Door Olaf Weijers en Kees Hoekzema

Feedback • 03-12-2021 10:55 160

Maak je netwerk klaar voor IPv6

Opfriscursus IPv6 (voor Ziggo-gebruikers)

03-12-2021 • 10:55

160

Opfriscursus IPv6

Ziggo ondersteunt sinds 1 december IPv6 voor abonnees die gebruikmaken van de bridgefunctionaliteit van de modem, tot grote vreugde van vele tweakers die daar al een tijdje op zaten te wachten. Een kleine kanttekening: het voormalige UPC-gedeelte van het netwerk is nog niet helemaal gereed voor deze overgang, dus abonnees in deze gebieden moeten nog even geduld hebben.

Het IPv6-protocol is de opvolger van IPv4 en is in 1995 geïntroduceerd om een oplossing te bieden voor het tekort aan IPv4-adressen dat men destijds al zag aankomen. De adoptie van IPv6 verloopt echter traag en is ook nu nog lang niet voltooid. Het (her)inrichten van een professionele infrastructuur met IPv6 kost tijd en vereist kennis. Dit heeft er in veel gevallen toe geleid dat het wordt uitgesteld, totdat het uiteindelijk technisch of door regelgeving wordt afgedwongen. Een goed voorbeeld is dat de overheid zichzelf heeft verplicht voor het eind van dit jaar alle overheidswebsites en e-maildomeinen bereikbaar te maken over IPv6.

Velen van jullie hebben zich er in de tussentijd al in verdiept en hebben een redelijk idee van de veranderingen ten opzichte van IPv4. IPv6 aan consumentenzijde is ook niet nieuw. KPN en XS4ALL leveren het bijvoorbeeld al jaren, en in België ligt de adoptie van IPv6 al jaren ver boven de 50 procent.

Nu IPv6 steeds meer gemeengoed wordt en het met de update bij Ziggo nu voor een nieuwe, grote groep gebruikers relevant wordt, leek dit ons een mooi moment om er wat meer aandacht aan te besteden. Dit doen we door het pad te volgen dat door een host wordt afgelegd om zijn IPv6-communicatie op te zetten. Gaandeweg wordt zo de vraag beantwoord wat er achter de instellingen zit die je tegenkomt in het IPv6-gedeelte van je router. Ook leggen we uit wat belangrijk is om te controleren voordat je IPv6 activeert in je thuisnetwerk.

Wat levert Ziggo?

Ziggo biedt al een tijd IPv6 aan voor zijn verbindingen. Standaard krijgen de meeste abonnees een dual stack-lite-, of DS-lite-verbinding. Dit is een Native IPv6-verbinding met IPv4-ondersteuning door middel van carrier grade nat, of CG-nat. Bij DS-lite krijgt de abonnee geen eigen IPv4-adres, maar deelt hij dat met anderen. Voor abonnees die een eigen IP-adres en portforwarding eisen, is het in sommige regio's mogelijk om de verbinding om te zetten in een full dual stack- of full-DS-verbinding, maar in de meeste gevallen kreeg de modem dan IPv4-only-firmware zonder IPv6-ondersteuning.

Ziggo Connect BoxEen aanzienlijk deel van onze lezers zal een eigen router achter de Ziggo-modem hebben geknoopt en Ziggo hebben verzocht de modem enkel als bridge te laten functioneren. Ook in zo'n geval kreeg je tot op heden slechts één publiek IPv4-adres en geen IPv6-connectiviteit. Deze gebruikers van de bridgemodus krijgen sinds 1 december een full-DS-verbinding geleverd. Een herstart van het modem is vereist om deze functionaliteit te ontgrendelen. Naast een eigen IPv4-adres krijg je een IPv6-netwerksegment toegewezen, waar je zelf adressen in kunt uitdelen. Dit segment heeft een grootte van /56. Om te begrijpen wat die aanduiding inhoudt, beginnen we met adressering.

IPv6-adressen

Het eerste zichtbare verschil van IPv6 ten opzichte van IPv4 zijn de adressen. Bij IPv6 hebben die een lengte van 128bit. Zo’n adres binair uitschrijven, lezen en onthouden is nogal bewerkelijk, dus voor de human readability noteren we de IP-adressen normaal gesproken in acht groepen van vier hexadecimale waarden. Deze groepen worden gescheiden met een dubbele punt. Loze nullen kunnen worden verwijderd om het binaire adres leesbaarder te presenteren. Hoe dit werkt, laten we zien aan de hand van het volgende, willekeurig gekozen (global-unicast-) IPv6-adres:

2001:09a8:0000:000e:0000:0000:0000:0140

Een of meer groepjes van enkel nullen mag je per adres één keer afkorten tot twee dubbele punten ::

2001:09a8:0000:000e::0140

Ten slotte mogen ook voorloopnullen weggenomen worden, zodat dit adres in de verkorte vorm als volgt wordt genoteerd:

2001:9a8:0:e::140

Op je IPv6-verbinding krijg je van de provider een prefix toegewezen: prefix delegation. Dit is het vaste deel van je IP-adres. De lengte van die prefix, het aantal ‘vaste bits’, verschilt per provider en bepaalt hoeveel bits van het adres je zelf kunt toewijzen en dus van hoeveel ip-adressen en subnets je gebruik kunt maken in je eigen netwerk. De grootte van een prefix of netwerksegment wordt aangeduid met het aantal bits dat de prefix gebruikt, bijvoorbeeld /48 of /56.

Bij IPv6 is het gebruikelijk om LAN-segmenten op te delen in subnets met een grootte van 64bit. Als het bovenstaande adres deel uitmaakt van een /64-netwerksegment, is de prefix en notatie van dit segment:

2001:9a8:0:e::/64

Om dit adres in een URL te kunnen gebruiken, is het vaak nodig om dit, in tegenstelling tot een IPv4-adres, tussen blokhaken te zetten, omdat je in een URL normaal gesproken de dubbele punt gebruikt om het adres van een poort te scheiden. Bovenstaand adres kun je dus op de volgende manier in je browser gebruiken met poortnummer: http://[2001:9a8:0:e::140]:80/.

De door Ziggo toegewezen /56-prefix is uiteindelijk zelf te verdelen in 256-subnets van /64-grootte. Dit is te vergelijken met het 192.168.0.0/16-netwerk. Ook dat is eenvoudig op te knippen in 256 subnets, die je bijvoorbeeld kunt toewijzen aan je privénetwerk, gastennetwerk, iot-netwerk enzovoort. Zo zijn deze netwerken administratief, maar ook op beveiligingsgebied van elkaar te scheiden.

link-local- en global-unicastadressen

De belangrijkste IPv6-adresklassen die je in de praktijk zult tegenkomen, zijn link-local- en global-unicastadressen. Het verschil tussen deze twee is vergelijkbaar met wat we bij IPv4 kennen als private (lokale netwerk) en public (internet) IP-adressen.

Het local-hostadres dat verwijst naar de host zelf, bestaat ook bij IPv6. Dit is het adres: ::1. Bij IPv4 kennen we dit als 127.0.0.1/8. Aan de notatie zie je al dat dit bij IPv4 om een segment gaat. Bij IPv6 heb je maar één local-hostadres: het eerder genoemde ::1.

Een link-local-IPv6-adres is non-routable. Een router die een pakket ontvangt van een link-localadres, zal dit niet willen doorsturen naar een ander netwerksegment, zoals internet. Je kunt een link-localadres herkennen doordat het IP-adres altijd begint met fe80::. Het netwerksegment waarbinnen link-localadressen gegenereerd mogen worden, is enorm: /10.

Een host mag zijn link-localadres zelfstandig bepalen, zonder tussenkomst van een router of DHCP(v6)-server. Dit kan (op fe80:: na) een compleet willekeurig adres zijn of via een stappenplan worden gegenereerd: de EUI-64 IID-methode. De host gebruikt het MAC-adres van de netwerkinterface en voegt in het midden van dit adres ff:fe toe. Van het resultaat wordt de zevende bit geflipt en vooraan wordt fe80:: toegevoegd.

Als voorbeeld nemen we het MAC-adres: 16:E1:8C:EF:8D:D1, wat uiteindelijk het link-localadres fe80::14e1:8cff:feef:8dd1 oplevert.

IPv6 Local Link adres genereren

Er is natuurlijk een heel kleine kans dat er geen uniek adres is gegenereerd en er al een andere host met hetzelfde adres online is. Om dit te detecteren, gebruikt de host een methode waarbij gebruikt wordt gemaakt van multicast-adressen.

Multicast

Naast unicast-adressen, waaronder local link en het localhostadres vallen, zijn er multicast-adressen. Netwerkverkeer dat is geadresseerd aan een unicast-adres, komt terecht bij enkel de host die dat adres bezit; multicast-adressen kunnen gebruikt worden om netwerkverkeer bij verschillende hosts tegelijk terecht te laten komen.

Multicast-adressen herken je aan de prefix ff00::/8. Je hebt well-known multicast-adressen zoals ff02::1 en ff02::2. Het eerste adresseert alle nodes en het tweede alle routers op het lokale netwerk.

Hiernaast heb je nog sollicited node multicast-adressen. Dit zijn multicast-adressen beginnend met ff02::1:ff die in de laatste 24bit van het adres het unicast-adres van een host hebben verwerkt. Elke host die een unicast-adres heeft, accepteert verkeer dat gericht is aan het sollicited node multicast-adres dat hij genereert op basis van zijn unicast-adres.

Als we dit toepassen op het voorbeeld van hierboven, komen we op het sollicited node multicast-adres ff02::1:ffef:8dd1.

Het sollicited node multicast-adres wordt onder andere gebruikt bij het mechanisme om te herkennen of een host een uniek IP-adres heeft gegenereerd. De host zal een ping sturen naar zijn eigen multicast-adres. Als hier een antwoord op komt van een andere host, betekent dit dat het adres al in gebruik is. De host zal dan een nieuw adres genereren. Dit mechanisme heet duplicate address detection of dad.

Om buiten het lokale netwerk te communiceren, heeft de host een global-unicastadres nodig. Dit kan de host naast het al verkregen link-localadres gebruiken, aangezien een host verschillende adressen tegelijk op één interface kan hebben. Het adres kan statisch ingesteld worden of dynamisch worden toegewezen. Om dynamisch een adres te krijgen, zijn er bij IPv6 verschillende opties, Slaac en DHCPv6, die je naast elkaar kunt gebruiken en die elkaar kunnen aanvullen. Verderop behandelen we enkele scenario's. Om erachter te komen welke combinatie van deze twee van toepassing is, zal de host een router-advertisement moeten afwachten of een DHCPv6-sollicit moeten uitsturen.

Router-advertisements

Bij IPv6 zenden de routers op gezette tijden een router-advertisement het netwerk in. Een host zal na de autoconfiguratie van een link-localadres zo snel mogelijk een advertisement afdwingen door een router-sollicitation op het netwerk uit te zenden.

In de router-advertisement vindt de host de informatie waarmee hij kan bepalen in welke netwerksituatie hij zich bevindt. Er is in te vinden hoe groot het lokale netwerksegment is, welke prefix (het vaste deel van het IP-adres) is toegewezen en welke default gateway hij mag gebruiken. Verder kan er informatie meegestuurd worden, zoals de domainlijst en nameservers die gebruikt moeten worden. Dit is een vrij nieuwe toevoeging, die pas sinds de Windows 10 Creators Update in Windows zit en al geruime tijd in Linux. Ook vindt de host er informatie over hoe hij aan zijn global adres kan komen, bijvoorbeeld of hij dat zelf mag bepalen of juist niet, of dat hij het aan een DHCPv6-server moet vragen.

Slaac

Slaac staat voor Stateless Address Auto Configuration, kortweg: stateless configuration genoemd, en is een methode om zonder tussenkomst van een DHCPv6-server een IPv6-global-unicastadres te genereren.

Ipv6 fpaDe host combineert de ontvangen prefix uit de router-advertisement bijvoorbeeld met zijn eigen link-localadres om zo zelf zijn eigen adres op te bouwen. Het adres van de router die de advertisement uitdeelde, wordt ingesteld als local gateway, zodat de pakketten bestemd voor andere netwerken naar het juiste pad worden geleid. Ook nu zal de host door middel van dad controleren of er een uniek adres is gegenereerd.

Hierna blijft enkel nog de vraag over welke DNS-server gebruikt moet worden. Dit kan al verpakt zijn in de router-advertisement of het moet worden aangevraagd bij de DHCPv6-server, die in dit geval enkel DNS-informatie uitdeelt.

DHCPv6

Als de router-advertisement aangeeft dat er in het netwerk sprake is van stateful configuration of als de host de nameservers en andere configuratie via het DHCP-protocol nodig heeft, wordt vanaf het ontvangen en verwerken van de router-advertisement de volgende route bewandeld:

  • de host doet een DHCPv6-sollicit-aanvraag op het netwerk;
  • de DHCPv6-server antwoord met een advertise om de aanwezigheid en het adres kenbaar te maken;
  • de host doet een request of other information-aanvraag;
  • de server antwoordt met een adres dat de host mag gebruiken of met other information, zoals de DNS-serverlijst en de domeinnaam van het netwerk.

Het grote verschil met Slaac+DHCPv6 voor DNS is dus de request waarmee de host aangeeft een IPv6- global-unicastadres te willen verkrijgen.

De firewall

Bij het gebruik van network address translation, of nat, zoals gebruikelijk is bij de meeste thuisgebruikers die over minder IPv4-adressen dan apparaten beschikken, stuurt de router alle aanvragen van binnen naar buiten vanaf zijn eigen publieke IP-adres en zorgt hij er aan de hand van de nat-tabel voor dat antwoorden intern weer bij de juiste host terechtkomen. Dit voorkomt automatisch dat een apparaat op je netwerk zomaar vanaf internet bereikbaar is, tenzij je een port forward instelt of het apparaat zelf met UPnP een poort aanvraagt. Het nat-mechanisme is bij IPv6 niet meer nodig, want je hebt nu meer adressen beschikbaar dan je apparaten hebt. Daarmee valt voor je gevoel misschien een stukje ‘veiligheid’ van nat weg, maar die functie verschuift bij IPv6 naar de firewall.

De firewall was bij IPv4 al nodig om ervoor te zorgen dat niet iedereen zomaar bij de beheerinterface van je router kon komen. Met IPv6 neemt hij echter ook de 'beveiliging' die nat bood, voor zijn rekening. De firewall ziet een verzoek van een interne host naar een externe host en zorgt ervoor dat er tweewegcommunicatie mogelijk is. Als dit andersom gebeurt, dus een externe host wil een host binnen je netwerk bereiken zonder voorafgaand verzoek van binnenuit, blokkeert de firewall het verzoek, tenzij er expliciet een regel is ingesteld voor toegang. De meeste besturingssystemen hebben een firewall waarin dit gedrag standaard is geactiveerd. Verkeer afkomstig vanaf het eigen lokale netwerk kan iets soepeler worden behandeld en kan dus eventueel meer privileges krijgen, zoals SMB-verkeer voor het lokaal delen van bestanden.

Services die vanaf internet via IPv6 toegankelijk moeten zijn, worden nu dan ook toegelaten in de firewall van je router, waar je de regels bepaalt welke hosts extern bereikbaar moeten zijn op welke poort(ranges). Portforwarding is bij IPv6 dus niet meer van toepassing, tenminste, het is niet het standaardgedrag. Je kunt nog steeds nat gebruiken in combinatie met IPv6 als dat gewenst is.

Doordat de firewall van de router nu een belangrijke rol speelt, is het wel opletten geblazen met apparatuur met een managementinterface, zoals IP-camera's, nas-schijven, homeservers, iot en overige apparatuur die verbindingen aanbiedt over bijvoorbeeld HTTP, SSH of soms zelfs nog telnet. Deze hebben meestal geen eigen lokale firewall en accepteren verkeer van alle bronnen. Als de firewall op je router niet actief is, zijn deze apparaten open en bloot bereikbaar op hun IPv6-adres.

Privacy

Bij het gebruik van een statisch IPv6-adres komen er wat privacyzorgen om de hoek kijken. Als een host zich altijd meldt met een vast, uniek IP-adres, is het mogelijk om individuele apparaten in jouw netwerk te volgen. Bij IPv4 in combinatie met nat, waarbij veel apparaten gebruikmaken van hetzelfde IPv4-adres, speeltPrivacy Sandbox 2 dit minder, zeker in het geval van CG-nat, waarmee je dat adres deelt met andere gebruikers.

Om dit tegen te gaan, zijn er IPv6-privacyextensions beschikbaar, die bij de meeste besturingssystemen standaard zijn geactiveerd. Bij geactiveerde privacyextensions kun je via Slaac voor elke verbinding zelf een uniek IPv6-adres genereren en daarmee communiceren met de externe host. Nadat de communicatie over is, kan dit adres weer in de prullenbak. Het is dan nog steeds mogelijk om jouw netwerk te volgen, maar niet meer de individuele apparaten. Daarnaast heeft IPv6 als voordeel dat het je privacy verbetert doordat je veel meer adressen tot je beschikking hebt. Een volledig IPv4-netwerk scannen is geen enkele moeite; maar alle 2^64 adressen van een /64-IPv6 netwerk scannen duurt al snel duizenden jaren.

Een makkelijke manier om te controleren of je gebruikmaakt van privacyextensions, is door het bezoeken van https://ip.bieringer.net/. Hier zou je onder de EUI64_SCOPE de waarde 'local random of iid-privacy' moeten zien. Zie je dit niet, controleer dan of stateless configuratie is ingesteld op je router.

Instellen van je thuisnetwerk

Hopelijk is duidelijk geworden dat het in elk geval van belang is om de firewallinstellingen na te lopen. De stappen hiervoor verschillen uiteraard van router-tot-router, maar als voorbeeld zullen we de IPv6- en firewall-instellingen van een ASUS-router doornemen. De eerste stap is het activeren van IPv6 en het aangeven van DHCP/Slaac-instellingen.

IPv6 - Asus IPv6 Settings

Bij deze router is bij het selecteren van Native IPv6 als connectietype alles al goed ingesteld. Belangrijk is dat DHCP-PD, of prefix delegation, aanstaat. Dan vraagt de router aan Ziggo een IPv6-segment om te verdelen. Eventueel moet je handmatig aangeven dat het om een /56-segment gaat, maar in veel gevallen wordt dat al automatisch gedetecteerd.

De autoconfigurationsetting is uitgebreid behandeld. Wat je zelf kiest, stateful of stateless, is afhankelijk van je situatie. In de meeste gevallen is stateless prima. Wil je controle uitoefenen over de adressering van je hosts vanaf de router of DHCPv6-server, dan zul je stateful adressering moeten kiezen. Afhankelijk van de mogelijkheden van de DHCPv6-functie van je router kun je dan bijvoorbeeld statische adressen toewijzen of de range bepalen waarin adressen worden uitgedeeld. Met vaste IP-adressering vervalt wel het eerder genoemde voordeel van privacyextensions.

Door naar de firewallinstellingen:

IPv6 - Asus IPv6 Firewall

De belangrijkste instelling die hier gecontroleerd moet worden, is of de firewall enabled is.

Als er in je netwerk een server of ander apparaat aanwezig is dat bereikbaar moet zijn vanaf internet, moet je hiervoor een firewallregel instellen. In het voorbeeld zie je een regel die is aangemaakt voor een homeassistantserver in het netwerk. Hier wordt het IPv6-adres opgegeven van het lokale apparaat en de poort die bereikbaar moet zijn. Eventueel kan de toegang tot het apparaat tot een range of enkel adres worden beperkt.

Tot slot

Met bovenstaande informatie heb je de belangrijkste informatie om jouw netwerk klaar te maken voor IPv6. Als extra check om je instellingen te testen, kun bijvoorbeeld je ipv6-test.com bezoeken. Ook het eerder genoemde ip.bieringer.net geeft veel informatie over je IPv6-configuratie. Ben je geïnteresseerd in het serveraspect rondom IPv6, zoals DNS en e-mailservers, dan is het Hurricane Electric IPv6 Certification Project interessant, en bovendien gratis te volgen.

Foto: MR.Cole_Photographer / Getty Images.

Lees meer

Psst, IPv4-adres kopen?

19 mrt 2022

Psst, IPv4-adres kopen?

Prijzen stijgen door hamsteren cloudbedrijven

86
AWS gaat geld vragen voor gebruik van publieke IPv4-adressen
AWS gaat geld vragen voor gebruik van publieke IPv4-adressen Nieuws van 1 augustus 2023
Delta gaat vanaf vierde kwartaal IPv6-adressen geven aan glasvezelklanten
Delta gaat vanaf vierde kwartaal IPv6-adressen geven aan glasvezelklanten Nieuws van 15 mei 2023
Provider Delta bevestigt Cgnat toe te passen op netwerk voor gedeeld IPv4-adres
Provider Delta bevestigt Cgnat toe te passen op netwerk voor gedeeld IPv4-adres Nieuws van 8 mei 2023
Europese Unie wil eigen DNS-resolver die websites kan filteren
Europese Unie wil eigen DNS-resolver die websites kan filteren Nieuws van 20 januari 2022
Ziggo gaat vanaf december IPv6 ondersteunen bij modems in bridgemodus
Ziggo gaat vanaf december IPv6 ondersteunen bij modems in bridgemodus Nieuws van 16 november 2021
KPN begint met overzetten mobiele klanten naar ipv6 - update
KPN begint met overzetten mobiele klanten naar ipv6 - update Nieuws van 30 september 2019
België streeft Nederland ver voorbij met ipv6-adoptie
België streeft Nederland ver voorbij met ipv6-adoptie Nieuws van 25 september 2018
Ziggo start vanaf volgende week levering Connect Box van Arris
Ziggo start vanaf volgende week levering Connect Box van Arris Nieuws van 27 oktober 2017
Meer producten en artikelen
Netwerk internet of things Ipv6 Netwerktechnologie Tweakers Plus

Reacties (160)

-Moderatie-faq
160
160
109
4
0
43
Wijzig sortering
D0T1X 3 december 2021 12:05
Wat ik niet zo goed begrijp is dat men net zoals bij IPv4 direct zo een grote prefixes uitlevert. Ja dat is leuk en makkelijk voor de eindgebruiker want dan kun je van een aantal /64 reeksen gebruik maken met elk een EUI_64 adres verkrijgen.
Maar kleinere reeksen met DHCPv6 had een doorsnee consument niets van gemerkt.Een /64 of zelfs een /80 kun je nog makkelijk opsplitsen in veels te grote subnets. Nu hebben we NAT want de IPv4 adressen waren op, toch zie je nog oude Middelgrote bedrijven met hele public /16 reeksen. Maar IPv6 is zo groot dat gaan we nooit op krijgen. Enige is, dat zijden ze over IPv4 ooit ook.
Ajunne @D0T1X3 december 2021 12:51
Ik dacht origineel hetzelfde als jij. Als de hele IPv6 space 2^128 adressen is, waarom wordt dan per LAN een blok van 2^64 uitgedeeld? Daardoor heeft ieder LAN toegang tot (afgerond) 18 triljoen (1,8 x 10^19) verschillende IP adressen. Veel te veel voor eender welk LAN zou je denken. Niet alleen voor thuisgebruik (passen er eigenlijk wel zoveel toestellen die een IP adres nodig hebben fysiek binnen een huis?) maar zelfs voor grote bedrijven (ik denk dat zelfs hyperscale bedrijven als Google niet zoveel devices in gebruik hebben in hun netwerk). Absolute overkill dus.

Totdat je gaat rekenen hoeveel van die subnetten er precies zijn. Dat zijn er (niet toevallig, want de splitsing ligt niet voor niks op 64 van de 128 beschikbare bits) ook 18 triljoen (1,8 x 10^19). Dus we kunnen in totaal 18 triljoen verschillende netwerken maken, elk met 18 triljoen verschillende adressen. Ook dit klinkt allemaal een beetje abstract, totdat je gaat rekenen met de bevolking van de aarde. Op dit moment 7 miljard mensen, maar schattingen hebben het in het extreme geval over 17 miljard in het jaar 2100. Laten we even gek doen, en 17 miljard (1,7 x 10^10) aannemen. Dan nog hebben we het over meer dan 1 miljard verschillende netwerken, per persoon op de planeet in het jaar 2100. Zelfs als ISPs als Ziggo groepen van 256 subnetten uitdelen per persoon, dan hebben we het nog over meer dan 4 miljoen van die groepen van netwerken per persoon op de planeet. Nu denk ik wel dat in het jaar 2100 ieder persoon veel meer IP adressen zal consumeren dan nu, maar het lijkt me sterk dat we tegen dan elk op ieder gegeven moment met 4 miljoen devices op, rond of in ons lichaam/huis gaan rondlopen. En mocht dat toch zo zijn, we hebben 40 jaar gedaan met IPv4, dan verzinnen we tegen 2080 toch weer wat nieuws. Ik zal tegen dan alvast op pensioen zijn, dus ik heb er geen last van.

De cijfers zijn gewoon zo enorm, en moeilijk voor te stellen als je niet gewend bent met ordegroottes te werken. Zelfs als we heel erg ruim adressen uitdelen (zoals we doen), dan nog komen we voor de komende 80 jaar toe.
Blokker_1999 @Ajunne4 december 2021 15:14
Maar begin ook eens direct te kijken naar hoeveel ranges al niet beschikbaar zijn omdat ze gereserveerd zijn voor specifieke doeleinden.

Je hebt nog altijd enorm veel subnets beschikbaar, maar toch vind ik het vreemd dat ze er onmiddelijk weer zijn ingestapt met de gedachte: we hebben adressen genoeg.
arjankoole @Blokker_19994 december 2021 17:55
Maar begin ook eens direct te kijken naar hoeveel ranges al niet beschikbaar zijn omdat ze gereserveerd zijn voor specifieke doeleinden.

Je hebt nog altijd enorm veel subnets beschikbaar, maar toch vind ik het vreemd dat ze er onmiddelijk weer zijn ingestapt met de gedachte: we hebben adressen genoeg.
Je hebt natuurlijk wel een beetje gelijk, maar dit zijn er zoveel dat het redelijkerwijs niet aannemelijk is dat we binnen afzienbare tijd “op” raken. Zelfs niet nu ik zowel een /48 (een nog groter subnet, 65536 /64’s) en een /56 heb, met 2 internet verbindingen.

Het was wat zorgwekkender toen je bij iedere vps een /64 kreeg. :)
Laar19 @D0T1X3 december 2021 14:23
Als zijspoor op @Ajunne die goed aangeeft hoe ontiegelijk gigantisch veel adressen we hebben.

De reden is volgens mij flexibiliteit voor in de toekomst. De minimum grote van een subnet wil je standaardiseren ruim voordat mensen het in praktijk gaan gebruiken. Want later kan je dit praktisch niet meer wijzigen.

Door ruimte te hebben op het lokale subnet kunnen latere standaarden daar gebruik van maken. Zoals de IPv6 privacy extensions doen. Door te beknibbelen op de grote van een minimum subnet/prefix zorg je later mogelijk voor problemen/beperkingen. Dan krijg je vergelijkbare lapmiddelen als NAT bij IPv4, wat komt omdat je minimum uitgedeelde prefix overeen komt met één adres.

Dus is de vraag hoe verdeel je de twee? Daarvoor heeft men in 1993 bedacht dat een van de requirements voor IPv6 was dat het ondersteuning moest bieden voor:
- 2^40 netwerken (ter idee, dat is op het moment ongeveer 150 per mens)
- 2^50 hosts (en nu dus 160 duizend per mens)
Wat goed haalbaar is met /64 subnets, en daarnaast lijkt het als ik naar rfc3177 kijk (ter idee uit 2001), ook voordelen te bieden in interactie met andere onderdelen van het IPv6 eco/protocollen-systeem. De standaard voor het uitgeven van een /48 (later /56 voor consumenten/kleine locaties) aan klanten is vervolgens een afweging tussen het omgaan met de /64 globale adressen en praktische voordelen voor zowel de klanten als de ISPs, registries, etc.
Snow_King
@D0T1X3 december 2021 21:49
De /64 per subnet is er juist voor host autoconfiguratie in netwerken.

Op basis van hun MAC kunnen hosts in een netwerk zelf een IPv6 adres aannemen zonder dat er een conflict ontstaat.

Zo is er geen noodzaak tot DHCP of iets anders, puur op basis van een MAC en Router advertisement kan een host zichzelf configureren.

Voor het internet gebruiken we nu 2000::/3, we kunnen het hierna nog tientallen keren over doen mochten we het echt verknallen.
Qlimaxxx @D0T1X3 december 2021 23:44
Nog even als aanvulling op bovenstaande antwoorden. Zoals in het artikel ook aangegeven hebben zulke grote subnets nog een extra voordeel. Door de scope zo groot te houden is het vele malen lastiger om alle adressen in een subnet te scannen. Wel zo handig, aangezien het publieke IP’s zijn.
CAPSLOCK2000
@D0T1X4 december 2021 01:28
Wat ik niet zo goed begrijp is dat men net zoals bij IPv4 direct zo een grote prefixes uitlevert.
Misschien helpt het om op een andere manier naar het probleem te kijken. Computers werken graag met veelvouden van 2, dus 2, 4, 8, 16, 32, 64, 128. Vooral 64 is populair omdat onze hardware veelal gebaseerd is op 64 bit. Als je iets met een adres gaat doen gebruikt je computer sowieso niet minder dan 64 bits. En als je iets met een 128 bit adres wil doen is het ontzettend handig als je het precies in twee stukken van 64 bit kan splitsen. Iedere andere splitsing levert geen twee stukken van 64 bit op maar tenminste 3 stukken van een minder handige grote. Een maatje groter of kleiner zou minder handig zijn.

Je kan het aantal adressen in een (eind)netwerk gewoon loslaten. Het is altijd genoeg zonder uitzonderingen.
Maar IPv6 is zo groot dat gaan we nooit op krijgen. Enige is, dat zijden ze over IPv4 ooit ook.
Misschien, maar de kans is groot dat we tegen die tijd al een andere reden hebben gevonden om IPv6 te vervangen.
paulmes 3 december 2021 12:03
Snap er nog steeds geen bal van. Router in bridge mode. En dan randapparatuur ook op IP6? En als die dat niet kunnen? Weggooien? Of kan je nog steeds IP4 gebruiken.
Probeer artikel meer leekproof te maken svp.
moppentappers @paulmes3 december 2021 12:59
Ik denk dat vrijwel iedereen toch wel weet dat IPv6 en IPv4 naast elkaar kunnen bestaan, ook de wat minder technische personen. Je kan moeilijk alles in Jip en Janneke taal uitleggen.
paulmes @moppentappers3 december 2021 13:19
Dank en gerustgesteld
Notaname 3 december 2021 11:00
Nu ben ik een absolute leek op netwerkgebied, dus vraag ik mezelf af, als ik dit nu niet gebruik/instel?
Zijn die IPv6 websites van bijvoorbeeld de overheid dan onbereikbaar voor mij?
AuteurOlafWeijers Redacteur @Notaname3 december 2021 11:09
Nee hoor, naast IPv6-connectiviteit, behoud de website ook gewoon toegang via IPv4 en daar zal voorlopig nog niets aan veranderen. :)
Notaname @OlafWeijers3 december 2021 11:11
Dank je wel.
kodak @Notaname3 december 2021 11:27
Zoals je kunt lezen is nog niet voor iedere Ziggo klant ipv6 beschikbaar. Dus zelfs als je je modem moet instellen hangt dat dus van je situatie af. Het is uiteindelijk de bedoeling dat je niets zou moeten instellen.

Op dit moment kun je er maar beter vanuit gaan dat als je wil weten of je ipv6 hebt je een test doet die in het artikel staat.

Het voordeel is dat veel internetdiensten zowel via IPv4 en IPv6 te bereiken zijn, juist omdat netwerken als Ziggo traag zijn met klanten ook aan te sluiten via IPv6.
SunnieNL @kodak3 december 2021 11:49
mmm.. ik heb de connectbox in het verleden op een ipv4 laten omzetten (ik kreeg default ipv6 ivm geen bridge) omdat ik in het modem de services die aan mijn binnenkant zitten niet aan de buitenkant bereikbaar kreeg.
Als je in bridge een ipv4 en ipv6 krijg op je router er achter. Doet die router dan nog wel NAT voor verkeer wat via ipv4 binnenkomt? Want dat kon de ziggo modem zelf in het verleden niet.
SG @kodak4 december 2021 14:28
Nou nee dat is alleen de kant van je ISP.
Het internet ip4 is op zodat waar internet aansluitingen hard groeien is het ipv6 only terwijl andere bestaande gebruikers en diensten een deel alleen ipv4 bieden.
kodak @SG4 december 2021 14:45
Toon maar aan dan waar echt alleen ipv6 in gebruik is en hoe dat echt verschil maakt voor bereiken van bijvoorbeeld de overheden of andere belangrijke websites.
Daarbij is ipv4 uitgegeven, niet op. Er is namelijk al jaren handel in ipv4 omdat grote bedrijven er geld aan kunnen verdienen wat ze meer waard is dan het bezit.
Riesch @Notaname3 december 2021 11:14
Naast het standaard IPv4 zijn overheid sites nu ook bereikbaar op IPv6. Kortom, je kan er nog gewoon bij, ook als je geen IPv6 hebt.
host www.overheid.nl
www.overheid.nl has address 62.112.246.70
www.overheid.nl has IPv6 address 2a07:3506:4c:3342::2:0
TD-er @Notaname3 december 2021 11:28
Nope, de servers van de overheidssites zijn bereikbaar via zowel IPv4 als IPv6.
De regel is vrij simpel, als je PC een (global) IPv6 adres heeft dan zal je OS bij een DNS request standaard het AAAA record opvragen en dus een IPv6 adres krijgen als antwoord op een DNS request.
Als de DNS server geen AAAA record heeft, maar alleen een A record, dan krijg je dus een IPv4 adres.

Andersom, als je dus geen IPv6 global adres hebt, zal je OS geen AAAA record opvragen, maar alleen een A record bij een DNS request en dus verbinding via IPv4.
Er zijn erg weinig sites die alleen via IPv6 werken, dus je zal er nu (nog) geen last van hebben.
De sites die alleen via IPv6 werken, zijn over het algemeen alleen de "IPv6 test sites" :)
mdavids @Notaname3 december 2021 11:44
Nee, maar sommige Amerikaanse overheidssites al wel, zoals: https://clintonwhitehouse2.archives.gov/.
Dat komt omdat ze daar al wat verder zijn met het langzaam uitzetten van IPv4.

De meer dan 300 bedrijven die nu met smart wachten op IPv4-adressen maar ze niet krijgen, omdat ze op zijn, zullen ook blij zijn als jij ze straks over IPv6 komt bezoeken:

https://www.ripe.net/mana...ns/ipv4/ipv4-waiting-list
CAPSLOCK2000
@Notaname3 december 2021 12:40
Nu ben ik een absolute leek op netwerkgebied, dus vraag ik mezelf af, als ik dit nu niet gebruik/instel?
Zijn die IPv6 websites van bijvoorbeeld de overheid dan onbereikbaar voor mij?
Als het een IPv6-only website is dan zul je er niet bij kunnen als je zelf geen IPv6 hebt.
Maar dat soort sites zijn nog extreem zeldzaam. De realiteit is dat op dit moment iedere belangrijke website ook een IPv4 adres heeft. Maar vroeg of laat zal dat gaan veranderen en dat moment is niet heel ver weg meer.
We zien al een tijdje dat IPv4 duur begint te worden. Een paar jaar geleden krijg je die adressen eigenlijk gratis bij je webhosting pakket. Tegenwoordig zijn er steeds meer leveranciers die je daar apart laten betalen voor ieder adres en de prijzen stijgen snel. Bij de grote webhoster Hetzner betaal je momenteel tussen de 1 en de 3 euro per adres per maand. Dat is meer dan het dubbele van een jaar geleden. Dat is best wel veel als het bijhorende webhosting pakket in totaal maar 2 euro per maand kost. Nu is dat misschien een beetje extreem geval dat ik heb "gecherrypicked" maar het zegt toch wel wat: IPv4 begint snel het duurste onderdeel te worden van een website.

Er zijn dan ook steeds meer leveranciers die servers of websites leveren waar je alleen een gratis IPv6-adres(blok) bij krijgt. Momenteel koopt vrijwel iedereen daar een IPv4 adres bij zodra ze merken dat veel gebruikers er anders niet bij kunnen. Maar het kan niet anders dan dat er ook partijen zijn die besluiten dat voor hun eigen gebruik IPv6 wel genoeg is.

Om het maar niet te hebben over consumenten die een goedkoop pakket bestellen en niet eens weten wat IPv4 is. Nu worden die er snel mee geconfronteerd dat veel gebruikers alleen IPv4 nodig hebben maar ik denk dat dat niet lang meer gaat duren. Als zeg maar de meeste Ziggo en KPN klanten thuis IPv6 hebben dan heb je daarmee het grootste deel van Nederland gedekt. Goed kans dat veel amateurs er nooit achter komen dat hun website niet werkt voor IPv4-only gebruikers.

We zijn daar nog niet helemaal maar het begint wel dichtbij te komen. Nog iets meer gebruikers en iets hogere prijzen voor IPv4 en dan denk ik dat het opeens heel hard gaat.
SG @CAPSLOCK20004 december 2021 14:38
Nou wij als nederlanders bezoeken uiteraard websites in landen waar internet redelijk op orde is. Maar migrant chinees of afrikaan die achterban verbinding wilt maken. Vpn verbinding of nas delen dan is niet vanzelf sprekend dat er ip4 beschikbaar is. Gezien bij het verdelen van ip afrika er flink stuk minder gekregen heeft dan het land van internet oorsprong. Familie in afrika daar eigen website heeft om foto te delen dan zal dat eerder in ipv6 zijn.
GertMenkel @Notaname3 december 2021 20:43
Momenteel zijn de enige sites die IPv6-exclusief zijn volgens mij de privéprojecten van hobbyisten en misschien wat bedrijfssystemen waarbij men kan garanderen dat ze zelf ook IPv6 hebben.

Ik verwacht wel dat met een paar jaar steeds minder mogelijk wordt op IPv4. Niet zozeer het openen van websites, maar wel het draaien van je eigen diensten (alles waar port forwards voor nodig zijn).

IPv4 is op en steeds meer bedrijven betalen steeds meer geld om de laatste ongebruikte adressen aan zich toe te eigenen. Consumentenproviders die geen garanties geven over je IP-adres kunnen flink cashen door over te stappen naar carrier-grade NAT, waarbij één IPv4-adres aan een hele wijk kan worden toegewezen. Daarmee verlies je de mogelijkheid tot port forwards, automatisch of handmatig, (die je console misschien nodig heeft!), maar dan moet je je provider maar extra betalen voor een IPv4-adres...

Niet alleen kan dit ertoe leiden dat je apparaten meer moeite hebben met internetten, je kunt ook nog ten prooi vallen aan blokkades. Als je overbuurman als het ware Tweakers helemaal volspamt en je een IP-block uitgedeeld krijgt, geldt die voor iedereen met dat IP. Dan mag je Tweakers gaan overtuigen dat jij het echt niet was en dat ze die block misschien moeten heroverwegen. Hier werken mensen die verstandig genoeg zijn bij het klantcontact, maar zie gameservers die door vrijwilligers zijn opgezet maar eens te overtuigen...

Het lijkt nu onwaarschijnlijk, maar in landen als India is CG-NAT al een veelgebruikt systeem. Daar ondervinden mensen er ook dikwijls alle nadelen van. Helaas is daar IPv6 vaak ook niet eens een optie. In sommige Ziggo-gebieden was dit ook al een tijdje de norm, waardoor je de vage situatie kreeg dat je IPv6 aan kon hebben staan óf port forwards kon instellen.

Als je er zelf niks aan doet, en je de modem van je provider gebruikt, hoef je waarschijnlijk niks te doen om "over te stappen". Het zal op termijn automatisch worden aangezet, als het niet al stiekem aan staat. Je apparaten zullen zichzelf waarschijnlijk instellen, de firewall zal standaard goed staan aan de modemkant en je zult er over het algemeen weinig van merken.

Alleen als je je eigen router en/of modem gebruikt met handmatige configuratie, zul je hier naar om moeten kijken. Ik durf te gokken dat zelfs al gebruik je een eigen modem, IPv6 automagisch zal gaan werken omdat het in veel apparaten al standaard aan staat, maar gewoon niet werkte voorheen!
arjankoole @Notaname4 december 2021 18:04
Nu ben ik een absolute leek op netwerkgebied, dus vraag ik mezelf af, als ik dit nu niet gebruik/instel?
Zijn die IPv6 websites van bijvoorbeeld de overheid dan onbereikbaar voor mij?
Dat zal in de toekomst inderdaad gebeuren. Er komt een punt dat een nieuwe website geen v4 adressen meer kan krijgen. En dan kan iemand zonder ipv6 daar niet bij.
CAPSLOCK2000
3 december 2021 11:02
Mooi artikel. Ik kan me voorstellen dat sommigen het wat overweldigend vinden en denken "Waarom moet het allemaal zo moeilijk?". Dat is niet helemaal terecht want IPv6 is vaak eenvoudiger dan IPv4. Maar we hebben ontzettend veel ervaring met IPv4 en zijn helemaal gewend aan de gekke kanten en alle hacks die er bij horen. Dat hele NAT feest is super ingewikkeld maar voor velen van ons is dat al normaal.

IPv6 maakt de zaken over het algemeen simpel. Het is vooral ingewikkeld omdat IPv4 ook nog bestaat en de meeste mensen dat goed kennen.
Finraziel @CAPSLOCK20003 december 2021 11:43
Ik heb eigenlijk vooral het idee dat het artikel niet heel erg goed opgesteld is... Althans, voor mensen die niet al bezig zijn met de materie.
Het begint gelijk met een heleboel technische kennis te gooien en, misschien word ik oud, maar mij duizelde het lang voordat ik ergens de zin "Hopelijk is duidelijk geworden dat het in elk geval van belang is om de firewallinstellingen na te lopen" zag staan... Eh, nee? Ik hang nog steeds op "why should I care?"
AuteurKees BOFH @Finraziel3 december 2021 11:56
Dat is eigenlijk in een notendop het grootste probleem van ipv6 en de reden dat we al 25 jaar er mee bezig zijn om het uit te rollen. Het is niet eenvoudig om te uit leggen waarom ipv6 beter is dan ipv4; alles wat ipv6 kan kun je ook met ipv4 bereiken (al dan niet met wat hacks).
borft @Kees3 december 2021 12:56
nee hoor, je kunt bijvoorbeeld niet al je apparaten thuis een eigen routable ip adres geven met ipv4, omdat je (in het beste geval) maar een publiek ipv4 adres krijgt (bij de gemiddelde consumenten verbinding). Bij ipv6 krijg je standaard een prefix. Om maar eens een voorbeeld te noemen. NAT is eigenlijk ook een ranzige oplossing, geboren uit noodzaak, maar die wordt overbodig door ipv6.


@Kees haha, lol, rond die tijd zat ik ook in Enschede ;) Verder helemaal met je eens hoor. Overigens hadden we op de campus in die tijd al native ipv6 als ik me niet vergis!

[Reactie gewijzigd door borft op 22 juli 2024 15:29]

AuteurKees BOFH @borft3 december 2021 13:09
Klopt, en dat bedoel ik met hacks van ipv4 waarmee je om de nadelen heen kan werken. Zo goed zelfs dat er voor de gemiddelde consument weinig reden is om zich er zorgen over te maken.

Want wat heb ik er aan dat mijn vaatwasser een routeerbaar ipv6-adres heeft als ik hem toch alleen wil aanspreken als ik in het lokale netwerk aanwezig ben. Overigens kwam ik laatst een ISP tegen (starlink) dat wel een ipv6 adres uitdeelde, maar geen verbindingen van buiten het netwerk inliet (een ipv6 ping kwam niet eens op de starlink router van de consument terecht maar werd geterminate voordat het omhoog naar de sateliet ging).

Vroeger toen ik nog als student in Enschede mijn eerste vaste kabel aansluiting kreeg in '99 was het zelfs verboden om meer dan 1 apparaat op de verbinding aan te sluiten (met 4 studenten in 1 huis..). Gelukkig had ik wel wat kennis van Linux en had ik gehoord van 'NAT' en dat we dat hiervoor konden gebruiken. Als ik toen niet gedwongen was om die kennis in te zetten had ik dit artikel waarschijnlijk niet mede-geschreven ;)

[Reactie gewijzigd door Kees op 22 juli 2024 15:29]

CAPSLOCK2000
@Kees3 december 2021 13:22
Klopt, en dat bedoel ik met hacks van ipv4 waarmee je om de nadelen heen kan werken. Zo goed zelfs dat er voor de gemiddelde consument weinig reden is om zich er zorgen over te maken.
Het lastige aan de situatie is dat niemand weet wat we hebben gelaten omdat het toch niet kon. Ik denk dat VOIP 10 jaar vertraging heeft opgelopen doordat we geen direct adresbare systemen meer hadden. Zo moeilijk is het niet om een audiosignaal te versturen als je maar genoeg bandbreedte hebt voor gecomprimeerde audio. Alle moeite rond VOIP zit rond NAT en hacks als STUN om daar om heen te werken.

Het voelt nu vaak een beetje alsof mensen zeggen "Ik heb geen hamer nodig want ik heb al een zakmes met schroevendraaier". En het klopt dat een schroef een spijker kan vervangen maar de spijker is meestal makkelijker en sneller. Dan kun je als hack nog wel een elektrische schroevendraaier op je zakmes gaan zetten, maar ook dat blijft behelpen als je ook een pneumatische hamer had kunnen hebben.
Pieter-64 @CAPSLOCK20003 december 2021 20:48
capslock
98% van de gebruikers heeft geen enkel benul van IP4 of IP6 of wat het ook betekend.
die hebben internet en wifi.
meer hebben ze niet en weten ze niet.
de tweakers zijn degene die zich een stukje verdiept hebben en dan hebben we de "nerds" die van de hoed en de rand weten.

uitleggen wat de voordelen zijn van ip6 aan die 98% gaat em niet worden, het boeit ze niet, ze merken er niks van, en zullen de komende 10 jaar nogs teeds niks van merken.

met hun mobieltje hebben ze al lang ip6 als ze via LTE gaan of 4g 5g etc.
maar er is geen van die 98% die weet waar die zijn ip adres zou kunnen vinden op de telefoon.

ook hier weer, de 2% zou het weten te vinden maar heeft er eigenlijk nog steeds niks aan op de telefoon.

alle spullen die men thuis heeft, draait nog steeds puur en alleen op IP4.
webcams, babyfoons, deurbel, philips hue, ikea hub, enz enz.

er is bijna geen verdien model te bedenken wat profit oplevert om voor die 2% specifiek iets te leveren wat IP6 levert als de concurent nog gewoon ip4 blijft leveren op zijn spullen.
voip voor thuis, enkeling die het gebruikt helaas.
ook 10 jaar geleden zou het een niche markt zijn wat een stuk duurder zou zijn dan de gewone telefoon.


persoonlijk vind ik het jammer, ik had idd wel een paar dingen veel eerder willen hebben, maar die zijn nu niet meer nodig eigenlijk.
fatsoenlijk voip zodat ik telefoon nummers van andere landen hier thuis kan hebben en gebruiken.
maarja nu hebben we messenger, whatsapp, google duo, signal, telegram en nog veel meer chat en bel apps op de telefoon en computer zitten.

enige probleem wat we nu hebben, IPv4 begint op te raken (roepen ze al jaren)
er zijn echter nog hele blokken ongebruikt die men niet wil afgeven.

men is begonnen met IP6 om een paar problemen op te lossen die vooral zakelijk een issue waren.
om de adres reeks uit te breiden
en, naar mijn idee, omdat ze toch bezig waren om wat te bedenken hebben ze maar meteen geheel opnieuw aangepakt en IP6 bedacht en uitgewerkt.
helaas is het niet mogelijk om IP4 extra blokken te geven omdat de hele wereld van het ene op het andere moment om zou moeten terwijl ip6 er gewoon langs gezet kan worden en geleidelijke overgang mogelijk is,
wat al 25 jaar aan gebeuren is, geleidelijke overgang.

maar jan met de pet, tante lien thuis en hun hele familie boeit het 0.000000 oif ze nu ip4 hebben of ip6 of ip100
zolang hun wifi het maar doet. als er nu iets niet werkt roepen ze dat het internet down is, ze weten niet eens waar ze moeten kijken.

zelf ben ik blij dat eindelijk in q2 van 2022 ziggo ook het oude upc gebied gaat voorzien van dual stack en we een echt ip6 blokje krijgen.
laten we hopen dat ook echt alles open blijft staan bij ziggo en dat we gewoon als tweakers / nerds kunnen blijven doen wat we willen.
CAPSLOCK2000
@Kees3 december 2021 12:55
Dat is eigenlijk in een notendop het grootste probleem van ipv6 en de reden dat we al 25 jaar er mee bezig zijn om het uit te rollen. Het is niet eenvoudig om te uit leggen waarom ipv6 beter is dan ipv4; alles wat ipv6 kan kun je ook met ipv4 bereiken (al dan niet met wat hacks).
Deel van het probleem is dat we na 25 jaar enorme verwachtingen hebben bij hoe geweldig IPv6 wel niet gaat zijn. Zo veel moeite moet wel een hoop opleveren. En dat klopt niet. IPv6 is eigenlijk maar een hele kleine upgrade van IPv4.

De voordelen zijn heel simpel: je hebt veel meer adressen en daarom heb je die IPv4-hacks niet meer nodig. Voor techneuten komt daar nog bij dat routing en autoconfiguratie makkelijker is maar dan zit je eigenlijk al weer op het gebied van de experts.

We hebben een diepe kuil voor onszelf gegraven door steeds weer te investeren in IPv4-hacks in plaats van een keer goed te investeren in IPv6. Nu moeten we ook betalen om die kuil weer op te vullen en dan blijft het aantrekkelijk om toch maar weer in IPv4 te investeren ook al wordt de kuil dan nog weer dieper.

En hoe langer dat verder gaat hoe duurder het wordt om over te stappen naar IPv6.

Wat ook niet helpt is dat de meeste ellende rond IPv4 terecht komt in de armste delen van de wereld. In het rijke westen kunnen we veel problemen oplossen door veel geld te betalen voor adressen. Maar de armeren hebben niet de middelen om IPv6 te ontwikkelen en omdat ze arm zijn is er ook bij het bedrijsleven weinig animo om daar in te investeren.
bazzi @CAPSLOCK20003 december 2021 20:11
IPv6 is in arme landen veel normaler dan IPv4. Denk toch echt de wet van de remmende voorsprong...
GertMenkel @Kees3 december 2021 20:21
Het grootste probleem van IPv6 is in een notendop dat men nog steeds alleen IPv4 leert op school. DHCP en SLAAC maken elkaar niet zoveel qua complexiteit, firewalls zouden hopelijk voor mensen die met netwerken doen een vaste prik zijn en langere adressen zijn hooguit was lastiger te onthouden.

IPv6 brengt andere concepten met zich mee, maar die concepten kun je grotendeels negeren. Multi homed TCP/IP-oplossingen zijn leuk voor de mensen die ze nodig hebben, maar niet heel relevant voor normale gebruikers.

NAT is een enorm lelijke hack en dat maakt het uitleggen van IP-adressen ook zo lastig. Bij port forwards moet je een ander IP opgeven dan het IP dat je gebruikt om je Minecraftserver mee te delen, en dat is ontzettend verwarrend als je er net mee begint; ik heb daar al een aantal keer vragen over gehad, in elk geval. Ook wordt iedereen altijd aangeraden om UPnP uit te zetten voor de veiligheid, maar wil je gaan uitleggen waarom dat is, dan ben je even bezig. Het is soms ook best lastig uit te leggen waarom 1.1.1.1 bij iedereen op dezelfde website uitkomt maar waarom 192.168.1.1 op een ander apparaat terechtkomt, zonder het concept van routers en NAT mee te nemen. Je kunt vergelijkingen maken met echte adressen maar vroeg of laat storten die vergelijkingen in omdat de realiteit en netwerktheorie niet 1-op-1 te vergelijken zijn.

Onder de streep is bij een normaal netwerk (dat wil zeggen, full dual stack, zoals het hoort) het aanzetten van IPv6 een enkel vinkje, als dat niet al standaard aan staat. Zo moeilijk is het allemaal niet voor de eindgebruiker.

Het grote probleem is dat iedereen doet alsof het heel moeilijk is omdat ze nog geen tijd of interesse hebben gehad om zo'n artikel te lezen. Tweakers had kunnen beginnen met "dit zijn de instellingen, lees hier waarom dit zo zit" en het hele verhaal was voor beginners een stuk behapbaarder. Aan de andere kant is het een Plus-artikel dat je leest voor de diepgang die verder gaat dan nieuwssnippets, dus is die diepgang juist weer welkom.

Overigens is een ander probleem dat fabrikanten slechte ondersteuning hebben voor IPv6 "omdat niemand het gebruikt". Ubiquity produceert nog steeds hardware, en zeker geen goedkope, waarin IPv6 niet via hardwareversnelling kan worden gerouteerd. Blijkbaar kunnen prosumer routers niet wat de standaard-Ziggodoos al jaren doet. Ik ken diverse mensen in de IT die om die reden IPv6 hebben uitgezet thuis. Bij de gemiddelde 50 euro-consumentenrouters is dit geen probleem, overigens.
blatenja @CAPSLOCK20003 december 2021 11:17
Het zal wel aan mij liggen maar ik vind het nog altijd vrij complex. Geef mij maar IPv4. Maar het zal wel gewenning zijn... Ik heb onlangs wat liggen stoeien binnen mijn eigen netwerk hier en ik moest veel zoeken en proberen voor het allemaal 'n beetje werkte. Gelukkig krijg je nog gewoon IPv4 en IPv6 bij KPN en is het nog niet IPv6 dat je verplicht moet gebruiken.
Fermion @blatenja3 december 2021 11:31
Een link-local-IPv6-adres is non-routable. Een router die een pakket ontvangt van een link-localadres, zal dit niet willen doorsturen naar een ander netwerksegment, zoals internet.
Dit stukje is mij ook totaal onduidelijk. Als het niet routable is, waar wordt het dan wel voor gebruikt? Of krijgt een apparaat twee v6 adressen, routable en non-routable… en waarom dan….
Er is natuurlijk een heel kleine kans dat er geen uniek adres is gegenereerd en er al een andere host met hetzelfde adres online is
.

Maar dit natuurlijk alleen een probleem op jouw LOCALE netwerk, want het routeert niet. Maar dat een duplicate van en mac adres…

Next: in de meeste VLAN opzet wordt een MAC hergebruikt op andere virtuele interfaces (zie je ook bij firewalls)… Dat kan dus een probleem worden?

Gaat nog leuk worden zo :)

[Reactie gewijzigd door Fermion op 22 juli 2024 15:29]

AuteurKees BOFH @Fermion3 december 2021 11:53
Het is niet routeerbaar, maar het is wel bruikbaar ik je lokale netwerk. En aangezien het autoconfiguratie is merk je er niets van. Als je bijvoorbeeld een printer in je netwerk hangt die geen routeerbaar adres mag krijgen (dus niet het internet op mag) dan heeft hij alleen maar een link local adres nodig, en met wat multicasts kan hij zichzelf beschikbaar maken in je lokale netwerk zonder dat ik meteen op je printer kan printen vanuit mijn eigen huis.

Verder, in de meeste vlans zul je een per vlan een eigen /64 gebruiken, de prefix is dan anders ook al is het mac hetzelfde. het link-local adres is wel gelijk, maar omdat je weet op welke interface je iets ontvangt weet je ook waar je het op moet uitsturen.
Fermion @Kees3 december 2021 12:13
Hier meerdere subnets, oa gasten en IOT (alleen als het de cloud opzoekt).

Mijn praktijk was altijd v6 uitzetten, Windows is namelijk bestaat v6 over v4 naar buiten communiceren.

Nu dat Ziggo eindelijk v6 naar de man brengt, is nagaan wat PFSense doet. Wellicht tijd om Floating FW rules toe te passen… of ze gaan een keer over naar object bases firewalling… En dat ze een keer PVLAN implementeren… En een consumer switch die overweg kan met PVLAN (laatste tijd niet meer naar omgekeken).

Het nieuwe consumer netwerken breekt aan.
Snow_King
@Fermion3 december 2021 11:35
Zeker, je krijgt een Link-Local en Routable adres. Kijk nu maar, elk device heeft nu sowieso al een fe80::/10 adres, ongeacht wat Ziggo doet.

Link-Local wordt gebruikt voor de lokale communicatie. Windows maakt hier ook al veel gebruik van en al jaren gebruiken sommige printers het ook al.

Link-Local doet nu al veel meer in je netwerk dan je denkt.
wica @Fermion3 december 2021 12:32
Een link-local-IPv6-adres is non-routable. Een router die een pakket ontvangt van een link-localadres, zal dit niet willen doorsturen naar een ander netwerksegment, zoals internet.
Kan je het best vergelijken met het 169.254.x.x adres, wat Windows op je interface zet, als er geen DHCP servers antwoord of je geen static IP geconfigureerd hebt.
Het grootste verschil is, dat je hem nu altijd krijgt in de vorm van `fe80::....`.
Next: in de meeste VLAN opzet wordt een MAC hergebruikt op andere virtuele interfaces (zie je ook bij firewalls)… Dat kan dus een probleem worden?
Als je al met vlans werkt, werk je meestal ook met een andere prefix in je vlan?

Mijn ervaring met IPv6, is dat het allemaal moeilijker lijkt dat het in werkelijkheid is.

Mijn enigste probleem is, dat de meeste tools, nog steeds uitgaan van IPv4. En dat ik in mijn IPv6 only netwerken, constant een extra flag mee moet geven.
D0phoofd @Fermion3 december 2021 16:11
Next: in de meeste VLAN opzet wordt een MAC hergebruikt op andere virtuele interfaces (zie je ook bij firewalls)… Dat kan dus een probleem worden?
Nee want als je een interface een SLAAC adres genereert op basis van EUI-64, zal er altijd Neighbor-Discovery plaatsvinden (IPv6 ARP). De interface vraagt middels een vooraf afgesproken multicast adres of iemand anders al het zelfde adres in gebruik heeft. Als dat zo is, worden er gewoon wat bitjes geflipt, en probeert hij het opnieuw.

Er zijn slimme koppen mee bezig geweest om dit protocol goed te ontwikkelen, maak je maar niet druk :)
CAPSLOCK2000
@blatenja3 december 2021 12:25
Het zal wel aan mij liggen maar ik vind het nog altijd vrij complex. Geef mij maar IPv4. Maar het zal wel gewenning zijn... Ik heb onlangs wat liggen stoeien binnen mijn eigen netwerk hier en ik moest veel zoeken en proberen voor het allemaal 'n beetje werkte. Gelukkig krijg je nog gewoon IPv4 en IPv6 bij KPN en is het nog niet IPv6 dat je verplicht moet gebruiken.
Natuurlijk moet je de eerste keer veel uitzoeken, alle migraties en overstappen zijn lastig.

Deze is extra vervelend omdat het geen echte overgang is maar we IPv6 toevoegen zonder IPv4 uit te schakelen. Nu heb je twee systemen om te beheren die veel op elkaar lijken maar niet helemaal.

Mensen vergeten vaak dat ze IPv4 ook niet in een keer helemaal snapte maar die kennis over een tijd hebben opgebouwd. Voor je echt snapt hoe NAT werkt ben je wel een tijdje verder. Gelukkig zijn de meeste principes achter IPv6 hetzelfde als IPv4, maar je moet wat gevoel ontwikkelen voor wat hetzelfde werkt en wat anders.

Helaas zijn het niet alleen de mensen die moeten wennen maar ook de leveranciers van modems en switches. Dat valt vaak een beetje tegen. Het grootste probleem zijn de fabrikanten die IPv6 precies hetzelfde behandelen als IPv4. Dan krijg je bv een pagina om DHCPv6 in te stellen en NAT6 en mensen gaan dat doen ook want dat zijn ze gewend van IPv4. En als ze nog een WIFI AP hebben dan doen ze daar hetzelfde.
Gelukkig gaat dat tegenwoordig beter en wordt er steeds meer gebruik gemaakt van autoconfiguratie. In veel situaties kan IPv6 voor eindgebruikers helemaal out-of-the-box werken op een manier die verder gaat dan wat IPv4 met DHCP kan. Zoals bijvoorbeeld dat access point, onder IPv6 kan dat zelf een eigen adresblok aanvragen en doorrouteren in plaats van truckjes als dubbele NAT met RFC1918 adressen.

Een andere voorbeeld is het "forwarden van poorten". Mensen zijn gewend dat hun IPv4-modem een NAT pagina heeft waar je drie of vier dingen kan instellen: poort-in, ip-uit, poort-uit en soms nog ip-in. En daarbij kun je iedere inkomende poort maar 1 keer gebruiken. Als je 2 IoT-apparaten hebt met een webinterface dan zal je er dus eentje op een afwijkende poort moeten zetten. Typisch moet je zelf bij houden welke poorten er in gebruik zijn. Wat de meeste mensen niet weten is dat diezelfde pagina op de achtergrond ook de firewall configureert.

IPv6 maakt dat veel gemakkelijker omdat je meestal geen NAT nodig hebt. In plaats daarvan hoef je alleen maar de firewall in te stellen. Daarbij hoef je niks te vertalen of bij te houden. Je hoeft alleen maar te zeggen dat systeem X op poort Y bereikbaar mag zijn en klaar. En omdat je geen probleem hebt met dubbele poorten kan de interface protocolnamen en hostnames gebruiken. Een pagina met "Sta webverkeer naar de beveiligingscamera" toe is veel vriendelijker dan eentje met "12.34.45.56:1234 > 192.168.100.4:443".
Maar ja, daar hebben we pas iets aan als apparatuur voor eindgebruikers er iets mee doet. Gelukkig zit daar nu wel flink vaart achter.

Migraties en overgangen zijn altijd lastig. Wie nu voor het eerst een internetverbinding neemt heeft er geen last van, die kan direct met een schone configuratie beginnen zonder oude aannames of gewoontes. Maar de groep die al 20 jaar ongeveer dezelfde netwerkconfiguratie gebruikt (zoals de meesten hier op Tweakers) en daar nu IPv6 naast probeert te zetten, die heeft wel wat werk te doen.

Een laatste punt is dat er helaas veel oude hardware en software is die niet of niet goed met IPv6 omgaat en die nooit meer verbeterd zal worden. Daardoor moeten we compatibility truckjes uithalen zodat die apparatuur kan blijven werken als je externe netwerk alleen IPv6 draait. Dat voegt ook weer een hoop complexiteit toe die eigenlijk de "schuld" is van IPv4, maar mensen krijgen er alleen mee te maken als ze iets met IPv6 doen, daardoor lijkt het bij IPv6 te horen.
GertMenkel @CAPSLOCK20003 december 2021 20:31
Voor je echt snapt hoe NAT werkt ben je wel een tijdje verder.
Ain't that the truth. Dr zijn veel mensen die denken dat ze NAT kennen maar het concept verwarren met NAT+firewall. Daar komt ook de mythe uit dat IPv6 gevaarlijker zou zijn, omdat ze denken dat NAT veiligheid biedt.

In de praktijk is ieder programma of in sommige situaties zelfs ieder apparaat in je netwerk zo te openen door middel van een simpele NAT slipstreaming attack die vanuit een slechte advertentie in je browser kan worden uitgevoerd. Je moet altijd een goede firewall hebben op je apparaten met goede ACL en een goed patchbeleid, NAT gaat je daar echt niet van redden.

Helemaal erg is wanneer iemand de DMZ-functionaliteit gebruikt om een apparaat open te zetten. NAT is al complex genoeg, maar in die situatie zit je snel twee types NAT naast elkaar te gebruiken (SNAT en DNAT) en ik ken weinig mensen die ik zou vertrouwen om me uit te leggen hoe de firewallregels eruit zien als je die opstelling gebruikt.
Snow_King
@blatenja3 december 2021 11:23
Ik werk nu al jaaaaren met IPv6 en vind het oprecht zo veel makkelijker dan IPv4.

Het is pure gewenning met IPv4, maar met IPv6 zijn zo veel dingen makkelijker.

De kracht van Link-Local en Router Advertisements is echt heel groot, maar niet iedereen weet dat.
Sneepie @Snow_King3 december 2021 11:35
Mijn ziggo modem staat nu op ipv4 only. Op een dag werkte sommige websites en applicaties niet meer zoals speedtest.net, battle.net en origin. Na 3 uur kwamen ze tot de conclussie dat het misschien slim was om de modem op ipv4 only te zetten. Ik merk sindsdien dat mijn games en VPN van werk beter draaien. Ik had daarvoor veel last van packet loss en netwerk spikes.

Dus ik blijf voorlopig lekker op ipv4 only hangen :D
Snow_King
@Sneepie3 december 2021 11:37
Dat heeft waarschijnlijk echt helemaal niets te maken met IPv6 en is puur toeval geweest.

Dit soort spookverhalen doen veel mensen vermoeden dat het aan IPv6 ligt terwijl dat niet het geval is.
Sneepie @Snow_King3 december 2021 11:44
2 weken daarna weer een keer aan laten zetten door ziggo (wilde ze zelf om te testen) en het was meteen weer raak. Maar aangezien jij wat meer verstand heb van netwerken kan ik meteen het volgende aan je vragen.

Hoe is het mogelijk dat bij mij en mijn mede collega's die een ziggo modem hebben een hostfile scriptje (via rmm) moet draaien om onze services zoals een netwerkschijf goed draaiende te houden? Mijn werkgever heeft volgens mijn de VPN ingesteld met ipv4 adressen. Collega's met kpn (ook ipv4 en ipv6) hebben hier geen last van.
CAPSLOCK2000
@Sneepie3 december 2021 13:09
Hoe is het mogelijk dat bij mij en mijn mede collega's die een ziggo modem hebben een hostfile scriptje (via rmm) moet draaien om onze services zoals een netwerkschijf goed draaiende te houden? Mijn werkgever heeft volgens mijn de VPN ingesteld met ipv4 adressen. Collega's met kpn (ook ipv4 en ipv6) hebben hier geen last van.
Volgens mij kan ik deze verklaren: je VPN ondersteunt geen IPv6. Jouw systeem kan het wel en het systeem waar je naar toe wil (die netwerkschijf) ook. Maar het VPN dat er tussen zit kan geen IPv6 maar dat kan jouw computer niet weten. Je computer vraagt het adres op van de netwerkschijf en krijgt een IPv6-adres als antwoord en gaat daar dus verbinding mee proberen te maken. Je VPN zou die verbinding moeten onderscheppen en doorsturen maar doet dat niet.

Ik gok dat die hostfile alleen IPv4-adressen bevat, daarmee overschrijf je de normale procedure om adressen op te zoeken. Je computer zal die adressen dus als IPv4-only behandelen en dan worden ze wel onderschept door je VPN.

Samengevat: zorg dat je VPN ook IPv6 doet. Dat is niet ingewikkelder dan IPv4. Ik hoor nog wel eens het argument dat mensen nog oude VPN software gebruiken die dat niet ondersteunt maar dan heb je het over meer dan 10 jaar oude software. Die software is al lang niet meer veilig dus moet je je sowieso afvragen wat de toegevoegde waarde van een VPN nog is.
Sneepie @CAPSLOCK20003 december 2021 13:41
thanks voor je duidelijke uitleg!
blatenja @Sneepie4 december 2021 15:30
Nu ben ik lokaal gewoon wat aan het knutselen. Om het een beetje ala IPv4 te laten werken, wat ik persoonlijk gewoon gewend bent, maar nu kun je natuurlijk wel de adressen soort van gelijk maken lijkt me...

192:168::100/64
Dat komt dus neer op:
0192:0168:0000:0100::::/64

Is het ook echt nodig om lokaal op IPv6 te gaan werken in de toekomst of maakt dat niet zoveel uit? Naar buiten toe lijkt me dit niet handig toch?

Ik vind het persoonlijk niet fijn om voor IPv4 en IPv6 verschillende reeksen te gaan maken zoals 2001::3002 of zo. Dus als dit gewoon prima werkt kan ik er makkelijker mee uit de voeten :p
arjankoole @blatenja4 december 2021 18:00
@blatenja het enige en beste advies dat ik je kan geven is: kijk niet naar die nummertjes. Die nummertjes zijn helemaal niet interessant. Zorg voor goede resolving in je netwerk (al dan niet met mDNS/zeroconf/Bonjour). Ik weet ook niet uit m’n hoofd welke bak welk IP adres heeft. (zowel v4 als v6). Ik heb die capaciteit nodig voor veel spannendere dingen.
Strebor 3 december 2021 11:17
Heeft er iemand toevallig net als ik een modem van Technicolor in bridgemode (in het Ziggo gebied)?

De Ziggo helpdesk, die echt geen bast van IPv6 begrijpt, vertelde me klakkeloos dat deze modem geen IPv6 ondersteunt. Ik heb hem nog niet herstart, maar was benieuwd of hij wel of niet in bridgemode Dual Stack IPv4 en IPv6 ondersteunt.

Ik wilde de Technicolor niet vervangen door een Connectbox ivm de latency spikes die dat ding heeft. Grote Site to Site VPN transfers worden daardoor sterk vertraagd.

@tcviper Thanks! Het is geen probleem. Over 11 dagen wordt mijn 1000/1000 KPN glasvezel opgeleverd en die doet wel Dual Stack, met mijn router direct op de ethernet aansluiting van de NTU.

@straat Interessant. Ik neem aan dat die UBEE UBC1318ZG wel Dual Stack IPv4 en IPv6 aan kan, met de hogere snelheden die Ziggo biedt (bijvoorbeeld 600/50)?

[Reactie gewijzigd door Strebor op 22 juli 2024 15:29]

MrMarcie @Strebor3 december 2021 11:46
Heb ik daarom soms issues met iptv met die connectbox? Vanwerge die latency spikes. Af en toe niet te doen.
StaticZ @MrMarcie3 december 2021 11:47
Kan heel goed, de Ziggo CG-NAT router moet voor meerdere aansluitingen een NAT tabel bijhouden.
straat @Strebor3 december 2021 15:18
Ik heb de TC7210 om laten ruilen voor een Ubee UBC1318ZG.
begintmeta @straat3 december 2021 17:36
Weet je toevallig of een Ubee EVW320b zou moeten werken? Ik vermoed sterk dat dat niet werkt.

Het werkt inderdaad niet. Ziggo zal me een ook een UBC1318ZG sturen

[Reactie gewijzigd door begintmeta op 22 juli 2024 15:29]

Klaus_1250 @Strebor3 december 2021 17:46
Net mijn oude Cisco / Technicolor EPC3928AD gereset en ASUS router geconfigureerd, maar .... ook niks :-(
KRASH @Klaus_12503 december 2021 18:20
https://community.ziggo.n...-Bridge-modus/td-p/869035

Als je geen zin hebt in zo'n brakke connectbox kan je hier een Ubee aanvragen.
tcviper @Strebor3 december 2021 11:18
Nee, de TC7210 doet voorlopig niet mee.
FrostyPeet 3 december 2021 11:34
Mooi en diepgaand artikel, hulde.

Het eerste wat ik deed was in mijn Linksys router, Ziggo in bridge mode, IPV6 uitvinken. Eigenlijk om twee redenen. (1) De HOSTS reclame en blokkade lijst van https://winhelp2002.mvps.org/hosts.htm. (2) Ik wil voorkomen dat er sneaky IPV6 verbindingen tot stand komen. IK vermoed dat IPV6 in het begin misbruikt gaat worden door malware of advertentieboeren. Natuurlijk een prachtig vehikel, wat aangezet wordt terwijl de gemiddelde klant er weinig vanaf weet.
AuteurKees BOFH @FrostyPeet3 december 2021 12:04
Het begin van ipv6 is de jaren-90 van de vorige eeuw ;)

Daarnaast is de etc/hosts-file misbruiken voor een blocklist niet iets wat ik ook met ipv4 aan zou willen raden; er is een te grote kans dat er zaken stuk gaan waarbij debugging lastig is; er zijn betere manieren om tracking te blocken.

Verder is het nog steeds jouw pc en verbinding, dus die ipv6 adressen worden net zo 'sneaky' opgezet als de huidige ipv4 verbindingen. Overigens word ipv6 al zeer veel gebruikt, en ook juist veel door mensen die heel veel van het internet afweten, dus misbruik ervan zal hen echt wel opvallen.
freakandel @FrostyPeet3 december 2021 13:38
Ik heb IPv6 aan staan, exact volgens dit artikel van Tweakers in een Asus router, en maak daarnaast gebruik van NextDNS. Filtering van allerlei rommel waaronder ads, mallware etc, gebeurt ook op IPv6 nivo door de DNS lijsten die geactiveerd zijn. Werkt in principe vergelijkbaar als PiHole maar dan niet lokaal in je eigen netwerk. Ik vind het erg fijn werken en heerlijk zo zonder ads en andere zooi. Dus ook beschermd op IPv6.
GertMenkel @FrostyPeet3 december 2021 21:00
Huh, hoe denk je dat IPv6 misbruikt zal worden? De hostnames in je blocklist gaan op basis van DNS, IPv6 maakt daar ook gewoon gebruik van. Advertentieboeren kunnen on the fly ook via AWS nieuwe adressen krijgen via IPv4, dus als je op IP gaat blocken dan zal je nog wel even bezig zijn. Of nog veel beter, ze gaan achter Cloudflare zitten waardoor je kan kiezen tussen "de meeste websites open" of "advertenties open".

Wat misschien wel moet is een IPv6 blokkadeadres toevoegen aan de lijst, omdat IPv4 en IPv6 andere soorten DNS requests doen. Dus niet alleen 127.0.0.1 in de lijst zetten, maar ook ::1, in de meeste blocklists dan. In notepad++ kan je dat doen met één regex replace.

Als je nog met ouderwetse hosts files werkt, zou ik je aanraden eens te kijken naar het opzetten van een Pihole. Daar kun je ook andere lijsten in importeren, en zo kun je (redelijkerwijs) verzekeren dat alle apparaten in je netwerk ook de voordelen van je hosts file hebben. Bovendien kun je zo dingen als versleutelde DNS (DoT, DnsCrypt, DoH met dubbele versleuteling) op je hele netwerk zetten zonder op ieder apparaat een daemon te moeten draaien. Retehandig!

Als laatste: ik heb gemerkt dat met een te grote hosts file (van ongeveer de grootte die jij linkt) Windows nog wel eens een of ander kernelproces een volledige CPU core doet opslokken als je je computer uit sleep of hibernation haalt. Mocht je daar toevallig last van hebben, dan kan dit de oorzaak zijn. Ik heb zelf een debugger over een stel minidumps moeten halen om daar achter te komen, dus hopelijk bespaar ik mensen die fan zijn van hosts files hiermee wat moeite...
grasmanek94 3 december 2021 11:32
Wat een timing, vorige week was ik bezig om mijn (KPN) intern netwerk 100% IPv6 ready te maken. Voor clients hoefde ik niks te doen (Ubuntu, Android, Windows, zowel op LAN en WiFi, allemaal een netjes IPv6 adres dat werkt voor zowel outbound als inbound verbindingen met de juiste firewall configuratie). Voor mijn server eea wel, denk aan website, DNS entries, überhaupt IPv6 aan zetten in de OS (Debian), Docker, VPN, Firewall rules aanpassen in de router, nginx herconfigureren, etc etc... Ik moet toegeven dat dat na wat inlezen, en goed zoeken, allemaal goed te doen was. redelijk makkelijk en vlot, met wat kleine haakjes en oogjes - prima, iets nieuws geleerd. Positief verbaasd. En ik durf te zeggen dat als we een leek in IPv4 en IPv6 beide laten configureren, dat die iemand waarschijnlijk IPv6 sneller onder de knie heeft. Internet resultaten voor IPv6 zijn nog wel (voor mijn gevoel) aan de schaarse kant en lage kwaliteit, uiteindelijk kwam het erop neer dat ik veel van mijn IPv4 kennis om heb gezet naar IPv6, en heb aangevuld met wat documentatie (van mijn router) lezen.

Wat niet goed ging was Docker (opgegeven) op Debian + VPN (ook opgegeven).
Dus maar een Mikrotik router gekocht met ingebouwde VPN (en zodoende hoefde ik ook geen Docker meer te gebruiken), en alles ook weer (2 dagen bezig geweest) opgezet om te werken met IPv6 en mijn netwerk instellingen over nemen (van de KPN router, zoals port forwards, open poorten op IPv6 in de firewall, etc).

Helaas kan ik met geen een client over IPv6-only (Windows, Ubuntu, Android) verbinden met mijn VPN server. Geen van de clients stuurt überhaupt iets over IPv6 (tcpdump / wireshark met ipv6 filter op alle interfaces). Mijn Mikrotik router ziet dus niet eens binnenkomend VPN verkeer op IPv6..

In Windows is de moderne settings UI broken, deze wil geen VPN entry opslaan met een IPv6 adres. Dan maar via de klasieke settings ("Networking"), dan kon ik op zijn minst een IPv6 VPN entry aanmaken. Werkte beide niet, zowel niet op PPTP (ja, weet ik..), en niet op L2TP+IPSec. Misschien mag ik geen IP gebruiken/invullen, maar moet ik een DNS hostname invullen? Dus ik heb een IPv6-only (AAAA record) entry gemaakt. No dice, werkt ook niet (host not resolvable error). Lijkt wel dat Windows stuck is op IPv4. IPv4 in mijn netwerk settings uit gezet. Zelfde resultaat nadat ik alles heb herhaald. Over IPv4 werkt alles perfect, ik krijg zelfs een valide (en werkend, getest) IPv6 adres OVER mijn (IPv4) VPN! :D

Ik denk: Ligt vast aan Windows, even mijn Android telefoon proberen. Via IPv4 krijg ik alleen een.. IPv4 adres. IPv6 werkt niet via PPTP of L2TP+IPSec. Verbinden over IPv6 werkt ook niet (mobiel heeft wel een IPv6 adres via WiFi, dus moet gewoon werken). Afijn.. Lees eea over Android dat IPv6 support super slecht is. Zal wel. Ubuntu dan! Dat zal toch wel werken, lekker modern.

In Ubuntu, zelfde verhaal: VPN over IPv4 werkt perfect, zowel PPTP als L2TP+IPSec, krijg zelfs een IPv6 adres naast mijn IPv4 adres (net als op Windows). Over IPv6: Error Activation of Network Connection Failed. Iets met een device dat weg is voordat de bridge opgezet kan worden als ik de syslog bekijk. Geen idee hoe dat te debuggen.

Geen van de 3 OS's support (ingebouwde, standaard) VPN over IPv6. Ik durf te wedden dat Wireguard en OpenVPN vast wel zullen werken over IPv6, maar deze voldoen niet aan mijn requirements. Voor nu is het nog niet het moment om op "pure" IPv6-Only over te stappen. In mijn gebruik scenario onmogelijk, ik heb IPv4 nodig, helaas.

Misschien dat Windows over SSTP wel IPv6 only kan, zal ik in de toekomst testen, maar dat is niet echt fijn want dan vallen Android en Ubuntu weg.

Tenzij iemand nog tips heeft?

[Reactie gewijzigd door grasmanek94 op 22 juli 2024 15:29]

Twam @grasmanek943 december 2021 11:41
Grappig dat je dat zegt, dat is exact waarom ik paar jaar geleden uren met klantenservice van Ziggo aan de lijn bezig ben geweest. Ik moest toen voor thuiswerken een VPN naar kantoor opzetten en dat lukte ook niet. Of, nou ja, het werkte alleen als ik er een stokoud router tussen zette. Bleek dat ik al in een vroege ronde overgezet was naar IPv6, met modem terug naar IPv4 was het opgelost. Met oude router ertussen werd IPv4 afgedwongen, want geen ondersteuning voor v6. Ja, dan werkte het dus wel :+

Ik zat me net, na lezen van dit artikel, af te vragen of dit probleem inmiddels opgelost was, maar kennelijk niet, dan...
StaticZ @Twam3 december 2021 11:45
Dit is geen probleem van IPv6 maar van het CG-NAT gedeelte van Ziggo.
Als ik bij mijn klanten kom en er is slecht tot geen internet kunnen ze 9 van de 10 keer gewoon facebooken en googlen. Deze services zijn dan ook prima te bereiken met IPv6. Zodra er IPv4 nodig is gaat het mis.
Een reboot van het Ziggo modem is dan de oplossing.
grasmanek94 @StaticZ3 december 2021 11:48
In mijn geval zit er natuurlijk geen CG-NAT tussen, ik zit lokaal, ofja, mijn router achter de KPN router, mijn devices op de KPN device, zo kon ik simuleren dat ik "vanaf buitenaf" verbind. Werkte perfect voor IPv4 (verbinden met 192.168.2.11), zo kreeg ik een IPv6 en IPv4 (192.168.1.x) aan de LAN kant van mijn eigen router.
Twam @StaticZ3 december 2021 13:11
Als je een paar uur met de technische dienst aan de lijn hangt (dus niet de eerstelijns helpdesk, he), heb je natuurlijk het hele zwikkie ook wel aantal keer gereboot. Alles uitzetten en opnieuw opstarten was ik al wel mee begonnen voordat ik Ziggo belde, en toen nog een paar keer in overleg met onze bedrijfs-IT'er, ik ken m'n helpdesk-memes :+

Echt vanalles geprobeerd, toen, inclusief naar bridge-modus en weer terug, minimale setup, fabrieksinstellingen etc., maar mocht toen allemaal niet baten. En allerlei andere dingen werkten wel gewoon he, IPv4 en IPv6, het was puur die combinatie met die VPN die niet werkte - maar die had ik wel echt nodig.
Snow_King
@grasmanek943 december 2021 19:59
Docker en IPv6 gaat prima! Routeer een subnet naar je Docker host en vertel Docker welk subnet te gebruiken. Containers krijgen dan gewoon een IPv6 adres.
Probook8979 @grasmanek944 december 2021 10:01
Niceee
sharkzor 3 december 2021 11:06
nice!
ik moest inderdaad mijn ipv6 kennis weer opfrissen en het meeste was ik gewoon vergeten.

Heb het nu op mijn mikrotik werkend, maar er zitten nog veel haken en ogen aan.
configuratie gaat nu via slaac, maar dan geeft hij de ziggo dns servers door. Ik zal dus nog een dhcpv6 server voor de options moeten gaan draaien wil ik daar wat meer in sturen.
Eigenlijk wil ik ook de subnetten via dhcp uitgeven zodat ik meerdere vlan's makkelijk kan aansturen, maar ziggo deelt de /56 dynamisch uit. daar kan ik geen statische configuratie op bouwen. erg jammer
Snow_King
@sharkzor3 december 2021 11:24
Als je onder "/ip set dns" zelf een setje nameservers in je Mikrotik zet stuurt hij deze door.

Het is wel een tekortkoming van Mikrotik, want eigenlijk zou je per LAN segment willen opgeven welke DNS servers uit te sturen met SLAAC.
sharkzor @Snow_King3 december 2021 15:44
ik zie dat hij dat idd doorstuurt. (ook al draai ik geen dhcp op de mikrotik, maar dat zal in de router advertisement zitten dan).
maar deze komen dan wel onderin de lijst te staan, er boven staan nog de ziggo dns servers die je niet weg kan halen?

daar boven staan nog de ipv4 adressen, dus ik vraag me af of hij niet standaard alle dns over ipv4 gooit. zal eens wireshark erbij pakken dit weekend
Snow_King
@sharkzor3 december 2021 15:56
Die keuze ligt bij de client in welke DNS servers hij kiest.

Mijn iPhone maakt weer andere keuzes dan mijn Linux laptop.

Wireshark gaat je alles vertellen!

Tipje: Maak een IPv6 only LAN en SSID. Zo verbind ik mijn laptop en telefoon daar nog wel eens aan. Dan zie je snel dat Telegram en WhatsApp gewoon blijven werken bijvoorbeeld evenals je Gmail.
sharkzor @Snow_King3 december 2021 16:27
bijzonder. macos gebruikt de via de router geadveteerde ipv6 dns adressen van ziggo.
Zet ik " other configuration" aan inc dhcpv6 server op de mikrotik (zonder scope) dan krijg ik deze wel door, maar wordt de ipv4 dns server gebruikt.

opzich ook weer niks mis mee eigenlijk. boeie dat hij alles over ipv4 resolved?

btw, die dhcpv6 server is echt mega brak. alle opties moet je handmatig zetten met de option codes, dns server met 0x[ipadres voluit]. wat slecht.

/ipv6 dhcp-server option
add code=23 name=pidns value=0xfd000000000000016a3de1e3c8d2dac1

[Reactie gewijzigd door sharkzor op 22 juli 2024 15:29]

TD-er @sharkzor3 december 2021 11:24
[...]
Eigenlijk wil ik ook de subnetten via dhcp uitgeven zodat ik meerdere vlan's makkelijk kan aansturen, maar ziggo deelt de /56 dynamisch uit. daar kan ik geen statische configuratie op bouwen. erg jammer
Dat kan je nog steeds doen.
Je hoeft echt niet de Ziggo dhcp te gebruiken voor je interne devices.
Ik weet niet of je bij Ziggo (niet zakelijk) ook echt je router actief DHCP moet laten gebruiken voor het router IPv6 adres, maar ook dat is niet echt een probleem.
Je hoeft in elk geval niet DHCPv6 te forwarden naar Ziggo en een Mikrotik kan dat prima zelf ook doen. (heb ik zelf ook hier, zakelijk Ziggo, dus al ruim 2 jaar dualstack)
De reden waarom je wellicht wel een DHCPv6 voor de WAN kant van je router zou moeten doen, is dat anders de verbinding wellicht niet als actief beschouwd zou kunnen worden en na een tijdje geen data meer doorgeeft.
Maar goed, dat zou je dus even moeten testen of dat bij Ziggo noodzakelijk is.
Ruuddie 3 december 2021 10:58
Perfecte timing! Ik had inderdaad deze week IPv6 gekregen van Ziggo en was van plan dit weekend er wat dieper in te duiken. Zo merk ik dat mijn PiHole nu niet meer werkt, waardoor veel mobiele sites nagenoeg onbruikbaar zijn geworden door alle spammy reclames.
valkenier @Ruuddie3 december 2021 16:40
Geheid dat je via IPv6 de Ziggo DNS gepushed krijgt in autoconfiguratie. Had ik ook. Inmiddels mijn router verteld dat DNS lokaal via pihole moet.
Verwijderd @valkenier4 december 2021 02:36
Probeer ik nu al paar dagen goed te krijgen om een of andere manier wordt de ziggo dns er gewoon door geduwd of je nou wil of niet, lekker handig als je local web adressen heb op je netwerk die belangrijke functie hebben en je meer configuratie vrijheid te geven, moment dat ik ipv6 uitzet zijn al mijn problemen opgelost, ik wil gewoon geen ziggo dns.
valkenier @Verwijderd4 december 2021 11:24
Ik kon in mijn router opgeven dat er geen DNS in de autoconfiguratie moet worden meegegeven. Heb nu DNS alleen over IPv4 naar mijn Pi-hole. Dat vind ik niet ideaal, maar beter dan ongevraagd Ziggo DNS met ads. Welke router heb je?
Chakotay @Ruuddie3 december 2021 14:13
De PiHole heeft ook IPv6 support, maar als dit bij de initiële installatie niet is aangezet, werkt het inderdaad niet. Achteraf configureren kan wat tricky zijn, de makkelijkste manier (zolang je geen al te spannende config op de pihole hebt) is om met ssh op het ding in te loggen en pihole -r te draaien, zodat je de initiële installer opnieuw door kan lopen. Dan wel IPv6 aanvinken, en het zou wel moeten werken zolang je de Pihole ook als IPv6-DNS server gebruikt op je clients :)
SilentDecode 3 december 2021 12:18
Sorry.. Wacht even.. IPv6 INTERN? Why would you? Als je een class A IPv4 subnet vol krijgt in je huis, heb je hele andere issues dan alleen dat (hoarding).
borft @SilentDecode3 december 2021 13:02
Zodat je op al je apparaten gewoon native ipv6 kunt gebruiken? Waarom zou je niet met de tijd meegaan? ipv6 bestaat al meer dan 25 jaar, tis niet alsof het iets experimenteels is. Waarom zou je intern op iets ouds en gedateerds blijven hangen?
SilentDecode @borft3 december 2021 13:03
Waarom zou je intern op iets ouds en gedateerds blijven hangen?
Omdat het goed werkt?
borft @SilentDecode3 december 2021 13:05
Gebruik jij ook nog postduiven en kleitabletten? ;)

<on topic>
Je bedoelt ranzige oplossingen zoals stateful NAT, upnp, en andere schijnveiligheid? Hoe zie je toegang tot externe ipv6 netwerken voor je, ga je dan op je gateway alles proxien?
arjankoole @SilentDecode4 december 2021 18:10
[...]

Omdat het goed werkt?
Dat doet het dus niet, op het moment dat je een van de sites of omgevingen treft die ipv6 only zijn. Native ipv6 is precies hoe en zoals het ontworpen is, al je clients krijgen gewoon netjes een ipv6 adres.
mdavids @SilentDecode3 december 2021 12:49
IPv6 INTERN? Why would you?
1) Da's verreweg de gemakkelijkste manier om vanaf je thuis-systemen bij IPv6-only servers te komen.
2) Het is (als je voor IPv4 NAT doet) de gemakkelijkste manier om twee of meer interne servers vanaf buiten bereikbaar te maken op dezelfde poort (bijvoorbeeld TCP/80).
3) Het is een mooie stap in de transitie van IPv4 → IPv6

[Reactie gewijzigd door mdavids op 22 juli 2024 15:29]

SilentDecode @mdavids3 december 2021 12:58
Da's verreweg de gemakkelijkste manier om vanaf je thuis-systemen bij IPv6-only servers te komen.
En hoe nuttig is dat? Nog nooit een IPv6-only server tegengekomen namelijk
Het is (als je voor IPv4 NAT doet) de gemakkelijkste manier om twee of meer interne servers vanaf buiten bereikbaar te maken op dezelfde poort (bijvoorbeeld TCP/80).
Lekker veilig.. Ooit van reverse proxy gehoord?
Het is een mooie stap in de transitie van IPv4 → IPv6
Is mijn vraag nog steeds geldig; Waarom zou je intern de overstap maken naar IPv6, als IPv4 letterlijk aan alle eisen voldoet?
mdavids @SilentDecode3 december 2021 13:31
Nog nooit een IPv6-only server tegengekomen
Iedereen die stap 2 hierboven al heeft gedaan zal zo'n IPv6-only server hebben. Of iedereen die klant is van bijvoorbeeld: https://www.cinfu.com/ipv6-vps. Enfin, voorbeelden genoeg en het worden er steeds meer (want dat is het hele idee van deze transitie).
Lekker veilig.. Ooit van reverse proxy gehoord?
Ja, ik ken alle trukendozen wel zo'n beetje. Fijn dat ze bestaan. Maar waarom zou je er zo'n doos tussen willen schuiven als het niet nodig is? Ze dekken ook lang niet alle scenario's af. Stel, ik wil twee systemen in mijn thuisnetwerk pingen vanaf het internet (for whatever reason). Dat gaat toch simpeler met IPv6 dan via IPv4 met weer een of andere trukendoos er tussen?
Waarom zou je intern de overstap maken naar IPv6, als IPv4 letterlijk aan alle eisen voldoet?
Dat laatste is bij mij nog nooit echt het geval geweest op mijn thuis-aanlsuiting met NAT... Maar mogelijk ben ik wat veeleisender.

Ik snap ook nog niet waarom jet het woord 'intern' gebuikt. Wil je dan wel 'extern' IPv6 hebben? En zo ja, hoe zie je dat dan voor je? Dan is het toch gemakkelijker om het hele pad, dus end-to-end, van IPv6 te voorzien?

[Reactie gewijzigd door mdavids op 22 juli 2024 15:29]

GertMenkel @SilentDecode3 december 2021 20:49
NAT is geen firewall, en een firewall instellen op een apparaat dat NAT doet is echt een drama. Jelet expliciete deny regels gaan instellen die NAT overrulen, en dat is verrekte lastig om goed te doen zonder iets kapot te maken. In het gemiddelde consumentenapparaat gaat dit flink mis, en je zult dingen als stateful firewalls en SIP ALG moeten uitzetten om je NAT echt veilig te houden.

Reverse proxies zijn leuk maar voegen een extra point of failure toe. Ik gebruik ze zelf ook om TLS te centraliseren maar dat is vooral omdat ik soms nog op wat oude netwerken zit die IPv6 uit hebben staan, eigenlijk moet ik de hele zooi een keer omzetten. Als één nginx op zijn bek gaat maar de overige containers nog gewoon draaien, zit je gewoon met onnodige downtime.

Ik zie het voor nu niet eens als een overstap, meer als het toevoegen van een feature. Als je IPv6 niet wilt en wilt wachten tot CG-NAT de norm is, mag dat natuurlijk.
arjankoole @SilentDecode4 december 2021 18:12
Lekker veilig.. Ooit van reverse proxy gehoord?
Er is niets onveiligs aan ipv6 gebruiken.
s mijn vraag nog steeds geldig; Waarom zou je intern de overstap maken naar IPv6, als IPv4 letterlijk aan alle eisen voldoet?
Omdat het niet aan de eisen voldoet. De eisen zijn standards compliant, en daar is ipv6 een onderdeel van.
Laar19 @SilentDecode3 december 2021 13:31
Lekker veilig.. Ooit van reverse proxy gehoord?
Ja, maar ook gehoord van bijvoorbeeld Server Name Identification? Of te wel, zegt u maar open en bloot welke host je connectie mee wilt maken, want we hebben niet genoeg ip-adressen om elke host er een te geven. Dan kunnen we daarna de versleuteling opzetten.

Carrier Grade NAT: of te wel we hebben niet genoeg IP adressen en je krijgt er dus geen en je kan je thuis netwerk niet extern bereiken. En zelfs als je wel een IP hebt moet je gaan klooien met NAT en portforwarding.

En voor de veiligheid, daar is die firewall voor. Ik mag hopen dat die in de (toekomstige) routers standaard ingesteld staat dat het effectief dezelfde veiligheid brengt alsNAT nu doet.
En hoe nuttig is dat? Nog nooit een IPv6-only server tegengekomen namelijk
Word ook tamelijk moeilijk als je alleen een IPv4 adres hebt :9 Maar serieus, dat kan goed, waarschijnlijk een kritische-massa-probleem. Hoe verder we gaan richting naar volledige adoptie hoe meer IPv6-only echt een ding wordt.

De redenen zouden voor mij (als ik het kon) er wel degelijk zijn:
- Makkelijkere toegang van extern naar binnen (maar wel dicht getimmerd)
- Toekomstbestendigheid
- Mogelijk ook om makkelijker met andere dingen te verbinden die wel alleen/beter met IPv6 werken

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq