Overheid VS heeft 175 miljoen IPv4-adressen geactiveerd

De Amerikaanse overheid heeft de afgelopen maanden in een pilotproject 175 miljoen IPv4-adressen gepubliceerd, maar niet verkocht. Dankzij de stap kan de overheid naar eigen zeggen ongeautoriseerd gebruik voorkomen en mogelijk verkeer onderscheppen.

De stap om de IPv4-adressen aan te melden bij het Border Gateway Protocol, het routeringsprotocol dat het verkeer tussen providers regelt, komt van het defensie-onderdeel Defense Digital Service, meldt The Washington Post. De publicatie verloopt via een bedrijf met de naam Global Resource Systems LLC.

De publicatie van de adressen via bgp gebeurt sinds 20 januari. De directeur van DDS meldt dat er twee redenen zijn om dat te doen. Ten eerste wil het defensie-onderdeel voorkomen dat kwaadwillenden de IPv4-adressen kunnen gaan gebruiken. Ook is het mogelijk om wellicht verkeer van kwaadwillenden te onderscheppen via de ip-adressen.

Het Amerikaanse ministerie van defensie heeft de adressen al tientallen jaren in bezit, maar deed er tot nu toe niets mee. Het heeft een deel van de IPv4-adressen toegewezen gekregen, omdat het voortkwam uit een project van het ministerie. Het ministerie heeft de ip-adressen nog steeds in bezit en is niet van plan ze te verkopen.

IT-banen

Reacties (243)

243

237

132

Wijzig sortering

Menesis 26 april 2021 08:11

Waarom is het tekort aan IPv4 een issue, want er bestaat toch ook IPv6? Of wordt dat niet overal ondersteund oid?

nelizmastr @Menesis • 26 april 2021 08:16

Het zou je verbazen hoeveel websites en services alleen nog over IPv4 lopen en bij een IPv6 only systeem daardoor niet bereikbaar zijn.

Goed, daar zijn verschillende oplossingen voor (6-to-4, Teredo tunneling, ISATAP, elk met intern danwel externe toepassingen) maar goed, het feit blijft.

De uitrol van IPv6 stokt nog fors her en der waardoor er ook niet zo op gepusht wordt om iedereen over te hevelen.

wica @nelizmastr • 26 april 2021 08:50

De uitrol van IPv6 stokt nog fors her en der waardoor er ook niet zo op gepusht wordt om iedereen over te hevelen.

Is best jammer enige probleem wat ik nog met IPv6 heb is mijn numpad.

Cybertinus994 @wica • 26 april 2021 09:02

Dan moet je een IPv6Buddy kopen. Een los numpad met de letters a t/m f erop, en een knop die :: intikt. Ook een enkele : zit erop, waardoor het ding ook zeer nuttig is om mac adressen in te tikken.
Als bonus is de punt op de IPv6Buddy echt altijd een punt. Ook in Excel dus. Als je ooit een Nederlandse Excel moet gebruiken, dan word de punt niet vervangen door een komma

Robtimus @Cybertinus994 • 26 april 2021 09:36

De : heb je ook nodig voor IPv6 adressen, niet alleen voor MAC adressen. IPv6 heeft 8 blokken die door : worden gescheiden, en :: is niets anders dan een shortcut om eenmalig 1 of meer blokken met waarde 0 weg te laten. Zo is :: hetzelfde ais 0:0:0:0:0:0:0:0, en ::1 hetzelfde als 0:0:0:0:0:0:0:1. Tweakers.net heeft als IP adres 2001:9a8:0:e:1337:0:80:1 (bron: nslookup) wat hetzelfde is als 2001:9a8::e:1337:0:80:1 of 2001:9a8:0:e:1337::80:1.

Crazy Harry @Robtimus • 26 april 2021 11:48

Kan die tweemaal dubbele punt maar eenmaal in het adres gebruikt worden? Aangezien je 2001:9a8::e:1337::80:1 niet noemt?

Aapenootjes @Crazy Harry • 26 april 2021 12:05

Ja, want omdat de lengte van zo'n adres vast is kun je zo nog terug redeneren wat het volledig uitgeschreven adres is.
Als je dat kunstje vaker toepast dan één keer dan werkt dat niet meer

Voorbeeldje:
::1:0:0 zal altijd wijzen naar 0:0:0:0:0:1:0:0
::1:: kan heel wat meer verschillende adressen beteken. 0:0:1:0:0:0:0:0 of 0:0:0:0:1:0:0:0 bijvoorbeeld.

Crazy Harry @Aapenootjes • 26 april 2021 13:34

Ah, logisch

Dank u!

Tr1pke @Aapenootjes • 26 april 2021 13:56

Dank u, handig om weten

Mayco @Aapenootjes • 26 april 2021 18:25

Dit werkt trouwens ook met IPv4. 127.1 wordt 127.0.0.1. Ik weet wel niet of het in de RFC-standaard zit, of gewoon toevallig werkt op mijn computer

Jerie

@Crazy Harry • 26 april 2021 12:57

Kan die tweemaal dubbele punt maar eenmaal in het adres gebruikt worden?

Correct. Dat geeft aan dat de overgebleven 0 daar tussen staan, en dat kun je logischerwijs niet meer dan 1x aangeven.

[Reactie gewijzigd door Jerie op 22 juli 2024 13:29]

Pmf1971 @Robtimus • 26 april 2021 12:34

FF nieuwsgierig vraagje, is die 1337 in het IP6 adres, toeval of niet?

StefSybo @Pmf1971 • 26 april 2021 13:52

Waarschijnlijk bewust gekozen door één van de sysadmins als easter egg. De 1337 zit in de laagste 64 bits en is dus onderdeel van het host adres, niet van het subnet. Daar ben je in principe vrij om te doen en laten wat je wil.
Ik vermoed ook dat de :80: verwijst naar het feit dat dit een webserver is, aangezien HTTP over poort 80 gaat. Hoewel ze tegenwoordig beter :443: (voor HTTPS) hadden kunnen kiezen.

[Reactie gewijzigd door StefSybo op 22 juli 2024 13:29]

Cybertinus994 @Robtimus • 26 april 2021 09:47

Ja, klopt helemaal

. Ik wilde alleen maar aangeven dat een IPv6 Buddy niet alleen nuttig is voor IPv6 adressen maar dat die ook handig is voor meer (bijv. mac adressen dus).

wild_dog @Robtimus • 26 april 2021 11:44

1337

Natuurlijk.

ThaBilly @Cybertinus994 • 26 april 2021 09:28

Nondeju

ze verzinnen ook echt van alles.... een hexadecimal keypad $_/-\o_$

Wie gebruikt nou zoiets? voor die ene keer dat je een IPv6 in moet tikken.. (hooguit een paar keer per dag?)

supersnathan94

Politiek en recht

@ThaBilly • 26 april 2021 11:36

Mwah ik kan me voorstellen dat het voor meer dingen met base16 erg handig kan zijn. Van webdesign tot aan talen (rechtstreeks UTF karakters kunnen invoeren dmv “alt” code).

laptopleon @supersnathan94 • 26 april 2021 12:12

Het heeft een hoog nerdhumor gehalte

maar als beroepswebdesiger type je zelden of nooit een hex code in voor kleur. Css is al 15 jaar de standaard en daar zelfs dan is het maar de vraag, want je kan ook rgb notatie gebruiken.

supersnathan94

Politiek en recht

@laptopleon • 26 april 2021 12:35

Voor plain css gebruik ik anders nog gewoon hex of rgb codes. Maar als het je beroep is zou ik ook iets als SASS gebruiken en je css compileren met een mooi kleurenbestand waar je themakleuren in beschreven staan. Dan heb je het idd niet echt nodig.

Cybertinus994 @ThaBilly • 26 april 2021 09:31

Ik ben blij met mijn IPv6 buddy

. Bij mijn huidige klant ben ik veel layer 2 dingen aan het doen, dus moet ik ook regelmatig een mac adres intikken. Dan is die erg handig

En voor m’n hobby moet ik regelmatig wat static routes voor v6 toevoegen op wat routers. Dan is het ook nuttig.

Ja, $25,- goed besteed imho

Yordi- @Cybertinus994 • 26 april 2021 10:10

Ik heb werkelijk nog nooit een Mac moeten intikken. Zit je nou een statische mac tabel te schrijven?

Cybertinus994 @Yordi- • 26 april 2021 10:22

Nee, ik zit aps en switches toe te voegen in een netwerk. Die worden door de management tooling dan automatisch toegevoegd aan de webinterface maar het apparaat krijgt dan z’n mac adres als naam. Dat moet aangepast worden. En dan zoek je dus het makkelijkste op mac adres in die interface en dan pas je de naam aan

init6 @Yordi- • 26 april 2021 10:32

Handig als je een keer wat dingen met ARP moet opzoeken, of een mac wilt assignen aan een IP op een netwerk.

Cybertinus994 @init6 • 26 april 2021 10:52

Of een mac toegang wil geven tot een ssid waar mac filtering op aan staat. Het invoeren van dat mac adres doe je op een ander apparaat dus moet je het overtikken.

GoBieN-Be @Yordi- • 27 april 2021 13:26

Of static DHCP leases aanmaken.
Genoeg redenen om een MAC in te typen.

slijkie @Cybertinus994 • 26 april 2021 10:15

Absoluut, plus makkelijk weg te leggen. Denk dat ik er ook eentje ga bestellen, alhoewel op dit moment maar minder dan 5% van de ip’s die ik invoer ipv6 zijn zal dit in de toekomst wel stijgen. Plus, 25$ zijn niet echt forse kosten.

Goeie tip!

Cybertinus994 @slijkie • 26 april 2021 10:23

Door de punt zijn ipv4 adressen er ook gewoon mee in te tikken

.

En graag gedaan!

Blokker_1999

Politiek en recht
Verenigde staten

@Cybertinus994 • 26 april 2021 11:02

Totdat je in Windows bezig bent en een mac adres ineens met - geschreven moet worden ipv :

Cybertinus994 @Blokker_1999 • 26 april 2021 12:15

Juh. Gelukkig ben ik nooit bezig op Windows

Pmf1971 @ThaBilly • 26 april 2021 12:36

Er bestaan al heel lang hex pads. In de jaren 60, 70 en 80 werd assembly/machinecode nog veelal direct ingeklopt.

deknegt @nelizmastr • 26 april 2021 09:41

Toen ik in 2011-2014 mijn opleiding IT deed, hadden ze het er al over dat het er zou komen. Nu is het 10 jaar verder, en wachten we nog steeds.

Ik heb zelf het gevoel dat het er niet gaat komen als je het ook niet een beetje gaat verplichten. Elke nieuwe site aan de IPv6, en rollend de knop uitzetten voor IPv4, om toch de druk op te voeren om die overstap te verplichten.

Als we gaan blijven wachten, komen we er nooit, want als het werkt dan kijkt niemand er naar en is het niet interresant om een oplossing te zoeken.

Maurits van Baerle @deknegt • 26 april 2021 11:03

Dat wat zou komen? IPv6? Dat is er al jaren. Zo'n 35% van al het verkeer dat Google ontvangt is al over IPv6 en dat stijgt met een constante lijn. Met de huidige snelheid gaat in drie jaar de meerderheid van al het verkeer dat Google ontvangt over IPv6.

En dat is een gemiddelde over de hele wereld. In redelijk wat landen zal het aandeel een stuk hoger liggen omdat er een aantal landen zijn die het gemiddelde naar beneden trekken. Nederland doet het tegenwoordig wel aardig maar is absoluut niet vergelijkbaar met landen als België, Frankrijk, Griekenland of Duitsland.

Als ik naar mij zelf kijk, ik heb al jaren een Dual Stack IPv4+IPv6 verbinding thuis en verreweg het merendeel van alle sites die ik bezoek gaat over IPv6. Dat weet ik omdat ik de SixOrNot browserextension draai die mij dat laat zien.

pennywiser @deknegt • 26 april 2021 11:21

Heh in 2003 werd er al op dezelfde manier over gepraat. Mijn voorspelling is dat ipv4 en ipv6 zullen voor eeuwig naast elkaar blijven bestaan.

Maurits van Baerle @pennywiser • 26 april 2021 11:42

Oh vast, IPv4 zal nog decennia gebruikt gaan worden. Net als je nu nog netwerken zult kunnen vinden waar SPX/IPX gebruikt wordt (soms naast TCP/IP). Ik verwacht alleen wel dat IPv4 zo'n niche protocol wordt als IPX/SPX en het bijvoorbeeld standaard niet geinstalleerd zal staan op mainstream besturingssystemen.

Dreamvoid @pennywiser • 26 april 2021 11:45

IPv6 is backwards compatible met IPv4 (via tunneling/translation), zolang er ergens op het internet een NAT64 gateway of een tunnel eindpoint bestaat, zal je altijd een IPv4 netwerk kunnen draaien.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

pennywiser @Dreamvoid • 26 april 2021 12:06

I know, kan je ook zelf regelen via bv HE, maar het praat niet native met elkaar.

Dreamvoid @pennywiser • 26 april 2021 12:09

Voor je netwerk maakt het niet uit. Honderden miljoenen mensen krijgen hun IPv4 internet getunneld over een IPv6 verbinding (providers met DS-Lite, MAP of lw4o6) of translated (alle mobiele netwerken met NAT64), ze merken er niks van.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

pennywiser @Dreamvoid • 26 april 2021 12:11

Nee dat werkt goed inderdaad, ik heb zelf ook al jaren geleden een HE tunnel ingesteld, nu inmiddels ook wel via de ISP ipv6 maar ik blijf de tunnel ook wel gebruiken.

Dreamvoid @nelizmastr • 26 april 2021 11:44

IPv6 wordt in de praktijk nooit uitgerold zonder IPv4 backwards compatibility. IPv6-only kom je buiten een lab nergens tegen.

telenut @Menesis • 26 april 2021 08:33

erger nog, wij zetten het via policy uit op het werk om security redenen...

qless @telenut • 26 april 2021 08:43

Dat is totaal niet nodig, mits je een goede (en ingestelde) firewall gebruikt, en niet vertrouwt op NAT.

fluffy1 @qless • 26 april 2021 09:14

Misschien niet, maar is het door de band genomen geen goede security practice om iedere service die je niet gebruikt uit te zetten of volledig af te blocken op de firewall?

Als je geen gebruikt maakt van IPv6, waarom dan aan laten staan?

bzzzt @fluffy1 • 26 april 2021 09:58

IPv6 is geen service, maar een adresseringswijze. Net zoals je mogelijk wat alternatieve domeinnamen geregistreerd hebt om je site makkelijker bereikbaar te maken is het voor sommige mensen ook handiger jou via IPv6 te bereiken (als je IPv4 enigszins beperkt wordt omdat die achter carrier-grade NAT zit bijvoorbeeld wat steeds meer het geval gaat zijn).

Daarnaast kan je met jouw argument natuurlijk iedere technische verbetering blokkeren

CAPSLOCK2000

Politiek en recht
Verenigde staten

@fluffy1 • 26 april 2021 13:37

Misschien niet, maar is het door de band genomen geen goede security practice om iedere service die je niet gebruikt uit te zetten of volledig af te blocken op de firewall?

Als je geen gebruikt maakt van IPv6, waarom dan aan laten staan?

In principe klopt dat, als je het goed doet. Maar meestal gaat het niet goed. Het is alsof mensen besluiten om zelf hun blinde darm weg te snijden want die hebben ze toch niet nodig.

IPv6 goed uitschakelen is in mijn ervaring best lastig. Zeker als je er niet heel veel kennis van hebt. Beheerders die IPv6 uitschakelen omdat ze het niet snappen gaan massaal de fout in en schakelen met het niet goed uit. Daardoor hebben ze forse blinde vlek.

Wie denkt tijd te besparen door IPv6 uit te schakelen zodat daar niet in geinvesteerd hoeft te worden komt al snel van een koude kermis thuis. In plaats van de achterdeur dicht te metselen hebben ze alleen de plank uit het gat gehaald en denken ze nu veilig te zijn terwijl het in werkelijkheid wagenwijd open staat.

Mensen onderschatten enorm hoe wijdverbreid IPv6 al is. Ik garandeer je dat vrijwel iedereen van ons apparaten heeft die IPv6 gaan doen als het beschikbaar is. Een van mijn 'stunts' is dat ik zelf even een IPv6-router aan een netwerk hang en dan direct met de printer of de telefoon van de directeur kan praten. Dan heeft systeembeheer bijvoorbeeld IPv6 uitgeschakeld op de PC's en de routers maar niet op de switches, webcams, telefoons en weet ik veel wat nog meer. Normaal zie je er niks van, maar zodra een router zich meldt springt al die apparatuur aan.

Dat neemt niet weg dat je fundamenteel gelijk hebt: als je het niet gebruikt kun je het beter verwijderen. Maar onze blinde darm laten we meestal toch maar zitten. Weghalen levert meer complicaties op dan laten zitten, zeker als je het niet door een volleerd chirurg laat doen.

Verwijderd @fluffy1 • 26 april 2021 10:06

Als je geen gebruikt maakt van IPv6, waarom dan aan laten staan?
Omdat het standaard aanstaat. Je gaat dus dingen uitschakelen omdat je het niet begrijpt en wijkt daarmee af van een standaard. Dat zorgt in de praktijk juist voor meer problemen.

Voorbeeld uit de mond van Microsoft zelf:
From Microsoft's perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows Vista, Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail—could be.

Ja, je leest het goed.. Windows Vista..
Het uitzetten (en afwijken van standaarden) is superdom en moet je absoluut niet doen.

Dreamvoid @c-nan • 26 april 2021 11:49

Grootste probleem is dat je hierdoor het IPv6 internet onbereikbaar maakt voor je clients - IPv6 is backwards compatible met IPv4, maar andersom niet.

Maar idd, twee stacks parallel draaien is vervelend, want dubbele admin. Ik zie bij bedrijfsnetwerken ook meestal dat ze direct naar IPv6-only (V)LANs gaan met NAT64 op de gateway dan dual stack.

Zo doen de providers het immers ook - IPv6 op je eigen netwerk, en IPv4-as-a-service eroverheen (NAT64 of DS-Lite).

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

Kevjoe @c-nan • 26 april 2021 10:51

Als die zelfde vulnerability op IPv4 zou zitten, zou je dan ook IPv4 volledig uitzetten?

De oplossing hier is niet om IPv6 uit te zetten, maar om te patchen... en vooral te hopen dat Cisco niet zo'n kemels van fouten meer maakt.

c-nan @Kevjoe • 26 april 2021 10:58

Nee, dat is heel wat anders.

Ik geef dat ik het eens ben met de stelling: Gebruik je het niet, zet het dan uit. En daarbij geef ik een voorbeeld waarom. Waarom zou je het aan laten?

Dus mocht IPv4 vulnerable zijn, ga ik dat niet uitzetten.

Op servers zet ik (in de firewall) ook alle poorten dicht indien ik er geen service op heb luisteren.

Dreamvoid @c-nan • 26 april 2021 12:16

Op zich is het zinnig om maar 1 stack te draaien op je interne netwerk, anders ben je idd dubbel werk aan het doen. Als je nog applicaties hebt die geen IPv6 doen, dan heb je geen andere keus dan nog even op IPv4 te blijven.

Je ziet in de praktijk ook vooral dat de VLANs van bedrijfsnetwerken lang single-stack IPv4 blijven, en als ze dan naar IPv6 gaan, de hele dual stack stap overslaan.

supersnathan94

Politiek en recht

@c-nan • 26 april 2021 12:40

Gebruik je het niet, zet het dan uit.

Punt is alleen dat je het wel degelijk gebruikt. Zoals @Verwijderd terecht aangeeft is windows kompleet afhankelijk van IPv6. Als je het dus in windows uitschakelt, dan is de kans groot dat bepaalde dingen gewoon niet meer werken. Windows is er intern gewoon afhankelijk van.

RGAT @supersnathan94 • 26 april 2021 13:04

Noem eens 1 ding wat niet meer werkt?
Ik ben het er mee eens dat IPv6 ooit IPv4 moet gaan vervangen, liefst vandaag maar helaas wilt T-Mobile nog niet mee doen hier dus veel meer dan een tunneltje en wat in het homelab gaat het hier niet

Maar om dan te roepen dat Windows (deels) niet meer werkt als je IPv6 uitzet is gewoon onzin, ja de IPv6 stack werkt niet als je IPv6 uit zet

Maar RDP, Patience en de USB poorten werken nog prima met IPv6 uit...
WinRM werkt ook prima over IPv4, net zoals RPC en ik moet het eerste AD nog tegenkomen wat IPv6 only is buiten een lab/testomgeving.

Iemand gebruikt IPv6 niet en zet het voorlopig uit. Dit betekent niet dat diegene hiermee eigenhandig de uitrol van IPv6 permanent verbannen heeft, er is niks aan de hand en grote kans (~100%) dat in een aantal jaar ook daar IPv6 terug aangezet wordt wanneer het wel nuttig/nodig blijkt.

Verwijderd @c-nan • 26 april 2021 19:09

Kijk, vroeger zou ik het inderdaad met je eens zijn en over het algemeen is het goed advies om dingen die je niet gebruikt, uit te schakelen. Maar IPv6 is gewoon niet een van die dingen. Zeker niet op Windows.

Microsoft zegt van niet:
https://docs.microsoft.co...configure-ipv6-in-windows
Important
Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function.
We recommend using Prefer IPv4 over IPv6 in prefix policies instead of disabling IPV6.
https://techcommunity.mic...to-care-about/ba-p/256251

steven166.sh @Verwijderd • 26 april 2021 11:05

Security en usability staan haaks op elkaar. Elke implementatie van protocollen kan vulnerabilities hebben, dus vanuit een security perspectief is het slim om protocollen en services uit te zetten als je het niet gebruikt.

Maar als ik die reactive van Microsoft zo lees hebben ze al hun componenten (naar mijn idee) onnodig afhankelijk gemaakt van IPv6.

the_stickie @Verwijderd • 26 april 2021 12:48

wat op zich helemaal niet betekent dat je op elke adapter ipv6 moet hebben. Wel dat het dom is om het met allerlei registry hacks (zoals toen rondgingen) uit het OS te proberen slopen.ik deel de menig dat de keuze meot gemaakt worden tussen design/mgmt en uitschakelen waar onnodig.

Verwijderd @the_stickie • 26 april 2021 19:17

De grap is dat die register hacks nog steeds nodig zijn. Als er een geldige reden zou zijn op IPv6 uit te schakelen (en ik heb er nog geen gehoord) dan is het nog steeds veel werk. En waarom? Het wordt er echt niet veiliger op.

Daarnaast gaan software bouwers er wel van uit dat alles standaard draait en zo wordt ook getest. Daarom raad Microsoft ook zo stellig af om het uit te schakelen. Een Exchange server kan bijvoorbeeld omvallen als ipv6 niet draait.

telenut @qless • 26 april 2021 08:45

tja, de pentester zei dat dit nodig was, dus men deed dit... Ik beheer die policy niet :-)
Maar IPv4 is nog lang niet weg dus.

BobV @telenut • 26 april 2021 09:22

Misschien wordt het dan eens tijd voor een andere pentester...

_Pussycat_ @BobV • 26 april 2021 09:57

Er zijn gevallen van apparaten waar de IPv6-stack kwetsbaarheden had. Door V4 en V6 aan te zetten vergroot je het potentiële aanvalsoppervlak, en V6 is gecompliceerder en minder uitontwikkeld dan V6. Ik begrijp de gedachte best het helemaal uit te zetten. Lokaal beter, maar globaal blijft het probleem.

telenut @BobV • 26 april 2021 10:54

Ja die mens heeft op een paar uur tijd hier domain admin rechten kunnen verwerven en die zijn ze nu aan het verafgoden op de één of andere manier.

Maar als je als eigen personeel gevaarlijke zaken gaat aankaarten roepen ze u op het matje omdat je dingen aan het doen bent die niet in uw jobomschrijving staan :-)

Nu, sinds kort mag ik toch al naar de security meetings, tis al iets

xbeam @telenut • 26 april 2021 11:40

This how the see you ;-)
https://youtu.be/3FcU09kZ5MM
En dit is hoe de pentester zijn producten en bedrijf verkoopt.
https://youtu.be/EDZK0gAqRbg

Waarschijnlijk verkoopt de pentester jou ook zoals op als op het eerste filmpje om zijn eigen positie te versterken.

[Reactie gewijzigd door xbeam op 22 juli 2024 13:29]

mysticyx @BobV • 26 april 2021 10:11

...is het geen goede security practice om iedere service die je niet gebruikt uit te zetten of volledig af te blocken op de firewall?

telenut @mysticyx • 26 april 2021 10:47

ergens heb je een punt. Maar diezelfde lapop nemen ze mee naar huis, op hotel... En dan doet die IPv6 het daar ook niet. Dus als ze daar dan geen IPv4 meer hebben, komen zij bij IT klagen... 'het werkt niet'.
Zoek jij maar uit waarom..

xbeam @telenut • 26 april 2021 11:37

Ik ben nog nooit een hotel tegengekomen waar ze geen ipv4 en wel ipv6 hadden. En ik heb wereldwijd veel hotels gezien.

Meeste hotelketens lopen juist ver achter wat betreft het netwerk en beveiliging. Allemaal kosten die niet ze direct kun door berekenen. Dus zo lang de WiFi maar redelijk werkt en zorgt voor negatieve reviews. Vinden ze het wel prima.

janbaarda @BugBoy • 26 april 2021 10:37

Domme vraag waarschijnlijk:
Is het mogelijk om achter een IPv6 modem een IPv4 LAN router te plaatsen?
Wat ik bedoel is een omzetting van 1 IPv6 adres naar meerdere IP4 adressen op een LAN.

equit1986 @janbaarda • 26 april 2021 11:00

common practice is WAN=IPv6 en LAN=IPv4.
Zowel zakelijk als prive.
Zo voldoe je prima, ook naar de toekomst toe, want niemand kan jouw INTERNE 10.xx of 192.168.xx op je LAN gebruiken. En omdat je naar buiten toe gewoon IPv6 compliant bent is er gewoon geen probleem.
Probleem zit puur en alleen aan de WAN-kant van het hele interwebz.

Dus websites, en diensten en WAN uplinks en dergelijke moeten gewoon allemaal IPv6 worden.
Alles wat je in je LAN hebt zitten, kan en mag gewoon nog steeds IPv4 zijn.

Dreamvoid @equit1986 • 26 april 2021 11:54

Dat is niet common practice hoor

IPv6 is standaard altijd WAN+LAN. Je zal toch enig werk moeten doen om NAT64 op je gateway in te richten en vervolgens IPv6 lokaal uit te zetten, bar weinig mensen doen dat.

Ik heb ook het idee dat je niet helemaal snapt hoe IPv6 werkt - je kan interne 10.xx of 192.168.xx adressen ook van buitenaf benaderen (portmapping), net zoals je met IPv6 een port open kan zetten in de firewall. Dat is qua security niet anders.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

equit1986 @Dreamvoid • 26 april 2021 15:37

Dat snap ik ook wel, maar we hebben t over t probleem met IPv4 adressen die op zouden zijn.
Ik zou echt never nooit niet mn apparaten rechtstreeks al dan niet via NAT aan het internet hangen via IPv6. Zelfs met firewalling waardoor je alleen inkomend verkeer via rebound terugkrijgt.

Dreamvoid @equit1986 • 26 april 2021 18:27

IPv6 heeft geen NAT, en NAT is minder veilig dan een firewall, dus ik snap dit niet zo?

MSalters

Politiek en recht

@janbaarda • 26 april 2021 14:51

Het zou wel kunnen via NAT, maar waarom zou je? Je krijgt van je ISP meestal een paar miljard IPv6 adressen. Het is niet alsof ze zeldzaam zijn, dat is het idee juist.

Dreamvoid @janbaarda • 26 april 2021 14:57

Wat ik bedoel is een omzetting van 1 IPv6 adres naar meerdere IP4 adressen op een LAN.

Meerdere adressen achter 1 IPv6 adres, zo werkt IPv6 niet helemaal - je krijgt van je provider niet 1 IPv6 adres zoals met IPv4, maar een /56 (de eerste 56 bits van een 128 bit adres). Vervolgens plakt je router voor elk lokaal netwerk er 8 bits aan vast (een /64), en die geeft hij die aan elke client die erom vraagt. Vervolgens plakt elke client daar zelf zijn eigen 64-bit device ID aan vast en voila: een 128-bit adres.

Is het mogelijk om achter een IPv6 modem een IPv4 LAN router te plaatsen?

In de praktijk hebben IPv6 modems zowel een IPv6 als IPv4 verbinding aan de internet kant, dus als je er een IPv4 router achter zet dan gebruik je simpelweg IPv6 helemaal niet. Kan prima.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

Maurits van Baerle @BugBoy • 26 april 2021 11:47

Hoezo voegt IPv6 complexiteit toe op een LAN? IPv6 is voor de meeste gevallen juist een stuk minder complex dan IPv4 omdat alles automatisch gaat. It just works. Geen gedoe met DHCP servers, conflicterende IP ranges (Oh, je gebruikt thuis 192.168.1.x en jouw werk ook? Dat levert flinke hoofdpijn op als een VPN wil opzetten), twee machines die allebei een dienst willen draaien op dezelfde poort, port forwards en gepruts met een NAT.

Het meest complexe is misschien dat je ergens iets open moet zetten in je IPv6 firewall, en zelfs dat is makkelijker dan een IPv4 port forward.

Mijn LAN thuis is Dual Stack IPv4+IPv6 (en op één device na praat alles IPv6 met elkaar) en het enige wat ik ooit heb hoeven configureren is het IPv4 gedeelte, IPv6 gaat vanzelf.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 13:29]

BugBoy @Maurits van Baerle • 26 april 2021 11:57

In de praktijk staat iPv4 ook altijd aan, dus dan komt IPv6 er bij. Omdat sommige verbinding soms via IPv4 lopen en soms via IPv6 is dat gewoon een extra dingetje dat het complexer maakt.

Toevallig kwam ik het laatst nog tegen. Ons bedrijf heeft een 100Mb/s verbinding en ik heb een 1Gb/s verbinding. Ik dacht dat ik al het verkeer over de VPN had getunneld en toch had ik een download van >20MB/sec. Dat zou niet moeten kunnen en toen ik het uitzocht bleek dat IPv6 niet getunneld werd en gewoon rechtstreeks ging. Had ik alleen IPv4 gehad, dan was het netjes getunneld.

Dreamvoid @BugBoy • 26 april 2021 14:22

Ja exact - dual stack is gewoon vervelend om te beheren, ik snap dat heel goed.

Dan hou je twee opties over
- je houdt de boel ouderwets op IPv4 (je clients kunnen dan alleen niet bij het IPv6 internet en vice versa)
- je richt NAT64 in op je gateway en maakt een IPv6 VLAN (en dan werken legacy applicaties met IPv4 literals niet meer)

Kiezen uit twee kwaden...

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

beerse @telenut • 26 april 2021 09:45

Juist om security redenen zou je het toch aan moeten zetten en vooral goed en netjes configureren en misschien ook monitiren. Als je het door de voordeur niet wilt gebruiken, dan zal je het daar actief en 2 kanten op moeten blokkeren.

Er zijn heel veel zaken voor security redenen uit gezet die onder water stiekem toch aan zijn gezet en via die route zijn misbruikt zonder dat het bekend was, "want het stond toch uit".

Verwijderd @beerse • 26 april 2021 10:10

Iets uitzetten omdat je het niet begrijpt is überhaupt een heel slecht idee.

BugBoy @Verwijderd • 26 april 2021 11:25

Iets gebruiken waar je geen verstand van hebt is wellicht een nog slechter idee. Het beste is natuurlijk om er verstand van te krijgen, maar dat is niet altijd even realistisch.

Verwijderd @BugBoy • 26 april 2021 19:19

Daarom, niet aankomen en gewoon standaard laten. Mensen met veel meer verstand hiervan hebben besloten om het standaard in te schakelen.

the_shadow @telenut • 26 april 2021 10:41

Om security: misschien, maar als je het hebt over een Windows infra, dan kan het daadwerkelijk voor problemen zorgen. Microsoft adviseert er tegen:

Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function.

We recommend using Prefer IPv4 over IPv6 in prefix policies instead of disabling IPV6.

ari3 @the_shadow • 26 april 2021 11:35

IPv6 is slechts een manier van adresseren en daarmee is er geen enkele reden om OS componenten te laten falen als IPv6 afwezig is. Ik zou wel eens onderbouwing willen zien waarom Microsoft het noodzakelijk acht om OS componenten afhankelijk te maken van IPv6.

Dat dit niet noodzakelijk is bewijst Linux en *BSD. Als je daar IPv6 uitschakelt levert dit op geen enkele manier problemen op.

Dreamvoid @ari3 • 26 april 2021 11:55

Jawel, het hele IPv6 internet is dan in 1 klap onbereikbaar.

Maurits van Baerle @the_shadow • 26 april 2021 14:46

Ik zit niet meer in die wereld maar heb wel eens gelezen dat Microsoft Support je niet verder wil helpen met je support ticket totdat je IPv6 weer aan zet. Waarschijnlijk omdat dat uitzetten de oorzaak kan zijn van allerlei lastig te herleiden problemen. Bijvoorbeeld omdat een proces het adres ::1 niet meer kan bereiken en denkt dat het netwerk uitgeschakeld is.

Bij Facebook hebben ze het opgelost door alle developers alleen maar een IPv6 verbinding te geven. Ze moeten zorgen dat het werkt via IPv6, eventuele vertaling naar IPv4 gebeurt aan het edge network en hebben developers niets mee te maken. Wel zo makkelijk en scheelt vage problemen en foutmeldingen.

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 13:29]

mkools24 @telenut • 26 april 2021 09:43

Binnen een bedrijfsnetwerk heb je ook geen IPv6 nodig, aangezien je toch interne IP ranges gebruikt. IPv6 zou het dan enkel nodeloos ingewikkeld maken. Een nummertje onthouden net als bij v4 wordt toch een stuk lastiger.

Dat is naar mijn idee ook nog altijd het probleem van IPv6. De learning curve. Het is toch een stuk chaotischer en lastiger te begrijpen dan v4. Ik bedoel of je DNS nu 1.1.1.1 is of 2606:4700:4700::1111, die laatste is toch een stuk lastiger te onthouden. IPv6 is gewoon niet zo gebruikersvriendelijk.

Sfynx @mkools24 • 26 april 2021 10:42

Binnen een bedrijfsnetwerk heb je ook geen IPv6 nodig, aangezien je toch interne IP ranges gebruikt. IPv6 zou het dan enkel nodeloos ingewikkeld maken. Een nummertje onthouden net als bij v4 wordt toch een stuk lastiger.

Dat is naar mijn idee ook nog altijd het probleem van IPv6. De learning curve. Het is toch een stuk chaotischer en lastiger te begrijpen dan v4. Ik bedoel of je DNS nu 1.1.1.1 is of 2606:4700:4700::1111, die laatste is toch een stuk lastiger te onthouden. IPv6 is gewoon niet zo gebruikersvriendelijk.

Dankzij DNS hoef je die nummertjes niet te onthouden, dat vind ik dus niet echt een argument tegen een andere adressering.

En intern een andere methode van adressering gebruiken t.o.v. naar buiten komt juist als complexer op mij over, zeker als dingen in je netwerk soms ook van buiten bereikbaar moeten zijn. Dingen als NAT traversal voor sommige services, je interne DNS server die speciaal voor je interne netwerk nu IPv4 addressen moet teruggeven, DHCP pools (dan is SLAAC toch een stuk handiger om iets een adres te geven?), etc.

Ik ze het vooral als een irrationele weerstand tegen verandering omdat iemand al een heel leven lang met iets anders heeft gewerkt.

mkools24 @Sfynx • 26 april 2021 10:59

Dat laatste geldt ook zeker, maar het is soms toch handig om IP adressen te kunnen onthouden. Als DNS bijv een keer niet werkt. Als ik op m'n werk kijk gebruik ik regelmatig IPs en niet altijd DNS. Ik ga geen DNS entry maken voor ieder systeem waar ik vrijwel nooit verbinding mee maak. Zoals bijv een ILO of IDRAC controller en zo zijn er meer voorbeelden.

Maar tuurlijk, IPv4 werkt en veel software/games werken enkel met IPv4 en er wordt gewoon steeds meer op NAT gezet en IPs gerecycled, dus waarom zou je overstappen naar IPv6 (dit is cynisch bedoelt).

Het blijft lastig dat IPv6 niet backwards compatibel is. Je zegt nou eenmaal niet even ok jongens vanaf volgende week dinsdag enkel nog IPv6 voor heel het internet. Als 6 nou met 4 kon praten was dat al een heel stuk makkelijker geweest maar imho is IPv6 ontwikkelt puur met de gedachte dat we nooit meer tegen een limit qua adressen aan zullen lopen. Ik blijf er toch bij dat met de rest te weinig rekening is gehouden.

Verwijderd @mkools24 • 26 april 2021 10:08

Binnen een bedrijfsnetwerk is IPv6 voor veel zaken essentieel. Om maar even een dienst te noemen: Microsoft Exchange werkt niet als je IPv6 uitschakelt en alle software van Microsoft wordt ook al sinds 2008 niet meer getest zonder IPv6. Als jij dus tegen problemen aanloopt mag je eerst alles overal veel inschakelen voor Microsoft support je gaat helpen.

mkools24 @Verwijderd • 26 april 2021 10:16

Het staat standaard aan inderdaad wanneer je Windows Server installeert maar je kunt het gewoon niet geconfigureerd laten. Als je het inderdaad bewust gaat disablen of eruit sloopt heb je inderdaad kans dat zaken niet meer werken. Maar het is tegenwoordig ook van weinig toegevoegde waarde om het bewust uit te schakelen.

BugBoy @mkools24 • 26 april 2021 10:09

Helemaal met je eens. Daarbij zie je dat er soms firewall regels zijn die op basis van IP adressen werken. Als dan blijkt dat je er soms niet bij komt, omdat dat systeem ineens IPv6 gebruikt, dan kan je er ineens niet meer bij. Erg onhandig en helemaal eens dat die IPv6 adressen niet te onthouden zijn.

Dreamvoid @BugBoy • 26 april 2021 11:56

Er bestaat zoiets als DNS, misschien zou je daar eens over moeten lezen

BugBoy @Dreamvoid • 26 april 2021 12:20

Het ligt echt niet zozeer aan mijn eigen kennis. Het merendeel van de firewalls werkt helaas op basis van IP adressen en kan je niet op basis van een DNS-naam inrichten... Azure SQL kan volgens mij niet eens overweg met IPv6 adressen (althans in de documentatie is er niets over te vinden). In theorie is dat IPv6 allemaal heel mooi, maar in de praktijk heeft het nog steeds veel issues.

[Reactie gewijzigd door BugBoy op 22 juli 2024 13:29]

MSalters

Politiek en recht

@BugBoy • 26 april 2021 14:54

Azure (cloud service van Microsoft) zou niet overweg kunnen met IPv6? Als je nou had gezegd dat het niet met IPv4 overweg kon, dan had dat nog logisch geklonken. Azure is veel nieuwer dan IPv6.

Sowieso, vermoedelijk zal de hele Azure stack meestal gebruik maken van hostnames.

BugBoy @MSalters • 26 april 2021 15:14

Het grootste deel van Azure is tegenwoordig redelijk IPv6 compatibel, maar IPv6 voor virtual networking is pas sinds vorig jaar GA (link).

Ik had het in mijn post specifiek over Azure SQL firewall en die kan inderdaad niet overweg met IPv6. (link, zoek even op IPv6). Het is dus niet mogelijk om je Azure SQL database te whitelisten voor een specifiek IPv6 adres.

Dit is enkel een voorbeeld. Als je naar IPv6 gaat dan zijn er toch vaak wel een paar applicaties die dwars liggen. Ik zie het ook in code-bases van producten waar ik af en toe wel aan werk. Dan zie je gewoon in de code dat het IPv4 only is (bijvoorbeeld IP adres in een long stoppen) en als het al IPv6 ondersteund, dan is dat vaak in theorie omdat het nooit getest is.

[Reactie gewijzigd door BugBoy op 22 juli 2024 13:29]

Dreamvoid @BugBoy • 27 april 2021 10:50

Het is dus niet mogelijk om je Azure SQL database te whitelisten voor een specifiek IPv6 adres.

Dat is eerlijk gezegd niet zo heel nuttig, aangezien bijna alle IPv6 clients zullen verbinden met hun tijdelijke (24h) adres, dus dan blijf je bezig met whitelisten

r2504 @telenut • 26 april 2021 09:04

Volgens mij werken er een aantal dingen niet meer in Windows Server als je IPv6 uitzet.

Tadango @r2504 • 26 april 2021 09:10

Ben benieuwd wat. Ik heb IPv6 hier ook uit staan en merk geen problemen.

Verwijderd @Tadango • 26 april 2021 10:07

From Microsoft's perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows Vista, Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail—could be.

Mastofun @Tadango • 26 april 2021 09:16

Zover ik weet doen enkel domain controllers daar lastig over sinds die proberen te communiceren over ipv6 kwa replicatie etc. Maar zelf ook nog niet in de praktijk last van gehad.

the_shadow @Mastofun • 26 april 2021 10:42

Uit m'n hoofd gaat DirectAccess (client, server of beiden) ook over z'n nek op het moment dat je het uit zet.

jaenster

@Menesis • 26 april 2021 09:56

Het zal een niet populaire mening vanuit mij zijn, maar ik ben van mening dat ipv6 een mislukt project is waar we afstand van moeten doen. IPv4 raakt (is) op, en dat is een probleem maar IPv6 is niet de oplossing.

IPv6 is gigantisch, voor elke zandkorrel een address? Mooi. Vroeger merkte we al dat IRC en gameservers niet op ipv6 willen zitten omdat ze dan mensen niet meer fatsoenlijk konden bannen, gezien iemand address eindeloos kon veranderen. Je merkt dat bedrijven er niet aan willen omdat ze vertrouwen op een NAT en niet willen dat elke machine een eigen public address heeft (ja firewalls bestaan, maar waarom zou je iets beveiligen als je het ook gewoon niet open kan zetten). Daarnaast weten bijzonder weinig ICTers er echt wat vanaf, met IPv6 Router, Neighbour Addressen en al.

IPv6 is simpelweg een te grote stap, en er zijn niet veel mensen die echt die stap willen zetten zolang ipv4 nog afdoende is (wat zichzelf instand houd).

The Zep Man

Politiek en recht
Verenigde staten

@jaenster • 26 april 2021 10:50

Het zal een niet populaire mening vanuit mij zijn, maar ik ben van mening dat ipv6 een mislukt project is waar we afstand van moeten doen. IPv4 raakt (is) op, en dat is een probleem maar IPv6 is niet de oplossing.

IPv6 is gigantisch, voor elke zandkorrel een address? Mooi.

Dus dat is wel een oplossing, want er zijn voldoende adressen met IPv6.

Vroeger merkte we al dat IRC en gameservers niet op ipv6 willen zitten omdat ze dan mensen niet meer fatsoenlijk konden bannen, gezien iemand address eindeloos kon veranderen.

Dan ban je een IPv6 /48 range. Dat heeft dezelfde impact als nu een enkel IPv4 /32 adres bannen, met dezelfde reikwijdte en risico's.

Je merkt dat bedrijven er niet aan willen omdat ze vertrouwen op een NAT en niet willen dat elke machine een eigen public address heeft (ja firewalls bestaan, maar waarom zou je iets beveiligen als je het ook gewoon niet open kan zetten).

Unique local addresses zijn een manier om dit te bewerkstelligen. Verder zijn er standaarden om een vertaalslag te doen tussen unique local addresses en global addresses. Dat is handig voor situaties waarin je geen zekerheid hebt over de levensduur van je publieke IPv6 adressen (bijvoorbeeld omdat je wel eens van provider wisselt).

Daarnaast weten bijzonder weinig ICTers er echt wat vanaf, met IPv6 Router, Neighbour Addressen en al.

Ik denk dat wij hier bij de bron komen. Het lijkt alsof met wat je schrijft, dat je zelf er ook niet al te veel vanaf weet. Onwetendheid maakt een techniek nog niet mislukt.

IPv6 is simpelweg een te grote stap, en er zijn niet veel mensen die echt die stap willen zetten zolang ipv4 nog afdoende is (wat zichzelf instand houd).

Behalve dat de backbone van het internet allang op IPv6 draait. Verder zorgt dual stack ervoor dat men niet exclusief over hoeft te schakelen.

IPv6 gaat niet weg. IPv4 ook niet, maar dat zal minder lang overleven dan IPv6.

Zelf heb ik al aardig wat ervaring met IPv6. Als je ervaren bent met IPv4, dan heb je de belangrijkste zaken van IPv6 na een middagje zelfstudie door. Ervaring over waarom je bijvoorbeeld bepaalde zaken moet vermijden (zoals NAT6) en uitzonderingen daarop krijg je mettertijd.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:29]

Dreamvoid @The Zep Man • 26 april 2021 14:28

Dan ban je een IPv6 /48 range

Doe maar een /64, want de meeste consumenten krijgen maar een /56 of /60 (of een /64, met mobiel internet), als je complete /48's gaat bannen dan blokkeer je met een beetje pech een hele wijk

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

The Zep Man

Politiek en recht
Verenigde staten

@Dreamvoid • 26 april 2021 20:50

Sommige IPv6 verbindingen krijgen een /48 range, sommige IPv4 verbindingen krijgen een /32 adres.

Soms delen meerdere verbindingen een IPv6 /48 range, soms delen meerdere verbindingen een enkel IPv4 /32 adres.

Zie je welk punt ik probeer te maken met "met dezelfde reikwijdte en risico's"?

Aan het einde van de dag is IPv6 niet vreselijk vernieuwend ten opzichte van IPv4. Voor bijna alles is een equivalent tussen de protocollen.

freaky @jaenster • 26 april 2021 10:46

Je argumenten dragen weinig kracht ben ik bang.

IPv4 was voor IRC ook lastig te blocken. Verbrak vroeger gewoon m'n verbinding, kreeg nieuw random IP en was weer binnen. Een heel /64 blok toevoegen (of groter) of heel de IP reeks van de ISP, lood om oud ijzer.

Dat ITers niet bij willen scholen, tja... Moeilijk is het niet, laks wel. Pech voor hun.

Mijn grootste probleem is dat je laksheid lijkt te promoten hier. Je vind het lastig, dus moet het maar dood. Dan heb je direct het grote probleem met de trage adoptie te pakken.

Feit dat je hiervoor +3 gemod wordt zegt genoeg in mijn nederige mening. ITers zijn laks.

Adoptie stijgt wel degelijk overigens: https://www.google.com/intl/en/ipv6/statistics.html

Draai al 6 jaar dual-stack denk ik. Functioneert prima als je even wat moeite doet om wat zaken te begrijpen. Als je dat als ITer niet wilt, zou je mijns inziens een andere baan moeten zoeken. Het is echt wel tijd om dit te begrijpen en al wel even ook.

equit1986 @freaky • 26 april 2021 10:55

probleem voor ipv6 is dan ook niet LAN.
Waarom zou je in je LAN ipv6 gebruiken als je met ipv4 ruim afdoende af kunt?
Voor WAN is het ander verhaal.
Maar zelfs in een IPSEC met honderden sites kan je er voor kiezen om alleen je WAN-uplink te voorzien van IPv6 en de rest intern zn eigen ipv4 subnet te geven.
Waarom moeilijk doen als t ook makkelijk kan?

Kev-in @equit1986 • 26 april 2021 11:02

Je onderschrijft het punt wat @freaky probeert te maken wel heel mooi

equit1986 @Kev-in • 26 april 2021 11:04

Ja toch ;-)

Dreamvoid @equit1986 • 26 april 2021 12:39

Waarom zou je in je LAN ipv6 gebruiken als je met ipv4 ruim afdoende af kunt?

IPv4 is niet forward compatible, als je LAN niet IPv6 is, kunnen je clients niet bij IPv6 servers.

Natuurlijk kan je NAT64 doen op je router en vervolgens v6 op het LAN uitzetten, maar waarom zou je het complexer maken dan nodig? In de regel doe je ofwel dual stack op WAN en LAN, ofwel v6 op WAN en v4+v6 op LAN (=NAT64).

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

The Zep Man

Politiek en recht
Verenigde staten

@equit1986 • 26 april 2021 13:54

probleem voor ipv6 is dan ook niet LAN.
Waarom zou je in je LAN ipv6 gebruiken als je met ipv4 ruim afdoende af kunt?

Omdat je niet zonder meer IPv6-only sites kan bereiken met IPv4. Nu is dat nog geen probleem. In de toekomst wel.

Voor WAN is het ander verhaal.
Maar zelfs in een IPSEC met honderden sites kan je er voor kiezen om alleen je WAN-uplink te voorzien van IPv6 en de rest intern zn eigen ipv4 subnet te geven.
Waarom moeilijk doen als t ook makkelijk kan?

Omdat dit erg moeilijk is.

IPv6 heeft juist veel zaken ingebouwd waardoor er minder nagedacht hoeft te worden over het inrichten van simpele netwerken. Zo zijn er ISP's in Nederland die standaard een /48 range uitgeven, en de klant van een modem/router voorzien die voor IPv6 geconfigureerd is. Klanten merken niet eens dat systemen in het eigen netwerk al IPv6 praten. Dat is het mooie van dual stack.

[Reactie gewijzigd door The Zep Man op 22 juli 2024 13:29]

Alex3 @equit1986 • 26 april 2021 23:20

Dan moet je alsnog routeren, wat niet nodig is als je subnet IPv6 is. Bovendien hebben datapakketten verschillende opbouw onder IPv4 en IPv6. Dat maakt ze incompatibel.

Sfynx @jaenster • 26 april 2021 10:31

IPv6 is simpelweg een te grote stap

Je wil dit soort migraties nog vaker moeten doen omdat de adressen nog een keer opraken?
Verder kan bij IPv6 een firewall inkomend verkeer gewoon standaard dicht staan op een gateway tenzij het onderdeel is van een sessie die naar buiten gedaan is (stateful firewall), waarna je gaten schiet waar nodig, eigenlijk precies zoals nu, maar dan zonder alle hacks om bepaalde interne services over NAT werkend te krijgen (denk aan VoiP, gaming, etc.)

gnu @jaenster • 26 april 2021 10:36

De vraag is wel, wat dan?

De uitrol van ipv6 gaat dermate langzaam (de eerste draft is van 1998 en in 2011 was er al een grote test dag) dat nu nog een alternatief bedenken, implementeren en uitrollen veel meer problemen gaat opleveren dan het overstappen naar ipv6.

Daarnaast is het mensen/machines toegang bieden (of blokkeren) op basis van een ip adres sowieso volledig achterhaald. Iemand die wil kan makkelijk 100en ipv4 adressen gebruiken om IRC servers het leven beu te maken.

En omgekeerd, als NAT je beveiliging is voor de buitenwereld dan kiezen de meeste huidige implementaties op routers voor exact dezelfde beveiliging op ipv6, dat alleen connecties die naar buiten worden opgezet naar binnen worden gerouteerd.

Dreamvoid @jaenster • 26 april 2021 12:01

Ik denk dat je nog niet helemaal begrijpt hoe IPv6 werkt. Bedrijven willen er vaak nog niet aan omdat het complex is om twee stacks parallel te beheren, dus ze wachten tot alles IPv6-only kan. Maar letterlijk geen enkele netwerkbeheerder heeft een probleem met global addressing, en een systeembeheerder die bang is voor firewalls, die heeft waarschijnlijk niet lang zijn baan.

Maar wat je er ook van vindt, IPv6 komt onvermijdelijk je kant op, vroeg of laat. Er is geen alternatief, en een voor een stapt iedereen over omdat de kosten/complexiteit van IPv4 in de lucht houden (NAT achter NAT achter NAT) te hoog worden, en niemand gaat ooit terug, ook omdat het backwards compatible is.

We zitten in de meeste landen om ons heen (Duitsland, Belgie, Frankrijk) al over de 50%. Er waren ook mensen die IPX/SPX voldoende vonden, en uiteindelijk was dat ook een aflopende zaak.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

MSalters

Politiek en recht

@jaenster • 26 april 2021 14:57

Dus jouw idee is dat we een IPv7 gaan maken?

En dan mag de hele wereld triple-stack gaan draaien, met IPv4, IPv6 én IPv7.

En dan hebben we in plaats van de keuze tussen dual-stack prefer-IPv4 en dual-stack prefer-IPv6 de keuze tussen 6 verschillende volgordes. (3!).

Wat win je daar in hemelsnaam mee?

NMe @jaenster • 26 april 2021 15:21

Wat interesseert het nou hoe groot de stap is? Niemand behalve IT-ers en misschien gamers zien ooit IP-adressen en het is niet alsof het voor die groep mensen uitmaakt welk adres ze moeten copy/pasten... En ongeacht waardoor je IPv4 vervangt, er moet sowieso hardware vervangen worden. Dan kun je het maar beter in één keer goed doen, anders zijn we over 10 jaar wéér de lul.

Sowieso kunnen IPv6-adressen vaak juist korter. 127.0.0.1 is in IPv6 ::1.

RJG-223 @NMe • 26 april 2021 17:29

Sowieso kunnen IPv6-adressen vaak juist korter. 127.0.0.1 is in IPv6 ::1.

...waarbij hij ongeveer het enige voorbeeld geeft van een IPv4 adres dat in de praktijk gebruikt wordt, waarbij het IPv6 equivalent inderdaad korter is...

In letterlijk (bijna?) alle andere gevallen is een IPv6 adres in de praktijk langer dan een IPv4 adres.

Alex3 @jaenster • 26 april 2021 23:16

Vroeger merkte we al dat IRC en gameservers niet op ipv6 willen zitten omdat ze dan mensen niet meer fatsoenlijk konden bannen, gezien iemand address eindeloos kon veranderen.

Het is juist omgekeerd. Door het gebrek aan IPv4-adressen hebben veel mensen geen vast IP-adres, waardoor het lastig is ze te bannen.

rippiedoos @Menesis • 26 april 2021 08:18

In zoverre ik weet is XS4ALL (en Freedom Internet zoals hieronder terecht aangegeven) de enige Nederlands (vaste) internetprovider die ECHT IPv6 doet. De rest (Ziggo,KPN, T-Molbile en een hoop partijen) doen wel een hoop maar nog niet zo breed als XS4ALL. Daarnaast doen nog lang niet alle aanbiedende partijen (lees websites) al IPv6. Beetje kip-ei-verhaal.

[Reactie gewijzigd door rippiedoos op 22 juli 2024 13:29]

cnieuweboer @rippiedoos • 26 april 2021 08:58

Wat is het verschil tussen echt en niet echt IPv6?

rippiedoos @cnieuweboer • 26 april 2021 09:02

Dat sommige aansluitingen en/of abonnementen van een provider het wel doen en sommige niet. Bij Ziggo is het volgens mij nog steeds zo dat afhankelijk van je modem en je abonnement je wel IPv6 hebt. Maar als je een oudere modem hebt (die wel gewoon IPv6 kan overigens...) je geen IPv6-adres krijgt. Van KPN weet ik het niet maar ik kan mij goed voorstellen dat een Expriabox v8 het (nog) niet doet.

Van de website van KPN zelf:

Op dit moment zijn de KPN Experia Box V8, V9, V10 en V10a al geschikt voor IPv6. De V9 en de V10 zijn voor IPv6 ook al in gebruik. De verwachting is dat vanaf het najaar ook de V8 en de V10a in gebruik worden genomen. Je leest hier een update zodra er nieuws is.

[Reactie gewijzigd door rippiedoos op 22 juli 2024 13:29]

borft @rippiedoos • 26 april 2021 09:45

Het netwerk van KPN kan het dus wel "echt" (native / dualstack). Dat betekent dat, in tegenstelling tot Ziggo, je met een beetje moeite het zelf kunt fixen.

Waterfietser @borft • 26 april 2021 12:48

Misschien een domme vraag van mij, waarom je op een "thuisaansluiting" ipv6 zou willen hebben? om bij te dragen aan de transitie naar ipv6, of om te oefenen?, (en dus niet wachten tot de provider dat voor je doet?) of welk voordeel heeft een ipv6 adres praktisch nog meer?

OT: Dat een overheid >175 miljoen ipv4 adressen "nodig" heeft; dat zou juist een kandidaat zijn om om te zetten naar ipv6 misschien...

Dreamvoid @Waterfietser • 26 april 2021 14:32

Grootste voordeel is dat je naar anderen met een IPv6 adres kan verbinden. Meer en meer kan je met een thuisverbinding alleen hosten (game servers etc) via IPv6, dus als je zelf geen IPv6 hebt kan je niet bij de game server van je vrienden, etc.

Maar de grote push komt niet zozeer vanwege de voordelen voor jou als consument, het zijn de providers die 1 voor 1 naar IPv6 willen, want die raken door hun IPv4 voorraad heen. Dat is niet vanwege enthousiaste consumenten die de straat op gaan met spandoeken, het is uiteindelijk gewoon een technisch/financieel netwerktechnologie issue.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

Alex3 @Waterfietser • 26 april 2021 22:43

Er zijn meer aardbewoners dan IPv4-adressen, en veel mensen hebben een computer thuis en op het werk en een mobiele telefoon, en als iedereen op elkaar wacht gebeurt er niets. Met alleen IPv4 kun je b.v. niet communiceren met iemand met alleen IPv6, zoals o.a. veel Aziaten.

Waterfietser @Alex3 • 26 april 2021 22:48

Maar waarom moet iedere aard bewoner een eigen (publiek) uniek ip adres hebben?

Alex3 @Waterfietser • 26 april 2021 22:54

Anders kun je geen servers draaien.

Waterfietser @Alex3 • 27 april 2021 13:10

Je kan toch prima op ipv4 een server draaien?

Alex3 @Waterfietser • 27 april 2021 14:17

Niet als je achter CGNAT zit.

LeNNy

@cnieuweboer • 26 april 2021 09:08

Echte (native) IPv6 is dat je internet router een blok IP’s van je ISP krijgt, zonder dat daar andere technieken voor nodig zijn.

Niet "echte" IPv6 is dat veel ISP’s bieden de mogelijkheid om tunneling technieken te gebruiken. De meest populaire is 6RD. Op die manier kunnen ze toch IPv6 aanbieden. IPv6 wordt dan als payload in een IPv4 frame gestopt (6in4).

Wellicht helpt mijn uitleg:
https://blog.zuthof.nl/20...2-ipv6-at-home-using-6rd/

[Reactie gewijzigd door LeNNy op 22 juli 2024 13:29]

Dreamvoid @LeNNy • 26 april 2021 12:45

Wordt 6rd nog veel gebruikt tegenwoordig? Meestal doen providers het andersom: IPv6 netwerk, met IPv4 eroverheen getunneld (DS-Lite) of translated (NAT64).

Cybertinus994 @cnieuweboer • 26 april 2021 09:07

Bij een beetje provider krijg je een /48 (of soms een /56) ip range. Daarmee kan je meerdere netwerken maken bij je thuis. Een netwerk bij IPv6 moet namelijk altijd minstens een /64 zijn, anders werkt SLAAC (om automatisch ip adressen toe te wijzen aan devices) niet meer.
Wat “niet echte” ipv6 is, en dit doet Ziggo volgens mij, is dat je 1 /128 krijgt, wat dus 1 adres is. En dan moet je dus weer gaan natten enzo tussen private ipv6 space (ja, ipv6 heeft ook gewoon private space) en dat ene publieke adres. En dat probleem was nou net opgelost doordat de totale ip space van ipv6 zo significant veel groter is dat natting niet meer nodig is.

cnieuweboer @Cybertinus994 • 26 april 2021 09:25

Nee dat doet Ziggo niet, ook bij Ziggo krijg je minimaal een normaal /64 adres. Maar verder wel een goed antwoord, jou antwoord is het eerste wat daadwerkelijk niet-echt IPv6 is.

Cybertinus994 @cnieuweboer • 26 april 2021 09:34

Ok, dan heeft Ziggo dat ondertussen aangepast. Mooi! Misschien dat dit nog een verschil is tussen fUPC en fZiggo gebieden, maar dat weet ik niet zeker. Zelf heb ik nooit internet via coax gehad, altijd DSL, nu wachtend op fiber

Dreamvoid @cnieuweboer • 26 april 2021 12:46

Ziggo geeft elke klant een /56 toch?

Tremere @cnieuweboer • 26 april 2021 09:02

"niet-echt" IPv6 loopt via een tunnel van (vaak) een externe partij. "echt" IPv6 wordt door de provider aangeboden en delegeert een IPv6 prefix naar de modem/router.

dacoon @rippiedoos • 26 april 2021 08:24

Freedom levert ook "echt" IPv6 (typte hij vanaf zijn eigen /48 IPv6 reeks).

Marchel @rippiedoos • 26 april 2021 09:09

Interconnect Internet Services is ook een ISP die echt IPv6 doet over eigen netwerk in Den Bosch en Eindhoven

kaaas @rippiedoos • 26 april 2021 09:41

Ik krijg van kpn een /48

Verwijderd @Menesis • 26 april 2021 08:46

De acceptatie van IPv6 is matig.

Veel sites klagen "er zijn geen gebruikers.
De gebruikers klagen dat hun ISP het niet aanbied.
De ISP roept "er zijn geen diensten"

Wordt wel steeds beter, maar ook mijn ISP vraag ik hier al 20 jaar om, en het lijkt ze maar niet te lukken.
De druk vanuit de instanties als RIPE is gewoon te weinig helaas.

dmantione @Verwijderd • 26 april 2021 09:51

"Er zijn geen diensten" is tegenwoordig geen argument meer, omdat alle grote jongens direct over ipv6 gaan zodra iemand v6 heeft. En Google, Youtube, Netflix, Facebook e.d. zijn een flink deel van het verkeer. Ook Tweakers gaat tegenwoordig gewoon over v6.

Jarenlang waren de webmasters de slechterikken, maar nu zijn het vooral de internetaanbieders.

Snow_King

@dmantione • 26 april 2021 10:22

Exact. In mijn huis met Ziggo is het meerendeel (70%!) van ons verkeer IPv6. Dit tel ik op mijn Linux router.

Netflix, Youtube, Facebook, allemaal diensten die wij consumeren met 2 volwassenen in huis. Hierdoor is ons verkeer voor het grootste deel IPv6.

Verwijderd @Snow_King • 26 april 2021 12:58

Linux router, impliceert dat je het modem in bridge hebt staan. Heb je dan een zakelijke lijn? Want particulieren kunnen geen bridge met ipv6 krijgen 🥴

Dreamvoid @Verwijderd • 26 april 2021 14:38

Je hebt toch geen bridge nodig? Gewoon een router achter je Ziggo box en prefix delegation lijkt me?

Ziggo box krijgt de /56 prefix van upstream, de tweede router vraagt en krijgt een /64 prefix van de Ziggo box, en de clients zitten daarachter. Tenminste, ik heb geen Ziggo maar zo gaat het meestal.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

Verwijderd @Dreamvoid • 26 april 2021 14:40

Ik wil mijn IPv4 ook graag op de router, ivm VPN etc.

En dan moet je dus in bridge, en dan kun je om een vage reden alleen zakelijk IPv6 krijgen en particulier niet...

Snow_King

@Verwijderd • 28 april 2021 08:59

Ik heb een Linux 'router' in bridge modus achter mijn Ziggo connectbox. Deze zit tussen mijn Ziggo router en switch.

Hier draai ik zelf DHCP, maar ook kan met ip(6)tables al het verkeer inzien en filteren wat naar internet toe gaat.

Zo kan ik ook IPv4 vs IPv6 tellen.

Dreamvoid @Verwijderd • 26 april 2021 12:51

Probleem is dat er pas actie wordt ondernomen bij providers als ze daadwerkelijk in de knel komen met hun IPv4 pool, niemand wil zijn netwerk omgooien als het niet nodig is - en dat is ook begrijpelijk. Maar dat is inmiddels nu wel het geval, je ziet dat de mobiele providers een voor een de CG-NAT volumes te groot vinden worden (en al die session logs) en de boel overzetten, en de vaste lijn providers als Ziggo en KPN ook.

Keypunchie @Menesis • 26 april 2021 09:16

Heel veel internetproviders ondersteunen het niet in Nederland.

Zij ervaren ook niet echt een prikkel om
over te stappen. Het punt is dat er wel kosten zijn te maken, maar dat de winst bij contentproviders (geen kosten voor ipv4) komt te liggen.

Soms denk ik wel eens: de beste manier om IPv6 gedaan te krijgen is voor een content-provider om zeer attractieve content IPv6-only te maken (denk Netflix of Facebook). Alleen die partijen verliezen daarmee bereik, dus dat is onwaarschijnlijk dat ze het doen, tenzij het omslagpunt ipv4/ipv6 dichtbij is. (Als 80% ipv6 capable is, dan kantje overwegen om ipv4 als generieke contentprovider achter je te laten, als kostenbesparing)

Laatste keer dat ik dat checkte was ongeveer 30% van het verkeer IPv6 .

[Reactie gewijzigd door Keypunchie op 22 juli 2024 13:29]

Verwijderd @Keypunchie • 26 april 2021 09:57

Leuk als de content partijen dat doen, maar dat betekend dat je mensen afsluit.
In de tijd van Sixxs was ik altijd netjes op IPv6 online, maar die zijn helaas gestopt.
Sinds dien is het hopen dat Ziggo ooit het licht gaat zien (tegen beter weten in) of dat er een keer een concurrent komt met een werkbare verbinding.

(Ja, ziggo geeft het je, in routed mode, sommige mensen willen bridgemode)

Dreamvoid @Keypunchie • 26 april 2021 12:53

De prikkel bij de internet providers is dat hun IPv4 pool op raakt, als dat gebeurt dan moeten ze wel - en dat zie je nu gebeuren.

Bovendien, ironisch gezien, hoe langer je wacht met de IPv6 transitie, hoe makkelijker hij wordt: anderen hebben dan alle bugs al uit de software gehaald, elk jaar zijn er minder legacy apparaten in omloop, etc.

Keypunchie @Dreamvoid • 26 april 2021 13:01

De prikkel bij de internet providers is dat hun IPv4 pool op raakt, als dat gebeurt dan moeten ze wel - en dat zie je nu gebeuren.

Of ze gaan Carrier-Grade Nat toepassen: https://en.wikipedia.org/wiki/Carrier-grade_NAT

Mijn analyse content-provider vs. internet-provider is maar een deelanalyse. De kern van het probleem is dit:

Het gebrek aan IPv4-adressen is hoofdzakelijk alleen ook maar een probleem voor *nieuwkomers* op de content-providing markt. Bestaande partijen hebben al IPv4 en alle investeringen daarvoor gedaan.

Voor iemand die nieuw komt, is IPv4-gebrek een 'barrier to entry'. Maar goed, dan tast men wat dieper in de buidel en is het probleem opgelost.

Degenen die dat niet kunnen, die redden het niet tot de markt, hun business case is gewoon niet rendabel.

Maar eigenlijk is er vanuit niemand een prikkel om die business case *wel* rendabel te maken. Normaal gesproken komt dat soort regulatie vanuit overheden, maar die stimuleren nu op zijn hoogst dual-stack of eisen IPv6-readyness van leveranciers.

Van wat ik heb begrepen zie je IPv6-only dienstenaanbieders wel in plekken waar het *echt* op is, zoals Azie. In Europa ken ik geen enkele serieuze.

Hier is trouwens de Google-statistieken over IPv6 adoptie: https://www.google.com/intl/en/ipv6/statistics.html

(grappig is dat je zeer duidelijk ziet dat de pandemie de 'piekerigheid' van de grafiek heeft doen afnemen,middels thuiswerken. Thuis heeft men vaker IPv6 dan op bedrijfsnetwerken, waar de IT-afdeling niet die investering in het netwerk doet. Voor maart 2020 zie je heel duidelijk 'weekend'-effecten, die na maart 2020 beduidend minder zijn. Voorheen zie je dat effect alleen in de kerstperiode.)

[Reactie gewijzigd door Keypunchie op 22 juli 2024 13:29]

Dreamvoid @Keypunchie • 26 april 2021 13:07

CG-NAT doen de mobiele providers al dertig jaar, en die willen er vanaf (die zitten zelf ook middenin de IPv6 transitie). Je moet gigantische, en steeds groeiende, hoeveelheden verkeer NATten (=investeren in extra servercapaciteit), plus dat je als provider immense hoeveelheden session logs moet gaan bijhouden wie er op welk moment achter welk IP adres/port combinatie zat, voor abuse/etc. Bovendien is het voor 1 telefoon nog wel te doen om per-user honderd poorten te reserveren op je CG-NAT server, maar voor een beetje actief huishouden dat makkelijk 1000+ open sessies heeft gaat je verbindingskwaliteit hollend achteruit.

Op dat moment zeg je als provider eerder, als we toch bakken geld uit gaan geven, doe dan maar direct IPv6, dan moet je nog steeds je overgebleven IPv4 verkeer NATten, maar dan is het tenminste een aflopend probleem ipv een groeiend probleem.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

Keypunchie @Dreamvoid • 26 april 2021 13:14

Dat ze er van af willen klopt wel, maar dat kan pas als 80%+ (natte vinger) van de content op IPv6 zit.

Dus je moet voorlopig als provider *altijd* in je IPv4 investeren, ongeacht...

Een goeie IPv6-stack ernaast levert vooral extra kosten op.

[Reactie gewijzigd door Keypunchie op 22 juli 2024 13:29]

Dreamvoid @Keypunchie • 26 april 2021 13:23

80% is niet zo heel lastig hoor - ik denk dat als je alle klanten op IPv6 zet, je vrij rap op 80% van het verkeer over IPv6 gaat zien lopen - niet omdat 80% van het aantal websites IPv6 doet, maar omdat je daar maar een handvol grote CDNs als Netflix, Disney, Microsoft en Google voor nodig hebt.

Je krijgt ook een sterk netwerkeffect met peer-to-peer verkeer (videobellen, torrents etc) - als 10% van je gebruikers op v6 zit dan loopt maar 1% van het verkeer over v6, zit de helft erop dan is het 25%, en is het 90% dan is het 81%.

YangWenli @Menesis • 26 april 2021 11:27

Als ik mijn 5G Theemobiel netwerk APN zet op IPv6 gaat alles mis.

jordynegen11 26 april 2021 08:41

Wordt tijd dat een deadline van de uitrol van IPv6 bij de wet geregeld gaat worden. Providers zijn er zelf veel te langzaam mee.

Als Europa hier nou het voortouw neemt dan volgt de rest van zelf. Zijn we gelijk af van het gezijk met de tekorten van IPv4.

Zie ik helaas niet zomaar gebeuren met de bedroefde IT kennis van onze landvertegewoordigers.

Cybertinus994 @jordynegen11 • 26 april 2021 09:17

Azië heeft ondertussen het voortouw in IPv6 uitrol. Daar is IPv4 simpelweg echt op en zijn er meer dan genoeg gebruikers die alleen via IPv6 het internet op gaan. Als je dus veel gebruikers uit Azië hebt of wil hebben, dan moet je website echt wel IPv6 hebben

bzzzt @Cybertinus994 • 26 april 2021 10:23

In de landen waar geen v4 voor handen is wordt vaak carrier-grade NAT gebruikt. Minder plezierig om achter te zitten, maar ik vermoed dat ook daar weinig prioriteit aan de transitie naar v6 wordt gegeven.

EraYaN @bzzzt • 26 april 2021 11:31

In India zijn hele ISPs IPv6 native met tunneling/NAT voor IPv4 en dat is dan zo traag dat klanten genoeg klagen als je service v4 only is dat service providers eindelijk gemotiveerd worden het gewoon te regelen.

Maurits van Baerle @bzzzt • 26 april 2021 11:33

India is misschien wel de ergste, met soms meerdere lagen aan CGNAT waar een gebruiker achter zit. Die hebben nu iemand aangesteld om de transitie verder aan te jagen.

Op zich ook niet zo vreemd, er komt een moment dat CGNAT niet alleen schreeuwend duur is maar ook je economische ontwikkeling remt omdat allerlei zaken die wel op IPv6 werken simpelweg niet mogelijk zijn achter meerdere lagen CGNAT.

Dreamvoid @Maurits van Baerle • 26 april 2021 13:35

India heeft ook 70+ procent IPv6, dus ik neem aan dat het CG-NAT probleem niet erg lang meer zal duren.

ELD @jordynegen11 • 26 april 2021 08:55

Dat IPv6 tot nu toe heeft gefaald is te danken aan de bedenkers zelf. Verder is het niet aan de overheid om een standaard voor de industrie te bepalen.

zalazar @ELD • 26 april 2021 09:34

Je wordt hier naar beneden gemod maar je opmerking is volledig terecht.
De bedenkers wilden IPv6 niet backwards compatible maken vanwege de, in hun ogen, vele slechte IPv4 implementaties. Dat was de verkeerde beslissing.
IPv6 had gewoon een uitbreiding moeten zijn op IPv4 en het had dezelfde stack moeten blijven.
Je zou dan de mogelijkheid moeten hebben om dit nieuwe, langere, adres in te stellen.
Op deze manier had iedereen dat langere adres al lang in gebruik genomen.
Daarnaast heeft men overgecompenseerd. IPv6 had naar mijn mening 64-bit moeten zijn.
Hierdoor had je gewoon decimalen kunnen blijven gebruiken.
Hexadecimaal is nu eenmaal lastiger in het gebruik dan decimaal.

Maurits van Baerle @zalazar • 26 april 2021 11:25

Het probleem is niet IPv6, het probleem is dat IPv4 niet forwards compatible is. En dat kun je de ontwikkelaars van IPv4 niet echt kwalijk nemen. Die hadden nooit verwacht dat het internet buiten de academische wereld een grote vlucht zou nemen.

Het probleem is nu dat iedere wijziging die je aan IPv4 wil doen, hoe miniem ook (zelfs het vrijgeven van ranges die tot nu toe 'private' waren*) betekent dat álle network stacks in de wereld en alle netwerkapparatuur in de wereld aangepast moet worden om zo'n aanpassing mogelijk te maken. Die tien jaar oude netwerkprinter die ergens in de hoek staat moet ineens weer een firmware update krijgen om met de nieuwe IPv4 variant overweg te kunnen.

Als je een kleine aanpassing aan IPv4 werkelijk alles overhoop moet halen en vervangen (iets wat miljarden zal kosten en toch al gauw een jaar of twintig) en iedereen moet bijscholen dan kun je net zo goed het grondig aanpakken en ook de andere problemen die IPv4 (naast de schaarste) had aanpakken. Dat werd IPv6.

Wees blij dat er voor deze route gekozen aangezien het een stuk schoner, soepeler en sneller is dan een aanpassing van IPv4 was geweest. Nu kunnen ze netjes naast elkaar bestaan en sterft IPv4 langzaam uit. Over een paar jaar kun je in veel gevallen IPv4 gewoon uitschakelen op je netwerkadapter en zullen de meeste mensen het niet eens merken. Er zullen nu zelfs al legio mensen zijn voor wie het enige wat ze op internet doen wat Google diensten, YouTube, Facebook en Netflix is. Die kunnen IPv4 nu al uitzetten.

^{* En wil jij een blok toegewezen krijgen dat ooit 'private' was? Er is een groot risico dat jouw pakketjes nooit aankomen omdat er ergens nog een niet aangepaste networkstack, router of firewall staat. Dat zouden dus altijd minderwaardige adressen blijven.}

[Reactie gewijzigd door Maurits van Baerle op 22 juli 2024 13:29]

Dreamvoid @zalazar • 26 april 2021 14:00

Daarnaast heeft men overgecompenseerd. IPv6 had naar mijn mening 64-bit moeten zijn.

Praktisch gezien is een IPv6 netwerk ook 64-bit: je hebt een 64-bit netwerk id (vergelijkbaar met NATted IPv4) plus een 64-bit device ID. Als je je interne devices ::1 en ::2 nummert heb je feitelijk wat je wilt: een korte /64 van 4 octets als network ID, en een eenvoudige nummering voor je interne clients.

Niet zo heel anders dan wat je nu met IPv4 hebt: een 32-bit netwerk ID (oftewel, je publieke IP adres) + je 32-bit device ID (je private IP adres).

IPv6 had gewoon een uitbreiding moeten zijn op IPv4 en het had dezelfde stack moeten blijven.

Het was sowieso niet dezelfde stack geweest, je kan niet de addressering van 32 naar 64 of 128 veranderen zonder dat je alle stacks moet fixen. Bovendien zijn de nieuwe dingen van IPv6 (SLAAC, RA/RDNS, NDP, ingebouwde IPSEC etc) bijzonder handig, zou toch wel een groot gemis zijn and we dat niet hadden.

Maar met IPv6 is het niet zo lastig - het is een standaard die een paar designfouten van IPv4 fixt, backwards compatible, en klaar om te gebruiken voor iedereen die met IPv4 in de knel komt. Zolang IPv4 werkt, prima dan kan je nog even wachten, zodra je IPv6 nodig hebt, is het beschikbaar. Het is net als met audio formaten AAC/Opus/FLAC - we hebben MP3 al, maar zodra je dat niet goed genoeg vindt, zijn er andere oplossingen, niemand dwingt je om te switchen.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

EraYaN @zalazar • 26 april 2021 11:28

Maar goed dat is nu 20+ jaar later geen argument meer natuurlijk, bijna alles heeft het al in de IP stack zitten, helemaal in consumenten land. En effectief is IPv6 ook /64 maximaal omdat SLAAC anders niet werkt. En het adres langer maken met dezelfde stack had ook niet gewerkt (32-bit integers everywhere!) dus kun je net zo goed opnieuw beginnen. Vooral nu moet men gewoon wat minder zeuren en DNS gebruiken.

Dreamvoid @EraYaN • 26 april 2021 13:39

Vertel dat aan de Docker developers, die handmatig ingestelde /80 subnetting (auw auw auw) in IPv6 hebben gehacked in plaats van containers netjes hun adressen laten krijgen via SLAAC of prefix delegation.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

EraYaN @Dreamvoid • 26 april 2021 13:40

Tsjaa daar noem je er ook 1, docker en networking...

Dreamvoid @EraYaN • 26 april 2021 13:42

Ik vind het idee achter containers echt super, maar wat je wint met Docker aan security/gebruiksgemak verlies je rap weer door die absolute networking puinhoop.

EraYaN @Dreamvoid • 26 april 2021 13:44

Je kunt gelukkig containers ook zonder standaard docker networking draaien, kubernetes bijvoorbeeld support ook echt zoveel networking plugins dat je helemaal los kunt gaan. (Docker plugins zijn wat minder al omvattend maar goed kunnen nog steeds best veel)

Dreamvoid @EraYaN • 26 april 2021 14:50

Klopt, maar het zou toch behoorlijk helpen als het allemaal 'just works' zoals IPv6 bedoeld is (container erin knikkeren, krijgt adres/gateway/DNS via SLAAC, klaar).

Networking is niet echt rocket science tegenwoordig, maar die Docker devs hebben het toch voor mekaar gekregen.

RJG-223 @zalazar • 26 april 2021 18:09

De bedenkers wilden IPv6 niet backwards compatible maken vanwege de, in hun ogen, vele slechte IPv4 implementaties. Dat was de verkeerde beslissing.
IPv6 had gewoon een uitbreiding moeten zijn op IPv4 en het had dezelfde stack moeten blijven.

Ik weet niet naar welke demagoog je hebt zitten luisteren, maar die had duidelijk geen verstand van IPv4, IPv6, netwerken en adressering.

Mensen zonder verstand van zaken denken dat IPv4 uitbreiden hetzelfde werkt, en even 'makkelijk' is als in een land telefoonnummers met een of twee cijfers uitbreiden, of een huisadres als 'nr. 14' uitbreiden naar 14a, 14b, 14c etc. Volgens het principe: als het idee makkelijk te bedenken is, dan is het ook makkelijk te doen. Vergelijkbaar met een adres in amersfoort, waar je eenvoudig 'zuid-afrika' bij kunt schrijven, waarna de brief automatisch naar amersfoort in zuid-afrika gaat. Nee dus. Dat kan niet met IPv4. Dat heeft nooit gekund, en dat zal nooit kunnen. En dat zal nooit gekund hebben. En iedereen die iets anders zegt weet niet waarover ie het heeft, en is dus een demagoog. Of een leugenaar.

latka @ELD • 26 april 2021 09:21

Dat doet de overheid (gelukkig) vaak genoeg wel: 230v uit het stopcontact? Te danken aan de overheid. Anders had ieder electriciteitsbedrijf nog steeds maar gedaan wat ze wilden zodat je niet over kunt stappen zonder alle apparatuur te vervangen. De markt kan een hoop zolang er veel concurrentie is. Als die er niet is dan werkt regulatie beter.

bzzzt @ELD • 26 april 2021 10:33

Er zijn een aantal minder handige ontwerpbeslissingen genomen, maar de belangrijkste reden dat v6 adoptie achterblijft is toch wel dat het tijd (dus geld) kost om goed in te regelen en geen bedrijf geld uitgeeft 'omdat het kan'.

De overheid bepaalt alleen wel standaarden voor zo'n beetje iedere industrie, dus ik zou het niet per se heel raar vinden als 'het garanderen van de uitbreidbaarheid van Internet adresruimte' als overheidstaak wordt gezien. Het probleem is dat de IP adresruimte een internationaal ding is dus eigenlijk per definitie groter is dan iedere landelijke overheid. Enige internationale consensus lijkt me wel noodzakelijk, maar volgens mij zijn we bij v6 al op dat punt (het is niet zo dat er nog meer ipvX protocollen serieus in de race zijn)

AJediIAm @ELD • 26 april 2021 11:29

Ik vind niet dat de het gefaald is of dat de bedenkers daar de schuld van mogen krijgen zonder onderbouwing.

Ik ben van mening dat door verschuivingen binnen de IT wereld met cloud en containers het probleem minder urgent is geworden en er geen noodzaak is om over te stappen naar iets anders.

Dreamvoid @ELD • 26 april 2021 13:04

Dat IPv6 tot nu toe heeft gefaald is te danken aan de bedenkers zelf.

Dat niet echt, tis meer dat er tot relatief recentelijk nog genoeg IPv4 adresruimte was, en providers doen pas een ingrijpende netwerk verandering als het moet. Je ziet in de IPv6 statistieken dat het IPv4 probleem pas echt vanaf 2015 begon te spelen en de eerste providers daadwerkelijk gingen overstappen. Sindsdien gaat het redelijk gestaag door met zo'n 5% per jaar, elk jaar komt er weer een groep nieuwe providers in de knel en doen de investering om over te stappen.

Ironisch is 1 van de redenen dat IPv6 zo langzaam gaat dat het backwards compatible gemaakt is met IPv4 (via NAT64/tunnelling/etc) - oftewel als anderen naar IPv6 migreren en jij niet, dan kunnen ze je nog steeds bereiken. Dat geeft natuurlijk niet echt een dringende prikkel...

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

Prime-Omega @jordynegen11 • 26 april 2021 08:56

En wie gaat dat allemaal betalen? De uitrol van IPv6 binnen een bedrijf is wel net een tikkeltje meer werk dan ergens een checkbox aanvinken. Voor de meeste bedrijven weegt de kost gewoon niet op tegenover de voordelen.

latka @Prime-Omega • 26 april 2021 09:13

Je kunt intern gewoon IPv4 doen en dan een NAT ertussen naar de boze buitenwereld. Kosten nihil. Nu is het vaak ipv4 to ipv4 nat (althans: ik ken weinig bedrijven die er geen NAT tussenhebben). Dus zo spannend is het niet.

jordynegen11 @Prime-Omega • 26 april 2021 09:15

Hier hebben de bedrijven al heel wat jaren de tijd voor gehad. In plaats daarvan verhoogt Ziggo mijn snelheid van 600 naar 700.

Het is puur waar de prioriteiten liggen van de providers en dat is IPv6 duidelijk niet. Met een wet maak je het een prioriteit.

IPv4 is ondertussen het nieuwe goud geworden. Veel providers in andere landen die al geen dedicated IPv4 meer leveren maar alles via NAT doen omdat IPv4 zo stervens duur en schaars is geworden.

Grote hosting partijen met veel IPv4 adressen kunnen nog wel even vooruit, maar kleinere bedrijven die willen groeien beginnen structureel aan het probleem aan te lopen dat IPv4 meer dan de hardware kost

In een zin is het een grote shitshow wat betreft IPv4.

[Reactie gewijzigd door jordynegen11 op 22 juli 2024 13:29]

Belgar @Prime-Omega • 26 april 2021 09:16

Zo moeilijk is het ook echt niet hoor. Een belangrijke reden voor de langzame adoptie van IPv6 zijn heel banale dingen, die echt allang makkelijk geregeld hadden kunnen worden.

Een hoop modems bij mensen thuis hebben vaak matige IPv6 ondersteuning. Waarom? Omdat een modem met een oudere chipset zonder IPv6 een paar kwartjes goedkoper is dan een met IPv6. Niet 10 euro, niet 5 euro, maar kwartjes.

Oh, ons administratief systeem van 35 jaar oud kan geen IPv6 bijhouden? Laten we IPv6 dan nog maar 10 jaar uitstellen, zou toch zonde zijn te investeren in een moderner systeem. etc.etc.

Met goede wet- en regelgeving kan dit gewoon versneld worden en de benodigde investeringen zijn ook niet van dien aard dat dit voor grote problemen gaat zorgen.

borft @Prime-Omega • 26 april 2021 09:52

Vertel, wat is er zo moeilijk aan? Ik mag aannemen dat je segmentering van je netwerk met VLAN's doet, dat je ip addressen uitdeelt met bv dhcp, en dat je sowieso een fatsoenlijke firewall hebt, wat houdt je tegen? Ik zie het grote probleem en de hoge kosten eigenlijk niet.

Prime-Omega @borft • 26 april 2021 11:32

Ik bedoelde eigenlijk eerder het compleet dumpen van IPv4 en IPv6 ook intern in heel het netwerk uit te rollen. Niet dat ik het snel zie gebeuren maar dat heeft toch ook enkele voordelen, doei broadcasts.

Dreamvoid @Prime-Omega • 26 april 2021 13:32

Je ziet in de praktijk dat bedrijven dat eerst doen met bv de guest WiFi VLAN, daar hangen alleen mobiele devices aan die allemaal IPv6 doen. Als dat een beetje werkt, kan je stap voor stap de 1 na de andere VLAN overzetten, totdat je uiteindelijk een klein aantal geisoleerde v4 VLANs over hebt waar de laatste oude servers op draaien.

In de regel is dat makkelijker dan alle VLANs dual stack maken, dat maakt het troubleshooten een stuk lastiger als er iets niet werkt.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

sjdw 26 april 2021 08:03

Iederen die ipv4 adressen krijgt toegewezen moet er een nut voor hebben. Maar deze mensen in amerika hadden ze al 10 jaar liggen zonder er iets te mee te gaan doen?

latka @sjdw • 26 april 2021 09:11

Historisch: Internet was initieel een project van defensie (Arpanet). De eerste deelnemers buiten defensie kregen alleen een /8 netwerk. Een deel van die ip-ruimte is inderdaad verkocht. En of het DoD er iets mee deed weten we niet: wellicht dat de interne machines deze IPs kregen en dat ze niet naar buiten gerouteerd werden. Hoe dan ook: afnemen/ontnemen/verkopen: het is een druppel op een gloeiende plaat. Als we nou gewoon eens ipv6 gaan doen is er helemaal geen probleem meer (en hoeven er geen kosten aan een IP adres te hangen zoals voor IPv4 inmiddels wel gebruikelijk).

CyBeR @sjdw • 26 april 2021 08:07

Maar deze mensen in amerika hadden ze al 10 jaar liggen zonder er iets te mee te gaan doen?

Eerder 30 jaar. Mogelijk meer.

Toen IPv4 net nieuw was en over schaarste nog niet nagedacht werd werkte dit anders.

[Reactie gewijzigd door CyBeR op 22 juli 2024 13:29]

the_shadow @sjdw • 26 april 2021 10:51

Zie voor de gein ook deze XKCD. De groene ruimte zal inmiddels op zijn, maar de grote blokken voor clubs als HP, Ford, Intel, MIT zijn denk ik nog steeds wel in hun handen. Datzelfde geldt voor DoD. Een /8 ga je tegenwoordig inderdaad niet zomaar meer krijgen, maar ik werk momenteel bij een bedrijf met z'n eigen /16. Waarom? 20 jaar geleden aangekocht, en daarna in bezit gehouden.

Terr-E

@sjdw • 26 april 2021 17:15

https://en.wikipedia.org/...ed_/8_IPv4_address_blocks

Er zijn nog steeds een /8 block uitgedeeld aan Ford ( autofabrikant ), Prudential Securities ( verzekeringsmaatschappij ) en USPS ( Post en pakket dienst ). Om maar te zwijgen over de 13 ( !!! ) /8 blocks die het Amerikaanse ministerie van Defensie angstvallig vasthoudt.
Niet dat dit het tekort aan IPv4 voor altijd zou oplossen als deze vrijgegeven zouden worden, maar het is ook duidelijk geen goede zaak.

kodak @sjdw • 26 april 2021 17:34

Waaruit blijkt dat jou mening over nut van toepassing is? Bij het verdelen en verkopen lijkt die regel die jij noemt namelijk niet zomaar te bestaan. Er lijkt ook geen internationale verplichting dat gebruikers nu nut horen te bewijzen of dat er gevolgen voor ze aanzitten als ze dat niet doen of kunnen.

LightStar 26 april 2021 07:59

Dus er is een tekort aan IPv4 addressen en hun hebben 175 miljoen op de “plank” liggen, dan zou je toch verwachten dat ze die (gezien ze ze al 10 jaar hebben) al deels hadden verkocht...

NielsFL @LightStar • 26 april 2021 08:04

Verkopen levert geld op, maar een echt goede zaak zou dat natuurlijk niet zijn. Dat bevoordeeld grote/rijke partijen boven nieuwkomers, terwijl het beleid van bijvoorbeeld RIPE precies andersom is.

Het enige juiste zou zijn om de IP adressen terug te geven, in dit geval aan ARIN.

RJG-223 @NielsFL • 26 april 2021 09:44

Dat bevoordeeld grote/rijke partijen boven nieuwkomers

Bij zaken die eerst nagenoeg onbeperkt zijn, maar later schaars worden, zijn de gevestigde partijen, die vroeg instappen / ingestapt zijn, altijd in het voordeel. En dat zijn dus ook meestal de grotere partijen, want de kleine partijen bestonden toen nog niet...

Het enige juiste zou zijn om de IP adressen terug te geven, in dit geval aan ARIN.

Ja, maar dat doet niemand.

Afgezien daarvan: dan moeten die bedrijven die adressen éérst vrijmaken, en dus hun interne netwerk aanpassen en hernummeren. Dat kost ze ook geld, en dat gaan ze dus niet voor niets doen. Bij een huidige prijs van ca. $30 per IP-adres, levert een blok van 16M adressen ca. 500M op. Daarvoor moet een bedrijf een migratietraject in, dat niet alleen geld kost, maar ook tijd (alle betrokkenen: systeembeheerders, netwerkbeheerders, server beheerders, etc. hebben wel wat anders te doen), en levert op korte termijn risico's op wat betreft stabiliteit: cruciale servers/diensten die tijdelijk niet bereikbaar zijn, etc. En aan het einde van de rit hebben ze dan waarschijnlijk maar een deel van die 16M adressen vrij gemaakt - wat ze hebben zelf nog steeds adressen nodig.

Al met al levert zo'n exercitie mogelijk niet voldoende geld op om de kosten te rechtvaardigen. Maar tevens betekent dat, dat je niet anders kunt verwachten, dan dat zo'n bedrijf de IP adressen tegen marktprijzen verkoopt. En dan is zo'n blok gewoon een investering, en afhankelijk van de kosten, de opbrengsten, de eigen behoefte aan adressen, en de verwachte prijsontwikkeling wordt al dan niet besloten om adressen vrij te maken en te verkopen.

Dit artikel zegt ook dat de jaarlijkse markt voor adressen op dit moment ca. 70 miljoen is. 16 miljoen is 23% daarvan. Dat betekent dat als zo'n 16M blok vrijgemaakt wordt, en op de markt komt, de prijzen flink zullen dalen, en ze er dus véél minder voor krijgen dan die $30 waar dat artikel het over heeft. Of ze moeten het verspreid over een aantal jaren verkopen, terwijl ze een groot deel van de kosten wel al in het eerste jaar moeten maken.

Kortom: het is allemaal niet zo eenvoudig als het lijkt.

NielsFL @RJG-223 • 26 april 2021 09:58

Je hebt het over commerciële partijen. Die moeten lekker doen wat ze zelf willen.

De het leger is echter onderdeel van de overheid. Die hoort niemand te bevoordelen, tenzij dat zo is vastgelegd in een wet.

RJG-223 @NielsFL • 26 april 2021 10:05

Je hebt het over commerciële partijen. Die moeten lekker doen wat ze zelf willen.

De het leger is echter onderdeel van de overheid. Die hoort niemand te bevoordelen, tenzij dat zo is vastgelegd in een wet.

Maar ook die moeten kosten maken om de adressen vrij te maken.

En daarnaast: als je het over bevoordelen hebt: als ze de adressen gratis weggeven, dan zijn ze juist iemand aan het bevoordelen: de persoon/het bedrijf dat die adressen gratis krijgt. De enige manier om niemand te bevoordelen, is de adressen tegen marktprijzen te verkopen, en zo het voordeel te spreiden over alle inwoners/bedrijven in het land.

Mathijs @RJG-223 • 26 april 2021 19:45

Ze hebben nu waarschijnlijk kosten gemaakt om ze in gebruik te nemen. Eerder werden ze niet eens announced, dus jouw argument gaat niet op in dit geval.

RJG-223 @Mathijs • 26 april 2021 19:52

Ze hebben nu waarschijnlijk kosten gemaakt om ze in gebruik te nemen. Eerder werden ze niet eens announced, dus jouw argument gaat niet op in dit geval.

Daar heb je waarschijnlijk een punt, in dit specifieke geval. Het kan nog wel zijn dat ze (deels) intern in gebruik waren, en dat ze daarvoor nu overgeschaked zijn op een private IPv4 range bijvoorbeeld. Of op IPv6-only.

kiang

@LightStar • 26 april 2021 08:35

Voor een overheid vind ik dat nog ok, waar ik van moet kotsen is dat bedrijven zoals Apple, Boeing en Ford sloten Ipv4 adressen hebben opgepot: https://xkcd.com/195/

RJG-223 @kiang • 26 april 2021 09:18

Voor een overheid vind ik dat nog ok, waar ik van moet kotsen is dat bedrijven zoals Apple, Boeing en Ford sloten Ipv4 adressen hebben opgepot: https://xkcd.com/195/

De zaak ligt toch iets genuanceerder dan jij denkt.

In die tijd (ca. 40 jaar geleden) werden IPv4 adressen uitgedeeld in blokken van 265, 65536 of 16 miljoen. Andere keuzes waren er niet. NAT bestond ook niet, dus als je een computer in je organisatie aan het netwerk wilde hangen, dan was er een publiek IP-adres nodig. Dus als een groot bedrijf méér dan ca. 60000 werknemers/computers had, dan moesten ze wel een blok van 16M toebedeeld krijgen. En waarschijnlijk waren er ook genoeg bedrijven met wat minder werknemers (bijv. 30000) die vooruit keken, en ook een blok van 16M aanvroegen. Daar komen al die grote allocaties vandaan.

En toen was er ook nog lang geen sprake van dat er misschien zelfs maar ooit een tekort zou ontstaan.

Niets om te kotsen dus.

Daarentegen: tussen alle kleinere allocaties die gedaan zijn in de laatste jaren voordat de IPv4 adressen opraakten, zitten ongetwijfeld een heleboel squatters die wel om van te kotsen zijn, omdat die, toen het schaars begon te worden, blokken aangevraagd hebben met het enkele doel om ze na een aantal jaren met grote winst te verkopen. Maar ja, die vliegen onder de radar.

Edit: aan de andere kant, als een squatter indertijd (in de laatste jaren voordat ze opraakten) bijv 4 blokken van 256 had aangevraagd en gekregen, dan zijn die nu samen, na een jaar of 10, $30000 waard geworden (ca. $7500 per 256 adressen). Leuke neveninkomsten, maar je wordt er niet rijk van, en je kunt er zeker niet 10 jaar lang een bedrijf van draaiende houden...

[Reactie gewijzigd door RJG-223 op 22 juli 2024 13:29]

beerse @RJG-223 • 26 april 2021 09:53

Tel daar bij dat in die tijd een C-class netwerk op internet niet nader gerouteerd werd, dus als je met meer vestigingen over de wereld verspreid zit, je voor elke vestiging een eigen c-classe netwerk moet reserveren. Dan was in die tijd een A-class ip-reeks al snel voordelig.

Van HP weet ik dat ze in ieder geval eind vorige eeuw een heel A-klasse netwerk hadden en voor elk land zo ongeveer een eigen C-classe netwerk. Digital-Equipment en Compaq hadden ook eigen A-classe netwerken. Sinds die zijn samen gegaan is dat aardig bij elkaar gekomen.

kiang

@RJG-223 • 26 april 2021 13:02

Niets om te kotsen dus.

Ik had duidelijker moeten zijn: die bedrijven kregen elke even veel adressen toegewezen als het hele Afrikaanse continent .

Als je dus een kleine afdeling binnen Apple bent krijg je meer ipv4 adressen dan heel Chad of Nigeria.

Dat vind ik absoluut wel om te kotsen.

MSalters

Politiek en recht

@kiang • 26 april 2021 15:16

Zo gek was dat idee ook weer niet. Vergeet niet, dit was het tijdstip waarin je internationale communicate-netwerk het telefoonnetwerk was. Daar had je een internationaal toegangsnummer. Het was niet vreemd geweest om in die historische context de IPv4 als een interne Amerikaanse nummering te zien, met dan een extra 5de byte als het internationaal ging worden. 256 mogelijkheden, da's genoeg voor alle VN leden.

En dat je ter overbrugging een deel van die V4 address space ook alvast met de rest van de wereld deelde? Dat was wel even zo handig in afwachting van internationale verdragen, die "ongetwijfeld" niet lang op zich zouden laten wachten als het Internet een succes zou worden.

RJG-223 @kiang • 26 april 2021 16:39

Als je dus een kleine afdeling binnen Apple bent krijg je meer ipv4 adressen dan heel Chad of Nigeria.

Apple heeft niet meer IP adressen gekregen dan Chad. Er is niemand bevoordeeld. Apple heeft, toen er nog heel veel beschikbaar waren om een blok gevraagd, en dat gekregen. Als Chad, of een groot Nigeriaans bedrijf, er toen om gevraagd hadden, hadden ze ongetwijfeld ook zo'n blok gekregen. Chad (of althans, mensen in Chad) heeft pas jaaaren later dan Apple om een blok gevraagd, en toen ook eerlijk, gebaseerd op wat toen beschikbaar was, een blok gekregen. Dat ze achteraf gezien, in het begin beter minder grote blokken hadden kunnen uitdelen, is puur napraten.

Weet je wat evenzeer om te kotsen is ? Dat westerse, en met name amerikaanse bedrijven, de eerste keus hadden, en nog steeds hebben wat betreft het gebruik van de ruimte. Zowel in de nabij-aardse banen, als de geostationaire banen. En dat gebeurt nog steeds. Vind je dat géén probleem ?

Misschien moeten we alle geostationaire locaties netjes verdelen over alle landen ? Weet je wat er dan gebeurt ? Dan verkopen de afrikaanse landen die niet zo veel locaties nodig hebben, hun locaties voor de huidige, lage marktprijs aan een amerikaans, chinees, europees, etc. bedrijf, en dan hebben we over 20 jaar exact dezelfde situatie als nu: amerikaanse, europese en chinese bedrijven bezitten alle geostationaire locaties, die dan veel meer waard zijn, en dan is het nog steeds 'om te kotsen'.

O ja, en dan krijgen we in de toekomst ook nog het gebruik van asteroïden voor buitenaardse mijnbouw. Die moeten we misschien ook eerlijk gaan verdelen tussen alle landen ? Ik geef je op een briefje dat het dan toch weer hetzelfde resultaat oplevert.

De wereld is nu eenmaal oneerlijk, en diegene die er het eerst bij is, heeft de eerste keus. Niets aan te doen, maar ook geen enkele reden om maar te gaan kotsen. Dit soort dingen gebeurt niet doelbewust. Het is ook geen discriminatie (als je dat soms mocht denken - gezien het feit dat je Chad en Nigeria aanhaalt). Het is gewoon de natuurlijke manier waarop zaken zich ontwikkelen. Je kunt je net zo goed boos maken over het feit dat alle grote sociale mediabedrijven amerikaans zijn, of dat alle grote softwareleveranciers amerikaans zijn. Dat de zich ontwikkelende commerciële ruimtevaart allemaal amerikaans is. Allemaal evenzeer om te kotsen. En allemaal zinloos verspilde kots.

FreezeXJ @kiang • 26 april 2021 08:52

Ach, daar komt de vooruitgang toch niet door, dit dwingt kleinere partijen alleen maar om sneller op IPv6 over te schakelen. Uiteindelijk is het weer puur marktwerking, koop ik voor 150 euro een v4-adres, of is het goedkoper om m'n hoster te pushen toch eindelijk v6 aan te bieden. Voorlopig lijkt v4 goedkoper te zijn.

SpoekGTi @LightStar • 26 april 2021 08:05

Euh nee dus en gaan ze ook niet doen:

Het ministerie heeft de ip-adressen nog steeds in bezit en is niet van plan ze te verkopen.

Cybertinus994 @LightStar • 26 april 2021 09:10

Tja. Langer wachten met verkopen is meer winst. Nu is 1 ipadres z’on 20 dollar waard. Als dat 30 dollar word, dan hebben ze 5,2 miljard verdiend ipv 3,5 miljard. Dat is wel een gok die ik zou willen nemen als overheid, om te zien of je er meer uit kan halen. En de verwachting is dus dat de prijs van ipv4 adressen alleen maar omhoog gaat omdat er gewoon niet meer zijn en de vraag er wel naar blijft en blijft groeien vooral.

killercow @Cybertinus994 • 26 april 2021 09:57

Het doel van een overheid is per definitie niet 'winst maken'.
Het doel van een overheid is namelijk, de burger dienen. IPV4 schaarste schaadt burgers en bedrijven indirect en direct, dus dan moet er een andere 'groter' goed tegenover staan wil men een goede reden hebben om deze schaarste toch voor lief te nemen. Meer winst, wat dubbel te koste gaat van de burger (eerst schade, daarna hogere prijs) is niet echt een groter goed voor hen die hiermee 'gediend' worden.

RJG-223 @killercow • 26 april 2021 10:15

Het doel van een overheid is per definitie niet 'winst maken'.
Het doel van een overheid is namelijk, de burger dienen. IPV4 schaarste schaadt burgers en bedrijven indirect en direct, dus dan moet er een andere 'groter' goed tegenover staan wil men een goede reden hebben om deze schaarste toch voor lief te nemen. Meer winst, wat dubbel te koste gaat van de burger (eerst schade, daarna hogere prijs) is niet echt een groter goed voor hen die hiermee 'gediend' worden.

Dat lijkt me wat kort door de bocht.

Ten eerste: de schaarste is vooral buiten amerika. De opbrengste komen ten goede aan amerika. Dus als ze wachten tot de prijs hoger wordt, is amerika als geheel beter af.

Ten tweede: de IPv4 schaarste schaadt niemand. Alleen de kosten worden een heel klein beetje hoger. Niet echt een probleem voor een bedrijf.

Ten derde: als de adressen uiteindelijk verkocht worden, dan heeft de overheid meer inkomsten, en wordt het overheidstekort minder, of kunnen er projekten gedaan worden die anders niet mogelijk waren. Dat komt het hele land ten goede.

Ten vierde: de jaarlijkse markt voor IPv4 is ca. 70M adressen. Als er ineens 175M op de markt komen, dan keldert de prijs, en worden die adressen voornamelijk opgekocht door squatters die hopen binnen een aantal jaren leuke winst te maken. Dat is pas echt een schade voor de hele amerikaanse bevolking, omdat al die winst hun niet meer ten goede komt.

bzzzt @Cybertinus994 • 26 april 2021 10:18

Maar als je wacht tot de situatie zo nijpend wordt dat iedereen noodgedwongen op v6 overstapt zijn je v4 adressen niks meer waard...

Maurits van Baerle @Cybertinus994 • 26 april 2021 11:15

De prijs van een IPv4 adres blijft natuurlijk niet stijgen. Hij zal nu nog even stijgen en daarna vrij snel in elkaar klappen als in de praktijk vrijwel alleen servers nog IPv4 adressen nodig hebben en clients niet meer. En er zijn veel meer clients dan servers op de wereld.

Er zijn nu al steeds meer landen waar ISP's standaard DS-Lite gebruiken voor hun klanten. Dan krijg je als thuisgebruiker geen publiek IPv4 adres meer en heb je als ISP ineens maar één IPv4 adres per paar duizend aansluitingen nodig. Dat betekent dat zo'n ISP ineens enorme blokken aan IPv4 adressen kan verkopen en dat zal proberen te doen voordat de prijs instort.

Kortom een geleidelijk oplopende prijs en daarna een hele sterke daling. Als geld je enige drijfveer is dan moet je dus wachten met het verkopen van een IPv4 blok maar niet te lang want dan wordt het vrijwel waardeloos. Als jij dat moment precies kunt timen kun je rijk worden, alleen weet niemand zeker wanneer dat moment is.

RJG-223 @Maurits van Baerle • 26 april 2021 17:07

Als jij dat moment precies kunt timen

Iemand die kan timen, stopt geen geld in IPv4 adressen. Er zijn veel lucratievere beleggingen...

Mathijs @Cybertinus994 • 26 april 2021 22:39

En toch is het eindig.
Wanneer IPv6 volledig geadopteerd is, zijn die adressen niet veel meer waard.
De laatste jaren zie ik een grote toename, het gaat geen tientallen jaren meer duren voor je het niet meer direct merkt wanneer je ipv4 zou uitschakelen op je device.

GertMenkel 26 april 2021 08:28

Het leukste aan deze IP-adressen is dat ze al in gebruik waren als je de guides van Cisco, Juniper en Azure gebruikte voor cloud computing; daar werden in handleidingen namelijk hele /8-blokken van de department of defence toegewezen als LAN-adres voor ik de cloud. Als je je router niet expliciet hebt verteld dat die adressen niet naar buiten moeten worden geroute, heb je daarmee zojuist de Amerikaanse overheid in je netwerk uitgenodigd!

Er zijn wel meer van dit soort blokken die niet gebruikt worden, de Britten hebben een soortgelijk blok bijvoorbeeld. Ik zie het niet als zo'n groot probleem eigenlijk, ik kan weinig redenen bedenken waarom je de department of defence niet zou blokkeren in je firewall. Er zijn maar weinig bedrijven die direct met die netwerken zouden moeten communiceren.

Als je zo'n hackerdepartement opzet, kun je net zo goed al die adressen gebruiken. Het zou zonde zijn om ze te verkopen als overheid, dan krijg je ze namelijk nooit meer terug.

bazzi

@GertMenkel • 26 april 2021 08:44

En direct de daadwerkelijke reden. Zet zijn alu hoedje weer af

AJediIAm @GertMenkel • 26 april 2021 11:26

Dit zou te testen moeten zijn.
Weet je toevallig om welke reeksen het gaat?

GertMenkel @AJediIAm • 26 april 2021 11:36

Uit mijn hoofd worden 22.0.0.0/8 en de 30.0.0.0/8 nog wel eens gebruikt in cloud-dingen.

Verwijderd 26 april 2021 08:07

IPv4, komen ze mooi op tijd mee.... 1990 belde, ze willen hun IP adressen terug!
Stap toch over op IPv6... Zouden meer partijen moeten doen

marcel50506 @Verwijderd • 26 april 2021 08:43

Stap toch over op IPv6... Zouden meer partijen moeten doen

Dus jij vindt dat ze 175.000.000 IPv6 adressen hadden moeten publiceren..?

Verwijderd @marcel50506 • 26 april 2021 08:44

Alleen als ze ze ook echt gebruiken, anders netjes inleveren

Cybertinus994 @marcel50506 • 26 april 2021 09:24

Alsteblieft niet zeg. Daar word de internet routing table veel en veel te groot van. Een standaard netwerk van 1 subnet is een /64 bij IPv6. Daarin zitten al 2^64 (1,844674407371e19, 18 miljard miljard dus) adressen. Dat is al 105.409.966.135 keer zoveel adressen in als die 175.000.000

.
Daarom is de kleinste range die je op het internet gerouteerd krijgt een /48, met daarin 2^(128-48) = 2^80 = 1,208925819615e24 adressen

.

Dus nee, laten we vooral niet met kleine blokjes als 175 miljoen gaan routeren, dan gaan vrijwel alle routers die nu aan het internet hangen uit hun memory klappen

Lennie @Verwijderd • 26 april 2021 08:47

De overheid in de VS heeft jaren geleden al IPv6 (en ook DNSSEC) verplicht gemaakt voor alle overheids website als ik me goed herinner.

[Reactie gewijzigd door Lennie op 22 juli 2024 13:29]

jongetje

@Verwijderd • 26 april 2021 09:14

Dat is het hele punt toch niet van deze adressen. Ze zorgen juist dat deze geadverteerd worden zodat ze niet misbruikt kunnen worden. Daarbij staat er toch dat ze ze niet gebruiken maar puur tegen fraude nu zichtbaar maken.

bones 26 april 2021 08:23

Zo een IPv4 adres valt toch gewoon te spoofen? Wat heeft registratie dan nog voor nut?

fretnn @bones • 26 april 2021 08:44

Wil je hier eens dieper op in gaan ?

Cybertinus994 @bones • 26 april 2021 09:14

Toen de overheid van de VS de ranges nog niet announcte was dat redelijk triviaal om te doen ja. Er was namelijk geen andere partij die de range announcte, dus dan komt het verkeer bij jou aan. Maar als de overheid het wel announced (zeker als ze het als /24’s announcen, dat heb ik nog niet gechecked), dan gaat het verkeer naar de overheid en worden de spoofers minder effectief.
Zeker met beveiligings mechanismen als RPKI word het spoofen van ranges ook lastiger. Nog steeds niet onmogelijk, maar zeker wel lastiger om dat effectief te krijgen.

Belgar @bones • 26 april 2021 09:28

Registratie voor internet gebruik en routering. Registratie van eigenaarschap is al bijna 60 geleden.

Met registratie voor internet worden pakketten met hun IP-range voortaan afgeleverd bij defensie. Als iemand ze dus intern misbruikt lopen ze nu het risico dat ze naar buiten worden gezogen.

Spoofen kan altijd voor DDOS gebruik, maar spoofen met routering is nu wel moeilijker, omdat er een point of origin voor dit adres bestaat en daar dus op gefilterd kan worden. Hoewel een hoop bedrijven dit wellicht al met de hand hebben gedaan.

AJediIAm @bones • 26 april 2021 11:23

Ik gok dat door ze te registreren, het spoofen moeilijk wordt omdat de adressen dan specifieker geroute worden. Wat precies het voordeel is weet ik niet.

lkruijsw 26 april 2021 09:16

Ik heb me altijd verbaasd dat bij alle IPv6 acties de nadruk lag op de client kant en niet de server kant. Je wilt 95% van de servers op IPv6, de overige 5% kan dan via IPv6/IPv4 vertaling. Op die manier kun je aan aan de client kan volledig IPv6 zijn en kun je grote delen van IPv4 gaan opruimen.

Het afdwingen van IPv6 voor servers is ook relatief eenvoudig te doen. Voor elke domein naam de kosten verhogen als ze nog IPv4-only zijn. Eerste jaar 10 euro, dan 100 euro, 1000 euro, enzovoort. Dat is goed automatisch te controleren.

Overigens worden IPv4 adressen echt schaarser. Als je naar de prijs kijkt ligt die nu op zo'n 30 dollar per adres, terwijl dat 2 jaar geleden nog op zo'n 20 dollar lag. Het zou me niet verbazen als de prijs verder op loopt naar 100 of 200 dollar.

Dreamvoid @lkruijsw • 26 april 2021 13:50

De focus ligt op de clients omdat IPv6 backwards compatible is. De clients moeten wel eerst, want een v4 client kan niet naar een v6 server verbinden. Andersom kan een v6 client wel naar een v4 server verbinden.

Hoe dwing je zoiets trouwens af, met een domein naam? Iedereen kan een dummy IPv6 adres in een AAAA record stoppen.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

lkruijsw @Dreamvoid • 26 april 2021 16:03

Je moet natuurlijk de servers dual stack doen. Dus IPv4-only clients kunnen met de server verbinden, maar IPv6-only clients ook.

En wat je zegt klopt niet. Een IPv6 client kan niet naar een IPv4 server en andersom ook niet. Maar het is gemakkelijker om een IPv4 client naar een IPv6 server te laten gaan, omdat je een IPv4 adres makkelijk in een IPv6 adres kunt stoppen, maar niet andersom. Dat heb je nog om pakketjes terug te sturen. Als je van IPv6 client naar IPv4 server gaat heb je dus NAT nodig, maar andersom kun je het gewoon encoderen in het IPv6 adres.

Nu heb je een situatie dat men zowel client als server IPv4/IPv6 capable maakt. Dat maakt het onnodig ingewikkeld.

Een dummy IPv6 adres in een AAAA record stoppen is niet zo'n goed idee, omdat de IPv6 klanten dan niet meer werken. En er zijn nu genoeg mensen met IPv6 dat je een hoop mensen boos maakt. Een browser heeft een voorkeur van IPv6 boven IPv4.

Dreamvoid @lkruijsw • 26 april 2021 18:22

Een IPv6 client kan niet naar een IPv4 server en andersom ook niet.

In theorie niet, maar in de praktijk rolt iedereen IPv6 uit met een IPv4 transitie mechanisme (NAT64, DS-Lite, etc).

Een dummy IPv6 adres in een AAAA record stoppen is niet zo'n goed idee, omdat de IPv6 klanten dan niet meer werken.

Idd, maar er zijn praktisch gezien geen IPv6-only klanten, en door de 'happy eyeballs' (clients zetten tegelijkertijd v4 en v6 connecties op in parallel) ziet iedereen toch je website. Ik bedoel meer, als je verplicht gaat stellen dat elk domain een AAAA record heeft anders krijg je een hogere prijs, dan ga je dat soort hacks dus gegarandeerd krijgen.

[Reactie gewijzigd door Dreamvoid op 22 juli 2024 13:29]

RaZer0r 26 april 2021 09:57

Hier om DK is een provider vinden die ipv6 doet nog een hele uitdaging. Ik host een aantal webservers, en 80% van het ipv6 trafiek komt vanuit BE/NL.

beerse 26 april 2021 10:04

Volgens mij is hier gezien de reacties rond IPv4 en IPv6 toch iets 'lost in translation'.

Volgens mij gaat het er vooral om dat de amerikaanse overheid nu eindelijk op internet in de juiste routerings protocollen hun ip-reeksen op de wenselijke manier registreren. Of die reeksen ergens (al dan niet intern) gebruikt worden en of die adressen de juiste kant op gaan vraag ik mij af, volgens mij gaan veel van die routes bewust een dood-lopend-pad op. Daarmee kunnen die adressen niet meer worden misbruikt.

Enne, 175.000.000 adressen lijkt veel maar dat is hexadecmiaal 0x0A6E49C0. Daarmee zijn het 'maar' 10 A-classe reeksen. Als ik https://xkcd.com/195/ mag geloven hebben ze er nog veel meer gereserveerd.

Enneh, ja, het Amerikaanse ministerie van defensie (DOD als afkorging) is 1 van de grondleggers van internet en het IP protocol, ze hadden ooit zo ongeveer alles in beheer. Dat IPv6 hier niet genoemd wordt houdt volgens mij in dat zij in de IPv6 adressen niet belachelijk veel reeksen hebben gereserveerd. Ik kan mij niet voorstellen dat ze IPv6 nog niet gebruiken.

[Reactie gewijzigd door beerse op 22 juli 2024 13:29]

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (243)

Sorteer op:

Weergave: