Overheid NL gaat standaard IPv6 activeren voor e-mailverkeer via Exchange Online

Nederlandse overheidsinstanties die gebruikmaken van Microsoft Exchange Online gaan vanaf medio januari automatisch e-mailverkeer via IPv6 ondersteunen. Dat meldt adviescommissie Forum Standaardisatie. Momenteel gebeurt dat alleen als opt-in.

Forum Standaardisatie meldt dat dit voortkomt uit een afspraak tussen de Nederlandse overheid en Microsoft. De invoering van e-mailverkeer via IPv6 zal gefaseerd plaatsvinden, meldt de adviescommissie. Momenteel is dergelijke IPv6-ondersteuning alleen mogelijk als opt-in: overheidsdiensten moeten handmatig IPv6-ondersteuning aanzetten, door een verzoek daarvoor aan Microsoft te sturen. Volgens Forum Standaardisatie heeft tot nu toe 40 procent van de overheidsorganisaties dit gedaan.

Vanaf halverwege januari 2022 wordt dit echter automatisch gedaan voor overheden. Organisaties kunnen nog wel een individueel verzoek indienen om IPv6 alsnog uit te zetten. Vanaf 26 januari wordt de activering gestart bij alle Nederlandse gemeenten die gebruikmaken van Microsoft Exchange maar IPv6 nog niet hebben geactiveerd. Later in het voorjaar volgen andere overheidsorganisaties, schrijft Forum Standaardisatie.

Ondersteuning voor IPv6 wordt binnenkort verplicht voor Nederlandse overheidsinstanties. In april 2020 werd een overheidsbrede afspraak gemaakt dat alle Nederlandse overheidssites en e-maildiensten bereikbaar moeten worden via IPv6, met een deadline van 31 december 2021. Forum Standaardisatie meldt nu dat de nieuwe afspraak met Microsoft ervoor moet zorgen dat ook 'achterblijvende overheidsorganisaties' die Exchange gebruiken binnenkort alsnog aan die afspraak voldoen.

Begin dit jaar waarschuwde deze adviescommissie al dat te weinig sites van de overheid IPv6 gebruiken om aan de doelstelling te voldoen. Uit metingen bleek dat met name het aantal maildomeinen met IPv6-ondersteuning laag lag. Volgens de meest recente cijfers uit september 2021 is 80 procent van de overheidswebsites bereikbaar via IPv6. Voor overheidsmail gold dat voor 46 procent. De volgende meting wordt in maart gepubliceerd.

IT-banen

Reacties (83)

CAPSLOCK2000

Nederland
Overheid
Ipv6
Politiek en recht
Netwerk en systeembeheer

23 december 2021 02:41

Volgens de meest recente cijfers uit september 2021 is 80 procent van de overheidswebsites bereikbaar via IPv6. Voor overheidsmail gold dat voor 46 procent. De volgende meting wordt in maart gepubliceerd.

Er wordt vaak geklaagd over de overheid en IT, maar het bedrijfsleven mag jaloers zijn op dat soort getallen. Dus complimenten!
Wel een beetje sneu dat IPv6 opt-in is. Ik zie steeds weer zo'n enorme angst voor IPv6 terwijl het echt geen schokkende vernieuwing is. De IT-industrie heeft lastigere stappen genomen. Dat er veel onduidelijkheid is over het uitschakelen van IPv4 kan ik snappen, maar IPv6 toevoegen is niet moeilijk. Dat er een opt-in mogelijk is laat zien dat Exchange er op zich klaar voor is.

Joep Lunaar @CAPSLOCK2000 • 24 december 2021 10:15

Ook aan relatief eenvoudige wijzigingen valt geld te verdienen en worden dus niet op eigen initiatief kostenloos doorgevoerd. Pas wanneer de meerprijs erg laag wordt doordat het volstrekt commodity is geworden, gaan closed shops over tot implementatie op eigen initiatief.

Microsoft en zijn ecosysteem van "platinum" en "gold" certified partners zijn closed shops. Balen dat onze overheid ondanks menig initiatief (o.a. Open in Verbinding) om open standaarden te omarmen, telkens weer in val trap van dat wereldje. Kost ons als belastingbetalers onnoemelijk veel.

CAPSLOCK2000

Nederland
Overheid
Ipv6
Politiek en recht
Netwerk en systeembeheer

@Joep Lunaar • 24 december 2021 13:30

Ook aan relatief eenvoudige wijzigingen valt geld te verdienen en worden dus niet op eigen initiatief kostenloos doorgevoerd. Pas wanneer de meerprijs erg laag wordt doordat het volstrekt commodity is geworden, gaan closed shops over tot implementatie op eigen initiatief.

Ik snap het wel, maar ergens zou ik willen dat dit soort bedrijven ook wat verantwoordelijk nemen voor de wereld. Het steekt een beetje dat Bill Gates een hoop geld doneert om problemen zoals armoede en honger aan te pakken terwijl zijn bedrijf economische ongelijkheid* vergroot, daar valt niet tegen op te doneren. En ik weet dat BG tegenwoordig niet veel meer te zeggen heeft over MS maar mijn punt blijft staan: het zou mooi zijn als dit soort megabedrijven ook wat verantwoordelijkheid neemt voor de wereld, zeker in de sector waarin ze een dominante kracht zijn.

* IPv4-adressen zijn een schaars en dus waardevol goed geworden dat steeds meer wordt weggehaald uit de arme delen van de wereld ten gunste van de rijke delen. Terwijl de schaarste grotendeel kunstmatig is en helemaal kan verdwijnen door naar IPv6 over te stappen.

Joep Lunaar @CAPSLOCK2000 • 16 januari 2022 23:03

OT: De Bill Gates Foundation heeft zich in mei 2020 binnen COVAX-vertband (programma vallend onder VN om ook armere landen van vaccins te voorzien) dreigend zich als sponsor terug te trekken verzet tegen het propageren van dwanglicenties op de vaccins. (Vrijwel elke jurisdictie kent wettelijke bepalingen waarmee in het belang van de volksgezondheid octrooihouders kunnen worden verplicht tot verlening van licentie tegen geen of lagen kosten). In september '20 zijn ze erop teruggekomen nadat het momentum voor dwanglicenties was afgenomen. Stuitend.

willyb 22 december 2021 22:02

Hoe werkt het tegengaan van spam over IPv6 in de praktijk?

GertMenkel

Nederland

@willyb • 22 december 2021 22:22

Hetzelfde als IPv4, maar met wat grotere ranges: waar nu een /24 of zelf /16 wordt geblacklist, kan in IPv6 een /48 of zelfs lager worden geblacklist.

Je kunt er in elk geval van uitgaan dat elke /64 bij één netwerk (klant, bedrijf, server, noem maar op) hoort, en nette internetproviders zouden ook iedere klant een /56 moeten geven (of een /48, voor bedrijven bijvoorbeeld). Als je daar rekening mee houdt, is er natuurlijk niks aan de hand.

Het was tot voor relatief kort heel makkelijk om een heel blok IPv4-adressen te krijgen. Dat kan nu nog steeds door gewoon op iets als scaling cloud providers virtuele machines te spawnen, al dan niet betaald met gestolen creditcards en gefactureerd op een gestolen identiteit.

Scriptkid @GertMenkel • 22 december 2021 23:21

Nou komt wel wat meer bij kijken,

Je hele reputation database is nl om zeep.

Alle blocked lists zijn leeg en moeten gesupport worden met enorm grotere tables,

DNSblock lists worden vaak niet gesupport,

TXT records worden groter en langer,

GertMenkel

Nederland

@Scriptkid • 22 december 2021 23:43

Leeg? IPv6 bestaat onderhand al meer dan twintig jaar, hier is al lang rekening mee gehouden. De reputation database bestaat al, de blocklists bestaan al, en als je software anno $huidigJaar nog steeds geen IPv6 ondersteunt, loop je gewoon hopeloos achter. Zelfs de emailwereld die nog wel eens achterloopt heeft hier onderhand de nodige oplossingen voor.

SPF TXT records hoeven helemaal niet zoveel langer te worden als je A-records gebruikt om naar je hosts te verwijzen (SPF gebruikt A voor zowel A als AAAA DNS records); alleen als je momenteel IP4 (of IP6) gebruikt, moet je misschien wat meer items toevoegen. Vergeleken met de lengte van een DKIM blok dat je toch al voor ieder domein ophaalt is dat natuurlijk helemaal niks.

Scriptkid @GertMenkel • 23 december 2021 09:02

ehh , je server heft nog nooit het ipv6 adress gebruikt dus je hebt 0 reputatie,

iedereen die overstapt heeft dus 0 reputatie @ start,

Daarnaast alle blokken die niet gebruikt zijn hebben 0 reputatie en spammers kunnen gewoon hele grote blocken claimen met 0 bad reputation.

flabber @Scriptkid • 23 december 2021 09:26

Zeker nu nog zullen de meeste IPv6 adressen ook nog gewoon een IPv4 tegenhanger hebben.
Het is een fluitje van een cent om met de meest basic dns tools een IPv6 en een IPv4 adres te correleren.
Dat kan live en indien gewenst ook op voorhand door je IPv4 database één keer helemaal door te lopen.

Zijn er dan geen adressen meer die nog geen reputatie hebben?
Tuurlijk wel, maar helemaal op nul beginnen is absoluut niet nodig.

Yggdrasil

@flabber • 23 december 2021 10:54

Hoe wil je die correleren dan? Het zijn afzonderlijke protocollen en de nummering van de ranges is in principe compleet ongerelateerd aan elkaar.

GertMenkel

Nederland

@Yggdrasil • 23 december 2021 11:21

Zo'n beetje elk spamfilter checkt de reverse PTR, als die macht kun je die reverse PTR weer de andere kant op reversen om de A en AAAA records te krijgen. Als de AAAA record daadwerkelijk matcht (want zo'n PTR is natuurlijk te faken) dan kun je de correlatie met het IPv4-adres maken, alleen voor dat mailtje of kort in de cache.

Ik vind het geen hele mooie oplossing, maar ik vind IP-blocks sowieso een oplossing die meer kwaad dan goed doet eigenlijk.

grasmanek94 @GertMenkel • 23 december 2021 11:27

nja ik wens je success met reverse pointer van ip aa:bb:cc:dd:ee::ff naar aa-bb-cc-dd-ee-ff.....fixed6.kpn.net te herleiden naar 12.34.56.78.fixed.kpn.net en dan naar 12.34.56.78?

Niet elk domein hoeft zowel A als AAAA records te hebben.

[Reactie gewijzigd door grasmanek94 op 24 juli 2024 00:18]

GertMenkel

Nederland

@grasmanek94 • 23 december 2021 11:35

Als het geen AAAA-records heeft, is de extra check ook niet nodig. Als er geen correlatie kan worden gemaakt, dan is de correlatie niet nodig.

Als de reverse PTR naar IP-adres.fixed.kpn.net verwijst, staat die sowieso verkeerd voor het betrouwbaar afleveren van email. De meeste KPN-blokken staan van nature al op een blacklist (consumenten-IP's in elk geval, met zakelijk kun je geluk hebben) en zelfs dan wil je je PTR record het liefste naar je maildomein hebben wijzen. Algemene IP-adressen in je reverse PTR zijn vaak reden voor puntenaftrek van een spamfilter, om spam van dingen als botnets en open resolvers te voorkomen.

Als je je DNS zo instelt om je mail goed aan te laten komen, zal aa:bb:cc:dd:ee:ff terugleiden naar mail.grasmanek64.com, welke je gewoon met een A/AAAA record kunt verifiëren. Als je geen goede PTR hebt, zal de check inderdaad onmogelijk zijn, maar dat zal je waarschijnlijk ook nu al merken in je deliverability.

GertMenkel

Nederland

@Scriptkid • 23 december 2021 11:19

Mijn mailserver heeft al jaren een IPv6-adres, ik heb er nooit last van gehad, eigenlijk. Het enige spamfilter waar ik echt last van heb is die van Outlook, maar die gooit volgens mij een dobbelsteen als iemand met een klein domein mailtjes wil sturen en laat je alleen door als er een 6 uit komt.

Het IP-reputatiesysteem is sowieso verouderd, vind ik. Mijn oude mailserver heeft vaak last gehad van een IP-buur die spam ging versturen, maar daar kun je natuurlijk helemaal niets mee. Op die manier kun je elke hoster wel gewoon direct op een blacklist gooien want een Amazon VM met een nieuw IP die een mailtje stuurt is met seconden gemaakt en vernietigd. Je kunt in de praktijk op die manier geen enkele mailserver draaien tenzij je je eigen /24-blok koopt, en eerlijk gezegd vind ik dat grote onzin. Het kost je $40 per IP in het blok en verspilt onnodig de aanwezige IP-ruimte.

Dit probleem hadden we tien jaar geleden ook met IPv4, en email is toen ook niet onbruikbaar geworden. Afleveren kan even kort een dip zien zodra je IPv6 aanzet, maar je domeinreputatie met SPF/DKIM/DMARC en de inhoud van je mailtjes zouden samen dit probleem moeten mitigeren bij competente spamfilters.

brobro 22 december 2021 20:15

Waarom is dit moeilijk of wat is een reden om dit niet te willen of uit te stellen?

Verwijderd @brobro • 22 december 2021 20:46

Omdat Microsoft een ongelofelijk complex netwerk heeft dat dezelfde functionaliteit aan iedere klant moet aanbieden. Het netwerk moet dus geschikt gemaakt worden. Bepaalde beveiligingstechnieken die verplicht zijn voor de overheid conflicteren met de opzet die Office 365 juist zo goed maakt (eenvoud en hetzelfde niveau zijn als moderne standaarden). We zitten op een middenweg en het is fijn dat Microsoft nu de mogelijkheid aan overheden bied om in dat punt voor te lopen. Hopelijk bieden ze dit ook snel aan voor iedere onderneming

Scriptkid @Verwijderd • 22 december 2021 23:12

Dit is al mogelijk voor iedere organisatie,

Je moet alleen via een support ticket de omzetting aan vragen en dan wordt het door de PG doorgevoerd,
Dit process staat nl gewoon netjes gedocumenteerd in de MS docs,

https://docs.microsoft.co...-ipv6?view=o365-worldwide

Je wordt dan wel gevragen een bevestiging te geven dat als dingen niet meer werken dit op jouw verzoek geactiveerd is en dat MS niet verantwoordelijk is voor bijvoorbeeld mail drops door incorrecte SPF.

Qoute van artikel:
Before your organization can receive anonymous inbound email over IPv6, an admin needs to contact Microsoft support and ask for it. For instructions about how to open a support request, see Contact support for business products - Admin Help.

#i am MSFT

Verwijderd @Scriptkid • 22 december 2021 23:51

Dank, interessant
Dit zou zeker bij het artikel mogen.

Twanekel @Scriptkid • 23 december 2021 10:06

Toevallig onlangs nog uitgevoerd voor een klant

Verwijderd @brobro • 22 december 2021 20:59

IPv6 is nieuw en eng he!
Het is pas 21 jaar oud, dus ze hebben allemaal nog geen tijd gehad dit te implementeren...

Marve79 @Verwijderd • 22 december 2021 21:06

En toch blijf ik erbij dat IPv6 minder gebruikersvriendelijk is en veel complexer dan 4.

Had het even simpel/straight forward geweest dan zou dat de adoptie zeker versneld hebben.

Ik snap de reden, er moet een vrijwel onbeperkt aantal adressen zijn, maarja als niemand het gebruikt heb je daar nog niks aan.

IPv4 is de nieuwe bitcoin. De prijzen knallen omhoog. Ik zie straks providers nog wel iedere thuisverbinding op nat zetten.

Keypunchie

Nederland

@Marve79 • 22 december 2021 21:20

Voor een ‘echte’ gebruiker zou het netwerkprotocol transparant moeten zijn.

Voor (netwerk)beheerders is er een kleine leercurve, maar als je ipv4 snapt, dan is ipv6 echt niet zo veel ingewikkelder.

Het echte probleem is dat het niet backwards compatibel is, dus dat je als beheerder 2 paralelle systemen moet configureren, onsmderhouden en beveiligen.

Daar hebben de meeste geen zin in en dan wordt ipv4 al snel de keuze. (en niet onterecht, voor alle duidelijkheid)

Overigens zijn als je op schaal werkt juist veel voordelen aan ipv6, zoals de uniciteit van adressen. Scheelt een hoop issues.

[Reactie gewijzigd door Keypunchie op 24 juli 2024 00:18]

RJG-223 @Keypunchie • 23 december 2021 00:29

Het echte probleem is dat het niet backwards compatibel is, dus dat je als beheerder 2 paralelle systemen moet configureren, onsmderhouden en beveiligen.

Ter aanvulling: een uitbreiding van de adresruimte van IPv4 had nóóit, op geen enkele manier, écht backwards compatibel gekund. IPv4 is niet een briefje waarop je een paar extra getallen kunt schrijven om meer adresruimte te creëren, en als dat al kon, dan zou nog steeds alle bestaande software die extra getalletjes niet begrepen hebben. Welke oplossing er ook gekozen was, extra configuratie was onvermijdelijk geweest. En een oplossing die had gepoogd backwards compatibel te zijn (wat nooit echt had kunnen lukken), zou een veel complexere (waarschijnlijk meerlagige) architectuur opgeleverd hebben, met daarbij nog allerlei complexe netwerkcomponenten om de beperkingen die die oplossing met zich had meegebracht te omzeilen.

zx9r_mario @Marve79 • 22 december 2021 21:27

Dat doet Ziggo allang met CGNAT

RJG-223 @Marve79 • 23 december 2021 00:05

En toch blijf ik erbij dat IPv6 minder gebruikersvriendelijk is en veel complexer dan 4.

Kun je uitleggen waarom IPv6 complexer is dan IPv4 ? Is het enkel de langere adressen met niet alleen gewone getallen, maar ook de letters a t/m f erin waardoor ze minder goed leesbaar zijn ? Of is het iets anders ?

Had het even simpel/straight forward geweest dan zou dat de adoptie zeker versneld hebben.

Kun je zeggen welke aspecten er concreet anders hadden moeten zijn ? 'even simpel/straight forward' klinkt nogal abstract / vaag - het is lastig voor anderen om zich een voorstelling van te maken van wat je bedoelt.

SambalBij @RJG-223 • 23 december 2021 12:38

De langere adressen zijn nog het minste probleem met IPv6... Het is alle random meuk die er omheen hangt. Waarom verschillende adresseringsmechanismes als DHCPv6 én router advertisements?
Waarom verplichte fe80 link-local adressen als je een reguliere range in gebruik hebt? Waarom adressen automatisch genereren obv je MAC adres? Vast leuk voor facebook om je over de hele wereld te volgen, bye bye privacy.

De bedenkers van deze draak van een systeem hebben iets te veel het KISS principe uit het oog verloren. Het maakt alles nodeloos ingewikkeld, onoverzichtelijk en onbeheer(s)baar. En daarmee gevaarlijk.

RJG-223 @SambalBij • 23 december 2021 13:43

Waarom verplichte fe80 link-local adressen als je een reguliere range in gebruik hebt?

Dat is nodig in plaats van ARP. Waarom dat beter geacht werd, weet ik zo niet.

Waarom adressen automatisch genereren obv je MAC adres?

Zover ik weet is dat niet verplicht. Ik gebruik thuis gewoon <prefix>::1, <prefix>::2 etc.
Een heel groot voordeel is dat er in een eenvoudig (thuis)netwerkje geen DHCP-achtige servers meer nodig zijn. Gewoon kabel inprikken, of WiFi verbinding maken, lokaal IP adres configureren, wachten op router advertisement met prefix, global adres configureren, en je kunt surfen. En het MAC adres is uniek, en gekoppeld aan de PC. Dus je weet ook dat je een uniek adres hebt, dat niet verandert - zelfs als je het OS opnieuw installeert. Erg makkelijk in een bedrijfsomgeving waar 1000en PCs, of meer, beheerd worden.

Vast leuk voor facebook om je over de hele wereld te volgen, bye bye privacy.

Dat klopt niet. Voor uitgaande verbindingen genereert het OS (in principe - je kunt het ook uitzetten) elke dag of zo een nieuw adres. En bij elke reboot of netwerkwissel. Dus je kunt niet op basis van je IP-adres gevolgd worden.

De bedenkers van deze draak van een systeem hebben iets te veel het KISS principe uit het oog verloren. Het maakt alles nodeloos ingewikkeld, onoverzichtelijk en onbeheer(s)baar. En daarmee gevaarlijk.

Die bedenkers weten beslist meer van netwerkprotocollen dan jij, waar de pijnpunten liggen in bestaande netwerken (dwz zoals het was eind vorige eeuw), wat in de praktijk wel en niet werkt, etc. En er komt veeeel meer kijken bij het ontwerp van een goed en bruikbaar netwerkprotocol dan jij waarschijnlijk maar kunt vermoeden.

Ik vermoed dat het voor jou, en vele anderen) vooral een probleem is van onbekend maakt onbemind. IPv4 heeft hele grote nadelen (afgezien van de beperkte adresruimte), maar die vergeet je voor het gemak even.

Als IPv6 onoverzichtelijk is, is dat vooral een gebrek aan kennis en ervaring. Als het gevaarlijk is komt dat doordat mensen met te weinig kennis van zaken niet weten wat ze doen. Dat heb je ook met IPv4. Maar dat kent iedereen inmiddels wel.

Marve79 @RJG-223 • 23 december 2021 08:18

Inderdaad, een adres onthouden is heel lastig bij IPv6. Ja daarvoor heb je DNS maar in een bedrijfssituatie doe je vaak zaken nog op IP adres. En daar is IPv4 een stuk handiger. Dus bij bedrijven zie je dat er eigenlijk sowieso nergens IPv6 wordt gebruikt.

Dan heb je nog die afkortingen, met :: en :, dat blijf ik soms toch lastig vinden wanneer dat wel en niet kan.

Ik ben weleens aan de slag gegaan met een /48 om die gerouteerd te krijgen en op te splitsen in /64's met opnsense. Dat viel ook alles behalve mee. Met IPv4 is het adres/subnet/gateway en het werkt.

Ik had het makkelijker gevonden wanneer IPv6 gewoon 1.2.3.4.5.6 was geweest, maarja dan waren er weer te weinig adressen.

RJG-223 @Marve79 • 23 december 2021 12:11

Ik had het makkelijker gevonden wanneer IPv6 gewoon 1.2.3.4.5.6 was geweest, maarja dan waren er weer te weinig adressen.

In dat geval was het waarschijnlijk minstens iets als 101.102.103.104.105.106.107.108 geworden, en waarschijnlijk (?) zelfs 101.102.103.104.105.106.107.108.109.110.111.112.113.114.115.116...

Ik denk verder dat het ook deels gewoon wennen is. Thuis gebruik is waar nodig handmatig geconfigureerde adressen van de vorm <prefix>::1, <prefix>::2, etc. Als je ze makkelijker wilt kunnen onthouden, dan is dat een optie... De kans dat dat een conflict oplevert is nul (tenzij twee mensen dat onafhankelijk van elkaar in dezelfde prefix doen). En dan kun je zelfs ook je /64 prefix nog verder opsplitsen naar bijv /96, /120, of nog verder als je dat wil.

Marve79 @RJG-223 • 23 december 2021 12:24

Ja inderdaad, maar het is ook omdat je er niet mee werkt dat het wat complexer lijkt. Mens kan niet zo goed tegen veranderingen. Als het eenmaal standaard is vind ik IPv4 waarschijnlijk complex en gedateerd.

GertMenkel

Nederland

@Marve79 • 22 december 2021 22:15

Is het zo complex? Ik vind de IPv6-stack niet complexer dan de IPv4-stack. Sterker nog, ik vind hem juist simpeler. Het zijn de DS-Lite providers die je leven als IPv6-gebruiker onnodig moeilijk maken in de praktijk.

Het enige dat IPv4 makkelijker doet is IP-adressen in je hoofd bewaren, maar daar krijg je de teringbende die NAT heet voor terug.

e.dewaal

@GertMenkel • 23 december 2021 02:34

Ik ben het volledig met je eens. Ik heb dit recent al wat meer onderzocht omdat ik het plan had om als test IPv4 volledig de deur uit te doen, en alles met IPv6 te doen. Hier hebben ze mooie systeempjes voor bedacht, genaamd NAT64 en DNS64. Dit brengt helaas echter wel wat interessante problemen met zich mee.

Door het gebruik van DNS64 maak je DNS verantwoordelijk voor een stukje routing.
Het schend de standaard van DNSSEC, het DNS-antwoord is veranderd onderweg. Resultaat is een ongeldig antwoord of een beveiligingsmelding voor een man-in-the-middle aanval
Rechtstreekse verbinding naar een ipv4 adres is niet mogelijk, enkel naar een ipv4 adres over DNS.
Extern IPv4 verkeer kan geen verbinding meer maken met de IPv6 only hosts. Hier is ook weer een oplossing voor genaamd SLB46.

Ik zou er snel voor tekenen, IPv6 only. Goede vooruitgang bij de overheid. We komen steeds dichter bij.

GertMenkel

Nederland

@e.dewaal • 23 december 2021 11:08

Ik denk dat het helemaal afdoen van IPv4 niet realistisch is, uiteindelijk zal de overgang in de praktijk iets van CG-NAT betekenen, denk ik. Nu hebben we in Nederland nog IPv4-adressen genoeg, maar op termijn worden die ook gewoon verkocht.

DNS64 heeft inderdaad wat problemen, maar ik weet niet of dat per se nodig is. De translatie van IPv4 naar IPv6 via een gateway kan in mijn ogen ook gewoon op de host gebeuren na het verifiëren van de DNSSEC data.

NAT64 is geen mooie oplossing, maar NAT op deze wijze is ook al wat we allemaal al jaren gebruiken voor IPv4. Er is geen directe verbinding nee, maar die heb je nu de helft van de tijd ook al niet. Of het nu de router is die je interne IP omschrijft of je ISP die je publieke IP omschrijft maakt op dat gebied niet zoveel uit. Alleen de andere kant op gaat het verkeerd, maar daar ontkom je niet aan.

Ik denk dat we IPv4 houden op dezelfde manier dat we nog steeds NETBIOS gebruiken op moderne systemen: compatibility met oud spul. We komen er nooit van af, maar dat hoeft ook niet per se.

thutex @Marve79 • 23 december 2021 00:49

heb zelf 2 issues met ipv6:
- je gaat nooit-van-je-leven het ip adres van elk van je toestellen meer kennen
- en het is nogal vervelend te implementeren op de firewall als je je netwerk erachter (bovenstaande reden) op v4 wil houden

nog een leuke die ik ook vaak hoor is "als je je hosts wil bereiken, hoef je het ip niet te kennen, daar heb je dns voor"....
maar dat zijn dus de mensen die nooit gehoord hebben van de dns haiku

RJG-223 @thutex • 23 december 2021 01:21

heb zelf 2 issues met ipv6:
- je gaat nooit-van-je-leven het ip adres van elk van je toestellen meer kennen

Je kunt in principe het host-gedeelte handmatig toekennen (ik weet overigens niet of alle OSen dat ondersteunen). Dan krijg je <prefix>::1, <prefix>::2, etc. Dat maakt het makkelijk genoeg - de prefix kun je makkelijker onthouden, en die is toch ook al op elk toestel geconfigureerd.

- en het is nogal vervelend te implementeren op de firewall als je je netwerk erachter (bovenstaande reden) op v4 wil houden

Op welke manier is dat lastig ?

thutex @RJG-223 • 23 december 2021 19:33

je zou idd een deel vast kunnen zetten en indelen naar prefix:vlan:host, maar dan nog onthou ik van mijn leven de gehele prefix niet om die snel ff in de browser in te tikken als er dns issues zijn, of herken ik het nog steeds veel minder snel als ik mijn firewall logs aan het live-volgen ben.

ivm het internet <=> firewall v4/v6 => intern netwerk v4, ik heb nog geen echte manier gevonden om dat te bereiken met opnsense.
is ondertussen alweer even geleden, en ondertussen heb ik ook een provider met een fixed v6 prefix voor me (want ja, de meeste providers in BE vinden het logisch om ook je v6 dynamisch toe te kennen natuurlijk)
zat altijd vast dat de translation niet lukte, ofwel dat het interne netwerk toch v6 toegekend kreeg

jordynegen11 @Marve79 • 22 december 2021 21:21

Het is hier nog niet heel erg aan de orde, mede omdat de grote providers in NL al miljoenen IPv4 adressen hebben. Maar in het buitenland zijn er al heel veel providers die nat gebruiken of zelfs IPv6 only.

YoMarK @Verwijderd • 22 december 2021 22:23

Wie is 'ze'?
Wellicht heb je het artikel niet gelezen, maar het gaat over MS Exchange online.

Verwijderd @YoMarK • 22 december 2021 22:41

Nou, lijkt me de overheid hè?
Die draaien die spullen toch? 🤷🏻‍♂️

tweaker2010 @Verwijderd • 23 december 2021 08:48

Er wordt binnen de overheid nog volop Exchange on-prem gebruikt. Exchange online staat nog in de kinderschoenen..

dasiro @brobro • 22 december 2021 20:31

"never change a running system" het werkt nog goed over IPv4 en er zijn (nog) geen problemen mee?

Polderdijk @dasiro • 22 december 2021 21:16

Tot jouw belangrijkste klant een IPv6 only infrastructuur krijgt omdat die geen IPv4 adres meer kan krijgen. Jammer, maar dan moet alles toch per post verzonden worden.

En zo nog legio andere voorbeelden op te noemen.

Zer0 @Polderdijk • 22 december 2021 22:54

Ja, en jouw bedrijf gaat ipv6 only gebruiken terwijl je nog klanten op ipv4 hebt?
Het werkt twee kanten uit....

Polderdijk @Zer0 • 22 december 2021 22:57

Tja, ligt eraan waar je zaken doet. In de opkomende landen is IPv6 only al aardig op gang, er is immers geen andere mogelijkheid.

Dan is het geen kwestie van een keuze hebben

Zer0 @Polderdijk • 22 december 2021 23:17

Vaak gehoord, nog niet mee te maken gehad, dus ik zou graag wat onderbouwing van dat statement zien.

merlin_nl @Zer0 • 23 december 2021 19:28

Toevallig gaat o.a Hetzner per 1-1-2022 elke VPS, Dedi en colocated server enkel en alleen met IPv6 opleveren, IPv4 moet je dan bijkopen.
Zo gaan er nog meer partijen langzaam die kant op.

Zer0 @merlin_nl • 23 december 2021 20:02

Dat is dus niet ipv6 only, maar ipv6 standaard.
Dan had je beter TransIP als voorbeeld kunnen nemen, die bieden ipv6 only vps'en aan, al zijn die voornamelijk gericht op ontwikkelaars, niet voor productie-systemen.
plan: SandboxVPS: voor een klein bedrag een laagdrempelige IPv6-only vps voor...

RJG-223 @Zer0 • 23 december 2021 00:42

Ja, en jouw bedrijf gaat ipv6 only gebruiken terwijl je nog klanten op ipv4 hebt?
Het werkt twee kanten uit....

Niet IPv6-only. Maar als jij klanten / leveranciers wilt bereiken die IPv6-only zijn, dan zul je zelf ook via IPv6 moeten communiceren.

Nu is eerlijk gezegd voor mensen/bedrijven in europa of amerika de kans op dit moment en voor de niet al te verre toekomst (nagenoeg?) nul dat je waardevolle potentiële zakelijke contacten zult verliezen als je niet via IPv6 bereikbaar bent

Edit: Wat ik zei in de eerste zin klopte niet helemaal.

[Reactie gewijzigd door RJG-223 op 24 juli 2024 00:18]

orvintax @jjeggink • 22 december 2021 22:04

Een op een gaat dat niet aankomen nee.

RJG-223 @jjeggink • 23 december 2021 01:05

Want email van IPv4 komt niet aan op IPv6 systeem ofzo

Inderdaad niet. En het 'leuke' is, dat het andersom in principe wel mogelijk is. Je zou dus een mailtje kunnen ontvangen van een IPv6-only persoon/bedrijf, en (als IPv4-only persoon/bedrijf) niet in staat zijn een mailtje terug te sturen. Zelfde met websites.

Met er een soort generieke 'vertaalserver' is ergens in het netwerk, is het mogelijk dat elke IPv6-only machine een verbinding legt naar een willekeurig IPv4 adres. Andersom kan niet. Andersom moet er voor elke IPv6-only server specifiek een IPv4 adres geconfigureerd worden waarmee die dan via IPv4 bereikbaar is. Maar dat zal nooit voor alle IPv6 servers kunnen.

jjeggink

@RJG-223 • 23 december 2021 09:09

Kijk, dat is een uitleg waar ik iets mee kan. Ik had juist gedacht dat het probleem van IPv6 naar IPv4 zou optreden, want van langer adres naar korter vertalen, waar alle IPv4 adressen in de IPv6 ruimte passen. Geinig hoe dingen precies andersom kunnen werken van wat je dacht.

RJG-223 @jjeggink • 23 december 2021 11:52

Ik had juist gedacht dat het probleem van IPv6 naar IPv4 zou optreden, want van langer adres naar korter vertalen, waar alle IPv4 adressen in de IPv6 ruimte passen.

Ik snap niet hoe je dat bedoelt ? Ik heb de indruk dat je de juiste gedachte had, maar de verkeerde conclusie ?

Het punt dat IPv6 veeeeeeeeeel meer adressen heeft. Je kunt dus voor elk mogelijk IPv4 adres een IPv6 adres reserveren. Een IPv6-only host kan dan proberen verbinding te leggen met zo'n gereserveerd IPv6 adres. Een geschikte vertaalserver (daarvan kunnen er velen zijn), kan dan die pakketjes opvangen, vertalen naar IPv4, waarbij hij het gewenste IPv4 adres distilleert uit het opgegeven IPv6 adres, en doorsturen naar de IPv4-only host. De IPv4-only host denkt dan dat ie een verbinding binnenkrijgt vanaf de vertaalserver, stuurt een antwoord, dat de vertaalserver weer terug vertaalt, en doorstuurt naar de IPv6 host. Eigenlijk precies zoals NAT op IPv4 ook werkt, waarbij de tegenhanger van het IPv6 netwerk jouw eigen thuisnetwerkje is, en de tegenhanger van het IPv4 internet, het internet is zoals we dat nu al hebben.

Omdat de IPv6 adresruimte niet in de IPv4 adresruimte past, kan het andersom dus niet. Dan zou de IPv4-only host wel een verbinding moeten opzetten naar de vertaalserver, maar dan weet de vertaalserver nog steeds niet welk IPv6 adres gewenst is. En er is ook geen makkelijke manier om dat aan de vertaalserver te vertellen. Nu kun je daar dan wel weer truukjes voor verzinnen, maar dan zijn er andere oplossingen die makkelijker zijn (bijv een automatische IPv6 tunnel over IPv4 - dan moet je eigen machine wel IPv6 ondersteunen).

jjeggink

@RJG-223 • 23 december 2021 13:46

[...]
Het punt dat IPv6 veeeeeeeeeel meer adressen heeft. Je kunt dus voor elk mogelijk IPv4 adres een IPv6 adres reserveren.

Omdat de IPv6 adresruimte niet in de IPv4 adresruimte past, kan het andersom dus niet.

Precies hierom. Omdat alle IPv4 adressen binnen de IPv6 adresruimte passen, zou ik dus denken dat de vertaalslag van IPv4 naar IPv6 eenvoudig te maken is. Maar ik jouw uitleg zo lees, is het precies omgekeerd. Vanuit een IPv6 adres is een IPv4 adres te distilleren, maar van een IPv4 is een schiereindeloze reeks IPv6 adressen te maken. En daar ging ik dus de mist in met mijn conclusie.

HKLM_ 22 december 2021 20:12

Goede zaak, nu nog DANE en DNSSEC support afronden dit jaar zoals afgesproken voor EXO

Jammer die is een jaar uitgesteld https://www.microsoft.com...filters=&searchterms=Dane voor inbount

[Reactie gewijzigd door HKLM_ op 24 juli 2024 00:18]

Verwijderd @HKLM_ • 22 december 2021 20:48

Amen, Microsoft is op de goede weg en nu maar hopen dat ze ook de resterende (verplichte) standaarden gaan ondersteunen. En uiteraard zullen andere grote moderne werkplek aanbieders dan volgen.

djiwie 22 december 2021 23:51

Mooi dat het ze gelukt is. Ik heb een paar maanden geleden wekenlang heen en weer gemaild met support van Office365 om dit voor elkaar te krijgen, maar ik kreeg de support engineers maar niet aan het verstand dat als je geen IPv6 adres terugkrijgt bij het resolven van de MX records het verder niet heel zinvol is om IPv6 mailverkeer toe te staan

Verwijderd 22 december 2021 20:10

Anno 2022 mocht dat ook wel eens tijd worden ja... 🙈

Verwijderd @Verwijderd • 22 december 2021 20:41

Inderdaad, maar de werkelijkheid is complexer dan de theorie. Iedere Microsoft tenant (omgeving) maakt gebruik van dezelfde beveiliging als de facto standaard van Microsoft. Die is al beter dan menig leverancier. Beveiligingstechnieken als DANE vereisen een certificaat welke verbonden is aan de organisatie, iets wat Microsoft niet individueel aanbied aan tenant. Ze zorgen juist dat dit algemeen beschikbaar is (voor iedere tenant met een algemeen Microsoft certificaat). Is dit slecht? Nee, maar de overheid krijgt deze standaard als verplichting opgelegd. Waar ze dan weer niet aan kunnen voldoen als ze naar Exchange online gaan.

Het is fijn dat Microsoft naar deze verzoeken luistert en hier iets mee doet.

Tegelijkertijd is het jammer dat onze overheid zo vendor locked-in is op Microsoft. Ze worden tevens door Microsoft verplicht om te verhuizen naar Exchange online omdat dit anders ongelofelijk duur is. On-premise licenties worden ieder jaar weer meer onbetaalbaar. Geeft een gemixed gevoel.

Verwijderd @Verwijderd • 22 december 2021 20:53

De werkelijkheid complex? De werkelijkheid is dat ze hier 22 jaar geleden al aan hadden kunnen beginnen!
Net als vele andere bedrijven, ik neem Ziggo als voorbeeld waar we pas sinds 3 weken IPv6 kunnen gebruiken als klant. Sinds 2000 hebben we het met tunnels van Sixxs en HE moeten doen als gebruikers. De VPS en Cloud markt staat gelukkig al langer op IPv6, dus je servers konden het prima aan.

En de overheid: die heeft hier een voorbeeld in, die horen dit dus zeker al 10 jaar aan te bieden.

Verwijderd @Verwijderd • 22 december 2021 20:59

Eens, maar wat moeten ze dan? Hun leveranciers forceren Microsoft (mogelijk door MS zelf, maar dat terzijde). De standaard gemeente zitten er tussenin en tegelijkertijd forceert de overheid (door middel van forum standaardisatie) dat ze het zelf maar moeten regelen.

Verwijderd @Verwijderd • 22 december 2021 21:02

Dit had gewoon in de aanbesteding als eis moeten staan

Jammer als Microsoft het niet kan leveren, dan kies je dus voor een ander.
Als een leverancier daardoor grote klanten mis loopt, gaan ze vanzelf hun zaken op orde brengen.

Dat is nou net de kracht van overheden, maar die hebben dus ook zitten slapen.

Scriptkid @Verwijderd • 22 december 2021 23:19

Maar MS levered dit al sinds 2019 aan alle klanten?

Blijkbaar weten veel engineer niet dat het gewoon kan.

Verwijderd @Verwijderd • 22 december 2021 23:47

dan kies je dus voor een ander.
Find maar eens een leverancier om begraafplaatsen te beheren. In. Nederland zijn er twee die even erg zijn.

djiwie @Verwijderd • 22 december 2021 23:15

No offence, maar ik heb al 3 jaar IPv6 bij Ziggo. Dat ze het gefaseerd en laat hebben gedaan is dan wel weer waar, vroeger bij xs4all had ik al jaren ipv6...

Verwijderd @djiwie • 22 december 2021 23:26

In bridge mode pas sinds 1-12-2021 mogelijk. Xs4all levert hier helaas geen bruikbare lijn, dus verplicht ziggo. 🙈

djiwie @Verwijderd • 22 december 2021 23:52

Nou, nu XS naar KPN is gegaan schiet dat toch niet meer op

Vaevictis_ 22 december 2021 20:51

Inderdaad DNSSEC was de meest gevraagde feature voor Azure antwoord van MS was "zoek een andere DNS service provider". Schandalig...

zx9r_mario @Vaevictis_ • 22 december 2021 21:29

Binnen 1 uurtje heb je een PowerDNS cluster opgezet met DNSSEC.

GertMenkel

Nederland

@zx9r_mario • 22 december 2021 22:18

Dat klopt op zich, maar een PowerDNS servertje in je kelder is niet bepaald genoeg voor een overheid.

De Amerikanen lopen hopeloos achter op DNSSEC-gebied. Amazon biedt het nog maar sinds kort aan en had ook meteen een behoorlijke bug die bij sommige klanten (zoals Slack) downtime veroorzaakte. Het is hoog tijd dat Microsoft zijn DNS fixt.

[Reactie gewijzigd door GertMenkel op 24 juli 2024 00:18]

Plompie 23 december 2021 07:00

Nu de internet providers nog

ouweklimgeit @Plompie • 23 december 2021 08:45

En de hardware.. Heb hier een Ubiquiti UDM Pro rechtstreeks aan de KPN glasvezel aansluiting gekoppeld en no way dat hij een IPv6 toegewezen krijgt. Standaard modem werkt prima, maar een machine van 350 euro krijgt het niet voor elkaar.

TheToolGuy @ouweklimgeit • 23 december 2021 10:17

Hier heb je misschien wat aan:

https://www.vanachterberg...teway-kpn-ftth-iptv-ipv6/

https://www.vanachterberg...-kpn-iptv-vlan/index.html

ouweklimgeit @TheToolGuy • 23 december 2021 11:18

Thanks voor je reactie, dit gaat om de USG (Unify Security Gateway), daar werkt het prima, ook bij mij want dat was de voorganger van de UDM. De UDM Pro is het probleemgeval helaas.

TheToolGuy @ouweklimgeit • 23 december 2021 15:20

Jammer, ook niet om te katten ?

Ikzelf heb ook een USG, en als het een beetje mee zit krijg ik ergens in juli/augustus ftth ...

Onderstaande is voor de UDM Pro ...

https://github.com/bruvv/...m-pro/blob/main/README.md

[Reactie gewijzigd door TheToolGuy op 24 juli 2024 00:18]

bvo2411 @ouweklimgeit • 27 december 2021 12:42

Uit ervaring kan ik zeggen, dat IPv6 op een KPN netwerk, met een UDM pro "gewoon" mogelijk is.

Verwijderd 22 december 2021 20:21

nou hup t-mobile, wordt wel eens tijd voor jullie ook

mfrank66 @Verwijderd • 22 december 2021 21:42

En Caiway ook graag over naar ipv6

SpoekGTi 22 december 2021 22:35

Niet alleen de overheid moet een support aanvraag doen voor ipv6 hoor dat moet iedereen doen die het wil gebruiken. Nou niet net doen of de overheid nou zo’n speciaaltje is.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (83)

Sorteer op:

Weergave: