Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Adviescommissie: te weinig sites bij overheid gebruiken IPv6 om doel te halen

Alle Nederlandse overheidswebsites en e-maildomeinen moeten voor het einde van het jaar bereikbaar zijn met IPv6. Dat doel lijkt niet te worden gehaald, waarschuwt adviescommissie Forum Standaardisatie.

Een flink aantal overheidsorganisaties moet dit jaar flink aan de bak om de gestelde doelen te halen, schrijft Forum Standaardisatie. Vorig jaar in april besloot het Overheidsbreed Beleidsoverleg Digitale Overheid dat overheidsinstanties voor het eind van 2021 volledig bereikbaar moeten zijn via IPv6, naast IPv4.

Met name het aantal maildomeinen met IPv6-ondersteuning ligt laag. Momenteel is zo'n 35 procent van de e-maildomeinen van de overheid bereikbaar via IPv6. Ook de ondersteuning van IPv6 bij websites vergt volgens de adviescommissie met 74 procent meer aandacht. De organisatie roept overheden op om hun leveranciers actief te vragen om hun websites en e-mailvoorzieningen per IPv6 bereikbaar te maken.

Twee keer per jaar voert Forum Standaardisatie een meting uit van de implementatie van internetstandaarden bij de overheid met behulp van Internet.nl. De laatste meting is van september 2020. In het eerste kwartaal van dit jaar publiceert de adviescommissie een nieuwe meting.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Julian Huijbregts

Nieuwsredacteur

02-03-2021 • 14:40

145 Linkedin

Submitter: ocn

Reacties (145)

Wijzig sortering
Een ander dingetje, waarom heeft KPN mobiel wel ipv6 en ipv4, maar T-Mobile niet? En alleen v4? Als v4 uiteindelijk opraakt?. Zelfde geldt als T-Mobile en Ziggo thuis? Volgens mij heeft KPN thuis al v6

[Reactie gewijzigd door juliank op 2 maart 2021 14:45]

Als mobile gebruiker, maak je onbewust gebruik van CGNAT. Hierdoor kunnen providers 2 of meer gebruikers achter 1 IPv4 adres zetten.

Geloof het of niet, IPv6 bij mobile providers is wetgeving afhankelijk. In landen waar er wetgeving is, dat de provider "meta" gegevens van hun gebruikers moet doorgeven aan de overheid. Zal je zien, dat die sneller overschakelen naar IPv6. Wel om de volgende reden.
Bij IPv4 moet ze het volgende door geven of loggen.
Publiek IPv4 adres, source port, dest port, Interne IPv4 adres en datum+tijd.

Als jij als mobile provider, je gebruikers een IPv6 adres geeft. Hoef je alleen maar bij te houden welke IPv6 adres een bepaalde gebruiker heeft,


/edit
Zeer interessant van de WODC. Die het een en ander heeft onderzocht over de acceptatie rond IPv6 bij mobile providers.
https://www.dialogic.nl/w...ge_Tekst_tcm28-413412.pdf

[Reactie gewijzigd door wica op 2 maart 2021 14:58]

Is dan de IPv6 die je mobiel gebruikt ook static (want 'onbeperkt')? En om daarop verder te gaan; krijg je dan een IPv6 range die je zelf kan indelen en evt. port forwarden zoals bij een gewone internetverbinding, of werkt dat netwerk dan weer anders?
Dat is alleen als de IPv6 standaarden niet gevolgd worden. Dan hoort een TA adres uitgegeven te worden en die kunnen (moeten) regelmatig wissellen juist vanwege het voorkomen van tracking van devices door partijen aan de andere kant van de verbinding.
TA is niet noodzakelijk. Je kan best een static IPv6 adres aan een device gegeven. Moet er niet aan denken dat mijn server een TA hebben ;)
Je kan zelfs meerdere TA's en statics gelijktijdig hebben. Een enkel adres op een interface is zo IPv4..... (jaren '90 zeg maar).
Een TA wordt regelmatig opnieuw gevraagd, het adres wordt verwijderd als de laatste active link erover gesloten is. Ik zie af en toe een stuk of 4 a 5 TA's actief op m'n laptop.
(btw al m'n server gebruiken TA's voor uitgaand verkeer.. waarom m'n servers laten profilen?)...

In de keuze voor een uitgaande verbinding hebben TA's de voorkeur boven een Static. Maar een service kan voor uitgaand expliciet een static kiezen...

Dus waarom zou je jezelf beperken.... Gewoon elke 10 minuten een nieuwe TA opvragen. Er zijn adressen ZAT.

[Reactie gewijzigd door tweaknico op 2 maart 2021 16:48]

Waarom zou je servers een tijdelijk adres gegeven?
TA kan ik begrijpen voor devices, waar privacy van belang is. Maar verder ook niet.
Omdat servers ook queries doen en de query niet aan een specifieke server gelinked hoeft te worden?
mail servers hebben een static nodig voor ontvangst van mail (binnen kant?) en kunnen TA's gebruiken aan de buiten kant. (tenzij er publieke mail ontvangen moet worden op DIE servers natuurlijk).
Waarom zou ik servers 1 adres geven... kan er ook een per dienst zijn (als een server meerdere diensten levert). dat maakt diensten migreerbaar. (of adressen naar containers).
Ik zou graag willen zeggen dat dat mijn vraag helemaal beantwoordt, maar helaas is dat niet het geval. Wat is een TA-adres?
Geloof het of niet, IPv6 bij mobile providers is wetgeving afhankelijk. In landen waar er wetgeving is, dat de provider "meta" gegevens van hun gebruikers moet doorgeven aan de overheid. Zal je zien, dat die sneller overschakelen naar IPv6. Wel om de volgende reden.
Bij IPv4 moet ze het volgende door geven of loggen.
Publiek IPv4 adres, source port, dest port, Interne IPv4 adres en datum+tijd.

Als jij als mobile provider, je gebruikers een IPv6 adres geeft. Hoef je alleen maar bij te houden welke IPv6 adres een bepaalde gebruiker heeft,
Vind ik persoonlijk een rare uitleg dat dat de enige reden zou zijn, maar goed. Kan je die verder onderbouwen? Ik heb het gevoel dat dit een voorbarige conclusie van je is naar aanleiding van het skimmen door dat document. Als het puur om omvang van de logs gaat heb je bij IPv4 twee IP's en twee poorten, totaal 2*4 + 2*2 = 12 bytes. Als je bij IPv6 alleen de adressen logt heb je 2*16 = 32 bytes, dus heb je bij IPv4 nog 20 bytes over voor een tijdstip (8 bytes) en klantnummer (resterende 12 bytes). Dat lijkt me juist in het nadeel van IPv6 uit te pakken.

Persoonlijk denk ik dat het met de alsmaar stijgende kosten van IPv4-adressen (want schaarste) en wensen van gebruikers te maken heeft.
Kan je die verder onderbouwen?
Bij IPv6 heb je één log entry per dag nodig (ongeveer), bij IPv4 heb je één log entry per (TCP/UDP) verbinding nodig..
(om een IP adres te herleiden naar een aansluiting)

[Reactie gewijzigd door Olaf van der Spek op 2 maart 2021 15:46]

Bij IPv4 kan je klanten ook een vast IPv4-adres en vaste poortrange geven.
Al dat spul staat er ook al, en IPv4 blijft toch ook nodig aan de 'internet' kant zolang er nog IPv4-only diensten zijn.
Ik ga er even vanuit dat voor bewijsvoering e.d. gewoon logging tot op de seconde gewenst is, dus dat het aantal log-entries niet afneemt, slechts de grootte ervan verandert. Anders krijg je straks 20000 mogelijke adressen terug die op dag X verbinding hebben gemaakt met Y, in plaats van 20 die dat om 12:34:56 hebben gedaan. Of andersom, dat er aangevoerd wordt dat jij een post hebt geplaatst omdat je op die dag verbinding hebt gehad terwijl jij op het specifieke moment geen verbinding ermee had.
In de meeste landen is de wetgeving zo dat de provider niet alle verbindingen hoeft te loggen. Wat ze wel moeten doen is kunnen zeggen wie IP 123.456.100.256 op tijdstip 2021-03-02 16:00:00 in handen had. (Of de lokale NSA/AIVD/etc dat soort dingen logt is dan natuurlijk een andere situatie.)

Bij normale IPv4 of IPv6 is het heel makkelijk om hierachter te komen: dan kijk je in de DHCP/etc logs van die dag en geef je door wie het adres op dat tijdstip had. Als de provider statische adressen geeft is het al helemaal makkelijk. Bij CGNAT is dat niet te doen zonder logs te hebben van iedere verbinding, en moet de partij die de informatie wil hebben ook even doorgeven waar de verbinding heenging, anders kun je niet eens beginnen met zoeken.
Jawel. Als er met IPv4 CGNAT 100.000 clients zijn die 10 IP-adressen delen, dan moet je van elke TCP connectie gaan loggen welke user op welke tijd connectie maakte met welk destination adres op welke poort. Doe je dat niet, dan kun je nooit meer achterhalen of het Pietje of Klaasje was.

Wanneer een toestel publiek IPv6 heeft dan is het enige dat gelogged hoeft te worden dat IPv6 adres X toebehoort aan toestel Y. Alle opgezetten communicatie is dan niet relevant, want je weet dat alles van IPv6 adres X hoort bij toestel Y.

In andere woorden, als als Pietje zijn toestel 2 maanden lang hetzelfde IPv6 kan behouden dan is er slechts 1 log-entry nodig. Versus bij IPv4 CGNAT moet elke keer dat Pietje z'n toestel pollt voor updates bij Facebook een log entry gemaakt worden.

Jij lijkt te veronderstellen dat elke gemaakte connectie gelogged moet worden. Dat is niet zo. Je moet kunnen achterhalen welk IP bij welke gebruiker hoort. En omdat CGNAT meerdere IP adressen deelt met een hele grote pool clients, ontkom je er niet aan om elke connectie te gaan loggen.
Ziggo heeft ook al IPv6. Denk dat het uiteindelijk gewoon een kwestie is van niet genoeg (commercieel) voordeel om massaal over te stappen naar IPv6.
Totdat mensen opeens niet meer online kunnen gaan omdat er geen IPv4-adressen beschikbaar meer zijn.
Dat is niet de praktijk. De praktijk is dat we steeds gekkere en lelijkere hacks bedenken om IPv4 toch maar te laten werken. Het hele NAT/Masquerading is in de jaren 90 uitgevonden om het tekort aan IP-adressen op te lossen. "Named based virtual hosts" en "SNI" (deel van https) zijn andere "uitvindingen" die zijn gedaan om een tekort aan IPv4 adressen op te vangen. Die middelen zijn tegenwoordig zo gewoon dat we haast niet beter weten. De nadelen die er bij horen zijn ook zo gewoon geworden dat mensen niet beter weten dan dat het zo hoort. Er zijn zelfs mensen die denken dat NAT een vorm van beveiliging is. Dat is alsof je een ophaalbrug inzet als vorkheftruck. Het werkt, een beetje, in somimge situaties, maar handig is het niet. De wereld is daar zo ver in meegegaan dat iedere modem tegenwoordig een ingewikkelde "port forwarding" pagina bevat in plaats van een simpele firewall.

We zijn nu al 30 jaar aan het rotzooien met dit soort maatregelen en we zijn eigenlijk niets verder gekomen maar wel een hoop extra beperkingen hebben gekregen. De wereld was toch zo veel simpeler geweest als we daar nooit aan waren begonnen.
NAT is ook een soort beveiliging ondanks dat niet zo mag noemen/zien.

Als een computer buiten mijn netwerk een verzoek doet naar mijn internet ip op port X dan zegt mijn router ja wat moet ik daar mee en zal het gaan droppen, daarom zijn zaken als port forwarding nodig bij NAT.

De pc binnen mijn netwerk moet een aanvraag/verzoek doen naar buiten voordat er iets terug komt van buiten naar binnen.

Ja je hebt ook uPNP en ik ken het verschil ook tussen NAT v2 en v3 etc.
Maar in globale zin kan je het indirect wel een soort beveiliging noemen, natuurlijk vervangt het geen firrewall.
niet dat dat ooit zal gebeuren, CG-NAT bestaat en werkt vrij vlot, in principe hoeft een particuliere klant (en geen tweaker) zelfs geen eigen IP adres te hebben. Zolang je zelf niks wil hosten maakt het an sich niet zo heel veel uit. Je kan tientallen of honderden mensen op die manier achter hetzelfde IP adres zetten op een soortgelijke manier dat al jouw netwerkapparaten thuis achter 1 en hetzelfde IP adres zitten.

Maar CG-NAT heeft ook behoorlijk wat nadelen, dus dat is iig geen langetermijnoplossing.
CGNAT kan grote problemen leveren met P2P-games als deze niet met IPv6 werkt. Je bent dan vaak in principe al een host.

[Reactie gewijzigd door NotCYF op 2 maart 2021 15:17]

Dat staat ook in het "nadelen" linkje:
Behalve beperkingen in applicaties veroorzaakt doordat gebruikers niet meer vanaf het internet benaderbaar zijn en daardoor met name problemen ondervinden bij het opzetten van peer-to-peer-verbindingen [1, 2], levert CGNAT ook veiligheidsproblemen op. Identificatie, filtering en configuratie gebeurt traditioneel immers op basis van IP-adres, en niet op basis van adres/poort-combinatie.
Ja, ze hadden natuurlijk ook de afgelopen 10 jaar al IPv6 kunnen ondersteunen. Het is al heel erg lang bekend dat IPv4 niet meer toekomstbestendig is. CGNAT is voor de normale thuisgebruiker natuurlijk gewoon goed, maar voor een gamer of homeserver moet een eigen IPv4 of Full-stack IPv6 beschikbaar zijn.
Volgens die gedachtengang kunnen heel veel meer dingen eerder gedaan worden. Tijdens onze studietijd hadden we ook ruim van te voren ons kunnen voorbereiden voor tentamens, en toch was het de paar dagen voor het tentamen stressen. Op het werk kunnen we ook verder vooruit plannen, en toch doen we nog veel dingen op het laatst. En als we op vakantie gaan hoeven we ook niet te wachten met inpakken tot het laatst. En toch doen veel mensen dat. Bedrijfsmatig is dat niet anders. Als iets pas over 2 jaar nodig is geeft je toch voorrang aan zaken die morgen een probleem worden.
Het probleem wat vooral meespeelt is als iemand zich misdraagt op internet en een IP ban krijgt dan hebben er vele anderen ook last van bij NAT.
Is CGNAT invoeren dan zoveel goedkoper dan IPV6 ?
ISP Orange.be heeft hier recent CGNAT ingevoerd, en ondersteunt geen IPV6.
In hun router kan je CGNAT wel uitzetten als je dyndns of port forwarding wil gebruiken, je komt dan terug in de vorige situatie terecht waarbij je modem/router via dhcp een tijdelijk IPV4 adres krijgt, maar je blijft dan nog wel met NAT zitten.

[Reactie gewijzigd door mbbs1024 op 3 maart 2021 22:53]

NAT is op zich gewoon goed, en veilig. IPv6 maakt ook gebruik van een soort NAT om ervoor te zorgen dat subnets nog steeds niet door het internet publiekelijk in te zien zijn. Met NAT is jouw LAN verborgen door je router. Als elk apparaat een eigen unieke internet-facing IP had is dat ook een veiligheidsprobleem.

[Reactie gewijzigd door NotCYF op 3 maart 2021 23:30]

IPV6 maakt net geen gebruik van NAT, in plaats van NAT wordt er een firewall gebruikt, en is die ganse hocus pocus van port translatie en bijhorende ALG's niet nodig.
Er wordt wel gebruik gemaakt van IP-randomisatie, wat je als een soort vervanging van het "verbergen" van je apparaten gezien wordt. Het is inderdaad niet echt NAT, excuses voor de verwarring, maar wel dit: https://tools.ietf.org/html/rfc3041

Het is een soort van NAT in het feit dat je een blok aan IP-adressen krijgt van je ISP die je intern kan gebruiken. Deze worden dan gebruikt als een soort "NAT": Je apparaten krijgen random IPv6-adressen aangewezen en deze worden elke keer weer anders, waardoor tracking via je volledige IPv6-adres lastig wordt.

NAT deed dit al door al het verkeer over 1 IP te laten gaan waardoor individuele apparaten in een LAN verborgen zijn. Dat is wat ik bedoelde.

[Reactie gewijzigd door NotCYF op 3 maart 2021 23:44]

Het probleem met IPv6 is dat je incompatibel met de rest van de wereld bent als je het als eerste invoert. De standaard ervoor is al meer dan 20 jaar oud. Als het toen algemeen was ingevoerd was het veel goedkoper geweest.
Precies, van ipv6 is zeker al 20 jaar bekend dat dit de toekomst is. Ze hebben in die 20 jaar al een aantal keer hun spullen vervangen dus had prima meegenomen kunnen worden in de architectuur. Klinkt mij meer als gemakzucht of onbekendheid (maar dan moet je misschien geen architect zijn...)
niet dat dat ooit zal gebeuren, CG-NAT bestaat en werkt vrij vlot, in principe hoeft een particuliere klant (en geen tweaker) zelfs geen eigen IP adres te hebben.
Is dat zo?
Sommige games gebruikten vroeger een p2p architectuur.. bijvoorbeeld.
Of spelen niet-tweakers geen games? ;)

(spuit elf)

[Reactie gewijzigd door Olaf van der Spek op 2 maart 2021 15:49]

"sommige games" en "vroeger", ik denk dat die paar uitzonderingen wel gewoon hun eigen IP kunnen krijgen van hun provider.

Mijn vorige provider steekt iedereen achter CG-NAT maar als je naar klantendienst belt kennen ze je eigen IP adres toe zonder bijkomende kost. Adverteren ze zo ook online (pepephone).

Mijn huidige provider rekent je €3 per maand voor je eigen IP, verder iedereen achter CG-NAT. En dat vind ik prima (kviknet).
"sommige games" en "vroeger", ik denk dat die paar uitzonderingen wel gewoon hun eigen IP kunnen krijgen van hun provider.
VoIP (voice / video) schijnt tegenwoordig ook nogal populair te zijn, maar dat kan dus ook niet meer met een p2p architectuur.. het is de vraag of die onmogelijkheden wenselijk zijn.
En consoles hebben (hadden) volgens mij ook baat bij p2p verbindingen. Consoles schijnen ook nogal populair te zijn. ;)

[Reactie gewijzigd door Olaf van der Spek op 2 maart 2021 17:54]

Ik zit achter CG-NAT en gebruik VoIP applicaties, die werken zelden of nooit p2p. En zelfs dan is p2p wel mogelijk (torrents downloaden bvb kan ook gewoon).

Er zullen situaties zijn waar het niet kan (slechte implementatie, bvb) maar CG-NAT hoeft niet te betekenen dat p2p of VOIP niet werkt. Het een sluit het ander niet uit.
Ik zit achter CG-NAT en gebruik VoIP applicaties, die werken zelden of nooit p2p.
Niet meer inderdaad, dankzij problemen met NAT..
En zelfs dan is p2p wel mogelijk (torrents downloaden bvb kan ook gewoon).
Ja, maar ook daar kun jij dan geen verbinding maken met iemand die ook achter (CG) NAT zit.
Dan gaat het opeens heel vlot, gok ik :+
Een tijdje terug gelezen dat het potje V4-adressen bijna op is. Aan de andere kant: geef mij V4 maar, een stuk simpeler om mee te werken ;) Als het potje op dreigt te raken dan zullen de betreffende ISP's ruim van tevoren overstappen op V6.
Het IPv4 potje is allang op. Probeer als ISP starter maar eens een IPv4 blok te krijgen, kijk maar naar Freedom.

Iedere IT'er krijgt vroeg of laat met IPv6 te maken. Of je kunt voor je thuisnetwerkje ook NetBEUI draaien, nog makkelijker dan IPv4 :z
Hmz, dat tijdje terug heb ik klaarblijkelijk ruim genomen :z NetBEUI is helemaal terug in de tijd, volgens mij heb ik het zeker twintig jaar niet meer gebruikt.
Het potje is al bijna 8 jaar op in Azie, en al een jaar of 3 in Europa.
Dat overstappen is al voorgesteld sinds 2010 (6 juni ).
Dan is T-Mobile rijkelijk laat met overstappen, bedankt voor de info.
Nee eerder dat diensten niet meer beschikbaar zijn op IPv4 omdat een provider van de dienst geen zin heeft in een rekening voor een heel duur IPv4 adres.
Maar die ipv6 bij Ziggo is alleen als je geen bridge-modus aan hebt staan op de gateway. Zodra je je eigen apparatuur gebruikt wordt je op een ipv4 geparkeerd.
Om heel eerlijk te zijn is er met IPv6 eigenlijk geen onderscheid meer tussen bridge/NAT-modus... de IPv6 adressen zijn vrij riant namelijk (wel weer een dingetje om even goed mee te beveiligen). Wist overigens niet dat bridge/nat modus een verschil heeft, en eigenlijk hoop ik dat dit wel iets is wat in de wetgeving rondom 'vrije modemkeuze' wordt meegenomen (waar je de modem als een AOP kunt zien, en de router als modem)
IPv6 is niet moeilijker te beveiligen dan IPv4. Bij KPN blokkeerd de Experia (V10) box standaard alle het inkomend IPv6 verkeer. Vergelijkbaar met NAT, moet je applicaties opzetten voor een bepaalde machine..

Blokkeren van verkeer van interne machines naar de buitenwereld is ook eenvoudig te doen.

Ik ken de situatie bij Ziggo niet, maar bij ik kan de UniFi router gebruiken met KPN Glasvezel ik heb geen enkel probleem met IPv4 of IPv6..
Je kan kiezen of je stateful of stateless wilt configureren, waar je feitelijk een /64 afgeeft. Port filtering is dus wat je toepast, géén port forward. Eigenlijk heb je dus een heel /64 wat standaard alles gefilterd heeft, maar waar je mee kan doen/laten wat je wilt!
Niet moeilijker, maar wel een stuk buggier op veel consumententroep. Praktisch voorbeeldje van de Ziggo/Arris Connect Box: het kastje heeft ondersteuning voor prefix delegation, maar als de inkomende firewall aanstaat staat het ook voor die prefixes volledig aan, en firewall regels kun je sinds een jaar ofzo alleen voor de /64 van de router zelf toevoegen.

Resultaat is dat ik een keuze moet maken: wil ik een IPv6 firewall voor de clients op de Connect Box onder (ja), of wil ik poorten open kunnen zetten boven (eigenlijk ook)? Op IPv4 werken de standaard port forwarding/DMZ settings gewoon en is er een stuk minder dat fout kan gaan.
Maar dat is toch precies het punt van deze hele discussie? Als we al jaren geleden op IPv6 waren over gegaan dan waren dat soort vervelende dingen ook al lang opgelost. Het is gewoon een kwestie van marktwerking, alleen heeft de markt momenteel wat mij betreft wel even een duwtje nodig om IPv6 te omarmen.
Is het blokkeren of kan de router er gewoon niet mee overweg en snapt gewoon niks van ipv6.
Ziggo heeft ook al IPv6. Denk dat het uiteindelijk gewoon een kwestie is van niet genoeg (commercieel) voordeel om massaal over te stappen naar IPv6.
totdat je je modem in bridgemode laat zetten, dan is het opeens geen IPv6. en voor serieuze gebruikers is 't ook niet echt fijn, want je kunt niet eens fatsoenlijk segmenteren. (hierdoor gooien ze in weze bijna een hele /56 weg, want je kunt maar 1 /64 gebruiken.)
Hier modem in Bridge en heb gewoon ipv6...
Verschil zal hem dan zitten in welke regio.
hmmm, hebben ze dat aangepakt? Welke modem is dat mee?
Gewoon het huidige modem dat ze leveren.
Nee, dat heb je niet. Je hebt misschien Teredo, maar je hebt geen native IPv6 van Ziggo
Is op basis van ds-lite, en prima zelf in te stellen met bijvoorbeeld openwrt, geen enkel probleem.
En ja, het is gewoon een reeks vanuit Ziggo.
Nee, dat heb je niet. Je hebt misschien Teredo, maar je hebt geen native IPv6 van Ziggo
Ziggo doet wel degelijk native ipv6. Met weliswaar een beroerde ds-lite implementatie.
Maar last time I checked (en dat is niet zo lang geleden) niet wanneer je modem in bridge staat. Alleen wanneer je modem ook router speelt.
Maar last time I checked (en dat is niet zo lang geleden) niet wanneer je modem in bridge staat. Alleen wanneer je modem ook router speelt.
Bij mij ook niet, maar dat schijnt modem en/of regio afhankelijk te zijn. Er loopt er eentje rond hier op tweakers die daadwerkelijk en bridge, en ipv6 heeft.
Haal het woord `al` maar weg
Klopt, alle nieuwe klanten worden al op ipv6 gezet en dan moet je vragen aan support om hem om te zetten naar ipv4
IPv4 is al "op", maar met trucs bij providers worden er nog wel wat adressen uitgeperst. Ze hadden er 50 jaar geleden geen rekening mee gehouden dat het aantal van 4 miljard computers in een netwerk wel eens een beperking zou kunnen zijn. En helaas zijn IPv4 en IPv6 niet uitwisselbaar
Plus ze kopen allemaal ipv4 adressen op bij bedrijven. Maanden geleden in een podcast gehoord dat er bedrijven zijn met makelaars voor ipv4 adressen. Ze openen zelfs faillissementen van oude bedrijven als het blijft dat die nog ipv4 adressen hebben.
Plus ze kopen allemaal ipv4 adressen op bij bedrijven. Maanden geleden in een podcast gehoord dat er bedrijven zijn met makelaars voor ipv4 adressen. Ze openen zelfs faillissementen van oude bedrijven als het blijft dat die nog ipv4 adressen hebben.
En zoals gewoonlijk kunnen de rijken landen hun problemen afkopen en zijn het de arme landen die de klappen moeten opvangen, terwijl die geen geld hebben en geen invloed om de situatie te veranderen. De rijke klanten bepalen de prioriteiten waardoor de problemen van de armen nooit worden opgelost.

IPv6 kan het tekort aan adressen in ieder geval wegnemen, maar op deze manier komen we er niet.
Dat is eigenlijk meer een voordeel dan een nadeel. Landen of bedrijven zonder IPv4 of een groot tekort aan IPv4 ontkomen dus niet aan implementatie van IPv6 en dan misschien een soort CGNAT voor rommel dat perse over IPv4 moet werken.

Deze landen zijn dus eerder 'over'.
Klopt. Over een paar jaar zijn de arme landen qua IP in een betere staat dan wij. En dat hebben we aan onszelf te danken.
Of een ander voorbeeld van @TweakNL
We gebruiken nu ook IP’s uit een pool die we leasen in plaats van in bezit hebben. Dat is een juridisch verschil, maar voor de techniek maakt het niks uit :).
Waarschijnlijk maken ze gebruik van Carrier Grade NAT.
Dat is het verplaatsen van de NAT van jouw modem naar die van de ISP. Dit is een noodoptie om ervoor te zorgen dat er toch genoeg IPv4-adressen beschikbaar zijn als deze op zijn. Maar dit gaat 100% problemen geven bij games die gebruik maken van P2P (zoals Destiny 2), omdat je niet meer zelf poorten kan openen. Ook een thuisserver wordt vrijwel onmogelijk.

Of het kan via DS-lite, maar zelfs dat is niet perfect, zeker niet bij services die niet goed IPv6 ondersteunen. Toen ik nog Ziggo had werkte het voor geen enkele meter.

Wel wordt CGNAT grootschalig gebruikt bij mobiele netwerken, omdat er gewoon teveel van zijn, daar zijn geen IPv4-adressen meer voor beschikbaar.

[Reactie gewijzigd door NotCYF op 2 maart 2021 15:19]

vodasloom lijkt ook geen IPv6 te doen op 4/5G |:(
Bij KPN krijg ik een IPv6-adres uit de 2a02:a420::/32 range, maar alleen als ik de APN in ANdroid forceer op IPv6. Standaard staat ie op IPv4/IPv6 en dan heb ik alleen IPv4.

Met geforceerd IPv6 werkt zo te zien vrij weinig. Het lijkt erop alsof er geen IPv6 DNS servers worden uitgedeeld door KPN.

[Reactie gewijzigd door Tozz op 2 maart 2021 17:06]

Bij KPN krijg ik een IPv6-adres uit de 2a02:a420::/32 range, maar alleen als ik de APN in ANdroid forceer op IPv6. Standaard staat ie op IPv4/IPv6 en dan heb ik alleen IPv4.

Met geforceerd IPv6 werkt zo te zien vrij weinig. Het lijkt erop alsof er geen IPv6 DNS servers worden uitgedeeld door KPN.
Op een iPhone X met alles standaard werkt alles naar behoren op IPv6 bij KPN. Het enige waar https://ipv6-test.com/ over moppert is dat ICMPv6 gefiltert wordt. Nette dual-stack DNS servers, en zelfs de forward en reverse records kloppen.
KPN is al enige tijd op IPv6 en het bevalt prima.
Op het moment draai ik veel dingen Dualstack, alhoewel ik tegenwoordig veel apparatuur ook alleen een IPv6 adres geef.
Ook met een eigen modem/router heb ik tot op heden nog geen problemen ondervonden.
Laatst nog aan Solcon gevraagd of ze op mijn half jaar oude glasvezel aansluiting ipv6 kunnen leveren, maar helaas.
Het invoeren van ipv6 gaat sowieso een beetje langzaam. Ik heb het thuis daarnaast wel gehad maar moeten laten uitzetten door de provider omdat het gewoon niet goed werkte. Weet niet hoe het er inmiddels voorstaat bij de providers.
Ik heb het bij Ziggo, en het werkt erg goed. Voordelen én nadelen echter: eigenlijk is elk device op m'n netwerk wat IPv6 snapt in principe "publiek" aangesloten... port forwarding is dus ineens ook IPv4-only... dit stelt wel wat strengere eisen aan m'n apparatuur.

Ook een DNS resolve pakt het in volgorde AAAA record > AAA record (6 > 4). En mixed sites werken ook lekker: whatismyip.com geeft dan ook leuke dingen aan:

My Public IPv6 is: 2001:1c02:21e:6b00:***:***:***:**
My Public IPv4 is: 83.87.**.**

Het jammere is dat sommige applicaties IPv4 afdwingen. Waar browsers goed gaan, en games die nogal "framework native" zijn zoals een minecraft Java, oid wel goed gaan, zul je bij een game als WoW echt met de hand een vinkje bij IPv6 moeten zetten.

Dat staat adoptie ook wel in de weg.

Tweakers resolved "default" ook IPv6 voor mij, hoewel ik niet elk subdomein heb getest:

Pinging tweakers.net [2001:9a8:0:e:1337:0:80:1] with 32 bytes of data:
Reply from 2001:9a8:0:e:1337:0:80:1: time=9ms

[Reactie gewijzigd door Umbrah op 2 maart 2021 15:11]

Ik heb het bij Ziggo, en het werkt erg goed. Voordelen én nadelen echter: eigenlijk is elk device op m'n netwerk wat IPv6 snapt in principe "publiek" aangesloten... port forwarding is dus ineens ook IPv4-only... dit stelt wel wat strengere eisen aan m'n apparatuur.
Wait, what?

En LAN is dan op IPv6 in principe niet meer LAN maar WAN?

Hoe babbelen die apparaten met elkaar, wel nog op basis van MAC via lokaal router, of loopt alles potentieel via de ISP? Werkt firewall op niveau van router/modem wel nog gewoon zoals gewend, of heeft dat dan ook niet zoveel zin meer?
[...]


Wait, what?

En LAN is dan op IPv6 in principe niet meer LAN maar WAN?

Hoe babbelen die apparaten met elkaar, wel nog op basis van MAC via lokaal router, of loopt alles potentieel via de ISP? Werkt firewall op niveau van router/modem wel nog gewoon zoals gewend, of heeft dat dan ook niet zoveel zin meer?
Als het lokaal is blijft het lokaal, als het niet lokaal is gaat 't via je router naar buiten. Lokaal gaat op een heel berg manieren. ( ndp, de ipv6 tegenhanger van arp, bijvoorbeeld). Praat gewoon tegen elkaar. Soms geholpen door leuke trucjes als mDNS bijvoorbeeld.

Dus net zoals IPv4 is LAN lokaal, en WAN is voorbij je modem. Dat heeft niet heel veel met IP adressen te maken, op zich. (ze zijn alleen nodig).

Op firewall niveau werkt 't anders. NAT is weg (hoera) en portforwarding is overbodig. (poortje open zetten, klaar)

wat ie bij mij doet is : verkeer van buiten naar binnen mag alleen als het van binnen geïnitieerd is. (dus related, established). Nieuw verkeer krijgt gewoon 'nee'. Van binnen naar buiten mag afhankelijk van het VLAN veel, weinig, of niets. :) Dat is wat eigelijk alle routers/modems deden met NAT.

In principe is elk ipv6 adres uit mijn /48 routeerbaar en dus 'publiek'. Ik zet alleen specifieke poorten/protocollen open naar specifieke destinations, vanaf specifieke sources. En die sources kun je ook niet benaderen als ik je niet ken :)
Hm, ok, helder. Mettertijd maar eens wat verder inlezen, ik weet er (duidelijk) nog niks vanaf. In theorie ook niet nodig, als we even aannemen dat Ziggo er voor mij vanalles vanaf weet, maar ik vind het toch prettig als ik snap hoe ik m'n spul beste kan instellen en wat ik wel of niet kan doen om iets aan de praat te krijgen.

Zit hier momenteel nog op puur IPv4, iig. Ziggo had me paar jaar terug een keer overgezet, maar toen gooide de VPN naar m'n werk acuut het bijltje ermee neer, dus na wat overleg met de Ziggo-helpdesk was de conclusie die toggle maar weer uit te zetten. Nu heeft onze IT'er die specifieke VPN-portal volgens mij inmiddels ritueel verbrand, maar het is toch slechte eerste ervaring met IPv6 geweest.
Zit hier momenteel nog op puur IPv4, iig. Ziggo had me paar jaar terug een keer overgezet, maar toen gooide de VPN naar m'n werk acuut het bijltje ermee neer,
ik denk dat dit zo'n typisch voorbeeld is van: er is wel een IPv6 record, maar de service zelf luistert alleen op IPv4.

Ik ben dat letterlijk al 3000 keer tegengekomen. De meestel IPv6 problemen zijn redelijk snel en pijnloos op te lossen. Maar dat moet je we doen voor mensen het gaan uitrollen :)
Ook met IPv6 is je modem router nog steeds de grens tussen WAN en LAN en de plek waar de firewall zit, waar lokale IP adressen uitgedeeld worden (bij IPv6 heeft een apparaat op je LAN meerdere IP adressen afhankelijk van of het intern of extern is) en andere typische LAN zaken.

Jouw modem router weet dus ook of een pakketje naar je printer in je LAN moet of naar een server ergens op internet. Dat komt niet bij jouw ISP terecht.

[Reactie gewijzigd door Maurits van Baerle op 2 maart 2021 17:02]

Kleine opmerking hierbij, je router is de grens. Je modem is een dom apparaat wat inkomende verbinding omzet in iets bruikbaars voor thuisgebruik
Natuurlijk is er lokaal peering, en een firewall, dat is nou eenmaal hoe het protocol werkt, echter is er niet meer sprake van een NAT.
Voordelen én nadelen echter: eigenlijk is elk device op m'n netwerk wat IPv6 snapt in principe "publiek" aangesloten...
Geen standaard firewall voor IPv6 in de router? Lijkt mij anders nogal een beveiligingsvalkuil.
Dat staat adoptie ook wel in de weg..
In welke zin?

[Reactie gewijzigd door Olaf van der Spek op 2 maart 2021 15:20]

Geen standaard firewall voor IPv6 in de router? Lijkt mij anders nogal een beveiligingsvalkuil.
publiek betekend niet geen firewall :)

wat ie bij mij doet is : verkeer van buiten naar binnen mag alleen als het van binnen geïnitieerd is. (dus related, established). Nieuw verkeer krijgt gewoon 'nee'. Van binnen naar buiten mag afhankelijk van het VLAN veel, weinig, of niets. :)

Maar in principe is elk ipv6 adres uit mijn /48 routeerbaar en dus 'publiek'. Ik zet alleen specifieke poorten/protocollen open naar specifieke destinations, vanaf specifieke sources. En die sources kun je ook niet benaderen als ik je niet ken :)
Tuurlijk wel een firewall, echter géén NAT: je moet nog wel poorten open zetten, je hoeft ze alleen niet te forwarden.

En qua adoptie in de weg: protocol keuze zou geen gebruikerskeuze moeten zijn in de vorm van een checkbox ergens in een game instelling. Heb je het? Gebruik het. Heb je het niet? Gebruik het niet.

Om het voorbeeld van WoW aan te grijpen:

Het aanzetten is erg makkelijk. Maar je moet het zelf aanzetten. En als je het aanzet, zonder dat je het hebt, zul je met de hand een config file moeten gaan aanpassen om het spel uberhaupt weer te kunnen starten. Dat zou transparanter moeten zijn (en daar kan DNS natuurlijk mee helpen).

[Reactie gewijzigd door Umbrah op 2 maart 2021 15:46]

dit stelt wel wat strengere eisen aan m'n apparatuur.
Dan begrijp ik dit niet.. welke strengere eisen stelt het dan, als er toch een firewall is?
Firewalls zijn niet heiligmakend en je kunt je niet meer achter een NAT verschuilen waar je in principe hooguit UPnP de schuld kan geven als er iets lekt: en mocht je echt gek zijn online kan je je ook niet meer verschuilen achter: "dat was m'n huisgenoot" ;)
Zoals @Heidistein al zegt. Bij vrijwel alle mainstream besturingssystemen staat IPv6 Privacy Extensions standaard aan. Dan krijgt je laptop of telefoon iedere 24 uur een nieuw publiek IP adres en kun je je nog steeds verschuilen achter je huisgenoot. 😎
Zoals @Heidistein al zegt. Bij vrijwel alle mainstream besturingssystemen staat IPv6 Privacy Extensions standaard aan. Dan krijgt je laptop of telefoon iedere 24 uur een nieuw publiek IP adres en kun je je nog steeds verschuilen achter je huisgenoot. 😎
vaker zelfs :) Mijn mac pakt om de haverklap, zelfs per browser tab dacht ik, een nieuw adres. Ik heb er een hele rits staan die continue veranderen. Alleen dingen als ssh gaan op het _echte_ ipv6 adres naar buiten. (wat ie krijgt middels SLAAC+SecurityExt)
Nou, dat kan prima, mits je maar dat privacy enabled addressing(of hoe dat heet) aanzet... Krijg je elke tijd een nieuw adres.
Ik heb het bij Ziggo, en het werkt erg goed. Voordelen én nadelen echter: eigenlijk is elk device op m'n netwerk wat IPv6 snapt in principe "publiek" aangesloten... port forwarding is dus ineens ook IPv4-only... dit stelt wel wat strengere eisen aan m'n apparatuur.
Hoezo?
Ik hoor dat wel vaker maar volgens mij is het een misverstand.

Iedere IPv6 (consumenten)router die ik ooit heb gezien heeft standaard een firewall aan staan die meer veiligheid geeft dan NAT. Er zijn allerlei manieren om NAT om de tuin te leiden omdat NAT een soort hack is vaak maar een beetje moet raden wat nu eigenlijk de bedoeling is. Meestal gaat het goed hoor, maar niet zo goed als een "echte" firewall.
Het is niet voor niets dat de meeste routers ook een firewall hebben voor IPv4. Die zorgt voor de veiligheid en NAT gaat met de eer lopen.

Tegelijkertijd maken we de configuratie van zo'n apparaat een stuk ingewikkelder dan een firewall. Zo kun je iedere externe poort maar 1 keer gebruiken. Maar de meeste applicaties hebben vaste poorten (80/443/22) . Daar is wel weer een mouw aan te passen maar het maakt het allemaal een stuk ingewikkelder. Een ingewikkeld is een vijand van veilig.

Als mensen het niet snappen dan zullen ze fouten maken.
Tweakers resolved "default" ook IPv6 voor mij, hoewel ik niet elk subdomein heb getest:

Pinging tweakers.net [2001:9a8:0:e:1337:0:80:1] with 32 bytes of data:
Reply from 2001:9a8:0:e:1337:0:80:1: time=9ms
:o nice :o
Als XS4ALL klant heb ik al vele jaren ipv6. Werkt prima. Andere providers zijn er idd wat laat mee.
Tot mijn schande moet ik bekennen dat ik nog niet zo veel van ipv6 af weet.

Hoe ga je als client dan naar sites die enkel via ipv4 bereikbaar zijn? Via een ipv6 tunnel? En zet je die tunnel zelf op, of doet je provider dat?

En wat ziet de webhost wanneer jij naar hem verbindt? Ziet hij dan het tunnel (proxy) ipv4 in zijn logs (en ben je dus voor die webhost geen unieke bezoeker, maar eigenlijk iemand anoniem)?
Voor de meeste huidige IPv6 implementaties geldt dat er ook een IPv4 implementatie naast ligt. Bij XS4ALL heb ik al jaren IPv6 maar ook nog steeds IPv4.
De meeste thuis gebruikers die eventueel alleen op IPv6 zitten met hun netwerk aansluiting, hebben thuis, achter de router in de regel ook een IPv4 netwerk liggen, al is het alleen maar voor apparatuur die niet met IPv6 om kan gaan.

Als je in een IPv6 wereld een ipadres vraagt van een dns-server, dan zal dat in de regel eerst de IPv6 adressen geven en daarna de IPv4. Als er alleen maar IPv4 is, dan wordt die gewoon gebruikt. Het is aan de routers en dergelijke in het netwerk om dat adres te routeren en mogelijk te vertalen.
Ik heb dus twee internetconnecties zeg maar. Een ipv4 en een ipv6. Standaard wordt ipv6 gebruikt voor sites die ipv6 hebben, ook al hebben ze ipv4. Sites die enkel ipv4 hebben gaan over dat lijntje.
Ik denk dat 99.999% van Nederland daar niets vanaf weet.

Mij zal het persoonlijk ook een biet zijn , als het maar werkt :)
Werkt intussen eigenlijk prima. Ik heb voor de grap een browser extensie die aangeeft of ik via ipv4 of ipv6 verbindt. Je hebt het in principe (happy eyeballs protocol) niet door.

Voor Tweakers.net nu bvb. het domein zelf via Ipv4, maar van de CDN's (en tweakers heeft nogal wat domeinen serveren, meeste CDN's is het ongeveer 1/3e via cache, 1/3e via Ipv4 en 1/3e via IPv6). Geen centje pijn.
Waarom wordt de hosting dan niet centraal geregeld? Nu is het zo dat elke overheidsdienst bij een andere hoster zit. Dan kan het nog lang duren...
Meeste overheids ogranisaties hebben hun eigen hardware en veelal ook eigen datacenters of plaatsen hun hardware in overheidsdata centers. Hosting voor de websites is dus veelal in eigen beheer. Zeker bij de grotere overheids organisaties

[Reactie gewijzigd door TunefulDJ_Mike op 2 maart 2021 15:56]

Tja je zou overheidswebsites in de cloud moeten stoppen maar dat is eng.....
Of hun websites bij Logius onderbrengen.
Zover ik weet hebben zij geen enkele ervaring met zelfstandig hosting verzorgen.
Tja ipv6 blijft lastig:
- Ziggo: ipv6 en hun ds-lite
- Google Cloud: Computing geen ondersteuning voor ipv6 (LB wel)
- Microsoft mail: mx records uitsluitend via ipv4 bereikbaar

Het is helaas geen druk op de knop en BAM je hebt ipv6. Voor de gebruiker maakt het geen fluit uit, dus daarom ook niet echt "sexy" om te verkopen. Alleen wij techneuten vinden het leuk :-)
Het is ook redelijk wat werk als je thuis e.e.a. host. Als ik IPv6 volledig wil gaan gebruiken moet ik ook mijn thuisserver IPv6-ready krijgen (inclusief alle docker containers en VM's), alle poorten opnieuw open zetten, mijn (externe) mailserver IPv6-ready maken en ga zo maar door.

Het is allemaal wel te doen, maar ook als Tweaker niet een kwestie van een knopje omzetten
Achteraf ombouwen naar Dual Stack (IPv4 + IPv6) kan best complex zijn ja.

Ik hanteer nu een jaartje of vijf de eis dat ieder nieuw project standaard IP4+IPv6 is. Ergens vorig jaar ben ik begonnen met projecten die intern alleen IPv6 gebruiken (wel zo makkelijk) en alleen aan de edge nog IP4+IPv6 gebruiken voor clients die nog geen IPv6 begrijpen. Een beetje á la wat Facebook zes jaar geleden is gaan doen. Aangezien IPv4 een steeds kleiner aandeel in het verkeer wordt kun je dan op een gegeven moment waarschijnlijk de IPv4 ondersteuning gewoon uitschakelen zonder dat iemand het merkt. IPv4 uitzetten is een stuk makkelijker dan IPv6 aanzetten.

[Reactie gewijzigd door Maurits van Baerle op 2 maart 2021 18:22]

Voor de gebruiker maakt het geen fluit uit, dus daarom ook niet echt "sexy" om te verkopen
Dat is natuurlijk alleen kwestie van de juiste marketing. 5g voor een telefoon maakt voor een eindgebruiker ook geen fluit uit, en toch spelen de telecomboeren er hard op in.

Hetgeen dat de adoptie nogal ingewikkeld maakt, is het feit dat er op dit moment ook nog steeds geen echte noodzaak is, door allerlei redenen die hierboven genoemd worden.
Naast elkaar draaien (IPv4 en IPv6) biedt geen concrete meerwaarde voor de eindgebruiker. Die zal het effectief niet eens merken. IPv6 biedt geen gebruikersvoordeel. Het is alleen technische noodzaak voor in de toekomst.
En volledig overstappen op 'pure IPv6' gaat heel veel stuk maken bij mensen thuis. Er is allerlei software/IOT spul dat alleen IPv4 ondersteund. Je zou een router natuurlijk een soort vertaalslag kunnen laten maken (IPv4 NAT naar IPv6 of andersom, net hoe je het bekijkt). Maar de dag dat dit standaard wordt, is natuurlijk dezelfde dag dat allerlei IOT-boeren of kleine softwareboeren niet eens de moeite gaan nemen om IPv6 te praten, want de router regelt het wel.

Off topic: Ik ben eigenlijk ook mening dat de groep die IPv6 heeft bedacht te ambitieus was. Ik denk dat het handiger had geweest als ze het zo hadden ontworpen dat je thuis-router gewoon één adres krijgt, al dan niet statisch en vanaf daar NATten. Net zoals het met IPv4 is, maar dan met een complexer IP-adres. Het is allicht handig al bedrijven of hobbyisten een subnetje aan adressen kunnen krijgen, maar voor Sjaak de Surfer is het natuurlijk niet nodig dat hij een exorbitante hoeveelheid IP-adressen toegewezen krijgt.
Maar waarom NAT-ten? Dat maakt het voor thuistoepassingen nou juist zo complex met port-forwarding, UPnP en applicaties die zich met speciale protocollen in allerlei bochten moeten wringen om toch een internetverbinding te krijgen.

Het mooie aan IPv6 voor thuisgebruik is dat je in 99,99% van de gevallen niets hoeft in te stellen. Een IPv6 firewall met een default-deny regel op al het binnenkomend verkeerd dat niet van binnenuit geïnitieerd is en je bent al veiliger dan over IPv4-NAT maar zonder het gepruts.
Je kan IPv6 'aan laten zetten' door Microsoft. Zie ook https://www.vngrealisatie...ange%20Online%20email.pdf
XS4All is de enige die IPv6 nog officieel ondersteund.
Bij KPN werkt het, maar geen ondersteuning er op.
Ziggo, geen idee.
T-Mobile heeft totaal géén IPv6.

Goed dat er bij de overheid dus achteraan wordt gezeten. Maar misschien wel handig als ze dit ook gaan verplichten bij ISP's.
Ik zit bij Freedom.nl en heb ook standaard een vast IPv4 adres en een IPv6 /64 block.

Edit: zie nu in de welkoms mail dat dit toch een /48 is.

[Reactie gewijzigd door D11 op 3 maart 2021 08:58]

Hmm.. vreemd, want ik heb daar gewoon een /48
Ik zit bij Freedom.nl en heb ook standaard een vast IPv4 adres en een IPv6 /64 block.
wat? slechts een /64? da's slecht.
/64 is als ik het niet verkeerd heb vrij normaal voor Residential. Krijg ik bij Ziggo ook. Heb je feitelijk nog steeds 18,446,744,073,709,551,616 IP adressen mee voor thuisgebruik, dus feitelijk elke lamp/muis/controller/doos melk een eigen IP adres. Vergeet niet dat IPv6 een 128-bit base heeft, en een subnet van 64-bit is dus nog steeds riant. Even een korte inventarisatie toont mij dat mijn reguliere werk PC nu drie IPv6 adressen gebruikt, een van m'n ubuntu bakjes heeft zichzelf riant vier stuks toegeëigend, ondanks dat die valsspeelt door óók een fe80 aan te houden, etc...

Niks slechts aan /64! Dat is zó veel beter dan het enkele adres ip IPv4 (als je al niet achter een provider-NAT kwam)
Jawel het is wel slecht. Want je kunt niet subnetten met 1 /64 blok. Het idee is dat je meer dan 1 /64 thuis kunt uitdelen. Denk aan een VLAN voor bv. publieke rommel en een VLAN voor prive rommel. Die hebben dan beide een eigen /64.

Ook bij Ziggo krijg je uit mijn hoofd niet een /64 maar een groter blok. Het probleem zit 'm er vooral in dat 't modem van Ziggo slechts 1 /64 wil uitdelen. Dat is een software beperking in 't modem.
Want je kunt niet subnetten met 1 /64 blok
Subnetten kun je op ieder niveau doen van /1 t/m /127.
Nee dat kan niet. Want ivm. IPv6 autoconf heb je een /64 nodig. Dus tenzij jij straks al je apparaten statisch IPv6 wil gaan configureren heb je per laag-2 segment een /64 nodig.
Ja dat kan wel. Er zijn meer mogelijkheden om subnetten (en ipv6 adressen) uit te delen dan autoconf. Bijv. DHCPv6.

[Reactie gewijzigd door D11 op 4 maart 2021 01:46]

Nee dat kan niet. Tuurlijk zijn er oplossingen zoals DHCPv6. Maar DHCPv6 is niet ' de standaard' . De standaard is dat je een /64 per laag-2 segment gebruikt zodat je je IP-adres kunt baseren op je MAC-adres en je op die manier bijvoorbeeld ook ' private IPs', ' privacy extensions' of hoe je het ook wil noemen kunt gebruiken.

Dan kun je wel allerlei foefjes bedenken om het toch te laten werken.. In het ontwerp van IPv6 gaat men er vanuit dat je een /64 per laag-2 segment is. Al het andere zorgt voor een brakke implementatie die beperkingen met zich mee brengt.

Bovendien is DHCPv6 eigenlijk niet gemaakt om IP-adressen uit te delen aan clients. Het is meer om andere parameters uit te delen zoals DNS of NTP servers en het wordt gebruikt om prefixes te delegeren. Dat je toevallig ook individuele clients er mee kan configuren is leuk, maar daar is he tniet voor. Daarom wordt DHCPv6 ook vaak gebruikt op een netwerk waar slaac/autoconf ook wordt gebruikt.
Je speekt jezelf nogal tegen. Nee het kan niet, maar ja het kan wel. Uiteraard is er een verschil tussen kunnen, en of dat verstandig is.
Je speekt jezelf nogal tegen. Nee het kan niet, maar ja het kan wel. Uiteraard is er een verschil tussen kunnen, en of dat verstandig is.
Er is maar 1 standaard. Die zegt : iedereen krijgt dan een /48 of minimaal een /56 (uit m’n hoofd) en kan dan fatsoenlijk /64’s uitdelen in subnetten met SLAAC.

Op mijn ziggo modem kreeg ik maar 1 /64 er doorheen. De rest werd weggefilterd.
Dat zou ik niet zeggen. Normaal is /56, luxe is /48. Wil je nog groter dan moet je vaak migreren naar een zakelijke oplossing. Ik heb alleen gehoord dat Comcast in de VS een /64 uitdeelt en zelfs daarvan vind ik het moeilijk te geloven dat ze dat echt doen omdat het wel heel beperkt is.
Als ik (als LIR) aan een van onze klanten een blok groter dan een /48 zou willen toekennen moet ik dit met een goede reden kunnen onderbouwen aan RIPE, er zijn weinig usecases voor meer dan 65 duizend subnets.
https://www.ripe.net/publ...e-738#assignments_shorter

RIPE beveelt aan /56 aan non zakelijke aansluitingen toe te kennen en een /48 voor zakelijke aansluitingen.
Je bent vrij om minder toe te kennen, een /60 is iets wat ook nog wel eens wil gebeuren (16 subnets).
Lager dan een /64 mag echter niet.
Een /64 zou inderdaad slecht zijn. Gelukkig is het een /48.
wat? slechts een /64? da's slecht.
Je krijgt gewoon een /48 maar de meeste apparatuur kent standaard een /64 toe aan ieder subnet.
Als je niet meer dan één subnet hebt, dan vraagt je apparatuur ook niet meer dan een /64 van je provider.
[...]

Je krijgt gewoon een /48 maar de meeste apparatuur kent standaard een /64 toe aan ieder subnet.
Als je niet meer dan één subnet hebt, dan vraagt je apparatuur ook niet meer dan een /64 van je provider.
Je kan alleen andere subnetten dan wat de modem uitlevert op z’n lan interface niet routeren. Effectief heb je 1 /64.
Je kan alleen andere subnetten dan wat de modem uitlevert op z’n lan interface niet routeren. Effectief heb je 1 /64.
Het zou kunnnen dat het standaard modem het niet kan. Ik weet zeker dat je met eigen apparatuur geen last hebt van dit soort beperkingen en je meerdere subnetten kan gebruiken die ook gewoon gerouteerd worden.
Freedom levert fritzboxen en daarvan zou ik verwachten dat ze daar geen probleem mee zouden hebben want die dingen staan hoog aangeschreven, maar ik heb er zelf geen ervaring mee dus misschien ben ik daar een beetje naief in.
[...]

Het zou kunnnen dat het standaard modem het niet kan. Ik weet zeker dat je met eigen apparatuur geen last hebt van dit soort beperkingen en je meerdere subnetten kan gebruiken die ook gewoon gerouteerd worden.
Freedom levert fritzboxen en daarvan zou ik verwachten dat ze daar geen probleem mee zouden hebben want die dingen staan hoog aangeschreven, maar ik heb er zelf geen ervaring mee dus misschien ben ik daar een beetje naief in.
Ik heb een eigen router d’r achter. :) die routeert ipv6 als een beest. Maar het komt niet door de ziggo modem heen, en die heb je nog steeds nodig met een kabel aansluiting. :)

Inmiddels (omdat ik het zat was) is de ziggo verbinding afgebouwd naar de lichtste variant, en gedegradeerd tot back up verbinding omdat ik in ons nieuwe huis glas heb. Ik heb ziggo de modem in bridge mode laten zetten, en in elk geval bij de verbinding die ik heb, ben je dan helemaal ipv6 kwijt.
Ik heb een eigen router d’r achter. :) die routeert ipv6 als een beest. Maar het komt niet door de ziggo modem heen, en die heb je nog steeds nodig met een kabel aansluiting. :)
Ah Ziggo, de discussie ging volgens mij over Freedom, ergens zijn we elkaar kwijt geraakt. Zo is het weer duidelijk ;)
[...]

Ah Ziggo, de discussie ging volgens mij over Freedom, ergens zijn we elkaar kwijt geraakt. Zo is het weer duidelijk ;)
Oooh, wacht, ik haal een andere discussie door de war. :)

Het is mogelijk dat de fritzbox wat beperkt is in dat aspect. Ze zijn heel goed, maar ik gebruik de mijne nu alleen nog maar als PBX (daar is ie verdraaid goed in). De verbindingen en routing zelf wordt afgehandeld door ubiquiti spul. (Overigens zit daar weer een andere rot limitatie in qua ipv6 :-p wachten tot de nieuwe hardware available komt, helaas)
Hier ook KPN, maar geen ipv6 hoor.
En ISP's doen te weinig om het aan te bieden aan klanten.
Ziggo en bridge, ik vraag het ze pas 20 jaar....
En ISP's doen te weinig om het aan te bieden aan klanten.
Ziggo en bridge, ik vraag het ze pas 20 jaar....
dat was mijn klacht ook, maar iemand anders met ziggo zegt dat ie bridge heeft en wel ipv6.
Nou, ik heb het na al die jaren nog niet voor elkaar gekregen... misschien de regio? ;)
Met name het aantal maildomeinen met IPv6-ondersteuning ligt laag.
Dit zit ook in diensten als Office365/Exchange Online. Die ondersteunen pas later dit jaar IPv6. Voor overheidsorganisaties die hun mail daar hosten zullen daar dus op moeten wachten.
Wat jij zegt klopt niet. Kijk maar naar bijv gemeenten Landsmeer, Uithoorn en Waalre.
Allemaal een *mail.protection.outlook.com. mailserver (MX) met IPv6 records.
https://internet.nl/mail/...l/491646/#control-panel-2
https://internet.nl/mail/uithoorn.nl/491645/#control-panel-2
https://internet.nl/mail/waalre.nl/491648/#control-panel-2

Je kan IPv6 'aan laten zetten' door Microsoft. Zie ook https://www.vngrealisatie...ange%20Online%20email.pdf en https://www.vngrealisatie...l-ipv6-microsoft-exchange

[Reactie gewijzigd door ocn op 2 maart 2021 16:40]

Ik weet niet wat precies het doel is van die adviescommissie, maar een constatering doen is geen advies.

Of zoals Joey tegen Ross zei:
"You want my advice? You got married too fast."
Dit onderzoek is goed om inzicht te geven. Maar dan worden die organisaties hopelijk wel ingelicht dat ze onderdeel zijn van het probleem en er ook gevolgen aan zitten als ze niet op tijd kunnen uitleggen waarom ze nog geen ipv6 hebben en wat hun planning is. Anders kan je verwachten dat ze het door de vrijblijvendheid vergeten, uitstellen of zelfs niets aan willen doen. Vrijblijvendheid zorgt er namelijk niet zomaar voor de er snel genoeg veranderingen komen, zeker niet als dat tind en geld kost terwijl er ook nog andere belangen zijn.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True