Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

SIDN: impact eventuele routeerbaarheid 127.0.0.0/8-reeks is enorm

De SIDN wijst er op dat het voorstel om alleen de 127.0.0.0/16-reeks van IP-adressen nog voor loopback te behouden, geen 'kleine verandering' betreft, zoals de opstellers van de internet draft stellen. Het voorstel moet miljoenen IPv4-adressen vrijmaken.

SIDN wijst op de gevolgen als het grootste deel van de 127.0.0.0/8-reeks vrijgegeven wordt, zoals deelnemers van het IPv4 Unicast Extensions / Cleanup Project willen. "Het vereist aanpassingen in de netwerkstacks van alle hosts, in alle netwerkhardware en in alle netwerksoftware. Grootste problemen zullen zijn dat de vrijgekomen adressen in de praktijk niet bruikbaar blijken te zijn vanwege gebrekkige routering/acceptatie, en dat software die voorheen alleen lokaal toegankelijk was ineens van buitenaf benaderd kan worden." De stichting benoemt verder de kritiek dat het makkelijker is om IPv6 te implementeren.

In een Internet Draft stellen auteurs voor om alleen de 127.0.0.0/16-reeks nog voor loopback te behouden. De reeksen van 127.1.0.0 tot en met 127.255.0.0 zouden dan beschikbaar komen als reguliere unicast-adressen. Dankzij de stap, die de auteurs een 'kleine verandering' noemen, komen dan 16 miljoen IPv4-adressen beschikbaar. Dit zou enige verlichting brengen, want er is een toenemend tekort aan IPv4-adressen.

Tot nu toe is het 127.0.0.0/8-blok nog geheel gereserveerd voor loopbacktoepassingen. De adressen zijn intern binnen systemen in te zetten voor routering, met 127.0.0.1 als localhost, maar zijn van buitenaf niet te benaderen. Als de leden van het IPv4 Unicast Extensions / Cleanup Project hun zin krijgen, verandert dat. Overigens gaat het om slechts een van de voorstellen van de project-deelnemers: de deelnemers willen op allerlei manieren in totaal 419 miljoen IPv4-adressen vrijmaken.

De Internet Draft maakt volgens SIDN duidelijk hoe hoog de nood is wat betreft de tekorten aan IPv4-adressen. Volgens IPv4 Market Group nam het bedrag dat voor een IPv4-adres wordt betaald in de tweede helft van 2021 flink toe. Techgiganten als Microsoft, Google en Oracle zouden IPv4-adressen opkopen. Amazon zou zo'n 100 miljoen IPv4-adressen hebben, die door de prijsstijging een waarde van 2,5 miljard dollar vertegenwoordigden. Amazon betaalde in 2020 108 miljoen dollar voor 4 miljoen IPv4-adressen van radioamateurs.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

21-01-2022 • 13:48

329 Linkedin

Submitter: :murb:

Reacties (329)

Wijzig sortering
Waarom toch die weerstand tegen IPv6 door allerlei partijen?
Voer die IPv6 implementatie nu eens door, dan zijn we van NAT af en van alle ellende van de IPv4 tekorten.
Wat ik mij afvraag bij ipv6 is of elk apparaat dan rechtstreeks door het boze internet te benaderen is en vooral uniek te identificeren?

Edit: Bedankt voor de verduidelijkingen iedereen!

[Reactie gewijzigd door StGermain op 21 januari 2022 14:34]

uniek te indentificeren wel, dat is juist ook weer een voordeel.
Maar niet elk apparaat is te bereiken door het boze internet.
Je kan de beveiliging zelfs veel beter maken.

Situatie met IPv4:
In je firewall zeg je dat verkeer van buiten naar binnen mag op TCP 443.
En blok vervolgens al het andere.
Vervolgens geef je aan dat TCP 443 geNAT moet worden naar intern ip 10.10.10.10.

Situatie met IPv6:
In je firewall zeg je dat verkeer van buiten naar 2001:981::1234 TCP 443 door mag.
En blok vervolgens al het andere.

Situatie met IPv6 is véél overzichtelijker en daardoor al veiliger.
Maar... je kan met IPv6 ook zeggen, ipv verkeer van buiten naar....
Verkeer vanaf mijn mobiel (ieder device krijgt nl. een eigen IPv6) mag van buiten naar mijn 443.
Dus verkeer van 2001:981:4:1212 naar 2001:981::1234 TCP 443 mag door.
Ter aanvulling op @HellStorm666 :

Uniek te identificeren, daar staat ook iets voor spec onder de privacy extensions voor stateless autoconfiguration.

IPv6 heeft iets nieuws, en dat is dat er geen DHCP meer nodig is (ondersteuning is nog echter wel). Apparaten kunnen ook zelf een IPv6 adres aannemen (SLAAC), wat gebaseerd is het MAC adres. Bovendien is er nog één ander groot verschil t.o.v. IPv4, namelijk dat een netwerk interface meerdere adressen kan hebben.

Neem nu als praktijk voorbeeld de combinatie Ziggo IPv6 en Windows. Van Ziggo krijg je meerdere IPv6 subnetten toegekend via DHCPv6 prefix delegation (DHCPv6). Je Ziggo router neemt hier één subnet uit, maar gebruikt verder geen DHCP om deze adressen uit te delen onder de clients.

Middels SLAAC neemt Windows zelf een IPv6 adres uit het subnet gekozen door de router. Het gekozen IPv6 adres is "vast" zolang het subnet niet veranderd en is gekozen basis van het MAC adres. Echter doet Windows standaard ook aan tijdelijke IPv6 adressen. Het kent zichzelf nog een extra IPv6 adres toe waarmee het communiceert naar de buitenwereld (ook wel de "Temporary IPv6 address" als je kijkt in ipconfig). Dit adres veranderd periodiek. Hiermee vervalt de privacy issue dat elk apparaat uniek te identificeren is.

Ter aanvulling op @Groentjuh :

Mocht je bang zijn dat je apparaten geen IPv6 adressen meer krijgen omdat je ISP eruit ligt? Zorgelijke situatie in geval van thuisnetwerken met home automation of servers zoals een NAS. Gelukkig is daar nog altijd IPv4 voor. Wil je extra hip zijn? Aangezien IPv6 interfaces meerdere adressen kunnen aannemen, kun je je router nog eens laten advertisen met private IPv6 subnet in de range fd00::/8 (vergelijkbaar met de 192.168.0.0/16). Helaas een optie die je vaak alleen bij prosumer+ ziet of custom firmwares.
Middels SLAAC neemt Windows zelf een IPv6 adres uit het subnet gekozen door de router. Het gekozen IPv6 adres is "vast" zolang het subnet niet veranderd en is gekozen basis van het MAC adres.
Heb 20 jaar geleden al eens een netwerk probleem gehad waarbij de oorzaak bleek dat ik 2 verschillende netwerk kaarten had met hetzelfde MAC adres. (Nee, die waren toen niet in te stellen.) Neem aan dat de fabrikant dacht dat ze toch niet in hetzelfde subnet zouden komen.
Hoe ga je daar mee om als je MAC ook nog je IP bepaalt?
Niet, twee dezelfde MAC-adressen mag ethernetniveau niet voorkomen, dus op IP-niveau kan er vanuit gegaan worden dat het MAC-adres uniek is. Heb je toch twee kaarten met hetzelfde adres, dan heb je een communicatieprobleem op ethernetniveau en moet je eerst dat oplossen voordat je naar IP kunt gaan kijken.
Al zou je ze een ander IP adres geven gaat het nog niet werken aangezien je switch MAC gebruikt om ethernet pakketten door te sturen d.m.v. een ARP tabel.
Het gebruik van IPv6 is voor mijn kleine mensenbrein behoorlijk ingewikkeld.
Bij IPv4 weet ik precies naar wel apparaat ik kijk als ik de reeks zie.

het argument dat ieder apparaat zijn eigen adres krijgt en dat het daardoor overzichtelijker en veiliger zou zijn slaat werkelijk nergens op.
Overzichtelijker voor de Big Data trackers, ja, dat dan weer wel.

Er wordt werkelijk alles aan gedaan om het internet zo ondoorgrondelijk en ingewikkeld als mogelijk te maken voor de gewone man, zodat het bijna onbegonnen werk is om jezelf en je privacy te beschermen.

Als er nu eens begonnen wordt met ieder bedrijf dat meer dan 1000 IP-adressen heeft te verplichten om alle adressen die zij te veel hebben terug te geven, dan kunnen we weer jaren vooruit. Persoonlijk mogen ze van mij alles boven de tien adressen teruggeven, zolang ze natuurlijk geen IP-gerelateerde diensten aanbieden. Dus alleen IPSs, VPN en Hosting providers, en onder de voorwaarde dat zij de adressen aan klanten toewijzen. Als je meer dan tien adressen nodig hebt dan gebruik je maar IPv6 of dan NAT je de hele boel maar, net zoals iedereen dat thuis ook doet zonder enig probleem.

Dat was een beetje off-topic...

on-topic; wat een vreselijk dom idee.
IPv6 is ook nodeloos ingewikkeld en dat hindert de acceptatie. IPv4 is lekker straight forward. Je kunt IP's van buiten leren. IPv6 is (logischerwijs) ontworpen door geeks en daardoor moeilijk te begrjjpen voor de huis, tuin en keuken computeraar.

Ik heb zelf een /48 IPv6 en ik heb weleens een omgeving opgezet en dat proberen te splitsen en te routeren met opnsense. Met IPv4 is alles twee klikken en het werkt. Iedere keer wanneer ik met IPv6 bezig ben beginnen m'n hersens te koken. Maar misschien ben ik gewoon te dom om het te snappen.
Nee, het is niet veel ingewikkelder dan IPv4. Alleen is het gewoon nog niet ingesleten. Bijvoorbeeld de vele manieren waarop IP's uitgedeeld of gekozen worden is verwarrend.

Toen we van IPX/SPX (dat gewoon altijd werkte, niets aan in te stellen) naar IPv4 gingen was dat voor veel mensen niet makkelijk. Ook omdat de eerste routers voor consumenten niet zo simpel waren als nu. Bijvoorbeeld was NAT helemaal niet zo standaard.

Velen installeerden software op een computer die dan 'gateway' was bijvoorbeeld. Soms zelfs dial-on-demand. Ik weet niet precies meer hoe die rommel heette. En dan moest je dhcp dan dat gateway IP adverteren.

Dat was toen nodig, anders was er geen internet, dus je ging door die leercurve. Nu hebben we IPv4 als remmende voorsprong, met allemaal standaard practices die daaromheen zitten, zoals standaard dhcp, DNS resolving proxy, wat een 'DMZ' is, NAT, uitgebreide support voor nare protocollen als FTP in de router, en UPnP (barf).

IPv6 lost al die problemen op een andere manier op. En dat is soms nogal onhandig als je denkt vanuit IPv4 mindset. Vooral omdat het voor veel mensen nieuw is, omdat routers niet allemaal dezelfde terminologie hanteren, omdat er veel in te stellen is dat nog niet defacto standaard is.

[Reactie gewijzigd door casberrypi op 23 januari 2022 12:26]

IPv6 is ook nodeloos ingewikkeld en dat hindert de acceptatie. IPv4 is lekker straight forward. Je kunt IP's van buiten leren. IPv6 is (logischerwijs) ontworpen door geeks en daardoor moeilijk te begrjjpen voor de huis, tuin en keuken computeraar.
IPV4 is ook ontworpen door nerds (nee een geek is geen nerd) en jij hebt je er gewoon in verdiept. Daarom begrijp je het nu. Kan je met V6 ook.
Mijn moeder, ook geen nerd, begrijpt V4 ook niet.

Overigens kan je binnen je eigen netwerk je devices ook met naam bereiken als je die hebt gegeven.

[Reactie gewijzigd door Durandal op 22 januari 2022 00:34]

Bij mij gaan ook mijn hersens koken als ik ipv6 moet doen. Dat is meestal een teken dat iets nodeloos ingewikkeld is gemaakt. Er had tijdens het maken van de standaard ook ff iemand mee moeten kijken die het in de praktijk moet uitvoeren.
Gelukkig nog iemand. Het ligt dus niet enkel aan mij. En ik ben er maanden mee bezig geweest he, en nog vind ik het vreselijk :)
Voor je "Ik kan het onthouden" probleem hebben we een oplosisng: DNS
Voor het "trackbaarheid" punt: IPv6 Privacy Extension. Apparaat pakt een psuedo-random adres binnen je subnet en wisselt van adres per <interval>.

En inderdaad: 127.0.0.0/8 routeerbaar maken is een dwaas idee. :)
Blokkeerd een consumenten router standaard all het verkeer naar thuis PCtjes? Of zet hij alles door en is hij afhankelijk dat de Windows Firewall BFE alles netjes filtered?

[Reactie gewijzigd door Yontekh op 21 januari 2022 15:02]

Kleine aanvulling op het verhaal van Equator:
Als standaard is alleen uitgaand verkeer mogelijk is dan lijkt dat veilig, maar eigenlijk is dat maar schijnveiligheid. In veel hacks zal de client een verbinding richting de hacker op zetten zodat het dus een uitgaande verbinding is. Je kan die uitgaande verbindingen monitoren of ip-ranges te blokkeren, maar daar is geen beginnen aan op een consumenten router.

Verder is NAT-traversal (wat Equator de NAT-tabel noemt) een (mogelijk) onveilig verhaal. Neem het opzetten van een videobel verbinding tussen twee clients. Die wordt vaak opgezet doordat beide clients eerst een uitgaande verbinding opzetten naar een "tijdelijke" server zodat er voor de verbinding een vermelding in de NAT-tabel komt - dat opent dus een tijdelijke poort. Vervolgens kan een andere partij een inkomende verbinding met die poort maken, zo komt de videobel verbinding tot stand. Maar als een hacker weet te achterhalen welke poort het om gaat, dan heb je dus wel een probleem.

Door IPv6 te gebruiken kan je het hele NAT (en traversal) verhaal achterwegen laten, en dat komt de beveiliging mogelijk wel ten goede
...en dan is het compleet totaal helemaal onmogelijk om IPs te blokkeren.

Het zal dingen totaal verzieken voor iedereen die nu nog een beetje controle heeft over zijn internet verkeer.
Even aan nemend dat je prefix 2001:db8:123:456::/16 is dan zal een firewall rule als:

ip6tables -I INPUT -s ! 2001:db8:123:567::/16 -j DROP
ip6tables -I FORWARD -s ! 2001:db8:123:567::/16 -j DROP

Ongeveer de hele wereld buiten de deur houden.....
Ik betwijfel niet dat iOS iet dergelijks heeft in Packet Filter en dat de windows Defender het kunstje ook zou moeten kunnen.
En dat is een beveiliging.... NAT is GEEN beveiliging. het is aleen maar een DEFECT in het internet.

[Reactie gewijzigd door tweaknico op 22 januari 2022 19:23]

Een consumenten router maakt gebruik van Network Address Translation. Hij verstopt alle uitgaande pakketjes achter zijn eigen externe IP adres en houdt daar een NAT-tabel van bij. Alleen terugkomend verkeer herkent hij op basis van zijn NAT-tabel en routeert het pakketje dan naar het originele client IP.

Zomaar inkomend verkeer zal hij niets meer doen en komt dus ook niet bij de thuis PC aan. Tenzij je expliciet een poort gemapped hebt naar binnen. Of als je het interne IP adres als - zoals sommige routers
het noemen - als een "DMZ host" hebt ingesteld.

Even in een notendop. Er is nog veel meer over te vertellen.

[Reactie gewijzigd door Equator op 21 januari 2022 15:31]

Een consumenten router gebruikt NAT voor IPv6 verkeer?
Dat zeg ik niet, dit was vooral over IPv4. verder ligt een beetje aan het type verbinding. En het gaat ook wat ver om het helemaal uit te schrijven.

Maar een router die routeert tussen IPv6 aan de WAN kant en IPv6 aan de LAN kant zal geen NAT doen. Dat hoeft ook niet want NAT is 'uitgevonden' om meerdere (rfc 1918) IPv4 adressen te verstoppen achter een enkele IPv4 adres. Vooral omdat deze rfc 1918 adressen niet routeerbaar zijn op het Internet. Dat is in het geval van IPv6 niet meer noodzakelijk omdat IPv6 adressen vanuit de basis allemaal routeerbaar zijn (uitzonderingen daargelaten). Van NAT is waarschijnlijk wel sprake als een van de kanten een andere IP versie gebruikt.

Dus in theorie:
Een consumenten router met (rfc 1918) IPv4 aan de LAN kant en IPv6 aan de WAN kant die NAT gewoon.
Een consumenten router met IPv6 aan de LAN kant en IPv4 aan de WAN kant die zal ook natten. (ongebruikelijk afaik)

Maar * Equator is geen IPv6 expert, dus ik kan het ook fout hebben. Als je meer kenis zoekt over IPv6, kijk dan eens op Het grote IPv6 topic
.edit: oeps, oud artikel :$
Een consumenten router met (rfc 1918) IPv4 aan de LAN kant en IPv6 aan de WAN kant die NAT gewoon.
Een consumenten router met IPv6 aan de LAN kant en IPv4 aan de WAN kant die zal ook natten. (ongebruikelijk afaik)
Dit kan helemaal niet. IPv4 en IPv6 zijn hele andere protocollen, een partij die met het ene protocol praat kan niet zomaar communiceren met een partij die het andere protocol spreekt. Iemand op een IPv4 stack kan dus geen pakketje sturen naar iemand op een IPv6 stack en vice versa, en derhalve kan dat ook niet geNAT worden.

Immers, iemand die de pagina van tweakers.net opvraagt vanuit zijn IPv6 verbinding, zal dus ook de IPv6 hostname opvragen en dan een request sturen naar het IPv6 adres van tweakers.net. De router kan daar niet ineens magischerwijs een IPv4 pakketje van maken want het doeladres is een IPv6 adres.

[Reactie gewijzigd door .oisyn op 22 februari 2022 09:20]

Blokkeerd standaar het inkomende verkeer ja, open connecties vanaf binnen mogen natuurlijk gewoon data terug ontvangen.
Behalve dan dat sommige routers standaard UNPNP aan hebben staan, en sommige programma's wel erg royaal poorten openen. Dus mijns inziens is lang niet altijd al het binnenkomende verkeer geblokkeerd.
Ja een consumenten router of bijv de router/modem van je provider blokkeert standaard alle verkeer naar het lokale netwerk.

Het enige verschil is dat we met ipv4 allemaal dezelfde niet routeerbare adressen gebruiken, en met IPv6 is je lokale netwerk altijd een unieke reeks.

Firewalling en routing moet je in beide gevallen los zien.
Misschien begrijp ik het verkeerd maar is het niet zo dat de router één IPv6 adres krijgt, maar het lokale netwerk nogsteeds gewoon IPv4 is? Dus router bepaald dat 2001:981::1234 TCP 443 door mag naar 192.168.1.2?

[Reactie gewijzigd door Memori op 21 januari 2022 14:34]

Misschien begrijp ik het verkeerd maar is het niet zo dat de router één IPv6 adres krijgt, maar het lokale netwerk nogsteeds gewoon IPv4 is? Dus router bepaald dat 2001:981::1234 TCP 443 door mag naar 192.168.1.2?
Jein. IPv6 is IPv6. IPv4 is IPv4. Het zijn protocollen die helemaal los van elkaar staan.

Er zijn mechanismes voor de overgang die geconfigureerd kunnen worden op systemen die beide protocollen ondersteunen, maar elk heeft wel een nadeel en zorgt enkel voor uitstel van executie. Waar jij bijvoorbeeld op doelt is NAT64. Het is lelijk, het is dirty, en je wilt het niet... Maar het kan.

[Reactie gewijzigd door The Zep Man op 21 januari 2022 14:43]

Nee, bij IPv6 krijgt jouw router thuis een range aan IP-adressen vanuit een provider.
Zo krijgt mijn router 2001:1111:2222:3333::/64 (Niet echt!)

De router en apparaten kunnen daarbinnen vervolgens een IP krijgen/nemen en die gebruiken.
Een PC krijgt dan dus 2001:1111:2222:3333:4444:5555:6666:7777 bijvoorbeeld.
En mijn TV kan dan 2001:1111:2222:3333:5555:6666:7777:8888 nemen.
Is IPv6 niet spoofbaar (al dan niet met moeite)? Hoe kom je eigenlijk aan een ipv6 adres? is dat hard-coded zoals MAC? Zo ja, dan is het allicht spoofbaar. Zo nee, hoe zorg je dan dat het uniek is (wereldwijd?)?

Desalniettemin kan je ipv6 whitelisting als on-top-off beveiliging wel gebruiken denkik (mits het redelijk statisch is voor je devices). Kan je alle andere verbindingen bij voorbaat al droppen.
IPv6 wordt uitgedeeld aan de hand van een nieuwe vorm van DHCP of via SLAAC
SLAAC geeft alleen door aan het apparaat wat voor range er is op dit netwerk, en het apparaat genereerd dan meestal zelf op basis van een intern nummer en mogelijk zn mac adress een paar IP adressen.

Meestal is er zelfs 1 IP dat weggegooid wordt na een verbinding, voor extra privacy.

Range is niet te spoofen door security van je provider, en voor de rest is het op je eigen netwerk net zo makkelijk als v4.
In je firewall zeg je dat verkeer van buiten naar 2001:981::1234 TCP 443 door mag.
En blok vervolgens al het andere.
Maar ik lees elders in deze thread dat het veilig is om automatisch steeds van IP(v6) adres te wijzigen. Maar als je dat doet werkt je filter niet meer omdat het IP adres niet meer bestaat...
Maar ik lees elders in deze thread dat het veilig is om automatisch steeds van IP(v6) adres te wijzigen. Maar als je dat doet werkt je filter niet meer omdat het IP adres niet meer bestaat...
Als je verkeer van buiten wilt doorsturen naar een interne machine, dan geef je die machine een vast IPv6 adres, dat wordt dan gebruikt voor de inkomende verbindingen. Daarnaast krijgt ie een tweede adres wat minimaal een keer per dag wijzigt, voor de uitgaande verbindingen.
Verkeer vanaf mijn mobiel (ieder device krijgt nl. een eigen IPv6) mag van buiten naar mijn 443.
Dus verkeer van 2001:981:4:1212 naar 2001:981::1234 TCP 443 mag door.
IP whitelisting van mobiele apparaten zou ik niet als selling feature gebruiken. Daar zitten te veel (beheer) haken en ogen aan, en voegt qua beveiliging niet veel toe.

Verder wel met je eens. IPv6 klinkt ingewikkeld als je het niet kent, maar het maakt netwerkbeheer zoveel simpeler.

[Reactie gewijzigd door The Zep Man op 21 januari 2022 14:35]

Ik mis je punt dat het zelfs veel beter te maken is ?
Naar mijn idee geef je aan dat je zelf moeite hebt om NAT uit te lezen/begrijpen ?
Waarbij ik er even vanuit ga dat je 1 op meerdere NAT bedoelt en niet 1 op 1 NAT

In je voorbeeld vertel je eigenlijk dat de situatie met IPv4 veiliger is dan die met IPv6.

Maar bij je IPv4 voorbeeld is enkel het interne IP met 10.10.10.10 bereikbaar op poort 443 via 1 extern IP adres.
Waarbij de rest van je interne IP reeksen niet bekend is/zijn.

In het IPv6 voorbeeld geef je je publiek benaderbare netwerk range prijs aan de buitenwereld, een gok dat er een 2001:981::1233 of 2001:981::1235 zal zijn die je dan kan proben op kwetsbaarheden.

Ik zie niet in waarom je niet alsnog (1op1) NAT zou gebruiken ?
Je kan er naar mijn idee beter je interne netwerk mee afschermen.
En ook bij IPv6 heb je de private interne reeksen zoals je hebt met IPv4.

Voor mij is security opgebouwd uit verschillende lagen/technieken. ..
En NAT is dan misschien geen firewall .. maar hoort voor mij toch wel tot 1 van die mogelijke laagjes om je omgeving te beschermen..
Situatie met IPv4:
In je firewall zeg je dat verkeer van buiten naar binnen mag op TCP 443.
En blok vervolgens al het andere.
Vervolgens geef je aan dat TCP 443 geNAT moet worden naar intern ip 10.10.10.10.

Situatie met IPv6:
In je firewall zeg je dat verkeer van buiten naar 2001:981::1234 TCP 443 door mag.
En blok vervolgens al het andere.

Situatie met IPv6 is véél overzichtelijker en daardoor al veiliger.
Firewall functionaliteit blijft identiek hetzelfde, hoor. Je maakt NOOIT een regel aan dat je 443/TCP inbound toelaat tenzij het om een web-server gaat. Het volgende is een voorbeeld van een outbound regel:

Source: LAN
Destination: Any - 443/TCP

Return traffic wordt automatisch toegelaten omdat de initiële traffic toegelaten werd (in de regel). Dit is hoe stateful firewalls werken. Als het initieert van buitenaf, dan wordt dit natuurlijk geblokkeerd omdat er geen regel voor is (whitelisting wat standaard is op firewalls).

IPv6 is niet veiliger of onveiliger dan IPv4. Het komt altijd neer op je firewall regels. ARP spoofing is natuurlijk niet mogelijk met IPv6 omdat je geen ARP meer hebt, maar L2 heeft natuurlijk geen relevantie over L3 (IP, e.g. WAN).
Maar... je kan met IPv6 ook zeggen, ipv verkeer van buiten naar....
En met IPv4 niet?
Doordat je normaal gesproken een grote range IPv6 adressen krijgt kun je juist apparaten continu het IP adres laten wisselen. Windows doet dit bijv. standaard gewoon al, hier is een standaard voor (RFC4941). Uiteraard is wel te herkennen vanaf welke verbinding het komt, want alle IP's komen uit die range, maar dat is nu met IPv4 icm NAT ook al zo (alleen komt dan alles vanaf 1 IPv4 adres).

Om ervoor te zorgen dat apparaten niet rechtstreeks door het 'boze internet' te benaderen zijn moet je overigens altijd een firewall actief hebben. Het makkelijkst is natuurlijk als je router gewoon een stateful firewall heeft en standaard alle inkomende connecties blokkeert, dan hoef je (bijna) niet na te denken over firewalling op je losse apparaten.
En om even aan te geven uit hoeveel adressen jouw computers dan kunnen kiezen... (dus een aanvulling op de info van Cybje)

Een IPv6 adres is grofweg op te splitsen in drie zones.
De eerste 48 bits = network id
De volgende 16 bits = subnet
De volgende 64 bits = interface id

Stel, je krijgt van jouw provider een /64 adres, wat inhoudt dat de eerste 64 bitjes vaststaan en jij als klant alleen de bitjes erna (toevallig dus de overige 64 bits) mag gebruiken. Dit zijn inderdaad precies de interface id bitjes.
Hoeveel adressen heb je dan om uit te kiezen? Nou, heel simpel: 2^64
En dat is...
18.446.744.073.709.551.616 adressen!!!
Oftewel, jouw computers kunnen steeds uit 18 triljoen(!!!) adressen kiezen. Als je nagaat dat we nu IPv4 gebruiken waar je "slechts" 32 bits adressen hebt... Zonder alle uitzonderingen zou je 2^32 = 4,3 miljard mogelijkheden hebben (in de praktijk dus nog veel minder).

Op dit moment wordt de hele dag door de VOLLEDIGE IPv4 range aan adressen gescand door criminelen die op zoek zijn naar interessante open poorten. Oftewel, op dit moment wordt jouw(!!!) router gecheckt of jij hackbare poortjes open hebt staan. Met IPv6 zal dit vele malen moeilijker gaan en op dit moment zelfs infeasible...

[Reactie gewijzigd door musiman op 21 januari 2022 14:20]

Het wordt inderdaad lastiger maar zeker niet onmogelijk. Inderdaad als ik nu een Linux server aan het net hang heb ik 15 min later al 50 inlogpogingen.

Maar het is niet altijd handig om constant van adres te wisselen. Het is ook security through obscurity.

En er zullen ook wel weer nieuwe problemen komen :)
Stel, je krijgt van jouw provider een /64 adres,
Je krijg van je provider natuurlijk een /48 of /56, anders zou je maar 1 subnet kunnen gebruiken.
https://datatracker.ietf.org/doc/rfc6177/
Klopt. Ziggo geeft een /56. Althans, dat kreeg ik toen ik nog een Ziggo abo had. :P

Daarom ook het woordje "Stel", om aan te geven wat het _minimale_ aantal ip adressen is dat je privé krijgt toegewezen.
Toen we net met ipv4 begonnen was het ook ondekbaar dat die adressen op zouden raken…
Waarom we er nu met ipv6 weer zo over denken snap ik niet.
Over 100 jaar zitten we te balen dat we iedereen in het begin zo makkelijk zoveel adressen hebben gegeven.
Elke keer weer die vraag. Nee, je hebt nog steeds een router en firewall die niet elk apparaat rechtstreeks op internet zet. Apparaten krijgen misschien wel een internet routeerbaar IPv6 adres.
Ik vermoed dat er een grote kans is dat de meeste gebruikers via hun ISP router gewoon achter een IPv6 NAT komen te zitten.
In ieder geval bij Ziggo is dat niet het geval. Ik heb ook nog nooit gehoord dat een ISP dit standaard instelt bij diens gebruikers. Voor zover ik weet zit je gewoon met jouw IPv6 adres rechtstreeks met internet te praten. Maar ik kan het natuurlijk mis hebben. ;)
In Nederland waarschijnlijk niet. Maar in de rest van de wereld... Er zijn o.a. in de VS ISPs waar je niet eens direct op internet zit met je router, want die heeft al een non-public IP.
Ah. Ja, daar heb ik dus geen ervaring mee. De VS is een no-go voor mij (vanwege ESTA), dus zal dat nooit kunnen ervaren.
Dat is bij mij in Duitsland ook zo. Mijn ipv4 is niet publiek, want ik zit achter een GCNAT. Mijn ipv6 is wel direct benaderbaar. Als ik het goed begrijp tenminste. Ik kan van buiten bij mijn apparaten via ipv6 (als ik dat in de firewall van mijn router toe laat), maar er is geen benaderbaar ipv4 adres.
Wow, dus je kunt thuis niet eens een ftp server oid draaien die vanaf buiten benaderbaar is....
Wel via ipv6, dus dat is meestal geen probleem.
Waarom zou een provider ooit de moeite doen om IPv6 NAT in te stellen, adressen zijn gratis en processing van NAT is meer moeite.
Daar hebben we firewalls voor.
Dat NAT de binnenkant afschermt is een toevallige bijkomstigheid.
Maar wel het principe waar alle thuis-routers op gebaseerd zijn.
Dat NAT veilig is is allang achterhaald. Tegenwoordig hacken ze je toch van binnenuit.
Het is niet alleen NAT wat gebruikt word.
NAT is nodig omdat op het lokale netwerk ook zgn "private ranges" (rfc-1918) gebruikt worden welke niet op internet gerouteerd worden.
Binnen IPv4 is er dus een verschil tussen publieke (routeerbare) IP's en prive IP's.
In principe houd je binnenshuis gewoon een privaat ipv4 adres in de 192.168.x.x reeks, en je router vertaald dat door naar het internet waar dan IPv6 gangbaar is.
Geen probleem.
Nee dus. Dat juist niet. Met IPv6 deelt jouw router netjes zijn IPv6 prefix met de IPv6 capable clients. De clients kiezen dan hun eigen suffix (interface id) waarmee ze met het internet communiceren.
Ja, je kunt ervoor kiezen om intern op IPv4 te blijven zitten, maar die keuze is aan jezelf.
Maar de grap is als ik me niet vergis wel dat je ook apparaten in huis hebt die geen IPv6 zullen doen. Mijn Onkyo versterker uit 2017 doet helaas echt geen IPv6. Dus zul je iets van dual stack moeten doen. Of kun je daar weer intern een soort 'proxy' voor laten draaien ?
Als 'ie uit 2017 is, dan zou ik eerst eens controleren of dat hij echt geen IPv6 kan. Vaak is men enkel lui geweest IPv6 in de gebruikersinterface in te bouwen. Het onderliggende besturingssysteem (vaak Linux) kan vaak wel IPv6, besturingssytemen zonder waren toen al uitgestorven.

Wat dat vaak betekent, is dat zo'n apparaat keurig op "IPv6 router advertisements" reageert en een IPv6-adres krijgt en daar ook op functioneert.

Bij mijn LG C7-televisie zat IPv6 bijvoorbeeld in de eerste firmwares ook niet in de interface (inmiddels is dat opgelost). Dat betekende niet dat hij geen IPv6 deed, hij kreeg keurig een adres en sterker nog, applicaties zoals de Youtube-app gebruikten dat nog ook.

Mocht je versterker echt geen V6 kunnen dan is de volgende vraag of hij daadwerkelijk het internet op moet. Lijkt me ver gezocht voor een versterker? Op je interne netwerk kun je tot Sint-Juttemis IPv4 blijven draaien, dus dat is geen probleem.

Mocht de versterker toch het internet op moeten... dat je internetaanbieder IPv6 aanbiedt betekent niet dat hij met v4 stopt. Tegen de tijd dat hij wel met native v4 stopt, dan zal hij een CGNAT, VPN-server of IPV4-proxyserver aan gaan bieden, zodat v4-apparaten alsnog bij het internet kunnen.

Geen zorgen dus, de kwestie dat niet alle apparaten v6 zullen kunnen is voorzien.
Klopt. KPN biedt dual stack op dit moment. Ziggo soms dual stack, soms DS-Lite, ligt aan je adres. (als het tenminste onderhand niet gewijzigd is, ik hou niet bij hoever Ziggo is met het rechttrekken van de verschillen tussen voormalig UPC en voormalig Ziggo)
Iedere normale firewall in de wereld blokkeert standaard al het inkomende verkeer. Ook jouw router (met ingebouwde firewall) thuis. Wanneer IPv6 in werking wordt gesteld dan wordt het mogelijk om de apparaten achter jouw router te benaderen echter zal de firewall dit standaard blokkeren.

Dat dit nu niet mogelijk is door NAT (Network Address Translation) is een bijkomstigheid en maakt juist dingen ingewikkeld. NAT is ook geen firewall functionaliteit en is eenvoudig te omzeilen.

Kort door de bocht is er niets om 'bang' voor te zijn.
Maar vaak is UnPnP wel ingeschakeld, omdat dit het allemaal zo makkelijk maakt voor de gemioddelde eindgebruiker die totaal geen verstand van zaken heeft. Die firewall in je modem is dus minder nuttig dan je denkt.

Tenminste, totdat je de instellingen zelf eens nakijkt en en er zeker van bent dat UnPnP daadwerkelijk is uitgeschakelt. Als we dan toch bezig zijn, ook WiFi op de modem uitschakelen en wat Access Points op logischere plekken in huis installeren voor je WiFi benodogheden.
Maar vaak is UnPnP wel ingeschakeld, omdat dit het allemaal zo makkelijk maakt voor de gemioddelde eindgebruiker die totaal geen verstand van zaken heeft. Die firewall in je modem is dus minder nuttig dan je denkt.
Iedere respectabele firewall heeft uPNP standaard uit staan. Als dit standaard is ingeschakeld door je internet provider, meld dit dan onmiddellijk want dat zou een enorme beveiliging fout zijn. Automatisch poorten naar binnen toe open zetten? Wat kan er verkeerd gaan? :P

Dat sommige consumenten dit inschakelen is niet een technisch probleem. Daarnaast weet ik niet eens of uPNP nog wel werkt met IPv6? Het hele nut daarvan is juist om NAT te 'fixen' met portforwarding. Dat is niet direct een firewall ding maar een NAT ding. Iets dat IPv6 helemaal niet (moet) doen.
Daar zou je voor kunnen kiezen omdat je de ruimte in IP-ranges hebt, je kunt ook besluiten dat niet te doen.
Nee en nee.
Firewall en door de grote hoeveelheid adressen kan hij regelmatig wisselen voor je privacy. Zie https://www.rfc-editor.org/rfc/rfc4941
Een NAT firewall is per definitie een stateful firewall.

Houdt het stateful deel, dump het NAT deel.

Tada.
Voor veilig en goed gebruiken van IPv6 adviseer ik toch wel een router met een wat uitgebreidere firewall of firewall zodat je dit beter kunt managen.
Qua beveiliging is het niet wezenlijk anders dan met NAT. Consumenten routers zijn by default zo geconfigureerd dat connecties van buiten naar interne IPv6 hosts een default drop policy hebben. Je moet dus poorten voor IPv6 hosts expliciet open zetten. Dus nee, ze zijn niet rechtstreeks te benaderen.

Het lost verder wel een hoop dingen op. Alle problemen die je met NAT hebt zijn verleden tijd. En dat zijn er echt heel veel, alleen is het gros in de loop der jaren opgelost met allerlei omwegen, tussenliggende servers en andere ongein. Denk aan UPnP, Passive FTP, STUN voor telefonie, connection tracking, 'punchhole' NAT oplossingen, etc, etc.
Nee. Elke router die ik ken blokkeert dat out-of-the-box. Het idee dat samen met NAT ook je firewall verdwijnt is echt een misvatting.
Wat ik mij afvraag bij ipv6 is of elk apparaat dan rechtstreeks door het boze internet te benaderen is en vooral uniek te identificeren?
In theorie zou het antwoord op beide vragen "ja" kunnen zijn. In praktijk is dat niet hoe het werkt.
Laat ik beginnen met uniek identificeerbaar. Daar is een oplossing voor die 'privacy extensions' heet en die maakt snel wisselende adressen aan zodat je niet gedurende langere tijd getracked kan worden.

Direct benaderbaar bevat een kern van waarheid in maar die berust gedeeltelijk op het misverstand dat NAT een significante bijdrage aan je netwerkveiligheid is. In praktijk bestaat die veiligheid vooral uit de firewall die bij iedere NAT-oplossing zit, zonder firewall zijn er namelijk kunstjes om die NAT te omzeilen.
Met IPv6 heb je ook een firewall nodig en ik heb nog nooit een (moderne) router gezien die zonder ingebouwde firewall wordt geleverd en al helemaal geen routers die wel IPv6 ondersteunen maar geen firewall hebben.

IPv6 firewalls hebben een voordeel en dat is dat ze eenvoudiger zijn dan IPv4 firewall die gecombineerd wordt met NAT. Want je hebt dus eigenlijk twee systemen die je moet configureren, NAT en de firewall (strict genomen is NAT onder Linux deel van de firewall, maar je moet ze apart configureren). Dat is voor de meeste consumenten niet echt te begrijpen. Dus worden er "handige" configuratieschermen gebouwd die NAT & Firewall combineren en dat maakt het al snel minder duidelijk. En onduidelijkheid is een beveiligingsrisico want als je het niet snapt zie je de fouten ook niet.
Daar komt ook nog eens bij dat je bij NAT meer moet configureren, naast de bestemming en de de inkomende poort moet je ook de "vertaalde" poort opgeven en iedere inkomende poort moet ook nog eens uniek zijn.
IPv6 heeft die regels niet. Je hebt een bestemming en een poort en dat is alles. Je hoeft geen onderscheid te maken tussen "inkomende" en "vertaalde" poorten en inkomende poorten hoeven niet uniek te zijn. Dat is simpel, simpel is makkelijker veilig te houden.
Ikzelf heb geen issues met IPV6, alleen wel met het feit dat mijn interne apparaten buiten bekend zouden zijn met een IPV6 adres. Voelt niet lekker in deze tijd dat overheden alles van je willen weten. Nu heb ik mij er nog niet echt in verdiept, maar om een of andere reden voelt het voor mij prettiger om ipv6 alleen aan de internet zijde te hebben en ipv4 voor het interne netwerk.

Maar geen enkele router die ik tot nu toe gezien heeft kent die optie. Tis alles of niets.
Persoonlijk zie ik met name het blacklisten van de rotte appels donker in. Er zijn zoveel ipv6 adressen, en het is zo gemakkelijk te wisselen, dat bv spamfilters grote moeite krijgen met blocks op basis van IP. Hoe wordt dat met ipv6 opgelost? (Heb me nog nooit erg verdiept in ipv6 overigens)

[Reactie gewijzigd door Rataplan_ op 21 januari 2022 14:36]

Nu krijg jij van de provider 1 IPv4 adres (of zelfs een dynamische).
Dus stel jij krijg 142.12.12.1234.
Al jou apparaten praten dus naar buiten via dat adres.
Doe jij iets wat niet mag (spammen, botnet, whatever) dan zetten ze 142.12.12.1234/32 op de block list.
Is jou adres dynamisch (wat helaas steeds vaker gebeurt) dan herstart jij je router en krijg je daarna 142.12.12.1235.
Die blocklist helpt dan niet meer.

Met IPv6 krijg je een static IPv6 block.
bijv 2001:981:9001:1234::/64 is voor jou.
Elk apparaat in jou netwerk praat naar buiten met een adres in die groep. bijv. 2001:981:9001:1234::1234.
Doe je iets stoms, zal mogelijk eerst alleen dat adres geblockt worden.
Maar blijf je bezig, dan zal je hele block (2001:981:9001:1234::/64) geblokt worden.
En aangezien die static is, krijg je ook niet ff een nieuwe.

met SLAAC is het eerste deel van je IPv6 adres iets dat je van je provider krijg (bijv 2001:981:9001:1234::/64) en het laatste deel bevat het mac adres van je apparaat.
Je kan dan zelfs op hardware-adres gaan blocken.
Dit snap ik, en is helder. Maar dit is dan ook toch precies hoe de grote ‘big trackers’ je kunnen gaan tracken? Ze tracken gewoon jouw block, en hoppa: alles uit dat block is altijd van ‘jou’
Dat is toch exact hetzelfde als bij IPv4?
Je kan natuurlijk ook een hele netwerk range blocken. Of andere anti-spam maatregelen treffen. Met het vollopen van de v4 space is de kans dat je mensen ten onrechte blacklist ook behoorlijk groot dus misschien tijd om een betere strategie te bedenken...
Voor sommige spamlijstbeheerders is range blokkeren een verdienmodel.

Zo is er een Zwitserse spamlijstbeheerder die de ip range van mijn ISP blokkeert. Mijn mailserver is dan dus onrechtmatig geblokkeerd. Dat geven ze zelfs ook aan. En zijn zo "aardig" om mij een aanbod te doen om specifiek mijn ip adres niet te blokkeren, voor maar 25 Zwitserse Franken per maand (zo ongeveer 25 Euro per maand).

Ze zullen deze praktijk hebben afgekeken van de nationale buurman, de Italiaanse maffia.
Bekend verhaal. Spamhaus heeft ook een handje van om leveranciers van spammers en instanties die niet doen wat Spamhaus wil onder druk te zetten.

Wat is de naam van die Zwitserse spamlijstbeheerder?

[Reactie gewijzigd door RoestVrijStaal op 30 januari 2022 01:12]

Dit voorstel en de kritiek gaan niet over de weerstand tegen ipv6. Ipv4 is geld waard, ook als ipv6 beter geïmplementeerd zou zijn. 16 miljoen ipv4 adressen extra kunnen gebruiken en verhandelen is dus hoe dan ook het doel, ongeacht de status van ipv6.
Maar als IPv6 volledig is uitgerold en ondersteund, dan heeft IPv4 toch helemaal geen waarde meer?
Correct. Maar "als IPv6 volledig is uitgerold" ... wanneer denk je dat dat is? Dit decennium? Volgend decennium? Later?
Er gaat een heel lang overlap-periode zijn voordat IPv6 volledig uitgerold is.
Met het tempo zoals het nu gaat, denk ik niet dat dit in de komende 50jr nog gaat gebeuren.
https://www.worldipv6launch.org/
6 juni 2012 had het groot aangepakt moeten worden.
Nu bijna 10jr later is het nog om te janken.
Ik vind het op zich wel meevallen: Zodra je een V6-adres hebt gaat ook het merendeel van je verkeer over V6. Het is om die reden dat je bijvoorbeeld in de statistieken van Google ziet dat 34% van de verzoeken via V6 binnenkomt: Alle grote diensten zijn al lang via V6 bereikbaar en clients gebruiken dat ook. Maar 34% is te weinig om van een volledige uitrol te spreken en daardoor zien tal van partijen de noodzaak om op V4 te blijven zitten, of erger.. zien geheel geen reden om V6 te implementeren.

Probleem van V6 is dat als je in een V4-bubbel zit de noodzaak niet echt blijkt en als je toch V6 wilt implementeren je van andere partijen als je internetaanbieder afhankelijk bent. Daarom gaat het zo moeizaam. Alhoewel ik geen voorstander ben van het uitbreiden van V4 moet ik de auteurs ervan wel nageven dat V4 uitbreiden om genoemde redenen makkelijker zal gaan dan V6 universeel krijgen.
IPv6 is uitgerold. Maar voor volledige uitrol helpt het niet dat bijv. een bedrijf als Ziggo al vele jaren niet in staat is geweest om gewoon IPv6 thuis beschikbaar te stellen.

Zit nu zelf via een lokaal glasvezel initiatief bij een andere provider en heb nu wel IPv6, naast IPv4. En dan blijkt dat er aardig wat verkeer met IPv6 kan werken.
Er zal altijd geld zitten in IPv4. Heel veel organisaties willen niet innoveren of dingen onderhouden. Ze betalen nog liever bakken met geld dan 1 ding te veranderen. Ik zie het dagelijks bij gemeenten en ziekenhuizen.
Er zal altijd geld zitten in IPv4. Heel veel organisaties willen niet innoveren of dingen onderhouden. Ze betalen nog liever bakken met geld dan 1 ding te veranderen. Ik zie het dagelijks bij gemeenten en ziekenhuizen.
Het probleem is vaak niet dat ze niet willen. Het probleem is dat het nog steeds goedkoper is om maar wat extra IPv4 adressen te kopen, dan om over te gaan op IPv6.
Klopt uiteraard ook. Maar de grap is dat deze standaard verplicht ondersteund moet worden bij de overheid en ze dat dan gewoonweg niet doen.
De waarde van iets wat bestaat vervalt niet spontaan omdat iets anders ook waarde krijgt. De waarde zal zelfs niet zomaar minder worden of gelijk blijven omdat iets anders in waarde stijgt of nog meer waard is. Of de waarde kan dalen is momenteel zelfs niet relevant. Het voorstel is om er waarde uit te halen zolang het kan, ongeacht of ipv6 succesvol of meer waard is.
Even een tastbaarder iets als voorbeeld.
Ik ga als een gek benzine inkopen en opslaan (vergeet even dat het spul vervliegt of slechter wordt).
Maar, waterstof is de nieuwe methode van energie opslag van auto's ed.

Dus, de hoeveelheid benzine die nodig is, wordt steeds minder.
Op een gegeven moment is benzine nagenoeg niet meer nodig omdat iedereen waterstof wil hebben.
Wat denk jij dat de waarde van mijn opgeslagen benzine dan nog is?

Heel simpel vraag en aanbod verhaal.
Nu is het aanbod laag en de vraag hoog, dus prijs hoog.
Als de vraag laag wordt, maakt het niet uit hoe hoog het aanbod zal zijn, de prijs wordt lager.
Totdat de vraag nagenoeg weg is, en dan is de waarde ook nagenoeg weg.
Het is geen of/of. Het meer gebruiken van ipv6 is niet zomaar een vermindering van ipv4 gebruik. Dat het in waarde kan verminderen wil niet zeggen dat het zal gebeuren en zelfs als het wel in waarde zal dalen wil dat nog niet betekenen dat het te weinig waard is om dit plan lucratief genoeg gemaakt te hebben.
Dat is wel een goed punt en daar had ik niet aan gedacht. Geld is natuurlijk een enorme motivator.
Is zelfs een aparte investeringscategorie lijkt het. Heb recent nog een bedrijfje gelezen die retailinvesteerders zocht met wat geld om dus flink wat IPv4 adressen te kunnen kopen. Tegenwoordig lijkt het steeds meer dat alles wat schaarste kent en niet beïnvloedbaar door banken/overheid wordt opgekocht als hedge tegen ontwaarding elders. :P

Maar ik vind de vraag wel terecht of IPv4 dan een goede investering is zoals @HellStorm666 noemt. Wordt het dan pure speculatie of kent het nog massale nut en dus vraag na implementaties IPv6? Zijn er situaties waar IPv4 een grotere voorkeur heeft van IPv6? Ben hier n00b in om dit te weten en ik vraag het niet omdat ik het ook wil doen, maar omdat ik dit opmerkelijk vond en minder goed te begrijpen long term gezien.
Als er ergens een markt is, dan zijn daar speculanten actief
Dat klopt, maar dat is niet echt mijn vraag. Die speculanten waren er waarschijnlijk ook 10 jaar geleden al. Net als het kopen van mogelijk hippe domeinnamen. Maar gaat erom welke markt er blijft bestaan (en dus nuttige toepassing) mocht IPv6 overal de nieuwe standaard zijn. Want ik begrijp niet goed als IPv6 ingeburgerd is, wie dan nog zo'n hoge vraag blijft houden aan IPv4. Daar is nu tenslotte nog wel sprake van.
Allemaal makkelijk gezegd, maar "Henk en Ingrid" hebben hier allemaal geen weet van en ook geen last van. De kans dat wereldwijd alle thuisgebruikers van IPv4 even naadloos en zonder problemen over kunnen op IPv6 is nihil. Het risico op een enorme berg problemen, werk en dus kosten voor ISPs is enorm.
Ik heb al jaren native v6 (oud-XS4ALL) en nog nooit problemen gehad. Het zal vast moeite kosten om het in te richten, maar vrijwel alle niet gare apparatuur kan er mee overweg dus vraag me af waarom er steeds spookverhalen over 'enorme kosten' worden opgevoerd.
Denk even uit je eigen bubbel: hoeveel klanten heeft een beetje ISP (niet alleen in Nederland) en bij hoeveel van hen gaat zo'n overstap wél problemen opleveren (ten opzichte van een situatie die nu gewoon werkt)? Daar moet die ISP dan iets mee. Denk aan jan-met-de-pet die gaat bellen met de vraag waarom z'n zoontje ineens online-game-X niet meer kan spelen op z'n PS5.
Aangezien hele hordes providers al lang ipv6 aanbieden en de apocalyps tot dusver uitblijft denk ik dat ik niet echt in een bubbel leef als ik zeg dat er weinig problemen zijn.

Hoewel ik het met je eens ben dat je klaar moet zijn voor eventuele problemen krijg ik de indruk dat je niet echt weet wat voor problemen je kan verwachten en daarom op de 'extreem risico's mijden' reden terugvalt. (werk je als PM bij Ziggo oid?) Met die insteek kan je ook geen glasvezel uitrollen, de snelheid verhogen of uberhaupt maar iets aan je netwerk veranderen want dat geeft risico.
Dat denk ik ook - alleen oude apparaten zullen moeite hebben. Maar grappig genoeg is de apparaten kant aan de thuisgebruikers kant, telefoon, tablets, laptops, game-consoles, HMDI-dongles en desktops. En die zijn om allerlei andere redenen best wel up-to-date.
Misschien dat er nog wat IP-camera's zijn. Maar daarna houdt het wel op.

En dan nog de router en settop-box, maar die zijn van de ISP dus levert hij zo nu en dan nieuw spul en beheerd dit ook.
Maar welke oude apparaten zouden dat moeten zijn? Vrijwel alle computers en telefoons die de laatste 15 jaar zijn gemaakt kunnen ipv6 aan. (Windows XP kon het al!). IP camera's uit die tijd zijn waarschijnlijk ook wel rijp voor vervanging. En vooralsnog heb je dual stack oplossingen waardoor er een nette transitie mogelijk is.
Dat bedoelde ik ook - welke - oude - apparaten nog in gebruik zijn en dermate oud zij dat ze geen ipv6 ondersteunen? IP-camera's zijn wel de meest aannemelijke kandidaat.
Dat is echt nihil. 99,99% van de particuliere internetverbindingen werkt via een modemrouter. Soms is dat eigen apparatuur, meestal is die van de internetaanbieder. Zodra dat modern een IPv6-adres krijgt, krijgt het hele netwerk IPv6-adressen en merkt de gebruiker er niets van. IPv4 blijft gewoon beschikbaar dus, v4-only-apparatuur blijft ook gewoon werken, voor zover die nog bestaat, want apparaten die geen v6 kunnen dateren ofwel uit het stenen tijdperk, of zijn vrij exotisch.

Als de gebruiker eigen apparatuur gebruikt kan wat configuratie nodig zijn, doch degene die dat heeft, weet normaliter hoe die ingesteld moet worden, dus ook daar is geen probleem.
Het is Nederland dat in de bubble leeft. Het zal wel de wet van de remmende voorsprong zijn. Maar Nederland loopt gewoon echt achter met de uitrol.
Mijn ouders zijn overgezet naar IPv6. Ze merkte dat zodra iemand wilde port-forwarden en erachter kwam dat Ziggo een of andere gare CG-NAT-structuur heeft opgezet in plaats van dual stack te doen, waardoor je kunt kiezen tussen "IPv6" of "port forwarden". Vaag verhaal, komt door Ziggo; heeft weinig met IPv6 te maken.

Niemand wil naar IPv6-only. Niemand gaat ook naar IPv4-only. Er komt een laagje NAT tussen, maar als je IPv6 als alternatief hebt, maakt dat niet uit. De latency is op veel IPv6-netwerken zelfs lager, dus als gamer kom je er alleen maar beter uit.

Jan-met-de-pet heeft geen multi-NAT-configuratie, port-forwarding of DMZ-configuraties, noch heeft hij meerdere subnets, statische IP-adressen en reverse PTR-records. Vinkje omzetten en alles werkt gewoon. IPv6 werkt al minstens tien jaar op ieder consumentenapparaat dat je koopt.

[Reactie gewijzigd door GertMenkel op 22 januari 2022 01:35]

Maar Henk en Ingrid draaien ook geen server of services en hebben dus geen last van port-forwarding die ineens niet meer werkt.
Als het ISP huis-tuin-en-keuken routertje standaard verkeer naar binnen blokt.
en SLAAC in stelt, dan veranderd er voor hun niets.

Uiteraard is stap #1 om IPv6 náást IPv4 aan te bieden.
Dan kan je daarna steeds meer en meer van IPv6 aan bieden om vervolgens steeds meer en meer IPv4 uit te faseren.
Geen budget, geen kennis van IPv6, legacy apparatuur, te moeilijk, vul maar in... }:O
Waarom toch die weerstand tegen IPv6 door allerlei partijen?
In het algemeen houden mensen niet van verandering. Als alles bij het oude kan blijven heeft dat al snel de voorkeur, zeker als verandering geld en moeite kost.

Een wat cynischere kijk is dat de machthebbers op internet controle hebben over grote hoeveelheden IPv4-adressen en dat nieuwe concurrenten kansloos zijn omdat ze geen (goedkope) IPv4-adressen meer kunnen krijgen. Overstappen naar IPv6 zou iedereen weer gelijke kansen geven, dus is er een economische argument voor 'the powers that be' om dat niet te doen.
Backwards compatibility, vooral voor legacy systemen die nooit een IPv6 stack zullen kunnen krijgen.
Van mij mogen we morgen al over op IPv6, lekker weer thuis servertjes draaien, elke bak een eigen IP. Wel je firewall op orde hebben natuurlijk ;)

Maar 127.0.0.0/16 reserved houden en de rest routeerbaar maken gaat problemen geven. Ik weet dat sommige VM implementaties 127.x.x.x gebruiken voor communicatie met de host, bijvoorbeeld.
Partijen die grote stapels IPv4 hebben (al jaren geleden op gestreken) zullen het zo lang mogelijk proberen te rekken.
Op die manier kunnen ze hun IPv4 langer uitbaten. Ja daar zitten de grote ISP's ook tussen.
En als ze dan niet met /32 gaan strooien want we hebben er toch meer da. Genoeg, wat moet iemand met net zoveel adressen als het hele ipv4 systeem bij elkaar...

/8 is al meer dan genoeg voor gebruikers
Laat die bedrijven die totaal niks meer met ipv4 hun privates eens vrijgeven. Philips bv heeft 130.139.0.0 -> 130.148.255.255 oid. Daar werkt nog anderhalve paardenkop. IBM heeft 2 /8 blokken. Waarom in godsnaam? Ik snap dit nog wel vanuit de gedachte uit het jaar kruik maar vandaag de dag is het onzin al die publics houden.
Te weinig kennis = inschatting impact onbekend / draagvlak nihil doordat grote bedrijven blokken vasthouden die ze helemaal niet nodig hebben en vervolgens lekker verhandelen aan bv Hyper Scalers.
Vroeger toen men NAT nog niet snapte deelde SIDN blokken uit aan bv IBM en Philips voor iedere node. Na de komst van NAT / Proxy ed was dat helemaal niet meer noodzakelijk maar deze bedrijven hielden wel de blokken. Het grootste probleem is volgens mij dat de aythority nooit heeft vastgelegd dat de IP adressen te leen waren en dat je dus nooit echt eigenaar kon zijn.
Mijn eerste reactie was ook: investeer in IPv6. Ze motiveren het echter goed. Zie: https://github.com/schoen...nsions/blob/master/FAQ.md

-edit-

Ik ben het met de kritiek in het commentaar eens. De motivatie is verre van compleet.

[Reactie gewijzigd door Eiríkr op 21 januari 2022 14:16]

Oneens. De strekking van hun verhaal is dat de uitrol van IPv6 te lang duurt, en we daarom een soort nieuwe versie van IPv4 moeten gaan uitrollen.

Het probleem is echter dat die uitrol niet sneller zal gaan dan de uitrol van IPv6. Dit is niet even een updateje.. Dit is een wijziging in de subnetting van IPv4 en totdat *elk* apparaat ter wereld deze nieuwe 'IPv4 new generation' begrijpt zullen gebruikers van dit nieuwe subnet bereikbaarheidsproblemen houden.

Bijvoorbeeld deze zin is complete onzin IMHO:
"IPv4 is universal, moreover, IPv4 is needed everywhere IPv6 hasn't quite deployed"

Waarom zou ergens IPv6 niet gedeployed zijn, maar zou iemand wel IPv4ng gaan uitrollen in zijn of haar netwerk? Dan kun je toch net zo goed in 1x IPv6 gaan doen.

In plaats van "Class E" subnets kun je dan net zo goed 't aantal bitjes verhogen, zodat je niet beperkt bent tot 255.255.255.255 maar bv. door kunt tot 512.512.512.512. Vereist namelijk ook gewoon een complete protocol wijziging.

Ze erkennen deels ook de waarschijnlijke bereikbaarheidsproblematiek, bij potentieel doel van deze nieuwe adressen:
"As semi-useless addresses, these can be addresses of "last resort" when IPv6 is the primary transport and IPv4 is only the backup. Think of this as the reverse of "happy eyeballs", in the long term."

[Reactie gewijzigd door Tozz op 21 januari 2022 14:33]

Ik zie op zich het argument daarvoor wel: Je kunt "IPv4ng" als niet-invasieve update uitvoeren, hij kan via Windows-update en de updatemechanismen van Linuxdistributies snel op enorme hoeveelheden apparaten uitgerold worden. Een machine zal na de update op zich niet opeens raar gaan functioneren, het gebruik van het 127-netwerk voor adressen buiten de /16 zul je echt op één hand kunnen tellen. IPv6 is niet op een dergelijke manier uit te rollen.

Dat betekent niet dat ik hier voorstander van ben: De prijs van v4-adressen zal kort dalen en daarna weer omhoog knallen, omdat er nog structureel tekort aan is. De pijn moet een keer genomen worden.

Het zijn evenwel invloedrijke partijen die de stekker uit V4 moeten trekken en een einddatum moeten stellen. Een beheerder van een website kan momenteel weinig anders dan zijn website via V4 aanbieden en een internetaanbieder heeft zware commerciële redenen om V4-adressen aan te bieden.
Je vergeet de meest belangrijke componenten , de vele "modems" die in huizen staan.
Die niet echt updatable zijn.

Daarnaast in verschillende protocollen is kennis van IPv4 local net gebruikt voor special case adressen.
Je zal NTP op alle systemen moeten herzien, omdat 127.x.y.z x & y gebruikt worden om een device class en device type te selecteren. (GPS Clock, DCF Clock etc.).
Spam services gebruiken een codering in 127 reeksen om meer info over een blocked service mee te delen. bv. land code oid.

Multicast wordt ACTIEF gebruikt op veel gebieden dus (TV bv. video broadcast). dus dat er uit halen.. is een dingetje.

[Reactie gewijzigd door tweaknico op 22 januari 2022 02:10]

Je vergeet de meest belangrijke componenten, de vele "modems" die in huizen staan. Die niet echt updatable zijn.
Modems, althans kabelmodems, zijn juist heel goed te updaten. Elke keer wanneer een modem opstart kijkt die of er een firmware-update is, en die kunnen ook op afstand worden geforceerd door de provider. Dat geldt ook voor kabelmodems die ingebouwd zijn in set top boxen.
Dat hangt af van modem en instellingen en ISP....
Niet alle modems updaten over het net.. (Het kan ook een aanvals vector zijn).
TR-069 is al een misbruikt als vector.
Ik denk dat alle routers op internet (dus bij de internet providers en verder op het internet) een nog veel grotere uitdaging zijn om dit plan te kunnen uitvoeren.
Die moeten allemaal geupdate worden (ook de routers die end-of-life zijn, en dus geen updates meer krijgen) met nieuwe software. Dat vraag failovers of downtime bij alle internet providers.
Verder filteren veel partijen welke prefixen ze accepteren van andere partijen op internet. Die filteren nu dus allemaal 127.0.0.0/8 weg (iig, op het netwerk wat ik beheer doen we dat ;) ). Die filters moeten allemaal geupdate worden naar 127.0.0.0/16. Deze aanpassing is te doen, maar elke isp ter wereld moet dat gaan doen. En dat ga je nooit georganiseerd krijgen.

Al met al denk ik niet dat dit idee gaat werken
Een machine zal na de update op zich niet opeens raar gaan functioneren
Wel dus.

Het hele internet gaat zelfs raar functioneren !


Maar goed, wat betekenen miljarden dollars aan wereldwijde software en netwerk updates, met een doorlooptijd van vele jaren, als we daardoor een paar miljoen IPv4 adressen terugkrijgen die misschien wel 50 euro per stuk waard zijn. Dat is toch maar liefst 800 miljoen euro... En misschien zijn ze tegen die tijd wel 1000 euro waard. Dan spelen we misschien toch nog quitte...
Het internet gaat pas raar functioneren als de betreffende adressen uitgegeven worden. Je kunt zonder problemen dergelijke niet-invasieve updates uitrollen. Uitgave van adressen kan beginnen als voldoende apparaten de nieuwe standaard gebruiken.
Het internet gaat pas raar functioneren als de betreffende adressen uitgegeven worden.
Dat zou kunnen, maar ik zou er niet m'n hand voor in het vuur durven steken.
Je kunt zonder problemen dergelijke niet-invasieve updates uitrollen.
Zulke updates zijn wél invasief. Veel software zal moeten worden aangepast. Veel meer zal moeten worden gecontroleerd of ze er last van hebben. Een beetje als het jaar-2000 probleem. Weinig systeembeheerders en applicatie-beheerders zitten daar op te wachten.
Uitgave van adressen kan beginnen als voldoende apparaten de nieuwe standaard gebruiken.
Voldoende = 90% Of misschien wel 99% of meer.
Dat gaat waarschijnlijk snel 5 jaar duren, of 10, voordat de meeste software aangepast is. En veel software-leveranciers, en bedrijven in het algemeen, zullen er helemaal geen zin in hebben, om geld uit te geven zonder dat zij zelf er iets voor terugkrijgen. Dat is exact hetzelfde probleem als met IPv6. Want de miljoenen die met die adressen verdiend gaan worden, zullen besist niet gaan naar alle bedrijven die kosten hebben moeten maken om dit mogelijk te maken.
Nee, van een update voor Linux of Windows merk jij helemaal niets. Jij doelt op iets anders: Alle software die gebruikt wordt inspecteren en aanpassen. Als je 100% niemand iets wil laten merken moet je dat inderdaad doen.

Maat de mogelijkheid niet-invasief kunnen updaten is precies het onderscheid met ipv6-uitrol. IPv6 uitrollen is altijd invasief en vereist medewerking van andere partijen zoals je internetaanbieder. Zoals ik eerder schreef, ik ben helemaal geen voorstander van IPv4 verlengen dus interpreteer dit niet als een pleidooi om dit te doen. Ik moet degenen hierachter het echter wel nageven dat het minder ingrijpend is dan de uitrol van V4.

Voor niet invasieve updates kun je zo lang de tijd nemen als je nodig acht. De vergelijking met jaar-2000 is zowel terecht als onterecht. De vergelijking is terecht omdat er net als jaar-2000 altijd programma´s blijven die niet geactualiseerd worden, daar kun je dan niet zoals niet jaar-2000-conforme software mee omgaan: Uitfaseren of accepteren dat ze wat gebreken gaan vertonen. De vergelijking met jaar 2000 is onterecht, omdat vrij weinig programma's aangepast moeten worden, zeker wat betreft de klasse E-adressen gaat zowat ieder programma en stuk hardware daar al goed mee om.
Jij bedoelt: gewoon uitrollen, en maar zien waar het schip strandt ? Lijkt me in ieder geval minder risicovol dan het jaar-2000 probleem. Maar er is nog steeds een risico, en er zullen dan dingen mis gaan. En bedrijven, zullen tóch hun software eerst willen testen. Ik kan me niet voorstellen dat Oracle bijvoorbeeld hun software ongezien goedkeurt hiervoor. En als ze er niets voor krijgen, zullen ze ook niet erg gemotiveerd zijn om dat allemaal te gaan testen.

Vraag is dus nog steeds wie Microsoft / Cisco / etc. etc. etc. gaat betalen voor de moeite die het kost om deze verandering te implementeren en te testen. Zij zullen dan een deel van die adressen kado willen krijgen voor de moeite. En datzelfde geldt voor grote netwerkbeheerders - die zullen zo'n update niet ongezien en ongetest in hun netwerk willen uitrollen. De kleine spelers zullen natuurlijk zo snel niets kado krijgen, maar zij zullen het daar niet mee eens zijn... Voordat ze met z'n allen daar uit zijn, zijn we zo al weer een 'paar' jaar verder, en dan moet dit voorstel ook nog eerst goedgekeurd worden, dat is ook niet in een paar maandjes gepiept.
IPv6 uitrollen is altijd invasief en vereist medewerking van andere partijen zoals je internetaanbieder
Hier heb je ook de medewerking voor nodig van de internetaanbieder, en alle netwerkbeheerders, en alle systeem/netwerkbeheerders bij bedrijven. Want zij zullen moeten gaan zorgen dat deze adressen netjes gerouteerd worden. Als je ze zomaar gaat gebruiken, dan is de kans zeer groot dat de routering toch ergens mis gaat. En nogmaals: zij zullen zulke software echt niet ongezien op hun netwerk willen installeren, en dan duimen dat alles goed gaat en bugvrij is. Dat werkt meestal toch wat anders dan op je eigen netwerkje thuis.
Het internet gaat pas raar functioneren als de betreffende adressen uitgegeven worden. Je kunt zonder problemen dergelijke niet-invasieve updates uitrollen. Uitgave van adressen kan beginnen als voldoende apparaten de nieuwe standaard gebruiken.
Zou jij zo'n adres kopen? Ik iig niet. Je krijgt de garantie op problemen. Geen enkele ISP met een helpdesk die groot genoeg is en bewust reputatieschade gaat lijden.
Als ik de keus had tussen conventionele adressen of nieuwe, nee. Maar... de nood is hoog, sommige partijen zijn volstrekt radeloos, dus... Je kunt ook kijken of je de IP's misschien niet voor eindgebruikers inzet, maar bijvoorbeeld voor interne apparaten zoals routers en zo adressen vrij maken die je weer wel aan eindgebruikers kunt uitdelen.
Waarom zou je daar niet gewoon 10/8 voor gebruiken?
Routers moeten meestal publieke adressen hebben en er is vast nog wel meer apparatuur die wellicht niet direct door klanten gebruikt wordt, maar ook niet achter een NAT past.
Nee hoor. Alle management interfaces zijn sowiso loopbacks in een private range. Daarnaast kan je alle interne infra link unnumbered laten. Alleen voor de VLANs waar hosts zitten heb je een default gateway nodig. Maar die is sowieso uit het subnet dat je uitdeelt voor dat LAN.
Ik zou zeggen, doe een traceroute naar Google of zoiets en zie hoeveel routers een publiek adres hebben.
Dat zijn de uitzonderingen. Er zijn 10x meer routers ‘onzichtbaar’.

Google maar eens op ‘ no-propagate-ttl’ of ‘ mpls ip propagate-ttl’.
Ik denk dat jij omschrijft wat afgedekt kan worden door CGN. Hier is een specifiek subnet voor:
100.64. 0.0/10

Feitelijk is dit een private subnet, maar specifiek bedoeld om connectiviteit mogelijk te maken tussen klantomgevingen en ISP netwerken, zonder in de 10.0.0.0/8 te gaan zitten rommelen (en daar eventueel conflicten te genereren)
Die eindgebruikers cq. de WIndows & Linux PCs is het minste probleem. Het grote probleem zijn de tussenliggende componenten. Routers. Routers bij consumenten, maar ook routers binnen netwerken.

Het is niet zo dat wanneer je Windows PC deze nieuwe versie heeft je er gebruik van kunt maken. Alle netwerkcomponenten die iets met IP doen zullen de update ook moeten hebben. Als ik naar onze situatie kijk, in een bepaalde lijn switches (die ook deels routeren) gebruiken we firmware uit 2015, omdat die door de leverancier als 'meest stabiel' worden beschouwd. Dat is 7 jaar oude firmware.

Dit "proefballonnetje" is de eerstkomende 10 jaar niet levensvatbaar.
Kunnen we niet eens een keer stellen dat IPv6 gewoon gefaald heeft? Het is te nieuw, te anders en daardoor slecht backwards compatible met oudere software en hardware. Kunnen ze dan niet beter IPv4 uitbreiden naar een nieuwere versie die wel backwards compatible is en gewoon meer cijfers toelaat? IPv8 met het dubbele aantal getallen wellicht?

Ik snap dat je dan als nog zit met de implementatie last, maar dan vallen in ieder geval de bestaande addressen gewoon binnen de standaard en hoeft niet iedereen om zolang je op de nieuwe versie zit. En met wat truuks waarbij je dan juist wel een momenteel interne reeks opoffert kun je dan best wel het een en ander doen met emulatie voor oudere software onder de motorkap om in een klap alles om te krijgen.

Stel je voor dat iemand een emulatie laag maakt die automatisch een IPv8 adres via de DNS kan koppelen aan een lokaal tijdelijk IP record, wellicht dus juist wel een lokale range 10.x opofferen maar dan meteen goed. Dus je hebt aan de IPv8 kant dan een native deel, en binnen netwerken die dat niet aan kunnen kun je terug vallen op een bridge die dit als een domein naam presenteert naar het lokale netwerk en deze verwijst dan naar een intern 10.X adres met korte lease naar de client toe maar in de router voor lange tijd opgeslagen tot het op is en weer vrij moet komen. Die router stuurt dat dan op zijn beurt door naar het IPv8 netwerk en zo heb je zelfs je oude Windows XP bak nog compatible tot op grote hoogte.

Het klinkt niet zo heel moeilijk namelijk om iets dergelijks te implementeren, dus kunnen we niet beter stoppen met die hele IPv6 verhaal en gewoon over naar iets nieuws dat beter aan sluit op IPv4?

[Reactie gewijzigd door henk717 op 22 januari 2022 01:06]

Kunnen we niet eens een keer stellen dat IPv6 gewoon gefaald heeft?
Ja en nee denk ik. Aan de ene kant zeker een faal omdat er al vele jaren gewoon duale apparatuur over de markt had moeten worden uitgerold door vervangingsaankopen en nieuwe aankopen. Daar had een clubje als de EU juist heel erg goed bij kunnen helpen door dat verplicht te stellen voor de producten die in de EU verkocht worden. Dan hadden providers en dergelijke ook veel minder tot niet de mogelijkheid gehad om het excuus aan te halen dat zij wel konden investeren in IPv6 maar dat het toch nog niet gebruikt zou worden. Idem vervolgens voor hosters, etc etc.

Aan de andere kant nee geen faal want IPv6 biedt echt wel voordelen ten opzichte van IPv4 die echt wel nodig zijn dan ze er komen. Blijven hangen bij een stokoud protocol omdat het zo lekker gemakkelijk en vertrouwd is is eigenlijk de verkeerde motivatie dan. Moet wel zeggen dat ik op mijn werk een kolossale hoeveelheid IPv4 adressen uit mijn hoofd wist en dat ik het heb opgegeven bij de IPv6 adressen ;)

Eigenlijk is wat er bij de introductie van IPv6 gebeurd hetzelfde als bij de introductie van DAB+. Hoe lang zijn we daar al mee bezig in Europa? En hoe enorm debiel is het dat fabrikanten daar ook niet gewoon al 10 jaar geleden vanuit de EU de verplichting hebben gekregen om te beginnen met duale systemen te verkopen (dus FM en DAB+) zodat er op een gegeven ogenblik een cut-over gedaan kan worden naar de nieuwe techniek. Zeker bij autoradio's die waarschijnlijk nog minder dan systemen in huis worden vervangen moet je echt wel kijken naar een dergelijke lange aanlooptijd in mijn optiek.
Alsof DAB+ zo'n vooruitgang is.
Bij ons is DAB uitsluitend in het raamkozijn aan een kant van het huis een soort van beschikbaar.

Verplaats het apparaat een centimeter of 30 in horizontale righting van het raam af en het wordt stil geen ruis etc. gewoon stil. evenwijdig aan het raam verplaatsen en dan heb je een meter of 2.. voor het stil wordt.
(DAB+ heeft alleen voordeel voor content producenten omdat het verschil tussen DAB & DAB+ het no-copy bitje is).
Overigens is DAB+ het enige dat nog beschikbaar is.

Dus als je DAB als noodvoorziening oid wil gebruiken dan faalt het wsch. terwijl FM gewoon zou blijven werken zolang de zender werkt en de ontvanger een vorm van stroom heeft.
Nee dat is het zeker niet - dat ben ik volmondig met je eens. Bovendien werkt mijn hifi componenten set uit 1996 ook nog altijd gewoon uitstekend dus nog altijd geen noodzaak om die te vervangen ;)

Maar het is eenzelfde faal wat betreft de uitrol van een nieuwe technologie die een bestaande moet vervangen. Soms moet het gewoon van hogerhand gestuurd worden om de markt voor te bereiden op een cut-over moment. Die voorbereidingsperiode kost gewoon jaren en dan voorkom je ook dat "de trage adoptie aan de kant van de eindgebruikers" als "de reden" wordt gebruikt door bedrijven/aanbieders om er niet in te investeren.
Kritiek op IPv6 op dit punt is terecht, maar we zijn inmiddels zover dat een derde van het internet op v6 draait, dus we kunnen niet stellen dat v6 gefaald heeft. We kunnen wel stellen dat Nederland redelijk achterloopt met de invoering ervan. IPv8 bedenken zou ons weer twee decennia terug werpen en het is niet toevallig dat compatibiliteit niet aanwezig is: 32 bits zijn 32 bits, dat kun je niet groter maken, je zult een hele rare kronkel moeten bedenken wil je iets compatibel maken. En zo'n rare kronkel heeft dan weer allerlei vervelende gevolgen.

Gewoon v6 invoeren. Het gaat moeizaam, maar het gaat wel.
Ipv6 te nieuw?.... het is al bijna 30 jaar oud, in 1996 was er het experimentele netwerk, dat in 2003 beschikbaar kwam, en er bestaan stabiele implementaties >15 jaar.
Nah niet te nieuw. Let wel NAT was de quick fix om de tijd tot IPv6 te overbruggen...
Als een ISP nog geen IPv6 heeft, dan verdienen ze om te verdwijnen ze lopen RUIM 10 jaar achter op de internet realiteit.
2011-06-06 was IPv6 launch day (paar heel grote Service providers: Interconnectie provider, Google, Amazon, of die met visie (XS4ALL) ...) starten een initiatief on iedereen (ISP's)over te krijgen.

ISP's te laks... ... zeker ondanks vraag ernaar was Ziggo 4 jaar geleden er niet klaar voor.
KPN zelfde laken een pak. En het is nog maar de vraag in hoeverre ze er nu klaar voor zijn.

Uitrol van een IPv4B is van dezelfde orde als uitrol van IPv6..., dus dat gaat nog een jaar of 30 duren voor het bruikbaar wordt. (Als iedereen wel mee doet).
IPv6 wel door uitrollen is sneller klaar als IPv4B
IPv6 is veel meer dan een truukje voor adres extentie.

Je voorstel: IPv8 met een paar bitjes extra voor een adres.. (dubbele aantallen)...
= 1 bitje meer... Die truuk is al toegepast die heet: IPv4 + NAT. Waarbij ~6-10 bitjes poort nummers aan het adres zijn toegevoegd. En ook die dagen zijn getelt.. Inmiddels zijn ISP's overgegaan naar CGNAT (in feite voor jou dus DUBBEL NAT, geeft de ISP het voordeel dat port forward echt niet meer mogelijk is dus VOIP etc. wordt een richting verkeer (voorzover de ISP dat toelaat).

De IP headers zijn VOL, allebitjes zijn gebruikt. dus als je IPv8 voorstelt dan zit je waarschijnlijk ook aan een 30 jaar invoerings traject vast.. .en heeft IPv6 in ieder geval 30 jaar voorsprong.

Je IPV4 via DNS laag bestaat ook voor IPv4 vs. IPv6, het is getest en niet praktisch bevonden.
IPv6 heeft zelfs ruime mogelijkheden om IPv4 the bridgen.. er is een adres segment voor IPv4 adressen. IPv6 stacks kunnen direct contact maken met IPv4 zodat applicaties slechts IPv6 hoeven te ondersteunen.
Als ISP's nog niet bezig zijn met IPv6 wordt het echt tijd voor overstap naar een serieus te nemen ISP. Een bedrijf dat al 20 jaar onder een steen leeft is niet van deze tijd. (IPv6 netwerken zijn in 1996 ontworpen, tot 2003 in testopstelling beschikbaar geweest en vanaf dat moment openbaar beschikbaar. Sinds 2011 bevoordeeld Google sites die IPv6 voeren.

Microsoft heeft een dergelijk bridge beschikbaar: TEREDO, het schijnt ook niet zo populair te zijn.
En als alles bij je ISP mis gaat kun je nog steeds een tunnel maken via bv. Hurricane Electric.
(Daar kun je ook in een paar uur jezelf testen op IPv6 kennis en evt. een certificaat verdienen... ik weet niet of ze nog aan de T-Shirts doen...).

Belangrijker is dat bedrijven als HP, IBM, DOD (US) die meerdere publieke /8 reeksen bezitten (al of niet door overnames) die evt beschikbaar stellen... maar die hebben er waarschijnlijk meer baat bij om de schaarste te laten bestaan, om zo meer geld van dat "bezit" te maken.

[Reactie gewijzigd door tweaknico op 22 januari 2022 19:05]

Er is 40 jaar lang IP code geschreven, in verschillende soorten kwaliteit.

Om 0.0.0.0/8, 127.0.0.0/8 en 224.0.0.0/4 global routable te krijgen is onmogelijk. Ook niet als je probeert.
En dat ze ene PoC hebben waarbij ze een IP stack gepatched hebben geloof ik echt wel. Maar dit gaat zoveel onduidelijke bugs en problemen veroorzaken dat we beter niets kunnen doen.
Maak daar maar 50 jaar van 1974 is het geboorte jaar van IP...
Ik had de datum van de IP RFC791 gepakt.
Die RFC 760 ( https://datatracker.ietf.org/doc/html/rfc760) vervangt... .(januari 1980).
Geboorte jaar en beschikbaarheid zijn idd niet hetzelfde. Tot 1980 hadden alleen een select gezelschap aan universiteiten toegang.
Maar er werd wel code voor geschreven :)

Hetzelfde geldt min of meer voor IPv6: geboortejaar 1996, beschikbaar 2003 (ish).
Werkelijk voor consumenten beschikbaar 2008 ...
Mwah.
The trivial amount of effort required to improve IPv4 pales in comparison to the amount of effort to make IPv6 universal. IPv6 is still the long-term answer and future.
Dit is alleen maar een goede motivatie als je het met ze eens bent dat IPv6 heel, heel moeilijk is, en de wijziging die ze voorstellen juist niet.

Dat is echter geen feit, en verdient een verdere onderbouwing.
Dat is echter geen feit, en verdient een verdere onderbouwing
Nee, dit is beslist geen feit...
/s

En het verdient ook geen verdere onderbouwing. Iedereen die weet waarover ie het heeft weet nu niet of ie eerst 10 minuten om dit voorstel idee gedachte deze waanzin moet gaan lachen, of 10 minuten daarom moet gaan huilen.

De enigen die misschien uitleg nodig hebben zijn de mensen die er geen verstand van hebben. Maar misschien moet hun eerst eens uitgelegd worden dat als ze ergens geen verstand van hebben, ze beter kunnen luisteren naar de mensen die dat wel hebben.
IPv6 is niet zo complex..., ik durf de claim wel aan dat IPv6 net zo eenvoudig is als IPv4 PRE 1990.
(sinds de invoering van NAT is IPv4 pas ECHT COMPLEX geworden, er zijn 10 tallen extra protocols nodig om alleen het basis netwerk nog maar te laten werken.).
In IPv4 is Multicast een buitenbeentje, in IPv6 is er een beter ontwerp voor gemaakt.

(Edit: Typo)

[Reactie gewijzigd door tweaknico op 22 januari 2022 13:16]

Juist ja.
Increasing the amount of even semi-usable IPv4 addresses better enables innovation and newcomers to the field, to at least "get something" on IPv4 when it would otherwise be cost prohibitive or impossible.
Newcomers moeten maar leren leven met IPv6.
Newcomers moeten maar leren leven met IPv6.
Accepteer je dan ook dat er voorlopig geen nieuwkomers meer zijn?
IPv6-only is eigenlijk geen optie voor de meeste nieuwkomers.

Daarmee is dit plan nog steeds geen goed plan, maar ik heb sympathie voor het argument dat nieuwkomers ook iets nodig hebben en dat hun gevestigde concurrenten echt niet gaan delen.

IPv6 verplicht stellen is een betere optie. Hoe/Wie dat moet doen is echter geen makkelijke vraag.
Veel overheden hebben al ergens op papier staan dat alle nieuwe spullen IPv6 moeten ondersteunen, maar in prakijk is het maar de vraag of die eis ook wordt gecontroleerd.
De ook aan mij !
#metoo
De motivatie is juist zeer zwak.. Maar er is een motivatie die @kodak opgemerkt heeft die wel erg sterk is: Geld.

IPv4 adressen zijn bakken met geld waard en ze worden automatisch schaarser.
Ik heb een soortgelijk voorstel, ipv tot 255.255.255.255 te gaan, laten we alles opengooien tot 999.999.999.999

Is zo geïmplementeerd joh, valt mee..

/rent weg

[Reactie gewijzigd door Navi op 21 januari 2022 14:15]

Bijna. Het moet namelijk voor een CPU wel netjes een macht van 2 zijn. En om toekomstige capaciteitsproblemen ook echt op te lossen, ook iets meer dan jouw 9999. Ik stel voor:

4294967296:4294967296:4294967296:4294967296

In hex is dat:

FFFFFFFF:FFFFFFFF:FFFFFFFF:FFFFFFFF

ook wel in 8 segmenten te herschrijven als:

FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF

oh, wacht even...
4294967296:4294967296:4294967296:4294967296 kan niet. Dat zou 256.256.256.256 zijn.
Je snapt wat hij bedoelt :)
Waarom dan niet tot hogere nummers gaan? Met slechts 1000000000000 IPs zitten we vast zo weer tegen de limiet!
I.p.v. maar tot 999 gaan kunnen we misschien tot 4294967295 (= 2^32 - 1) gaan.

Ik stel voor het opengooien tot:
4294967295.4294967295.4294967295.4294967295
Met een beetje geluk is de overstap naar IPv6 dan ook misschien wel kleiner...
IPv6 = 128 bits adressen. Het oogt compacter door de HEX digit notering.
dus idd. 4 groepen van 32 bits komt aardig in de buurt van IPv6
Dat hebben ze effectief gedaan.....
door van 32 bits adressen naar 128 bit adressen te gaan (IPv6)....
Om daar nu nog een IPv7 aan toe te voegen met een tussen vorm is een goede redden om dekking te zoeken, not going to happen.
en hoe past 999 in 8 bit? :-)
Kwestie van hard duwen.

En anders vragen we Rianne even om er een blockchain tegenaan te gooien… ;)
Ik stel voor een IPv4-adres compressie :)
Misschien moeten we dan nog wel wat bitjes reserveren om aan te geven dat het een compressed field is.
Wellicht de eerste byte dan opslaan als "127" ofzo, dat gebruikt toch niemand... oh wacht...
Dan kunnen ze in films geen niet bestaande IP's meer gebruiken.
"De stichting benoemt verder de kritiek dat het makkelijker is om IPv6 te implementeren."

Letterlijk dit.


Om 127.1.1.1 globaal bruikbaar te maken moet wereldwijd elke, ELKE ELKE ip stack moet geupdate worden. Alle Telefoons, laptops, servers, routers, switches, accesspoints, televisies, koelkasten, smartwatches, 2G-enabled vending machines, gsm masten, alle infra van bedrijven zoals Ziggo, KPN, T-mobile etc, reclameborden, wegkant infra (camera's, signalering, lussen), sluizen, microcontrollers, etc.....

EDIT: en vrijwel elke IP adres gerelateerde management tool die ook maar enigszins zinnige input validatie doet. Probeer maar eens 127.1.1.1 static op je wifi interface te configureren.

EDIT2: En DHCP, DNS, IPAM etc....

EDIT3: Firewalls, Firewall management, security policy management...


Closing Thought: Als we al die apparatuur niet naar IPv6 gemigreerd krijgen, waarom zou een complete revamp van de IPv4 stacks op die apparaten dan wel triviaal zijn?

[Reactie gewijzigd door JackBol op 21 januari 2022 14:25]

Ja, iedereen die hier objectief naar kijkt slaakt enkel een diepe zucht. Helemaal als je hun argumentie hoort:
"Focus on IPv6!"
The trivial amount of effort required to improve IPv4 pales in comparison to the amount of effort to make IPv6 universal. IPv6 is still the long-term answer and future.


Ze noemen het dus een kleine moeite en vergeten even dat letterlijk de gehele wereld moet meewerken 8)7
Aan een eventuele verandering om enkel nog 127.0.0.1/16 loopback te maken zou ook de gehele wereld moeten meewerken. En als de hele wereld moet meewerken, dan gaan we beter voor een toekomst gerichte oplossing, ipv6 dus...
En als de hele wereld moet meewerken, dan gaan we beter voor een toekomst gerichte oplossing, ipv6 dus...
Vergeet ook niet dat IPv6 grotendeels al geïmplementeerd is. Het zijn een paar knorrige providers die het laatste stukje nog niet voorzien van IPv6. De meeste apparatuur ondersteunt het al, en IPv6 is in veel gevallen transparant voor de gemiddelde gebruiker.

Voor aanpassingen aan de IPv4 localhost range is nog helemaal niets gedaan. Ik zou zeggen, steek daar geen moeite in.
Gebrek aan IPv6 ondersteuning is niet alleen bij ISP's. Er zijn ook nog genoeg grote websites (zoals bv www.nu.nl) die geen IPv6 ondersteunen, en nog veel meer kleinere websites. Los daarvan ben ik het helemaal met je eens dat het veel beter is om IPv6 ondersteuning te verbeteren.

[Reactie gewijzigd door cnieuweboer op 21 januari 2022 16:35]

Je merkt al jaren dat een (semi) commerciële markt zichzelf niet weet te reguleren zelfs als het voor hun eigen bestwil is.

Er had een jaar of 5 geleden gewoon gezegd moeten worden (iig in Europa) dat elke website en elk verkocht apparaat verplicht met ipv6 werkt.

Dan had zo goed als alles zomaar over gekund nu.
Er zijn ook nog genoeg grote websites (zoals bv www.nu.nl) die geen IPv6 ondersteunen
Ik wil je punt niet onderuit halen maar je hebt het verkeerde voorbeeld gepakt:

$ dig +short -t AAAA nu.nl
2a02:26f0:fe00::213:c3bb
2a02:26f0:fe00::213:c3c9
2a02:26f0:fe00::213:c3c8
2a02:26f0:fe00::213:c3f1

Die IPv6 support hebben ze zo te zien wel aan de front-end van Akamai te danken, maar het is het resultaat dat telt.


Ik was wat te snel, @cnieuweboer heeft toch gelijk (zie hieronder).

[Reactie gewijzigd door CAPSLOCK2000 op 21 januari 2022 18:16]

nu.nl verwijst naar www.nu.nl en die laatste heeft geen IPv6 ondersteuning.
Zou er ergens een wekker verkeerd staan, Erdogan wil het land ook gaan hernoemen, beide dwaze keuzes die op dezelfde dag het nieuws halen.

Het heeft volgens mij een hoog één april gehalte.
Dat is heel snel te regelen als de ISPs van nederland afspreken bij ieder site die geen IPV6 heeft een web pagina te tonen met daarop een melding dat de site laks is met een knop om door te gaan. Tuurlijk is dat ook invasief etc. en zeer onwenselijk publiek aan de schandpaal nagelen is de snelste methode om bedrijven de goede kant op te bewegen.
Tuurlijk is dat ook invasief etc. en zeer onwenselijk publiek aan de schandpaal nagelen is de snelste methode om bedrijven de goede kant op te bewegen.
Dat gaat niet werken als sites HSTS gebruiken. Je browser zal dan enkel TLS accepteren om de site te bezoeken, en een provider kan daar niet iets tussendoor gooien.
Heb je een punt. Dan gewoon een IPv6 only provider die 5 euro per maand goedkoper is. Dan is het ook zo voorbij met ipv4 only sites ;-)
De browser is misschien een betere plek, die geeft ook al om ander redenen waarschuwingen aan de gebruiker.
beetje zoals de cookiewall die je zo snel mogelijk wegklikt.....
Vergeet samsung niet met haar android versie. Als ik in de ochtend mijn telefoon pak heb ik alleen IPv4. Ik moet wifi uit/aan zetten om weer ipv6 te krijgen.

Om batterij te besparen doet de android (iig van samsung) niks met ICMPv6 in slaapstand. En dus verloopt je v6.

Mijn homelab is ipv6 only en ik kan s'ochtends mijn eigen diensten niet bereiken totdat ik dus uit huis ga of handmatig wifi uit en aan zet..

Op m'n werk ook bezig om alles dualstack support te geven maar het zijn de kleine irritante zaken zoals dus bijv android wat de overstap bemoeilijkt.

En dan al die mensen en zelfs ITers "Oohh IPv6 is onveilig dus ik zet het uit". Erg fijn als je daar op bezoek bent en je geen v6 krijgt op de wifi van je vrienden.

Ik ga binnenkort eens spelen met lease tijden om te kijken of ik die lang genoeg kan maken om de nacht te overleven maar het is eigenlijk verkeerd dat ik workarounds moet gaan bedenken om mijn ipv6 werkende te houden op een moderne telefoon.
Met het grote verschil is dat wanneer je niet meewerkt aan IPv6, je apparaat straks gewoon niet meer bereikbaar is. Ga je deze loopback aanpassing doorvoeren en je werkt niet mee, ben je ineens WEL bereikbaar van buitenaf. Vind ik toch een behoorlijk groot verschil.
Dit is onzin. Dat het publiek routebeschrijving adressen worden betekent nog niet meteen dat je interne IPs exposed zijn.

Er zal hoogstens wat junk traffic belanden bij de eerste nieuwe servers op die IPs. Geen serieuze security impact.
Nee, niet je interne adressen. Maar ook je router heeft een loopback adres. Wat gebeurt daar dan mee?
Daar gebeurt helemaal niks mee, want dat loopback adres zit gewoon in de range die als loopback gedefinieerd blijft (de 127.0.0.0/16 range). Dus tenzij een device (geheel tegen de conventies in) een 127.1.x.x adres voor loopback gebruikt, is er niks aan de hand. Daarnaast wordt de 127.0.0.0/8 range (al dan niet verder opgedeeld) toegekend aan AS nummers en internet zal verkeer naar die adressen alleen maar routeren naar de netwerken waar ze aan toegekend zijn. Dus jouw router zal alleen het verkeer langs zien komen dat vanaf jouw eigen netwerk naar zo'n 127 adres gaat (behalve dus een correct toegekend loopback adres, want dat gaat ueberhaupt internet niet op)

Maar goed, wat elders in de comments al uitgebreid is toegelicht: dit is een immense operatie die wereldwijd miljarden gaat kosten, nooit volledig doorgevoerd zal worden en als dat al wel gebeurt, hooguit enkele maanden respijt geeft. Ik twijfel serieus aan de sanity van degenen die dit idee hebben bedacht en uitgewerkt.
En niet de hele wereld gaat meewerken, en zeker niet op korte termijn. Net als bij IPv6.

In de praktijk worden de publieke adressen in 127.0.0.0/8 dan een soort tweederangs IP adressen.
IP adressen met gratis extra problemen erbij. Ik zou ze niet willen hebben.
Het komt... De meeste on-premise apparatuur ondersteund nu IPv6. Dat waren de holdouts! Helaas krijgen we nu nog wat webcams, cv-units en meer van dat soort 'rommel' dat nog op IPv4 moet werken. Maar de routers kunnen IPv6, de mobieltjes, de VOIP-handsets spreken het ook inmiddels. We zijn los van die camera's en cv-units met IPv4 nog nooit zo dichtbij geweest. Nog even doorbijten met die legacy IOT-achtige spullen en het is klaar met IPv4.
Sorry als ik dom klink maar met mijn beperkte verstand van netwerktechnologie vraag ik me af wat webcams, CV’s en andere “smart”/IoT apparatuur te maken heeft met IPv4/6. Is het bijvoorbeeld niet mogelijk om een IPv4 LAN op een IPv6 WAN te gebruiken zodat je externe IP adres IPv6 is maar je apparaten in je thuisnetwerk IPv4?
Is het bijvoorbeeld niet mogelijk om een IPv4 LAN op een IPv6 WAN te gebruiken zodat je externe IP adres IPv6 is maar je apparaten in je thuisnetwerk IPv4?
Niet zonder meer. IPv6 apparaten praten met IPv6 apparaten. IPv4 apparaten praten met IPv4 apparaten.

Geavanceerde gebruikers kunnen bijvoorbeeld NAT64 implementeren op een router om een server die enkel IPv4 ondersteunt iets aan te laten bieden via IPv6, maar je mist dan wel zaken (bijvoorbeeld: werkelijke adressering van clients op de server, waardoor je geen effectieve IP bans kan uitdelen). Dit zorgt voor overhead en koppijn.

Andersom kan je een horrorscenario maken, en een IPv4 client door een router laten communiceren met IPv6 diensten d.m.v. trucjes met DNS en NAT'ing. Je mist dan wel de voordelen van IPv6 management, en kan tegen problemen aanlopen wanneer een IPv6 netwerk niet superstabiel maar wel bruikbaar is op enkel IPv6.

[Reactie gewijzigd door The Zep Man op 21 januari 2022 14:52]

Om intern (LAN) IPv4 te blijven gebruiken, hoef je helemaal geen NAT64 te gebruiken.
Je kan op je internet netwerk, resolvers en proxies hebben draaien, om de communicatie naar IPv6 op te vangen en te vertalen.

Dit doen wij voor software die geen IPv6 ondersteuning hebben of de leverancier geen support wilt geven op IPv6. Lekker veilig in hun eigen bubbel, intern.
Onze buiten laag, is verder vooral IPv6.
Geavanceerde gebruikers kunnen bijvoorbeeld NAT64 implementeren op een router om een server die enkel IPv4 ondersteunt iets aan te laten bieden via IPv6, maar je mist dan wel zaken (bijvoorbeeld: werkelijke adressering van clients op de server, waardoor je geen effectieve IP bans kan uitdelen). Dit zorgt voor overhead en koppijn.
Waarbij die effectieve IP bans sowieso niet werken omdat Windows per default - ook in Windows 10 en 11 - gebruik maakt van temporary addresses tenzij je het uitschakelt. Wil je dan dus iemand bannen zal je dus moeten overgaan tot het bannen van dat hele subnet.

Het veranderen van zo'n tijdelijk IPv6 address is vrij eenvoudig

[Reactie gewijzigd door DarkForce op 21 januari 2022 16:01]

Is het bijvoorbeeld niet mogelijk om een IPv4 LAN op een IPv6 WAN te gebruiken zodat je externe IP adres IPv6 is maar je apparaten in je thuisnetwerk IPv4?
Niet zonder meer, maar er zijn oplossingen.
Zelf adviseer ik om in dit soort gevallen een proxy in te stellen die aan de buitenkant via IPv6 bereikbaar is en aan de binnenkant via IPv4 met die apparaten praat.
Het voordeel van die oplossing is dat je die proxy nog extra beveiligingsmaatregelen kan laten nemen. Dat is in dit geval extra hard nodig want ipv4-only is een aanwijzing dat het om een oud product gaat dat waarschijnlijk niet meer wordt onderhouden. Geen zekerheid, maar wel een aanwijzing. In de toekomst zal dat alleen maar sterker worden.
Nog even doorbijten met die legacy IOT-achtige spullen en het is klaar met IPv4.
Gezien hoe onveilig die zooi is, is dit het moment om dat te gaan reguleren en om IPv4 uit te schakelen. Ben je meteen van al die legacy meuk af. :)
Nee hoor, je klinkt niet dom, het is gebruikelijk om backwards compatibiliteit te verlangen/vragen. Het issue is dat er behoorlijke inhoudelijke verschillen zijn en je echt behoorlijk wat ondersteunings problemen binnen haalt met deze inhoudelijke verschillen. En dan heb je als fabrikant/leverancier van diensten nog steeds de extra complexiteit daarvan weer te onderhouden. Dat is onhoudbaar en dat is dus ook niet wijdverbreid gedaan, wel in OS'en trouwens!
De hele wereld moet ook meewerken om IPv6 geïmplementeerd te krijgen, ik denk dat dit iets lastiger is gebleken.

Ik denk dat het probleem wel zwaar wordt overdreven. Makers van de besturingssystemen, windows, linux, mac, bsd achtige kunnen dit met 1 simpele update wereldwijd tegelijk aanpassen, hetzelfde geldt voor makers van routers, alle echt belangrijke apparatuur krijgt sowieso nog firmware updates. Dan blijft alleen oudere apparatuur waar ze bewust geen updates voor willen uitbrengen over maar dat wordt langzamerhand uitgefaseerd. Verder is belangrijk wat voor communicatie wil je over deze nieuwe range sturen, misschien moet je bepaalde legacy diensten daarop nog niet draaien. Wil niet zeggen dat het niet van pas kan komen.

kortom een paar grote bedrijven moeten mee doen, de rest volgt vanzelf wel. Ik denk echt dat dit stukken makkelijker is dan IPv6 wereldwijd proberen af te dwingen.

[Reactie gewijzigd door Terrestrial op 21 januari 2022 15:49]

Jij onderschat enorm de hoeveelheid oudere hardware en ook hoeveel embedded ip stacks er zijn in apparaten waarvan ze de code niet eens meer kunnen vinden. Er zijn enorme hoeveelheden oude platformen die gewoon in gebruik zijn, maar buiten support vallen. En geen enkele fabrikant gaat decennia aan legacy even bijwerken.

IPv6 word gewoon gebruikt door nieuw spul en dan kan het oude lekker op zijn manier zonder aanpassingen door werken.

I
Nee ik onderschat helemaal niks, het is simpelweg niet belangrijk genoeg en als je hardware niet meer ondersteund en dus te oud hoort die sowieso niet meer aan het internet te hangen, heb je daar wel eens bij stil gestaan?

Bovendien nogmaals die adressen hoeven niet voor Google.com ingezet te gaan worden om maar een voorbeeld te geven. 99.9% gaat hier helemaal geen problemen mee ervaren.
Wat wel of niet hoort is niet relevant. (nou ja, niet in deze context). Het feit is dat deze hardware er is. En tenzij je elk bedrijf op de planeet over de zeik wil hebben omdat ze ineens "onnodige" uitgaven moeten doen om dingen die werken te vervangen.... Het is niet alleen nieuwe hardware, het is ook nieuwe training, nieuwe handboeken etc etc.. Op maar niet te spreken over de kosten van het vele maatwerk spul dat overal ligt. Zo iets fundamenteels veranderen werkt super ver door.

Ja in theorie kan het allemaal, maar een het is een work-arround op een oud systeem en die adressen zijn na een dag toch weer op. We hebben een oplossing en dat is ipv6. Meer dan genoeg adressen. En het verstoord de oude dingen niet.
Het feit is dat deze hardware er is. En tenzij je elk bedrijf op de planeet over de zeik wil hebben omdat ze ineens "onnodige" uitgaven moeten doen om dingen die werken te vervangen....
Er staat wel tegenover dat die bedrijven ook niet blij gaan zijn als hun oude apparatuur opeens toch via internet bereikbaar blijkt te zijn omdat er vroeger de aanname is gedaan dat 127/8 toch niet routeerbaar is.

Overigens wil ik ze ook de kost niet geven die wél al IPv6 beschikbaar hebben zonder het zelf te beseffen. Een normale PC heeft het by default aan staan. Bedrijven denken dat ze geen IPv6 hebben als hun internet-verbinding dat niet heeft. Maar ze beseffen niet dat je intern door het hele newerk kan fietsen omdat ze hun IPv6-firewalls 'voor het gemak' hebben uitgeschakeld of niet geconfigureerd.

Ik heb al heel wat witbleke gezichten gezien als ik een IPv6 discovery ping doe en er honderden apparaten reageren.


Mijn advies is daarom om altijd IPv6 toe te passen, ook als je denkt dat het nodig is of nog niet kan. Je moet het toepassen zodat je op z'n minst de deur kan afsluiten. De plank uit het gat halen is geen oplossing.
Nee dat is het dus niet.

Aangezien het gaat om loopback adressen zijn er ws ook heel veel stukken software die gewoon een adres in de /8 range gebruiken on lokaal te kunnen communiceren (denk aan een lokale app met een webfrontend). Wat gebeurt er als windows ineens denkt “oh dat is dat andere apparaat in iemands anders netwerk dus hup het internet er mee op”? In het beste geval is je software stuk. In het slechtste geval heb je een RCE aan je broek hangen.

En voordat je zegt ja dat zal wel loslopen, dit is vaak ook hoe VM’s in een netwerk worden gehangen door hun hypervisor. Lokaal loopback adres om de boel te verdelen zodat je lokaal gewoon met de machines kunt interfacen.

[Reactie gewijzigd door supersnathan94 op 21 januari 2022 17:27]

Software maakt gebruik van de stack van het operating system en een groot deel van het bestaande loopback netwerk blijft gewoon beschikbaar dus waarom zou dat een probleem opleveren. Als de software met vaste loopback adressen werkt heeft de developer een fout gemaakt.

ik zie het als volgt, een grote groep met expert heeft besloten dat dit een goede oplossing is, ik sluit mij daar bij aan. Dan kan men hier in NL weer problemen willen zien en her en der zal vast wel iets opduiken maar het is allemaal lang niet zo erg als men hier voordoet. Überhaupt waarom zou je zo'n belachelijke grote loopback range nodig hebben.

[Reactie gewijzigd door Terrestrial op 21 januari 2022 19:49]

Überhaupt waarom zou je zo'n belachelijke grote loopback range nodig hebben.
Het maakt niet uit of het nodig is, het maakt wel uit dat het nu KAN dus alles wat daar validatie voor doet of het mogelijk kan gebruiken is dus vatbaar voor een bug en MOET dus een update krijgen.
Als de software met vaste loopback adressen werkt heeft de developer een fout gemaakt.
Mwah de dev heeft een keuze gemaakt. Die keuze valt echter wel binnen de bestaande specificaties. Dat is dus niet per se fout.

/8 range is overigens "slechts" 255 adressen dat is niet heel veel, ook niet voor lokaal gebruik.

het grote probleem is dat je nu het grootste deel van een reeks IP adressen die waren bedoelt voor loopback (dus local only) ineens gaat exposen naar het internet. Dus niet eens per se LAN, maar ook WAN
een grote groep met expert heeft besloten dat dit een goede oplossing is,
En een veel grotere groep experts geeft aan dat het een compleet stupide idee is gezien de opvolger al op verschillende plekken netjes is geïmplementeerd en minder medewerking vereist van derden. Kans van slagen op volledige IPv6 implementatie wereldwijd is gewoon groter dan dat iedereen ff loopbacks gaat wijzigen naar /8 ipv /16. Als men dat niet doet gaat een groot deel van het internet gewoon stuk he.
Een developer die voor de lol afwijkt van best practises en zelf een vast loopback range kiest in zijn software is gewoon een hele slechte developer. Alsof je meer dan 255 loopback adressen gaat nodig hebben op dezelfde host, hoe groot acht je die kans.

Ik zal het nog duidelijker maken, ze moeten z.s.m. een datum prikken dat het in werking treed, dan hebben de grote bedrijven die OSen en firmware maken een paar maanden de tijd om nieuwe firmware, software en hier en daar een software patches uit te rollen. Daarna de daadwerkelijke in gebruik name lees de routing over het interwebs toe staan dat vooral door een aantal grote partijen moet plaats vinden maar dat zal peanuts zijn. En nee het internet gaat daar niet zomaar door stuk, de kans is niet veel groter dan elke andere wijziging die ze op dagelijkse basis doorvoeren.

Wil je dat vergelijken met de hele wereld omzetten naar IPv6, als jij denkt dat dit binnen een paar maanden kan, dan weet ik zeker dat er een steekje los is bij je! Bovendien moet eerst nog is zien dat IPv6 ooit echt wereldwijd in gebruik wordt genomen. Zoveel mensen die daar niet op zitten te wachten...
Ieder OS moet worden geupdate, iedere applicatie, iedere firewallregel moet worden nagelopen.. Dat kost rustig 15 jaar.

En dat alles om 1 maand extra IP-adressen te kunnen uitdelen en dan alsnog niet genoeg hebben.

IPv6 uitrollen is echt makkelijker.. en bovendien al halverwege..
Volgens mij kunnen alle thuis apparaten gewoon van de router ipv4 krijgen. Alleen als je software hebt op de pc of laptop die het niet ondersteunen kan je daar een probleem mee hebben door routing. Maar van isp> huis lan ipv4 gewoon als de rest van het internet over gaat naar ipv6. Nu is dat nog vaak dual stack omdat een deel gewoon niet op ipv6 draait en veel sites niet zouden werken.
In mijn router (pfSense) is er toch echt een "Outbound NAT rule" die automatisch is ingesteld om 127.0.0.0/8 en 192.168.0.0/24 niet te routeren. Een apparaat dat NAT doet, moet natuurlijk ook weten welke addressen het moet forwarden naar WAN en welke addressen lokaal zijn. Elk vergelijkbaar apparaat zou dan moeten worden aangepast/geupdatet.

Ik ben eigenlijk wel benieuwd wat er gebeurd als ik hand-crafted IPv4 packets naar mijn router stuur met als destination IP 127.0.0.1. Zouden die gereject worden omwille RFCs te voorkomen? Krijg ik dan gewoon met de router "localhost" te spreken (ofwel, wat normaliter router's IP is, bijvoorbeeld 192.168.0.1)? Ontploft de boel? Geen idee.

Tenslotte vraag ik mij ook af hoeveel hardware Ethernet IP-cores er in gebruikt worden die IPv4 translation al doen. Veel doorsnee Ethernet phy's verhandelen MAC frames direct naar een host controller, die de verdere afhandeling (IPv4/IPv6, UDP/TCP, etc.) in software doet. Echter omwille van performance (bijvoorbeeld 100Gbps routing) kan uitpluizen van IP headers in hardware erg interessant zijn. Immers wordt met zulke bandbreedtes er nog 1 miljoen/seconde jumbo-frames van 8kB uitgewisselt, en dat is aardig pittig om op een CPU te verwerken. Het probleem: die hardware kan je niet zomaar patchen, maar direct moeten afschrijven om een 0.5 miljard euro aan IP addressen zou ook raar zijn.

[Reactie gewijzigd door Hans1990 op 21 januari 2022 16:58]

Het is simpelweg niet waar dat elk apparaat moet worden geüpdatet om een bruikbaar op-adres over te houden uit de genoemde range. Het hangt heel erg van de toepassing af. Als het adres aan jouw telefoon wordt toegewezen, maakt het echt niet uit dat pakketjes door een stoffige computer op mijn zolder worden verstuurd niet op jouw telefoon aankomen. Zolang ik geen server host tenminste. En laten nou net servers en alle andere hardware in datacenters zelden langer dan 10 jaar meegaan (de adressen zijn bedoeld om over jaren eventueel in gebruik te kunnen nemen).
Alle apparaten waar het adres niet belangrijk is zitten al lang achter NAT. Je thuis apparaten, je mobiele telefoon, zelfs kabelmodems al.

Extra IP adressen zijn juist nodig om publieke diensten te ontsluiten. En als je dan 127.1.1.1 op je gateway krijgt kan je er vanuit gaan dat een hoop klanten je niet kunnen bereiken.
Inderdaad, of je moet als afnemer van zo'n IP adres accepteren dat er altijd een deel van de wereld zal zijn dat jouw IP adres nooit kan bereiken omdat ergens op de route er een verouderd apparaat zit. Echt volwaardige adressen zullen de adressen uit deze range nooit worden.
Wellicht dat hier sterke economische belangen meespelen? Wel flink wat adressen kunnen verhandelen en de ellende van het aanpassen is toch voor anderen.
Bij ipv6 is dat anders: hiermee worden die ipv4 adressen vrij snel bijzonder weinig waard en aangezien de adres ruimte nogal wat groter is, de prijs voor de nieuwe adressen lang niet zo hoog zal worden.
Vergeet niet dat de 127.x.y.z reeks in sommige software ook creatief gebruikt wordt.

Zo herinner ik mij een ntp-software implementatie die gekoppeld kan worden aan een hardware klok. Daarbij werden in de ntp-configuratie de ip-adressen in de 127 reeks met als 2e, 3e en 4e octet het type klok en de verbinding met de computer (rs232 poort en dergelijke). De bios-klok had daar ook een 127.x.y.z codering.
Stop met prutsen, rol IPv6 uit.
Zelfs Ziggo heeft het nu voor elkaar, dus hoe moeilijk kan het zijn?
(Als je al ruim 20 jaar ligt te slapen, best moeilijk, eigen schuld!)
Ik heb nog geen ipv6 bij ziggo! Dus ze hebben het niet voor elkaar.
Dit geld niet voor Fupc gebiedt, dit is nog TBA.
Inderdaad, uit het aangedragen artikel:
Update, woensdag 17 november: VodafoneZiggo zegt tegen Tweakers dat de beschikbaarheid van IPv6 bij modems in bridgemodus vooralsnog alleen voor het voormalige Ziggo-gebied geldt, wegens 'technische aanpassingen'. De provider zegt ernaar te streven dat klanten in oud-UPC-gebied in de loop van 2022 IPv6 kunnen gebruiken bij modems in bridgemodus.
Zo heeft T-mobile ook nog steeds geen IPv6 uitgebracht. Daarnaast blijft ipv4 als backup nog wel even bestaan voor vast internet. Mogelijk dat providers na het uitrollen van IPv6 proberen over te stappen op het delen van 1 IPv4 via NAT, zoals nu ook gebeurd bij mobiel internet (daarom kan ik alleen geen Mario Kart onderweg spelen i.v.m. NAT-beperking :| ).

[Reactie gewijzigd door Bliksem B op 21 januari 2022 14:14]

Ik heb dit! ConnectBox in bridge mode i.c.m. EdgeRouter X met OpenWRT.

Werkt als een trein, IPv6 PD werkte ook automatisch automagisch en IPv4 werkt ook nog steeds (geen CGNAT o.i.d. maar echt full dual stack).

Idd gewoon even bellen of chatten met ze, dan komt het goed.

[Reactie gewijzigd door h3x4d3c1m4l op 21 januari 2022 14:04]

VodafoneZiggo zegt tegen Tweakers dat de beschikbaarheid van IPv6 bij modems in bridgemodus vooralsnog alleen voor het voormalige Ziggo-gebied geldt, wegens 'technische aanpassingen'. De provider zegt ernaar te streven dat klanten in oud-UPC-gebied in de loop van 2022 IPv6 kunnen gebruiken bij modems in bridgemodus.
Neem contact op met hun support. Had ik ook gedaan, en bleek dat IPv4 only request aanstond.

https://i.imgur.com/5dtHJIR.png
Maar ze ondersteunen het alleen bij klanten met hun modems in bridge mode + in sommige gebieden.
Dus dit is niet voor iedereen de oplossing!
VodafoneZiggo zegt tegen Tweakers dat de beschikbaarheid van IPv6 bij modems in bridgemodus vooralsnog alleen voor het voormalige Ziggo-gebied geldt, wegens 'technische aanpassingen'. De provider zegt ernaar te streven dat klanten in oud-UPC-gebied in de loop van 2022 IPv6 kunnen gebruiken bij modems in bridgemodus.
Volgens mij was het juist andersom. Het is ondersteund op modems die niet in bridge mode staan (wat de standaard is). En alleen van de modems die in bridge mode staan als ze in het voormalig Ziggo gebied zitten.
Het staat bijna letterlijk in mijn quote;
VodafoneZiggo zegt tegen Tweakers dat de beschikbaarheid van IPv6 bij modems in bridgemodus vooralsnog alleen voor het voormalige Ziggo-gebied geldt
nieuws: Ziggo gaat vanaf december IPv6 ondersteunen bij modems in bridgemodus
Ziggo-klanten die hun modems in bridgemodus gebruiken, kunnen over twee weken IPv6 gebruiken.

[Reactie gewijzigd door Christoxz op 21 januari 2022 15:09]

De bekende Ziggo 'twee weken' ;)

Ik krijg in oktober een brief "binnen twee weken ontvangt u een nieuw modem, vervang deze, want na twee weken wordt uw verbinding uitgeschakeld op de oude"

We zijn ondertussen bijna in februari ( 12 weken verder ) en afgelopen week maar eens een bericht naar Ziggo gedaan.
"Oh, nee, dat klopt niet, U heeft al een correct modem" ... zucht ...
Ipv6 is niet in alle Ziggo gebieden beschikbaar.
Daar gaat het dus fout, ik hoef niet actie te ondernemen dat hoort ziggo te doen! Ik ga er niet achteraan, heb wel wat beters te doen dan daar achteraan bellen.
Ik zeur ook niet, want het werkt nu ook en ik heb geen ipv6 nodig. Maar als men wil dat ipv6 wil groeien dan moet dat echt bij de provider vandaan komen ipv de consument die er achteraan moet bellen.
Maar als men wil dat ipv6 wil groeien dan moet dat echt bij de provider vandaan komen ipv de consument die er achteraan moet bellen.
Het wordt gefasseerd uitgebracht en nu dus alleen voor mensen die er specifiek naar vragen, want die weet beter wat zich te wachten staat.

Dat het sneller kan (of jij dat vindt) is een ander verhaal en dit dan dus ook wat Ziggo exact wilt, eerst de mensen die het willen.
Toevallig bij mijn schoonouders een week of 3 (met modem in bridge) aangezet in de router, werkte instant!
Dat kan twee redenen hebben. Enerzijds zijn er nog gebieden waar ze geen IPv6 aanbieden in bridged mode, anderzijds ondersteunen ze IPv6 in bridged node alleen op de ConnectBox en de Ubee U1318Z. Mocht je in een gebied zitten waar IPv6 wel beschikbaar is, maar je bridge mode gebruikt in combinatie met een ander modem dan kun je op het Ziggo Community forum een nieuw modem aanvragen en heb je ook nog de keuze. Vraag je een nieuw modem aan via de klantenservice (telefonisch of webchat) dan kunnen ze alleen de ConnectBox leveren, daar waar je via het conmunity forum ook de Ubee kunt krijgen. Voordeel van de Ubee is daarbij dat deze niet de slecht aangeschreven Puma 6 chip bevat.

Zelf was voor mij dit dan ook hét moment om de antieke Cisco modem only om te ruilen voor de Ubee.
Klopt. Ik had nog een Cisco 3928 modem, bleek geen IPv6 te ondersteunen.
Maar vanuit de community werd wel gezegd dat ik de klantenservice moest bellen, dus aanmelden via de community is niet per se nodig: je kan ook gewoon rechtstreeks met Ziggo bellen :)

(Overigens kwam er later in de community wel weer een bericht dat ik het oude modem niet terug hoefde te sturen. Wel typisch eigenlijk…)
Alle nieuwe aansluitingen komen standaard op ipv6 maar het is nog terug te zetten naar 4.

Dat is overigens al 7+ jaar zo.
ipv6 bij ziggo komt met redelijke beperkingen, daarom heb ik het actief uit laten schakelen.
misschien is het nu beter. maar bij ipv6 was het in het modem niet mogelijk dhcp en dns naar mijn hand te zetten met gevolgen van dien.
Dat is ook de reden dat ik het nog heb laten uitschakelen. Ik had geen zin om de modem in bridge modus te hangen en er dan nog een apparaat achter te gooien.
Als ik straks mijn eigen modem kan kiezen, zou het wel fijn zijn als ziggo daar direct een ipv6 adres aan kan geven en ik daarna toch nog alles op mijn modem naar mijn hand kan zetten.
Eens. Belachelijk voorstel. Bedrijven en instanties die IPv6 netjes hebben uitgerold worden hiermee opgezadeld met veel extra werk omdat een aantal partijen het vertikken.

Een veel beter voorstel zou zijn om grote tech bedrijven zover te krijgen dat ze gezamelijk IPv4 blokkeren. En dat elke maand opnieuw. Eerst 1 dag, dan 2 dagen, etc.
Eens. Belachelijk voorstel. Bedrijven en instanties die IPv6 netjes hebben uitgerold worden hiermee opgezadeld met veel extra werk omdat een aantal partijen het vertikken.

Een veel beter voorstel zou zijn om grote tech bedrijven zover te krijgen dat ze gezamelijk IPv4 blokkeren. En dat elke maand opnieuw. Eerst 1 dag, dan 2 dagen, etc.
Het zijn JUIST de tech bedrijven die ze angstvallig vasthouden
Amazon, Microsoft, Oracle
Maar ook de US overheid, de DOD heeft duizenden (ongebruikte) ipv4 adressen gewoon in hun bestand.

https://en.wikipedia.org/...ed_/8_IPv4_address_blocks
Best moeilijk.

Want dan heb je thuis IPv6 ..
Beetje vervelend als diensten die je wil bezoeken enkel op IPv4 zitten.
Omdat de meeste bezoekers/gebruikers van de diensten nog steeds binnen komen op IPv4.
Want niemand kan ze bezoeken op IPv6.

En om investeringen te doen om de dienst via IPv6 bereikbaar te maken moet je wel een business case hebben.
Hetzelfde geldt voor de providers, zolang daar nog geen noodzaak is om IPv6 aan eindgebruikers aan te bieden (want die kunnen op IPv4 ook de diensten gebruiken), waarom zou je er dan geld in investeren.

En aangezien we hier in het westen nog zeer goed uit de voeten kunnen met de nog aanwezige IPv4 adressen .. zie ik niet snel gebeuren dat we naar IPv6 over moeten.
En daarnaast is de handel in IPv4 adressen natuurlijk zeer lucratief.
tmobile heeft het niet voor elkaar, dus lastig
Niet als je modem in bridge modus staat.
~35% nu.

https://www.google.com/intl/en/ipv6/statistics.html

65% klandizie mislopen is ehm...

Richt al minimaal 9 jaar alles dual-stack in waar het maar enigszins kan. Blijft je verbazen over hoeveel er enkel via v4 blijft lopen.
Dit is slechts symptoombestrijding. We moeten met zijn allen over naar ipv6
Nja. Ik zie mezelf geen servers met IPV6 only draaien, maar juist met gecombineerd IPV4 en IPV6 ter fallback. Mischien moeten we eens het aantal IOT's apparaten op het internet drastisch gaan verminderen. Vroeger zo'n 8 jaar geleden kon ik nog IPV4 blocks als warm brood krijgen, tegenwoordig mag of kan dat niet meer. Tis gewoon een vervelende situatie.
Er moet een invloedrijke partij een daad stellen. Die partij kan bijvoorbeeld de overheid zijn. De overheid kan zeggen dat bijvoorbeeld per 1 januari 2025 belangrijke diensten als DigiD niet meer via V4 beschikbaar zijn. Dat zou de markt dwingen om per 1 januari 2025 IPv6 overal uitgerold te hebben en daarmee de noodzaak voor V4-fallbacks voor websites die zich op Nederland richten wegnemen. V4 kan vanaf dan als optionele service op abonnementen aangeboden worden en dat maakt zoveel V4-adressen vrij dat voor Nederland in ieder geval de schaarste verdwenen is.

[Reactie gewijzigd door dmantione op 21 januari 2022 15:22]

De overheid heeft dat al bepaald.

Maar het internet is groter dan alleen Nederland. Iedere chipbakker die een apparaatje met een internet-verbinding op de markt brengt of heeft gebracht zal mee moeten. En daar zit het grote probleem: hoeveel apparaten zijn er uitgebracht die nog prima werken maar geen IPv6 ondersteunen? Mijn omvormer bijvoorbeeld: alleen IPv4, 5 jaar oud en de fabrikant is inmiddels failliet dus een softwarematige update kan ik naar fluiten. Hoe ga ik mijn netwerk omzetten naar IPv6? Ik zal dus dual-stack moeten blijven draaien tot die omvormer vervangen wordt.
Voor bedrijven is het vaak nog lastiger: bepaalde software die niet vervangen kan/mag worden, apparatuur waar (nog) geen vervanging voor is of nog niet afgeschreven…
Voor wat betreft je omvormer: Ik denk dat jij een optionele V4-service zou afnemen. Een groot deel van .nl zou die service evenwel niet afnemen (de stereotype persoon die alleen maar surft en e-mailt) en daarmee grote hoeveelheden ip-adressen vrijmaken, wat het tekort aan V4-adressen voor Nederland wegneemt. Dat zorgt er weer dat die optionele V4-service nog lang beschikbaar kan blijven voor wie het nodig heeft.
Ik denk dat jij een optionele V4-service zou afnemen
Nou, nee. Ik zou geen IPv4 service afnemen voor iets wat ik intern draai.

Het is het stellen van een einddatum voor V4 wat het land in beweging gaat zetten, niet het uitrollen van V6.
Dat is niet iets wat een regering eigenhandig gaat bepalen. Tenminste niet op korte termijn omdat daar voor bedrijven echt wel behoorlijke kosten aan kunnen zitten. Dus als ze even bepalen dat per 31-12-2022 IPv4 uitgezet moet worden, weet je dat je in 2023 fors meer belasting gaat betalen omdat de overheid behoorlijke bedragen mag gaan betalen om het allemaal mogelijk te maken.
Nog los van het feit dat er al een enorm tekort is aan IT-ers: wie gaan Nederland overzetten op IPv6? De helpdesks van de ISPs?
Ik kan je niet volgen: Het verwijderen van het ipv4-adres op www.digid.nl is een kwestie van minuten werk. Dat ga je op je belastingaangifte niet merken. Degenen die het wel merken zijn de internetaanbieders: Zij moeten dan op de betreffende datum iedereen ipv6 kunnen leveren. De internetaanbieders dwingen daarin te investeren is precies wat je wilt bereiken.

Intern kun je tot Sint-Juttemis V4 blijven gebruiken. Wellicht zeg je "dat drijft mij wel op kosten" om V6 intern uit te rollen. Dat klopt, maar de status quo van op V4 blijven zitten is gezien de stijgende prijzen van V4-adressen evenmin gratis. Bovendien hoeft een dergelijke einddatum niet direct allesomvattend te zijn: Als DigiD überhaupt in jouw bedrijf gebruikt moet worden zal dat slechts op een beperkt aantal machines zijn en kun je dus als je het wilt het houden bij kleine chirurgische ingrepen. Het gaat om een maatregel die belangrijk genoeg is dat die marktreactie vereist, maar het is niet nodig direct 100% alle IPv4 uit te zetten. Zoals ik al eerder zei, ingrijpen is juist belangrijk om IPv4 nog lang te kunnen blijven gebruiken voor daar waar het nodig is.
De internetaanbieders dwingen daarin te investeren is precies wat je wilt bereiken.
Klopt. Mag jij raden wie er de klachten krijgen op het moment dat DigID niet werkt? Juist, de internetaanbieders. Als je er vanuit gaat dat een kleine internet aanbieder al snel tienduizenden klanten heeft, weet je dat als slechts 1% van hun klanten een probleem heeft dat al snel honderden, zo niet duizenden extra telefoontjes en e-mails kost. En jij denkt dat de internetaanbieders daar op zitten te wachten? Dat gratis gaan doen?

De overheid is al aan het sturen op IPv6, zoals je in mijn link kan zien. Dat was de eerste stap, en zo langzamerhand zal de overheid dus steeds meer diensten naar IPv6 over gaan zetten.

Begrijp me niet verkeerd: ik wil ook graag de overgang naar IPv6 zien. En liever vandaag dan volgende week. Maar wel met enig realisme, dus niet domweg een knop omdraaien en roepen "alles wat niet werkt is jouw probleem".
Als de overheid stelt dat per 1-1-2025 DigiD niet meer via V4 te bereiken is zullen de internetaanbieders zorgen dat iedereen op 1-1-2025 een IPv6-adres heeft en telefoontjes voorkomen worden. Voor wat betreft de kosten die ze maken zitten ze in hetzelfde schuitje, die kunnen ze dus gewoon doorberekenen en dalen de kosten voor IPv4-adressen. Ik zie geen obstakels.
Nou nee: Ze hebben bepaald dat alles via V6 bereikbaar moet zijn, maar dat dwingt het "luie" deel van Nederland niet om V6 uit te gaan rollen. Het is het stellen van een einddatum voor V4 wat het land in beweging gaat zetten, niet het uitrollen van V6.
Mischien moeten we eens het aantal IOT's apparaten op het internet drastisch gaan verminderen.
Dat is natuurlijk geen oplossing. Dan kan je ook gaan zeggen dat mensen met een oneven postcode de eerste helft van de week internet mogen gebruiken en mensen met een even postcode de andere helft. Dat is ook geen oplossing maar levert ook adressen op.

[Reactie gewijzigd door Frame164 op 21 januari 2022 14:21]

Beetje kip-ei verhaal he, als iedereen IPV6-only servers gaat draaien is het probleem opgelost ;)
Dit is slechts symptoombestrijding. We moeten met zijn allen over naar ipv6
Was het maar zo. Dit is de barbecue proberen te blussen met de fles wasbenzine.
Het reserveren van alleen de 127.0.0.0/16-reeks voor loopback zie ik als een workaround. We weten allemaal wat er gebeurt met workarounds. Op deze manier wordt de implementatie van IPv6 alleen maar vertraagd, want managers voelen minder urgentie om hieraan geld uit te geven.
Precies. Ook Class E zou gebruikt kunnen worden, maar wordt (gelukkig) niet gedaan. Gewoon over op IPv6, dat is veel beter.
Alles in IPv4 is een workaround. NAT is zo ingeburgerd dat het ondertussen als beveiligingsfeature gezien wordt, maar is een lelijke workaround. Carrier-NAT nog veel erger. Maar zelfs de indeling in arbitraire netwerken was al een workaround, oorspronkelijk was voorzien dat iedereen minimaal een klasse C kreeg (afhankelijk van behoefte), zodat je tenminste wat ruimte had om te groeien. De meerdere /64 die je bij IPv6 behoort te krijgen, zijn zoals het oorspronkelijk bedoeld was.

Gegeven dat IPv4 volledig uit workarounds bestaat, vind ik een volgende workaround op zich begrijpelijk. Tegelijkertijd, stap nou toch eens over, jongens!
Op deze manier wordt de implementatie van IPv6 alleen maar vertraagd
Ik denk amper...
want managers voelen minder urgentie om hieraan geld uit te geven
Managers zullen ook geen urgentie voelen om geld uit geven aan all software-aanpassingen en updates die nodig zijn om dit mogelijk te maken...

Het probleem is ook dat je niet weet wáár de problemen zitten. Een beetje zoals het jaar-2000 probleem.
Hopelijk lopen de prijzen zo op dat men de noodzaak van IPv6 nog meer voelt
Zo werken zulke zaken helaas vaak niet, meestal gaan de resources dan naar de partijen die het geld er voor op tafel leggen of de juiste connecties inzetten/hebben.

IPv6 komt er echt wel nu, zoals sommigen hier schrijven, heeft zelfs Ziggo het inmiddels.
Hoezo werken de zaken zo niet? Als een internet abbo met v4 3x zo duur is als een met v6 is het makkelijk kiezen.

Ik snap nog steeds niet wat nu zo lastig is voor de wereld om v6 te gaan gebruiken als default. Voor legacy systemen zal toch wel betaald worden als die zo nodig v4 willen gebruiken.
De meeste mensen hebben al internet. Er zijn al CGNAT oplossingen. Er gaat met die instelling niets veranderen. De oude legacy spullen die moeten gewoon langzaam vervangen worden en er moeten gewoon geen nieuwe spullen gekocht worden met IPv4-only stack, dan hebben we bijna meteen IPv6 overal. Misschien ben ik te optimistisch, maar geloven in de onzichtbare hand (van beprijzing) zonder beschrijving hoe deze haar werk in deze praktisch zou moeten doen doe ik gewoonweg niet.

Voor de volledigheid/duidelijkheid, ik ben dus enthousiast over de toenemende mate waarin IPv6 opkomt, gebruik het zelf op allerlei plaatsen inmiddels al jaren. Ik heb het in mijn reactie dus niet over mijn spullen thuis of bij mijn klanten of iets dergelijks, dat is echt allemaal op het gebied van IPv6 al jaren op orde.

Voorbeeld: veel IOT-zelfbouw projecten gebruiken ESP's, er werkt zelfs een tweaker bij de maker van deze processoren. Echter is deze alleen geschikt voor IPv4. Alles dat deze processor gebruik is daarom meteen IPv4-only (en dat is nogal wat spul).
Dat de meeste mensen internet hebben maakt niks uit. De prijs verhogen is geen probleem (gebeurt jaarlijks). Zodra consumenten meer moeten betalen voor ipv4 verdwijnt het snel genoeg. En je kan er maar beter nu mee starten een prijs verschil voor bijv. nieuwe klanten, anders blijft dit gekut met v4 nog lang doorgaan.

Overigens heeft volgens mij de ESP32 gewoon ipv6 support.
Zie dat de recente IDF inderdaad IPv6 pakt! Thanks voor het checken daarvan.
Alleen in bridge mode toch? Tenminste dat is wat ik heb. IPv6 via ubiquiti router. Het was nog een gedoe om het te activeren en volgens mij ben ik nog niet helemaal klaar met het instellen.
Er zijn bij Ziggo altijd uitzonderingen voor bepaalde gebieden, ik heb het zelf getest vanuit Amsterdam, Groningen en Utrecht. Ik heb geen klanten elders op Ziggo, dus veel meer kan ik je niet vertellen helaas.
De vraag is of die partijen die geen IPv6 ondersteunen ook de partijen zijn die nog in grote mate IPv4 adressen kopen. Zoals ook uit het artikel blijkt zijn het vooral de grote cloud providers die extreem grote IPv4 adres blokken kopen, dit omdat hun servers nog via IPv4 bereikbaar moeten zijn. Dit terwijl waarschijnlijk de ISPs juist problematisch zijn in het uitrollen van IPv6. De "oplossing" zou dan zijn dat de grote cloud providers de ISPs betalen of ondersteunen in het IPv6 geschikt maken van hun netwerk.

En ook dan is het nog maar de vraag hoe lang het duurt voordat er geen IPv4 support meer nodig is. Ik verwacht namelijk dat een zeer grote hoeveelheid IOT apparaten geen IPv6 zullen ondersteunen. Dat betekent dus dat een consument alsnog intern iets met IPv4 zal moeten doen en dat dan het modem of de router het IPv4 verkeer tunnelt over IPv6 en lokaal weer "uit pakt". Zodat de lijn van modem naar internet wel IPv6 is maar de IoT hardware nog steeds IPv4 met het internet kan babbelen.
Het ontbreekt me wel aan wat technische kennis op dit vlak misschien om er iets over te zeggen. Maar moeten we niet IPv6 adoptie dwingen/eisen/promoten ipv je in allerlei bochten te wringen om IPv4 nog te willen gebruiken? Vooruit denken, upgrade zoveel er kan, dan ontstaat er vanzelf ruimte voor legacy apparatuur die echt niet over kan naar IPv6.
Zou je dit ook even aan T-Mobile willen mailen? Bij T-Mobile Thuis krijgen de klanten nog steeds enkel een IPv4 adres. Be-la-che-lijk.
Die weten na 10 jaar nog niks.
Dat gebeurt gelukkig ook wel. Maar er zijn altijd mensen die niet meedoen en denken "het zal mijn tijd wel duren". En zolang we blijven aanmodderen hebben ze ergens nog gelijk ook.

Maar dat is niet zonder gevolgen. Partijen die nog wel IPv4 op voorraad hebben - of dat duur kunnen aankopen, hebben ergens last van, terwijl andere bedrijven wel al echt in de moeilijkheden komen.

Wat mij betreft is het punt bereikt waar we dit gewoon moeten gaan afdwingen.
Waarom heeft bijvoorbeeld Amazon zoveel adressen nodig ? Het is niet dat er 100 miljoen servers draaien voor Amazon.com/.nl/org/whatever. Dit geld natuurlijk voor Microsoft, Google en Oracle ook, ik begrijp dat er geld mee te maken is. Privacy technisch gezien is IPv6 een ramp mijn inziens, ook al roteer je je ip's uit je locale range en mac -adressen. Ik zet het nu nog gewoon uit , ook al heb ik een glasvezel verbinding die het wel ondersteund.
Omdat alle servers in AWS en Azure ook gewoon een verbinding naar buiten willen hebben?
Daarom hebben zij zulke grote ipv4 blokken voor henzelf, om uit te delen aan hun klanten als die een ipv4 naar buiten (of voornamelijk naar binnen) nodig hebben.
Privacy technisch is ipv6 overigens beter dan ipv4, omdat elk apparaat op je netwerk zijn eigen ip kan krijgen en deze kan laten wisselen om de x tijd.

[Reactie gewijzigd door SunnieNL op 21 januari 2022 15:42]

Zodra mijn netwerk opnieuw ingericht is zullen we is gaan kijken, ik heb ook nog wel wat legacy spul dat er niet mee kan samenwerken.
Op Amazon worden ongeveer 53 miljoen IP addressen gebruikt. Dus meer dan 50% van de 100 miljoen die ze hebben.
Nog steeds heel veel, maar vergeet niet dat er veel meer bedrijven zijn die nog veel minder dan 50% van hun ip’s gebruiken.

En je vraagt je af waarom bepaalde bedrijven er zo veel hebben:
Department of defense (200miljoen, 6% van het totaal), HP heeft er 33 miljoen, prudential financial 16 miljoen, us postal service 16 miljoen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True