het mooie aan IPv6 voor thuisgebruik is dat je in 99,99% van de gevallen niets hoeft in te stellen. Een IPv6 firewall met een default-deny regel op al het binnenkomend verkeerd dat niet van binnenuit geïnitieerd is en je bent al veiliger dan over IPv4-NAT maar zonder het gepruts.

ocn @johnny2000 • 2 maart 2021 16:12

Je kan IPv6 'aan laten zetten' door Microsoft. Zie ook https://www.vngrealisatie...ange%20Online%20email.pdf

HellStorm666 2 maart 2021 15:04

XS4All is de enige die IPv6 nog officieel ondersteund.
Bij KPN werkt het, maar geen ondersteuning er op.
Ziggo, geen idee.
T-Mobile heeft totaal géén IPv6.

Goed dat er bij de overheid dus achteraan wordt gezeten. Maar misschien wel handig als ze dit ook gaan verplichten bij ISP's.

D11 @HellStorm666 • 2 maart 2021 15:29

Ik zit bij Freedom.nl en heb ook standaard een vast IPv4 adres en een IPv6 /64 block.

Edit: zie nu in de welkoms mail dat dit toch een /48 is.

[Reactie gewijzigd door D11 op 22 juli 2024 14:30]

aikebah @D11 • 2 maart 2021 21:24

Hmm.. vreemd, want ik heb daar gewoon een /48

arjankoole

Overheid

@D11 • 2 maart 2021 15:40

Ik zit bij Freedom.nl en heb ook standaard een vast IPv4 adres en een IPv6 /64 block.

wat? slechts een /64? da's slecht.

Umbrah @arjankoole • 2 maart 2021 16:04

/64 is als ik het niet verkeerd heb vrij normaal voor Residential. Krijg ik bij Ziggo ook. Heb je feitelijk nog steeds 18,446,744,073,709,551,616 IP adressen mee voor thuisgebruik, dus feitelijk elke lamp/muis/controller/doos melk een eigen IP adres. Vergeet niet dat IPv6 een 128-bit base heeft, en een subnet van 64-bit is dus nog steeds riant. Even een korte inventarisatie toont mij dat mijn reguliere werk PC nu drie IPv6 adressen gebruikt, een van m'n ubuntu bakjes heeft zichzelf riant vier stuks toegeëigend, ondanks dat die valsspeelt door óók een fe80 aan te houden, etc...

Niks slechts aan /64! Dat is zó veel beter dan het enkele adres ip IPv4 (als je al niet achter een provider-NAT kwam)

Tozz @Umbrah • 2 maart 2021 17:17

Jawel het is wel slecht. Want je kunt niet subnetten met 1 /64 blok. Het idee is dat je meer dan 1 /64 thuis kunt uitdelen. Denk aan een VLAN voor bv. publieke rommel en een VLAN voor prive rommel. Die hebben dan beide een eigen /64.

Ook bij Ziggo krijg je uit mijn hoofd niet een /64 maar een groter blok. Het probleem zit 'm er vooral in dat 't modem van Ziggo slechts 1 /64 wil uitdelen. Dat is een software beperking in 't modem.

D11 @Tozz • 2 maart 2021 22:31

Want je kunt niet subnetten met 1 /64 blok

Subnetten kun je op ieder niveau doen van /1 t/m /127.

Tozz @D11 • 3 maart 2021 09:40

Nee dat kan niet. Want ivm. IPv6 autoconf heb je een /64 nodig. Dus tenzij jij straks al je apparaten statisch IPv6 wil gaan configureren heb je per laag-2 segment een /64 nodig.

D11 @Tozz • 4 maart 2021 01:45

Ja dat kan wel. Er zijn meer mogelijkheden om subnetten (en ipv6 adressen) uit te delen dan autoconf. Bijv. DHCPv6.

[Reactie gewijzigd door D11 op 22 juli 2024 14:30]

Tozz @D11 • 4 maart 2021 13:36

Nee dat kan niet. Tuurlijk zijn er oplossingen zoals DHCPv6. Maar DHCPv6 is niet ' de standaard' . De standaard is dat je een /64 per laag-2 segment gebruikt zodat je je IP-adres kunt baseren op je MAC-adres en je op die manier bijvoorbeeld ook ' private IPs', ' privacy extensions' of hoe je het ook wil noemen kunt gebruiken.

Dan kun je wel allerlei foefjes bedenken om het toch te laten werken.. In het ontwerp van IPv6 gaat men er vanuit dat je een /64 per laag-2 segment is. Al het andere zorgt voor een brakke implementatie die beperkingen met zich mee brengt.

Bovendien is DHCPv6 eigenlijk niet gemaakt om IP-adressen uit te delen aan clients. Het is meer om andere parameters uit te delen zoals DNS of NTP servers en het wordt gebruikt om prefixes te delegeren. Dat je toevallig ook individuele clients er mee kan configuren is leuk, maar daar is he tniet voor. Daarom wordt DHCPv6 ook vaak gebruikt op een netwerk waar slaac/autoconf ook wordt gebruikt.

D11 @Tozz • 5 maart 2021 02:41

Je speekt jezelf nogal tegen. Nee het kan niet, maar ja het kan wel. Uiteraard is er een verschil tussen kunnen, en of dat verstandig is.

arjankoole

Overheid

@D11 • 7 maart 2021 11:02

Je speekt jezelf nogal tegen. Nee het kan niet, maar ja het kan wel. Uiteraard is er een verschil tussen kunnen, en of dat verstandig is.

Er is maar 1 standaard. Die zegt : iedereen krijgt dan een /48 of minimaal een /56 (uit m’n hoofd) en kan dan fatsoenlijk /64’s uitdelen in subnetten met SLAAC.

Op mijn ziggo modem kreeg ik maar 1 /64 er doorheen. De rest werd weggefilterd.

Maurits van Baerle

Ipv6

@Umbrah • 2 maart 2021 17:37

Dat zou ik niet zeggen. Normaal is /56, luxe is /48. Wil je nog groter dan moet je vaak migreren naar een zakelijke oplossing. Ik heb alleen gehoord dat Comcast in de VS een /64 uitdeelt en zelfs daarvan vind ik het moeilijk te geloven dat ze dat echt doen omdat het wel heel beperkt is.

Oscrx @Maurits van Baerle • 3 maart 2021 01:39

Als ik (als LIR) aan een van onze klanten een blok groter dan een /48 zou willen toekennen moet ik dit met een goede reden kunnen onderbouwen aan RIPE, er zijn weinig usecases voor meer dan 65 duizend subnets.
https://www.ripe.net/publ...e-738#assignments_shorter

RIPE beveelt aan /56 aan non zakelijke aansluitingen toe te kennen en een /48 voor zakelijke aansluitingen.
Je bent vrij om minder toe te kennen, een /60 is iets wat ook nog wel eens wil gebeuren (16 subnets).
Lager dan een /64 mag echter niet.

purge @arjankoole • 2 maart 2021 15:49

Een /64 zou inderdaad slecht zijn. Gelukkig is het een /48.

CAPSLOCK2000

Nederland
Overheid
Ipv6
Internet

@arjankoole • 2 maart 2021 16:04

wat? slechts een /64? da's slecht.

Je krijgt gewoon een /48 maar de meeste apparatuur kent standaard een /64 toe aan ieder subnet.
Als je niet meer dan één subnet hebt, dan vraagt je apparatuur ook niet meer dan een /64 van je provider.

arjankoole

Overheid

@CAPSLOCK2000 • 7 maart 2021 11:04

[...]

Je krijgt gewoon een /48 maar de meeste apparatuur kent standaard een /64 toe aan ieder subnet.
Als je niet meer dan één subnet hebt, dan vraagt je apparatuur ook niet meer dan een /64 van je provider.

Je kan alleen andere subnetten dan wat de modem uitlevert op z’n lan interface niet routeren. Effectief heb je 1 /64.

CAPSLOCK2000

Nederland
Overheid
Ipv6
Internet

@arjankoole • 7 maart 2021 11:12

Je kan alleen andere subnetten dan wat de modem uitlevert op z’n lan interface niet routeren. Effectief heb je 1 /64.

Het zou kunnnen dat het standaard modem het niet kan. Ik weet zeker dat je met eigen apparatuur geen last hebt van dit soort beperkingen en je meerdere subnetten kan gebruiken die ook gewoon gerouteerd worden.
Freedom levert fritzboxen en daarvan zou ik verwachten dat ze daar geen probleem mee zouden hebben want die dingen staan hoog aangeschreven, maar ik heb er zelf geen ervaring mee dus misschien ben ik daar een beetje naief in.

arjankoole

Overheid

@CAPSLOCK2000 • 7 maart 2021 11:19

[...]

Het zou kunnnen dat het standaard modem het niet kan. Ik weet zeker dat je met eigen apparatuur geen last hebt van dit soort beperkingen en je meerdere subnetten kan gebruiken die ook gewoon gerouteerd worden.
Freedom levert fritzboxen en daarvan zou ik verwachten dat ze daar geen probleem mee zouden hebben want die dingen staan hoog aangeschreven, maar ik heb er zelf geen ervaring mee dus misschien ben ik daar een beetje naief in.

Ik heb een eigen router d’r achter.

die routeert ipv6 als een beest. Maar het komt niet door de ziggo modem heen, en die heb je nog steeds nodig met een kabel aansluiting.

Inmiddels (omdat ik het zat was) is de ziggo verbinding afgebouwd naar de lichtste variant, en gedegradeerd tot back up verbinding omdat ik in ons nieuwe huis glas heb. Ik heb ziggo de modem in bridge mode laten zetten, en in elk geval bij de verbinding die ik heb, ben je dan helemaal ipv6 kwijt.

CAPSLOCK2000

Nederland
Overheid
Ipv6
Internet

@arjankoole • 7 maart 2021 11:29

Ik heb een eigen router d’r achter. die routeert ipv6 als een beest. Maar het komt niet door de ziggo modem heen, en die heb je nog steeds nodig met een kabel aansluiting.

Ah Ziggo, de discussie ging volgens mij over Freedom, ergens zijn we elkaar kwijt geraakt. Zo is het weer duidelijk

arjankoole

Overheid

@CAPSLOCK2000 • 7 maart 2021 11:34

[...]

Ah Ziggo, de discussie ging volgens mij over Freedom, ergens zijn we elkaar kwijt geraakt. Zo is het weer duidelijk

Oooh, wacht, ik haal een andere discussie door de war.

Het is mogelijk dat de fritzbox wat beperkt is in dat aspect. Ze zijn heel goed, maar ik gebruik de mijne nu alleen nog maar als PBX (daar is ie verdraaid goed in). De verbindingen en routing zelf wordt afgehandeld door ubiquiti spul. (Overigens zit daar weer een andere rot limitatie in qua ipv6 :-p wachten tot de nieuwe hardware available komt, helaas)

x280 @HellStorm666 • 2 maart 2021 15:21

Hier ook KPN, maar geen ipv6 hoor.

Verwijderd 2 maart 2021 14:56

En ISP's doen te weinig om het aan te bieden aan klanten.
Ziggo en bridge, ik vraag het ze pas 20 jaar....

arjankoole

Overheid

@Verwijderd • 2 maart 2021 15:39

En ISP's doen te weinig om het aan te bieden aan klanten.
Ziggo en bridge, ik vraag het ze pas 20 jaar....

dat was mijn klacht ook, maar iemand anders met ziggo zegt dat ie bridge heeft en wel ipv6.

Verwijderd @arjankoole • 2 maart 2021 15:41

Nou, ik heb het na al die jaren nog niet voor elkaar gekregen... misschien de regio?

dennizzz

2 maart 2021 15:59

Met name het aantal maildomeinen met IPv6-ondersteuning ligt laag.

Dit zit ook in diensten als Office365/Exchange Online. Die ondersteunen pas later dit jaar IPv6. Voor overheidsorganisaties die hun mail daar hosten zullen daar dus op moeten wachten.

ocn @dennizzz • 2 maart 2021 16:10

Wat jij zegt klopt niet. Kijk maar naar bijv gemeenten Landsmeer, Uithoorn en Waalre.
Allemaal een *mail.protection.outlook.com. mailserver (MX) met IPv6 records.
https://internet.nl/mail/...l/491646/#control-panel-2
https://internet.nl/mail/uithoorn.nl/491645/#control-panel-2
https://internet.nl/mail/waalre.nl/491648/#control-panel-2

Je kan IPv6 'aan laten zetten' door Microsoft. Zie ook https://www.vngrealisatie...ange%20Online%20email.pdf en https://www.vngrealisatie...l-ipv6-microsoft-exchange

[Reactie gewijzigd door ocn op 22 juli 2024 14:30]

DirtyBird 2 maart 2021 16:24

Ik weet niet wat precies het doel is van die adviescommissie, maar een constatering doen is geen advies.

Of zoals Joey tegen Ross zei:
"You want my advice? You got married too fast."

kodak

Nederland

2 maart 2021 17:25

Dit onderzoek is goed om inzicht te geven. Maar dan worden die organisaties hopelijk wel ingelicht dat ze onderdeel zijn van het probleem en er ook gevolgen aan zitten als ze niet op tijd kunnen uitleggen waarom ze nog geen ipv6 hebben en wat hun planning is. Anders kan je verwachten dat ze het door de vrijblijvendheid vergeten, uitstellen of zelfs niets aan willen doen. Vrijblijvendheid zorgt er namelijk niet zomaar voor de er snel genoeg veranderingen komen, zeker niet als dat tind en geld kost terwijl er ook nog andere belangen zijn.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (145)

Sorteer op:

Weergave: