Microsoft schakelt IPv6 vanaf 1 oktober standaard in bij Exchange Online

Microsoft zal het IPv6-protocol vanaf 1 oktober 2024 standaard inschakelen bij alle geaccepteerde domeinnamen die via Exchange Online worden beheerd. Dit moet de beveiliging van de e-maildienst ten goede komen. Het bedrijf roept organisaties alvast op om whitelists bij te werken.

Volgens Microsoft zal deze maatregel ook de prestaties van Exchange Online ten goede komen. Het bedrijf zegt dat in een mededeling voor M365-admins, die intussen ook op Reddit terug te vinden is. Het bedrijf komt eind september met opt-outdetails voor Exchange Online-gebruikers die enkel via het IPv4-protocol willen blijven werken.

Het IPv6-protocol is de opvolger van IPv4 en is in 1995 geïntroduceerd om een oplossing te bieden voor het tekort aan IPv4-adressen dat men destijds al zag aankomen. De adoptie van IPv6 verloopt echter traag en is ook nu nog lang niet voltooid. Begin dit jaar had Microsoft aangegeven dat het de ondersteuning voor IPv6 in Windows 11 ook wilde uitbreiden.

IT-banen

Reacties (117)

atthias 29 juli 2024 14:24

zal tijd worden hopelijk jaagt dit het vuur aan voor providers en dergelijke om IPv6 ondersteuning te verhogen

dat zal wel niet hoor maar ik mag graag dromen

wica @atthias • 29 juli 2024 14:37

Nederlandse Providers die geen IPv6 leveren, kan je het beste aanpakken via Stichting Reclame Code , Daar deze providers, zoals odido reclame maken met een Internetverbinding, zonder de uitzondering van IPv6 te benoemen.
En zonder IPv6 heb je geen volledig toegang tot Internet.

mr_evil08 @wica • 29 juli 2024 15:32

Dat de ipv4 addressen op zijn betekend niet dat er nu al diensten zijn die ipv6 only zijn.

[Reactie gewijzigd door mr_evil08 op 29 juli 2024 15:33]

wica @mr_evil08 • 29 juli 2024 15:43

Er zijn genoeg IPv6 only diensten op internet.

Een random website, welke je niet kan benaderen via o.a. Odido. https://k6usy.net/

mr_evil08 @wica • 29 juli 2024 16:00

Goed om te weten, die kerel heeft er bewust voor gekozen voor ipv6 only.
Je kan het nog omzeilen met trukjes maar snap ook dat je dat niet wil.

[Reactie gewijzigd door mr_evil08 op 29 juli 2024 16:04]

flabber @mr_evil08 • 29 juli 2024 16:58

IPv6 only sites bestaan er al ruim 25 jaar!

Een iconische is die van het KAME project : https://www.kame.net/
Bereikbaar op zowel IPv4 als IPv6, maar alleen via IPv6 zie je de animatie.
Men is dus al langer bezig om dit aan te kaarten dan menig tweaker oud is.

Dat het hier (nog steeds) minder actueel is, is omdat de verdeling van IPv4 adressen over de wereld totaal in disbalans is. De IP adressen in Azië waren al heel lang geleden op.

dmantione @flabber • 29 juli 2024 19:52

Ze bestaan, maar niemand gaat een serieuze website voorlopig alleen op IPv6 zetten. Het internet is evenwel meer dan het web, om met SSH in te loggen op server is IPv4 heel wat minder belangrijk en dan is het risico op hacks op IPv4 ook gewoon groter.

Yggdrasil

@mr_evil08 • 30 juli 2024 09:53

Vanwege de kosten van een IPv4 adres zijn er steeds meer hosting providers die korting geven (of een v4-fee weglaten) als je je server IPv6-only maakt. Naast het willen promoten van v6 kan er dus ook een financiële reden voor zijn.

Rolfie

@wica • 29 juli 2024 18:15

Ik ken er maar heel weinig.

Vergeet niet dat heel veel bedrijven ook gewoon alleen maar via IPv4 het internet op gaan. Zonder enige problemen.

mdavids @wica • 31 juli 2024 12:20

Er zijn er (weliswaar niet heel veel - goh, hoe zou dat nou komen?) nog wel een paar:

https://clintonwhitehouse1.archives.gov/
https://loopsofzen.uk/
https://42.dnslabs.nl/

Als we meer werk hadden gemaakt van de transitie naar IPv6, hadden het er *veel* meer kunnen zijn!

(komt nog wel...)

Rolfie

@wica • 29 juli 2024 18:12

Definieer "Internet"?

Blijkbaar kunnen heel veel Odido zonder IPv6 gewoon normaal leven.

Dus want ontbreekt er precies? Wat doet het niet?

Ik draai hier trouwens ook al een hele lange tijd op gewoon IPv4 only.
Bijna ieder bedrijf draait gewoon op IPv4 only netwerken.

Dus waar heb ik precies geen volledige toegang tot?

ChemoNL @Rolfie • 30 juli 2024 09:23

Dit heet "Struisvogel gedrag"

Nu je kop in het zand steken en niet kijken naar de problemen van de toekomst.
Ja, nu heb je geen probleem met het internet bereiken etc, maar de hoeveelheid (beschikbare) IPv4 adressen worden steeds schaarser en uiteindelijk zal jij wel problemen hebben met het bereiken van (delen van) het internet.

Rolfie

@ChemoNL • 30 juli 2024 15:29

Dat hoor ik al ongeveer 10 jaar.

Ondertussen zie ik eigenlijk weinig grote bedrijven echt voortgang maken voor IPv6 op de werkstations.

En ja IPv4 adressen worden schaarser. Maar websites zullen waarschijnlijk gewoon toegankelijk blijven de komende 10 jaar op IPv4. Omdat bij de meeste bedrijven, waar men ook op het Internet surft gewoon nog IPv4 gebruikt.

Dus zal het ooit problemen gaan geven zeker, maar ik heb een gevoel dat dit zeker nog 5 of misschien wel 10 jaar zal duren voordat je dit echt gaat merken.

Yggdrasil

@Rolfie • 30 juli 2024 10:12

Voor jou als eindgebruiker werkt alles (op een handvol IPv6-only sites) nog gewoon, omdat systeem- en netwerkbeheerders er veel aan doen om dat zo te houden. Het is immers belangrijk om de eindgebruiker happy te houden.

De kosten daarvan worden echter uiteindelijk door jou betaald. Bijv. een IPv4 adres voor een server begint duur te worden; CGNAT wordt nodig voor thuisaansluitingen maar zorgt ervoor dat je port-forwarding niet meer mogelijk is. Door de voortdurende groet van het Internet wordt dit probleem steeds nijpender, maar ik ervaar als systeembeheerder al jaren dat we er extra moeite voor moeten doen. Zonde van de tijd en geld.

Ik denk dat er overigens minder v4-only bedrijfsnetwerken zijn dan je denkt, maar het zal moeilijk zijn daar cijfers voor te vinden.

Rolfie

@Yggdrasil • 30 juli 2024 15:37

Voor jou als eindgebruiker werkt alles (op een handvol IPv6-only sites) nog gewoon, omdat systeem- en netwerkbeheerders er veel aan doen om dat zo te houden. Het is immers belangrijk om de eindgebruiker happy te houden.

Ik ben zo'n systeem beheerder die bij verschillende bedrijven komt. Er zijn er nog maar heel weinig die echt met IPv6 bezig zijn.

De kosten daarvan worden echter uiteindelijk door jou betaald. Bijv. een IPv4 adres voor een server begint duur te worden

Applicatie load balancer doet wonderen.

CGNAT wordt nodig voor thuisaansluitingen maar zorgt ervoor dat je port-forwarding niet meer mogelijk is

Voor 99% van de eind gebruikers niet van belang.

Door de voortdurende groet van het Internet wordt dit probleem steeds nijpender, maar ik ervaar als systeembeheerder al jaren dat we er extra moeite voor moeten doen. Zonde van de tijd en geld.

Bij de klanten waar ik kom, van ZZPer, klein bedrijf, MKB, Enterprise zijn er maar heel weinig bezig waarbij ze echt actief met IPv6 bezig zijn.
Ik weet bij 1, indien ik een VPN maakte, dat ik een IPv6 address kreeg.
Ik weet er nog van 1, waarbij men het DC groot aanpakte, en besloot om ook direct IPv6 te gebruiken. Probleem was alleen dat de nieuw aangeschafte apparatuur wat geheugen issues had en direct flinke uitbreiding nodig had. Hoever dat nu actief is, weet ik niet.

Ik denk dat er overigens minder v4-only bedrijfsnetwerken zijn dan je denkt, maar het zal moeilijk zijn daar cijfers voor te vinden.

Ik heb een vermoeden dat je dit wel eens groot kan onderschatten. De meeste werken intern gewoon met IPv4. Misschien voor een gedeelte in server ruimte, maar ik heb een vermoeden dat er weinig plannen zijn tenzij er een hele specifiek redenen is. Ik kan bedenken als je een AI cluster van 10 nodes uitrolt het van belang kan zijn, maar voor eigenlijk alle kantoor of normale IT, is er weinig noodzaak vanuit de techniek.

Zou men er meer mee moeten doen, eigenlijk wel. Maar resources zijn overal gelimiteerd. Al is het alleen maar uitstel.... Maar nu voegt het helaas weinig toe.

mdavids @Rolfie • 31 juli 2024 12:22

Definieer "Internet"?

Nou...?

Vind je dat https://bitfire.nl/ is aangesloten op het internet?

Rolfie

@mdavids • 31 juli 2024 19:26

Nee, maar blijkbaar is deze site die niet erg belangrijker voor het totale Internet en hangen er geen diensten achter die echt belangrijk zijn, voor mij, het Internet, andere bedrijven en voor het bedrijf zelf.

mdavids @Rolfie • 2 augustus 2024 11:07

blijkbaar is deze site die niet erg belangrijker voor het totale Internet en hangen er geen diensten achter die echt belangrijk zijn, voor mij, het Internet, andere bedrijven en voor het bedrijf zelf.

Sinds wanneer is dat het criterium?

Jouw telefoonnummer is -neem ik aan- ook niet zo belangrijk voor grote delen van de wereld. Toch is het belangrijk als je vrienden je kunnen bellen, toch?

Rolfie

@mdavids • 2 augustus 2024 12:33

Sinds wanneer is dat het criterium?

bijvoorbeeld als jij bereikbaar wilt zijn?

Het zelfde als je als bedrijf alleen op signal, telegram, facebook messenger of WeChat actief bent voor communicatie.
De meeste Nederlanders gebruiken echter Whatsapp. Wil jij met die groep communiceren, zal jij toch echt WhatsApp moeten gaan gebruiken.

Wil jij dat idealiter niet, prima. Maar dan mis je dus een hoop klanten/gebruikers.

Jouw telefoonnummer is -neem ik aan- ook niet zo belangrijk voor grote delen van de wereld. Toch is het belangrijk als je vrienden je kunnen bellen, toch?

Daarom is daarvoor ook voor bedacht zodat comptabiliteit beschikbaar is tussen verschillende systemen of providers.
Maar als ik alleen een toestel wil gebruiken dat 2G of 3G ondersteund.... Ben ik dan nog steeds goed bereikbaar tegenwoordig?

Of als ik mijn laptop forceer op alleen Wifi op de 6GHz band. Moet ik dan ook overal gewoon direct op de wifi kunnen?

AJediIAm @wica • 29 juli 2024 18:32

Heeft dit zin?
Het zal me verbazen als SRC snapt wat je bedoelt. (Ik laat me graag verbazen)

Bor Coördinator Frontpage Admins / FP Powermod @AJediIAm • 30 juli 2024 14:10

Nee dit heeft geen enkele zin. Ik kan geen enkel geval vinden waarbij de reclame code commissie heeft ingegrepen rond dit punt. De Reclame Code Commissie in Nederland is verantwoordelijk voor het bevorderen en bewaken van verantwoorde reclame. De commissie kan geen sancties opleggen.

ArawnofAnnwn @wica • 29 juli 2024 17:25

Hoezo?

Ik heb ooit IPv6 uit gezet vanwege een probleem bij Ziggo (geen idee of dat er nog is) en nooit meer aan gezet. Word netwerk breed geblokkeerd. Toen kregen alle computers een IPv6 adres en werd al het interne verkeer via het internet geleid. Dus als ik iets uploadde naar mijn thuis server, kon dat maximaal met de upload snelheid die Ziggo bood, omdat het via hun servers werd verstuurd en niet direct naar de thuisserver, ondanks dat ik op hetzelfde netwerk zit. Via Ziggo IPv6 uit laten zetten en dat is nooit gewijzigd, ook niet nu ik een Unifi omgeving er achter heb zitten.

Ik heb nog nooit meegemaakt dat iets niet werkte vanwege het ontbreken van IPv6. Zelfs zakelijk staat IPv6 uit. Als ik vanaf werk naar ipv6-test ga, zie ik dat het niet actief is. Merk er echt niets van.

Arrigi @ArawnofAnnwn • 29 juli 2024 17:48

Het uploadverhaal is gewoon bizar. Er is geen verschil. Lokale neighbors doen vertaling tussen L3-L2 adres en dat wordt geswitched. Dat hoort echt niet.

Ik heb IPv6 gewoon al lang aanstaan en alles werkt. Heb gewerkt bij een grote multinationale die het aan had staan en... Dualstack werkte gewoon perfect. Zelfs voor management van apparatuur, eens de software up to date was.

Dit is net als y2k: er wordt énorm veel moeite gestopt in het doen werken van de legacy stack, waarna mensen zoals jij gewoon roepen "boeiuh werkt toch".
Er ís een probleem, alles en iedereen zit achter dubbele workarounds, software wordt aangepast om met de workarounds te werken... En het worst heel kostelijk. Er gaat veel geld om in het handelen van adressen.

De oplossing is er al 20 jaar. We moeten er gewoon heen.

hiostu @Arrigi • 29 juli 2024 18:07

Ik had een nieuwe internet verbinding via Delta en had geen IPv4 port forwarding vanwege CGNat. Toen geprobeerd om alles aan de praat te krijgen via IPv6, maar ik kreeg met geen mogelijkheid voor elkaar om toegang naar mijn interne Home Assistant server te krijgen vanuit buitenaf. Dus uiteindelijk maar aangegeven bij de helpdesk om CGNat uit te schakelen. Toen weer via IPv4 port forwarding het aan de praat gekregen.

Ik wil wel over naar IPv6, maar dan moet het wel werken met de spullen van je provider.

Yggdrasil

@hiostu • 30 juli 2024 10:00

Bij veel mensen is het ook nog een gat in hun kennis. IPv6 is op sommige gebieden best anders dan waar men mee is opgegroeid, dus het correct inrichten van een thuisnetwerk, inclusief firewalls, DNS, etc. gaat wel eens mis in mijn ervaring.

ArawnofAnnwn @Arrigi • 30 juli 2024 13:13

Dat het niet zou moeten, dat snap ik ook, maar helaas gebeurde het wel. Alles op mijn interne netwerk werd via de Ziggo servers gerouteerd. Het hoort niet, het moet niet, maar het was wel het geval.

We moeten niets. Verandering is niet perse goed.

Y2K weet ik te weinig van. Ik weet dat ik er toen niet bang voor was voor mijn computer omdat ik toch al op Linux zat.

Arrigi @ArawnofAnnwn • 30 juli 2024 18:02

We moeten niets, verandering is niet perse goed. Daarom dat we allemaal nog op IPX zitten.

De situatie gewoon veranderd, we zijn op een limitatie van 32-bit adressen gebotst. Dit is niet veranderen om te veranderen, dit is meegaan met de tijd.

Bor Coördinator Frontpage Admins / FP Powermod @wica • 30 juli 2024 14:07

Nederlandse Providers die geen IPv6 leveren, kan je het beste aanpakken via Stichting Reclame Code , Daar deze providers, zoals odido reclame maken met een Internetverbinding, zonder de uitzondering van IPv6 te benoemen.

Dat heeft werkelijk geen enkele zin wanneer ze niet adverteren met IPv6. Men levert gewoon waarmee men adverteert: Internet toegang.

wica @Bor • 30 juli 2024 15:58

Ja ze adverteren met Internet toegang. Niet met IPv4 Internet toegang of Internet* toegang
Ik als consument of het verschil niet te weten tussen IPv4 en IPv6. Ik zie enkel dat vrienden van mij wel bij een bepaalde site kunnen en ik niet. En mijn vrienden hebben ook een gewone internet abo.

Bor Coördinator Frontpage Admins / FP Powermod @wica • 30 juli 2024 16:04

Hoe relevant is dat? Ze adverteren ook niet met het feit dat ze bepaalde websites (moeten) blokkeren. Ook dat is een beperking die niet wordt genoemd. De reclame code commissie is geen speler in dit veld.

[Reactie gewijzigd door Bor op 30 juli 2024 16:05]

FireBladeX @wica • 29 juli 2024 15:16

Ja, de reden dat ik na einde van mijn contract wegga bij odido. Kwam te laat achter dat ze geen ipv6 ondersteunen

Yggdrasil

@FireBladeX • 30 juli 2024 09:54

Ik zou in ieder geval een klacht indienen om te laten weten waarom je weg gaat.

evers97 @atthias • 29 juli 2024 14:25

Inderdaad, kreeg van kpn wel een ipv6 adres, maar moest deze zelf activeren op mijn fritzbox

atthias @evers97 • 29 juli 2024 14:33

het is bizar gewoon dat het zolang moet duren je zou zeggen mooi we kunnen weer verder maar nee hoor we modderen liever aan met CG NAT en ander ducttape oplossingen

ep667

@evers97 • 31 juli 2024 13:21

Ik heb nooit iets aan IPv6 hoeven activeren bij KPN. Hooguit een schuifje omzetten om aan te geven dat ik IPv6 wilde gebruiken.

Maar misschien heb jij een andere implementatie, aangezien je het hebt over 1 adres. Ik krijg een /56 subnet bij KPN. Zoals het hoort (en het IPv4-adres is ook geen CGNAT).

beerse 29 juli 2024 14:30

Microsoft belooft al sinds windows 2012 dat IPv6 niet uit kan en niet uit mag. En iedere nieuwe server-versie is er weer een andere manier/methode om IPv6 uit te zetten. Microsoft had haar poot stijf moeten houden, dan hadden vele omgevingen nu IPv6 gedraaid.

Natuurlijk is er veel andere apparatuur dat nu nog steeds niet tegen IPv6 kan. En vele organisaties die daar bang voor zijn of nog steeds niet weten hoe ze er mee om moeten en kunnen gaan.

bzzzt @beerse • 29 juli 2024 14:39

Microsoft belooft al sinds windows 2012 dat IPv6 niet uit kan en niet uit mag. En iedere nieuwe server-versie is er weer een andere manier/methode om IPv6 uit te zetten. Microsoft had haar poot stijf moeten houden, dan hadden vele omgevingen nu IPv6 gedraaid.

Of Linux of een ander OS wat niet moeilijk doet over het uitschakelen van IPv6. Het is natuurlijk niet altijd de schuld van het server OS dat in een omgeving geen fatsoenlijke IPv6 support mogelijk is.

Natuurlijk is er veel andere apparatuur dat nu nog steeds niet tegen IPv6 kan. En vele organisaties die daar bang voor zijn of nog steeds niet weten hoe ze er mee om moeten en kunnen gaan.

Ik denk dat 'bang' het verkeerde woord is. Organisaties zien vooral een kostenpost die ze zo lang mogelijk vooruit willen schuiven. Als je 100-150 euro per uur betaalt voor je ingehuurde ICTers kan aan IPv6 een significant prijskaartje hangen.
Neemt niet weg dat IPv6 support eigenlijk al 10 jaar op het 'vereisten' lijstje zou moeten staan voor aan te schaffen software en services.

joenevd @beerse • 29 juli 2024 14:44

Volgens mij is de methode om IPv6 uit te schakelen niet gewijzigd sinds 2012. Daarnaast kan Microsoft niet bedrijven dwingen om al hun netwerk apparatuur te vervangen als deze geen IPv6 ondersteund.

Daarnaast ben ik blij dat het uit te schakelen is, op netwerken waar het niet is ingericht (dat zijn de meesten) is het namelijk een kwetsbaarheid. Iedereen kan IPv6 routertje spelen en zo een MitM attack uitvoeren.

Arrigi @joenevd • 29 juli 2024 17:50

Welke up to date enterprise netwerkapparatuur kan anno 2024 nog niet om met ipv6?

Anoniem: 718943 @Arrigi • 29 juli 2024 18:48

Zelfs mijn consumenten huistroep kan overweg met IPv6.

joenevd @Arrigi • 29 juli 2024 18:53

Ik refereerde aan de periode startende vanaf 2012.

Olaf van der Spek 29 juli 2024 15:00

Volgens Microsoft zal deze maatregel ook de prestaties van Exchange Online ten goede komen.

Waardoor en in welke mate?

CAPSLOCK2000

Ipv6
Netwerk en systeembeheer
Microsoft

@Olaf van der Spek • 29 juli 2024 15:51

Ik moest denken aan een verhaal van een grote organisatie die helemaal achter één IPv4-adres zat. Die bleven tegen allerlei blokades, ratelimiters en captcha's aanlopen omdat er zoveel activiteit van hun ene IPv4-adres kwam.

Met CGNAT zal dat voor steeds meer mensen een probleem worden omdat ze een IP-adres delen met een hoop andere klanten.

Al zou ik ook denken dat MS daar wel vaker mee te maken heeft en dat hun cloud dat wel kan aankan.

Dit probleem is vast nog veel groter in (vooral arme) landen waar ze weinig IPv4-adressen hebben.

Er komt ook een punt dat het aantal uitgaande poorten een probleem wordt. Daar heb je er op zich 65.000 van maar je hebt er een flink aantal per gebruiker nodig en je kan ze niet direct hergebruiken. Als er niet genoeg poorten meer zijn kan je router het verkeer alleen maar weggooien en hopen dat je het later nog een keer stuurt als er wel ruimte is. Als je duizenden medewerkers hebben die allemaal dezelfde sites bezoeken zou dat wel eens een forse impact op de performance kunnen hebben.

bzzzt @CAPSLOCK2000 • 29 juli 2024 16:15

Met CGNAT zal dat voor steeds meer mensen een probleem worden omdat ze een IP-adres delen met een hoop andere klanten.
Al zou ik ook denken dat MS daar wel vaker mee te maken heeft en dat hun cloud dat wel kan aankan.

Microsoft kan natuurlijk niet toveren. Als ze niet op IP adres kunnen filteren hebben ze gewoon een middel minder om minder fris verkeer te weren.

Dit probleem is vast nog veel groter in (vooral arme) landen waar ze weinig IPv4-adressen hebben.

Het zijn niet specifiek arme landen, voornamelijk de landen die het laatst op internet aangesloten zijn. (natuurlijk is er overlap...)

Er komt ook een punt dat het aantal uitgaande poorten een probleem wordt. Daar heb je er op zich 65.000 van maar je hebt er een flink aantal per gebruiker nodig en je kan ze niet direct hergebruiken.

Dat is voornamelijk een probleem bij TCP verbindingen die steeds minder gangbaar worden. HTTP/2 duwt de hele sessie over 1 TCP verbinding, en met HTTP/3 wordt helemaal geen TCP meer gebruikt.

flabber @bzzzt • 29 juli 2024 16:49

[...]
Dat is voornamelijk een probleem bij TCP verbindingen die steeds minder gangbaar worden. HTTP/2 duwt de hele sessie over 1 TCP verbinding, en met HTTP/3 wordt helemaal geen TCP meer gebruikt.

Klopt; men schakelt over op Quic, in feite UDP+, maar dat maakt het probleem met poorten en NAT er niet minder op.
Het aantal beschikbare poorten is fixed en staat los van UDP of TCP.
En juist bij UDP zijn de verschillende vormen van NAT'ing op z'n minst problematisch.
Die issues worden nu door het toenemende gebruik van Quic inderdaad aangepakt, maar dat betekent niet dat het probleem bij TCP verbindingen zou liggen; sterker nog, UDP is juist steeds minder in zwang geraakt door de - zeer eenvoudige - NAT mogelijkheden van TCP.

Mikke8 @flabber • 29 juli 2024 19:17

Daarnaast in de meestal NAT implementaties is de 65k limiet ook per destination IP en niet op de totale uitgaande connecties.

Hierdoor loop je zelden tegen deze limiet aan.

dmantione @Mikke8 • 29 juli 2024 19:46

Ja, maar dat gaat dan wel alleen voor TCP op. Bij UDP is het echt 65K voor alles.

laurxp @CAPSLOCK2000 • 29 juli 2024 16:25

Al zou ik ook denken dat MS daar wel vaker mee te maken heeft en dat hun cloud dat wel kan aankan.

Juist voor de grote cloud-providers is het een probleem. Iedere (virtuele) server krijgt standaard een dedicated inbound IPv4-adres, en op Microsoft-formaat ga je dan héél snel door je adressen heen. NAT gaat je niet helpen, want iedereen loopt op dezelfde poort te luisteren.

Extra IPv4-adressen kopen kost zo'n $50 per adres, en het aanbod is vrij beperkt. Cloudproviders zitten niet echt te wachten op een hele hoop versnipperde /24 subnets. Het is dus vrij waardevol om het aantal gebruikte IPv4-adressen te beperken, dus is het aantrekkelijk om IPv6-only servers op te zetten om de IPv4 servers te ontlasten.

Olaf van der Spek @laurxp • 29 juli 2024 19:21

NAT gaat je niet helpen, want iedereen loopt op dezelfde poort te luisteren.

NAT niet, maar reverse 'proxies' zijn natuurlijk wel gewoon mogelijk.

leonbong @laurxp • 30 juli 2024 02:14

Microsoft heeft zelf geen probleem met het aantal beschikbare ip4 adressen. Zoek maar eens op wat hun range is. Hint meer adressen dan sommige landen.
Bedrijven als Microsoft ibm Cisco gingen in de jaren 80 het internet op en kregen enorme blokken toegewezen.

ibmpc @CAPSLOCK2000 • 29 juli 2024 19:10

Dat lijkt mij trouwens een kei interessant experiment, om een organisatie met meer dan 65535 devices achter een single IP adres te hangen. Wat gebeurt er dan als medewerkers twee tabbladen open hebben in hun browser, of twee browsers gebruiken? Of browsen terwijl ze hun Exchange Online open hebben?

Terrestrial @ibmpc • 29 juli 2024 23:24

Uiteraard gebruikt men een proxy voor zo'n groot bedrijf.

Olaf van der Spek @ibmpc • 29 juli 2024 19:20

Wat gebeurt er dan als medewerkers twee tabbladen open hebben in hun browser, of twee browsers gebruiken?

De 65K geldt per target host, maar het kan problemen opleveren.

ibmpc @Olaf van der Spek • 29 juli 2024 21:29

Als je hele organisatie achter NAT zit met een enkel IP adres, dan zit je toch al snel aan de 65K verbindingen per host (de NAT device)?

Olaf van der Spek @ibmpc • 29 juli 2024 21:32

Het gaat om de target host, niet om de router. Dezelfde poort kun je (her)gebruiken voor een andere target host (web site / server / whatever).

CAPSLOCK2000

Ipv6
Netwerk en systeembeheer
Microsoft

@ibmpc • 30 juli 2024 12:45

Dat lijkt mij trouwens een kei interessant experiment, om een organisatie met meer dan 65535 devices achter een single IP adres te hangen. Wat gebeurt er dan als medewerkers twee tabbladen open hebben in hun browser, of twee browsers gebruiken? Of browsen terwijl ze hun Exchange Online open hebben?

Hetzelfde als wanneer je op een slecht wifi-netwerk zit. Je verbindingen beginnen te haperen en alles wordt wat langzamer omdat er pakketjes verloren gaan die opnieuw moeten worden verstuurd. Daardoor maak je nog meer verkeer en wordt het nog drukker en al snel stort de performance totaal in.

Het zal overigens niet precies bij 65k gebeuren. Het wordt een probleem als er 65k verbindingen met hetzelfde IP-adres zijn. De kans dat 65k mensen tegelijk naar dezelfde website wil gaan is niet zo groot, (tenzij het natuurlijk de website van de werkgever is). Aan de andere kant heb je soms meerdere verbindingen naar dezelfde site nodig en kun je die poorten niet onmiddelijk hergebruiken

tweazer @CAPSLOCK2000 • 29 juli 2024 16:36

Al zou ik ook denken dat MS daar wel vaker mee te maken heeft en dat hun cloud dat wel kan aankan.

Datzelfde MS heeft een absurd lage limiet voor outlook mailboxen. 1000 mailtjes per uur max standaard dat een beetje opgerekt kan worden, maar niet veel. Onwerkbaar als je output van nachtelijke batchjobs moet verwerken ...

michelr @tweazer • 29 juli 2024 17:06

Die 1000 mailtjes per uur zijn dan ook bedoeld voor eindgebruikers; als je applicatief aan de gang wil met spammen, dan HVE of ACS.

Grvy @tweazer • 29 juli 2024 19:04

Je bent e-mail echt, echt, echt verkeerd aan het gebruiken als je tegen die limiet aanloopt.
1000 mail per uur gaan zitten versturen.. absurd.

Guru Evi @Grvy • 30 juli 2024 14:33

1000 e-mail per uur is vooral niet veel, een werkgever met meer dan 1000 werknemers bestaan en elke HR applicatie kan wel degelijk duizenden mails per uur verzenden.

Microsoft heeft wel degelijk een scaling probleem want een enkele mailbox moet op een enkele server passen (net zoals vroeger met Exchange). Dus een paar grote mailboxen naast elkaar en de servers staan te zweten, mailboxes die enkele tientallen gigabytes groot zijn worden retetraag. Een mailbox delen met meer dan 10 mensen, vergeet het maar.

Grvy @Guru Evi • 30 juli 2024 17:34

Organisaties met een beetje grote gebruiken geen e-mail voor communicatie.. dat is bij ons ten strengste verboden -OOK- toen we nog on premises draaiden.

En let op; het ging hier om als user zoveel mails versturen, niet via de graph API van O365 zoals programma's over het algemeen netjes doen waar die limiet NIET geld.

De rest heeft niks met deze (bewuste) limiet te maken.. schaling vs bewuste limits.

[Reactie gewijzigd door Grvy op 30 juli 2024 17:35]

Guru Evi @Grvy • 30 juli 2024 23:28

LOL, ja, als je denkt dat niemand e-mail gebruikt voor interne communicatie denk ik dat je een groot beveiligingsgat zitten hebt, ga maar eens zien hoeveel mensen dan niet GMail gebruiken als alternatief want e-mail is uiteindelijk "de oplossing" voor communicatie. Als je Teams gebruikt, dan bereik je de Slack users niet en vice versa en als je iedereen naar een portaal probeert te zenden gebruikt niemand het portaal.

Dat is bij ons al een probleem ondanks dat het wettelijk "niet mag" om patientgegevens uit te wisselen, als Outlook niet juist werkt en de IT kan geen oplossing vinden gaan ze zelf maar een alternatief vinden, en Google is gemakkelijk om een accountje op te zetten. Zo ook met Zerotier en zulke diensten, nog onlangs iemand gehad die zoiets opgezet had omdat iemand in Iran geen VPN+2FA kon draaien (VPN is daar geblokkeerd).

Ik ken maar bar weinig programma's die de Graph API ondersteunen. Zelfs voor grote "bekende" pakketten draai ik al een reeks wsgetmail (een open source script die de Graph API ondersteunt) om te zetten naar IMAP/SQL/... en dan draaien we een interne SMTP server die doorsluist naar een ProofPoint server (wat ook domweg SMTP in -> SMTP uit is). Zelfs "moderne" printers kunnen niet met de Graph API onderweg, of de paar modellen die het ooit kon is nu uitgefaseerd van Microsoft omdat het niet meekan met TLS of de laatste versie van de API.

[Reactie gewijzigd door Guru Evi op 30 juli 2024 23:34]

Grvy @Guru Evi • 31 juli 2024 09:12

uh... denken dat jouw organisatie zoals alle organisaties is.. OK. Dan houdt de discussie aardig snel op.

Organisaties met grote hebben gewoon een intranet voor communicatie, dus een prima alternatief waardoor massa e-mail niet nodig is. (en ook niet kan, en helaas Amerikaans dus gmail etc zijn allemaal geblokkeerd prive kan het I guess.. leuk? Gaan we ook niks aan doen ook.)

Graph API is bij ons gewoon een vereiste in onze "checklist" voordat software uberhaupt aangeschaft mag worden.. en geloof me je krijgt het bij ons Security Team er niet in als je zelf gaat zitten werken met software er zitten dagelijks 50 man security incidenten etc te onderzoeken.

Ik kan niet eens inloggen op een server of ik krijg al een verzoek om een change ticket, reden, en goedkeur van mijn manager. (productie dan, test is wat anders gelukkig..)

Overigens "Patientgegevens = dus medische sector - en dan praten over "bekende" paketten. die sector staat bekend erom dat ze niet gaan bewegen dus dat in die sector geen moderne Graph API's gebruikt worden is ook niet zo gek. "Moderne" printers hebben geen Graph API nodig dat heet Universal Print en zit standaard op iig elke moderne Canon printer.

(maargoed; waarom zou je printer moeten mailen? wtf)

[Reactie gewijzigd door Grvy op 31 juli 2024 09:15]

Guru Evi @Grvy • 31 juli 2024 13:50

Nee, ik ben in genoeg organisaties geweest, ik weet dat beveiliging ook een groot deel bruikbaarheid is. Als je producten niet bruikbaar zijn voor de gemiddelde mens, dan gaan je werknemers die gewoon omzeilen.
Denk je echt dat mensen te dom zijn om een Google mailtje op te zetten? En jij blokkeert Google aan de firewall? Opnieuw, als je denkt dat je ultra-veilig bent omdat niemand niets kan doen dan ben ik er zeker van dat eenmaal je de rug omdraait mensen massaal je 'regeltjes' overtreden en alternatieven vinden om 'werk gedaan' te krijgen. Wij hebben ook Intranet, bijna niemand gaat naar het Intranet om 'nieuws' te verkrijgen, ik ga zelf niet eens dagelijks naar het Intranet omdat Sharepoint gewoon bagger is en je moet al doorklikken naar je divisie en dan departement, dat is 4-5x klikken en zoeken, dan gaat er gewoon iemand screenshotten en naar vrienden in het kantoor doorsturen.

Printers (vooral MFP) gebruiken e-mail voor oa. scans (ze zijn allemaal opgezet dat je je e-mail adres kan opzoeken in AD) maar grote systemen (ja, de Epics van de wereld) gebruiken e-mail om van een datacenter naar een printer in een kantoor te gaan, want niet iedere printer is op een netwerk dat intern bereikbaar is (zit achter NAT, VPN etc), vb labeltjes in de ambulance of kantoren die via 5G/lokaal internet verbinden.

[Reactie gewijzigd door Guru Evi op 31 juli 2024 13:50]

Grvy @Guru Evi • 31 juli 2024 17:08

Jullie intranet is dus onbruikbaar.. die van ons niet. Hoofdpagina alle nieuws meteen. En het is je startpage.
Sorry, maar jouw organisatie is nogmaals geen leidraad voor overal. Je kan je niet eens bedenken dat wij een ander soort Intranet hebben die wel gewoon netjes is.

Wij blokkeren van alles en ja men kan zelf een hotspot opzetten en dan 10k collega's erin zetten dat kan. Doen ze alleen niet omdat het gewoon prima werkt. Grote kans dat Darktrace dat wel ziet.. alhoewel ik niet in het security team zit dus weet het niet zeker.

Printers gebruiken SMBv3 (ohjah en niet de printer zelf, dat hebben we opgelost met middleware die het oppakt en dan netjes op een network share zet) voor scannen to network shares, scannen naar e-mail is vragen om issues en is dus ook niet toegestaan (en ook vanuit Infra beheer willen wij dat zo, grote mailboxen omdat men van alles zit te scan e-mailen hou eens op).

Maargoed; bij ons is e-mail simpelweg niet zo belangrijk.

[Reactie gewijzigd door Grvy op 31 juli 2024 17:09]

Grvy @tweazer • 29 juli 2024 20:24

Nee, dit is een absurde use case. Dat iets kan betekent niet dat je het moet doen.
Een werkwijze (net zoals het schrijven van M$) veranderd nou eenmaal, het is geen 1989 meer.

Filters hebben niks te maken met throughput, je kan MS niet de schuld geven dat ze geen rekening houden met absurde use cases die nergens over gaan.

"Output van nachtelijke batchjobs" verwerken via e-mail is echt alsof ik 24 jaar terug de tijd in ga, dat doe je tegenwoordig echt anders...

[Reactie gewijzigd door Grvy op 29 juli 2024 20:25]

dmantione @Grvy • 29 juli 2024 20:47

En als je dat toch doet: Een eigen mailserver draaien kan ook gewoon.

Tr1pke @tweazer • 30 juli 2024 15:20

Hoeveel is 3 sekonden in het metrische stelsel?

tweazer @Tr1pke • 30 juli 2024 19:46

Het metrische stelsel betreft afstanden, tenzij je 3 lichtsecode bedoelt is er geen relatie noch antwoord met je vraag...

wildhagen

Microsoft

@Olaf van der Spek • 29 juli 2024 15:07

In theorie is ipv6 sneller dan ipv4:

IPv6 is faster than IPv4 due to its lack of NAT, faster routing, and packet processing. That makes it the better choice for anyone who needs high-speed network processing.

However, the actual speed difference between IPv4 and IPv6 can vary depending on network configurations, hardware, and other factors. In some cases, it may be negligible.

Zie https://www.siteground.com/kb/ipv4-vs-ipv6/#

In de praktijk merk je dit echter zelden/niet als consument.

Maar op de schaalgrootte van Exchange Online kan het serverside misschien dus wel merkbaar worden.

[Reactie gewijzigd door wildhagen op 29 juli 2024 15:08]

CyberTijn @Olaf van der Spek • 29 juli 2024 15:12

Ik vermoed dat de routering van het IPv6 verkeer een stuk eenvoudiger is.

CAPSLOCK2000

Ipv6
Netwerk en systeembeheer
Microsoft

@CyberTijn • 29 juli 2024 15:41

Ik vermoed dat de routering van het IPv6 verkeer een stuk eenvoudiger is.

In theorie wel, in praktijk valt het soms een beetje tegen omdat de IPv6 routes nog wel eens een omweg nemen omdat die minder aandacht krijgen dan IPv4. Dat zal vanzelf veranderen als het meer gebruikt wordt, het is al lang niet meer zo'n groot verschil als vroeger.

Cyberpuppy @turbojet80s • 30 juli 2024 09:11

En punt 3 is mij nog steeds niet helemaal duidelijk. Dit zou namelijk betekenen dat ieder device zeer gemakkelijk uniek te traceren valt. Zelfs binnen je bedrijfsnetwerk. Is dit wel wenselijk vraag ik me dan af?

Yggdrasil

@Cyberpuppy • 30 juli 2024 09:50

Het IPv6 protocol kent de zogenaamde 'privacy extensions' die ervoor zorgen dat je device vanzelf regelmatig (bijv. dagelijks) een nieuw willekeurig adres krijgt. Natuurlijk moet dat adres uit hetzelfde subnet komen, maar dat is bij IPv4 en/of NAT ook zo. Een interface kan meerdere actieve IPv6 adressen hebben, zodat er achter de schermen naar een nieuw adres gewisseld kan worden terwijl je oude verloopt. Op alle populaire OS-en staan die Privacy Extension standaard ingeschakeld.

Binnen je bedrijfsnetwerk lijkt het me juist wél wenselijk om een vast adres te hebben, vergeleken met het Internet, of niet dan? Daarvoor kan de admin DHCPv6 toepassen.

RoestVrijStaal @turbojet80s • 30 juli 2024 01:07

3. Directe communicatie: Bij IPv6 hebben alle apparaten een uniek IP-adres, wat de communicatie tussen apparaten in een netwerk vlotter en efficiënter maakt

Ook dikke win voor Microsoft: ze kunnen daarmee jou dus beter tracken en profileren.

Bor Coördinator Frontpage Admins / FP Powermod @turbojet80s • 30 juli 2024 07:58

Heb je ChatGPT gebruikt voor dit antwoord? Geen enkel van deze argumenten gaat zo maar op zonder aanvullende informatie of beperkingen op te leggen.

1. Bij IPV4 hoeft ook geen NAT gebruikt te worden wanneer je met publieke IP adressen werkt (ja, daar is een tekort aan).

2. IPv4 kent ook multicasting.. Wat is het verschil hier?

3. Directe communicatie binnen een IPv4 netwerk werkt ook met unieke IP adressen (je kan niet 2x hetzelfde IP adres binnen een netwerk gebruiken). Hier is IPv6 niet vlotter. Je argument zou misschien opgaan wanneer je juist over verschillende netwerken wilt communiceren en je noodgedwongen gebruik moet maken van bv NAT.

4. Dat hangt met name van het gekozen routing protocol af.

In de praktijk, zeker bij "ad hoc" verbindingen als bij e-mail, merk je geen snelheidswinst.

[Reactie gewijzigd door Bor op 30 juli 2024 08:00]

CyberTijn 29 juli 2024 15:19

Iedereen loopt af te geven op providers die nog niet allemaal IPv6 ondersteuning bieden, maar vergeet niet dat een grote speler als Microsoft ook gewoon boter op z'n hoofd heeft. De implementatie van IPv6 support in tal van z'n Azure diensten verloopt tergend langzaam. Pas 29 jaar na de introductie van IPv6 het protocol ondersteunen in Exchange Online? Goedzo!

Twee jaar geleden nog in Azure een doodeenvoudige Application Gateway gemaakt voor een web applicatie. IPv6 support? Keer op keer uitgesteld tot uiteindelijk november 2023, en tot die tijd mocht ik aan onze compliancy club uitleggen waarom de URL alleen op IPv4 bereikbaar was.

GertMenkel @CyberTijn • 29 juli 2024 18:22

Dat Azure amper of geen IPv6 doet vind ik niet zo'n heel groot probleem, is een goede reden voor mij om er niet te veel aandacht aan te besteden. Ik erger me wel enorm dat Github nog steeds niet op IPv6 werkt. Iedere IPv6 (micro)-server die ik opzet lijkt wel een keer iets van Github te moeten trekken, en iedere keer moet ik weer iets als NAT aanzetten. Zeer irritant.

Vorkie 29 juli 2024 14:24

Eindelijk.

Meer kan ik er niet over zeggen, kip en ei situatie blijft maar doorgaan- met dit soort acties wordt het hopelijk eens doorbroken.

MazDaMan1970 29 juli 2024 14:37

Het IPv6-protocol is de opvolger van IPv4 en is in 1995 geïntroduceerd om een oplossing te bieden voor het tekort aan IPv4-adressen dat men destijds al zag aankomen. De adoptie van IPv6 verloopt echter traag en is ook nu nog lang niet voltooid. Begin dit jaar had Microsoft aangegeven dat het de ondersteuning voor IPv6 in Windows 11 ook wilde uitbreiden.

Ach ja, zoals met zoveel dingen reageert het bedrijfsleven erg traag, zolang het niet winstgerelateerd is & het verder weinig direct zichtbare voordelen biedt. Nou moet ik ook wel toegeven dat de overgang van IP4 naar IP6 ook wel erg ingrijpend is, maar we zullen een keer volledig over moeten, al ben ik bang dat ik dat niet meer ga meemaken, tijdens mijn carriere

citegrene 29 juli 2024 16:15

Hier nog de link naar de orginele tekst:
https://petri.com/microso...ent-for-accepted-domains/

Valt allemaal nog wel mee met de ipv6 ondersteuning, het mx record gaat straks ook een ipv6 adres terug geven ipv alleen een ipv4 adres. Het ipv4 blijft ook gewoon nog werken op het mx record.

michelr @citegrene • 29 juli 2024 17:14

Doet het nu al als je - via support - IPv6 aan laat zetten
contoso-com.i-v1.mx.microsoft AAAA 10 Answer 2a01:111:f403:ca09::c
contoso-com.i-v1.mx.microsoft AAAA 10 Answer 2a01:111:f403:ca09::e
contoso-com.i-v1.mx.microsoft AAAA 10 Answer 2a01:111:f403:ca04::
contoso-com.i-v1.mx.microsoft AAAA 10 Answer 2a01:111:f403:ca04::8
contoso-com.i-v1.mx.microsoft A 10 Answer 52.101.68.5
contoso-com.i-v1.mx.microsoft A 10 Answer 52.101.73.19
contoso-com.i-v1.mx.microsoft A 10 Answer 52.101.73.22
contoso-com.i-v1.mx.microsoft A 10 Answer 52.101.73.26

Yggdrasil

@citegrene • 30 juli 2024 10:16

Microsoft vereist bij IPv6 wel dat de verzendende server een PTR-record heeft én dat het verzendende domein SPF heeft. Heb je dat niet dan loop je een grote kans gefilterd te worden. Goed idee mijns inziens, maar daar kunnen sommigen nog wel over struikelen.

jdevrie @citegrene • 30 juli 2024 18:39

MX records geven geen IP adressen maar servernamen terug. Het bijbehorende A record bij die servernaam geeft dan het IP adres.

michelr 29 juli 2024 17:11

Zat er al even aan te komen; was tot nu toe support voor nodig, maar kan al wel. Kunnen eindelijk organisaties met IPv6 en SMTP-DANE aan de gang in de jacht naar groene vinkjes op internet.nl

[Reactie gewijzigd door michelr op 29 juli 2024 17:12]

Jimbolino 29 juli 2024 14:26

helaas Odido heeft nog geen ipv6 support

bzzzt @Jimbolino • 29 juli 2024 14:33

Daar heb je dan helemaal geen last van, er is geen sprake van uitschakelen van IPv4 support.

Jimbolino @bzzzt • 29 juli 2024 14:57

geen last van, maar dus ook geen voordeel van

bzzzt @Jimbolino • 29 juli 2024 15:00

Je mail komt echt niet sneller binnen over IPv6 hoor.

Jimbolino @bzzzt • 29 juli 2024 16:04

juist wel, je OS geeft op een dual stack verbinding voorkeur aan ipv6

Anoniem: 718943 @Jimbolino • 29 juli 2024 18:52

99 van de 100 keer is je software trager dan het transport protocol, helemaal met SMTP in userspace.

citegrene @Jimbolino • 30 juli 2024 01:00

tuurlijk heb je wel voordeel, je microsoft 365 heeft ipv6 heeft niks met je eigen internet te maken. Dat je vervolgens je webmail via ipv4 opent maakt niks uit..

Yggdrasil

@Jimbolino • 30 juli 2024 10:20

Het gaat hier primair om verbindingen tussen mailservers onderling. Die kunnen dan dus standaard via IPv6 met Exchange Online praten, waar dat nu nog per domein moet worden ingeschakeld.

De mailservers waar de mailclient tegen praat ondersteunden voor zover ik weet al IPv6.

wildhagen

Microsoft

@Jimbolino • 29 juli 2024 14:32

Dat is in de praktijk geen probleem, er komen straks ook opties zodat je met IPv4 kan blijven werken. Je verliest dan dus geen functionaliteit van Exchange Online:

Het bedrijf komt eind september met opt-outdetails voor Exchange Online-gebruikers die enkel via het IPv4-protocol willen blijven werken

Yggdrasil

@wildhagen • 30 juli 2024 10:21

Niet eens nodig. Ten eerste gaat dit over verbindingen tussen servers, niet voor eindgebruikers. Ten tweede blijft v4 gewoon aan staan. Je citaat gaat over mensen die v6 voor hun domein expliciet willen uitschakelen.

mr_evil08 @Jimbolino • 29 juli 2024 15:29

Tot heden zijn er geen voordelen als consument voor ipv6, de diensten worden ook als ipv4 aangeboden.

Dark Angel 58 29 juli 2024 16:46

Ik vraag me wel af wat er gaat gebeuren als ip4 volledig uitgefaseerd wordt?
Gaat iedereen in paniek raken omdat ip6 adres zo omslachtig in te voeren is?

Het.Draakje @Dark Angel 58 • 29 juli 2024 18:09

Wanneer was de laatste keer dat je naar tweakers ging op basis van een ip4 of ip6 adres? We zijn die fase al lang gepasseerd (als die er ooit geweest is). Niemand, afgezien van de techneuten, gaat er iets van merken.

Ascension @Dark Angel 58 • 29 juli 2024 19:01

De meeste consumenten zullen daar niks van merken. Sterker nog, de meesten gebruiken al ipv6 zonder het te weten. Op mijn firewall is bijna 70% van het verkeer al ipv6.

michelr @Dark Angel 58 • 29 juli 2024 17:12

Denk dat jij dat niet meer gaat meemaken (ik ook niet)

Op dit item kan niet meer gereageerd worden.

Microsoft schakelt IPv6 vanaf 1 oktober standaard in bij Exchange Online

Lees meer

IT-banen

Reacties (117)

Sorteer op:

Weergave: