Beantwoord

Hoe laat ik een IPv6 poort door de firewall met V10A?

  • 10 maart 2020
  • 63 reacties
  • 1803 keer bekeken


Toon eerste bericht

63 reacties

Reputatie 6
Badge +9

Hallo allen, ik heb eindelijk meer duidelijkheid. Het blijkt nu inderdaad zo te zijn dat voor de huidige firmware van de Experia Box V10a (v5.00.31_build420) geen IPv6 DMZ en port forwarding beschikbaar zijn. De verwarring hierover is ontstaan, omdat onze developers beschikken over ontwikkelsoftware waarbij die opties wel worden weergegeven. Ik heb begrepen dat we de opties in een van de komende versies willen gaan meenemen. Wanneer dat gaat gebeuren is nog niet bekend.

Reputatie 7

@Natasja, klopt het dan ook dat, zoals @rolandm in dit bericht heeft aangegeven, nu alles doorgelaten wordt en de IPv6 hosts op het thuisnetwerk dus open en bloot op Internet staan?

Reputatie 6
Badge +9

Dat lijkt me niet, @wjb. Dat zou wel kwalijk zijn. Ik heb alleen nog geen antwoord op die vraag. Heb deze direct doorgezet naar mijn collega's en hoop jullie daar gauw meer over te kunnen vertellen. 

Dat lijkt me niet, @wjb. Dat zou wel kwalijk zijn. Ik heb alleen nog geen antwoord op die vraag. Heb deze direct doorgezet naar mijn collega's en hoop jullie daar gauw meer over te kunnen vertellen. 

@Natasja, ik heb nog een testje gedaan door vanaf een andere ipv6 locatie naar mijn NAS te surfen. Mijn NAS is echt gewoon bereikbaar van buiten af over ipv6. Dat is dus wel een serieus probleem. Ik hoop dat er snel een oplossing voor komt...

Ik ben trouwens bang dat er nu helemaal geen ipv6 firewall is.:cry:  Ik heb de volgende test gedaan:

  •  SSH vanaf mijn KPN verbinding naar een NAS (via ipv4) die op een dual stack Ziggo verbinding staat.
  • Vanaf die NAS een SSH verbinding opgezet over ipv6 naar mijn eigen NAS achter de Experia box V10A.
  • Dit werkt zonder problemen. → Vandaar mijn conclusie dat de boel gewoon open staat.

Ik kan jouw ervaring (gelukkig) niet reproduceren. De poort die ik initieel wilde openen is niet bereikbaar van buitenaf. Voor de zekerheid heb ik even een simpel webservertje geprobeerd op poort 80 en die poort in mijn ASUS router (die achter de experiabox zit) door de firewall gelaten. De webserver is van buitenaf niet te bereiken. Dus daar lijkt zeker wel een firewall tussen te zitten.

 

Ik kan niet verklaren waarom dit bij jou wel lijkt te werken, maar als dat het geval is en je hebt niet zoals ik nog een extra router er achter, dan zou ik per direct IPv6 uitschakelen. In feite staan dan gewoon alle poorten open en heeft geen enkel apparaat bescherming tegen de boze buitenwereld. Ik kan me bijna niet voorstellen dat er modems uitgegeven worden met IPv6 aan en zonder firewall. Dat is in feite het leveren van een hack garantie aan je klanten. Aangezien ik het aan mijn kant ook niet kan herproduceren ga ik er maar even van uit dat dat niet het geval is en dat je ergens een denkfoutje in je test hebt gemaakt. Desondanks ben ik blij dat ik er een extra firewall achteraan heb, zodat ik hoe dan ook geen risico loop.

Reputatie 6
Badge +9

Fijn dat jij het ook hebt getest vanaf jouw kant, @BrightSilence. Jij kunt het probleem waar @rolandm tegenaan loopt niet reproduceren, lees ik. Desondanks lijkt het me goed om even het antwoord van de developers af te wachten. Ik houd jullie op de hoogte. 

@BrightSilence, het zou mooi zijn als het klopt dat het niet bij iedereen open staat, maar bij mij staat het echt open. Https verbinding naar mijn NAS (geïnitieerd door iemand anders vanaf een Ziggo ipv6 verbinding): geen probleem. Willekeurige poort openzetten met netcat6 onder windows 10 en ik kan zonder problemen er naar toe telnetten van buitenaf.

Aangezien ik het aan mijn kant ook niet kan herproduceren ga ik er maar even van uit dat dat niet het geval is en dat je ergens een denkfoutje in je test hebt gemaakt.

Ik zou niet weten wat voor structureel denkfoutje dat zou kunnen zijn met alle verschillende testen. 

Heb jij de mogelijkheid om een servertje op te zetten direct aangesloten op de ExperiaBox? Dus zonder de ASUS router er tussen? Als je er dan ook niet bij kunt, zit er echt ergens een verschil tussen onze verbindingen/ExperiaBox instellingen. Misschien is dat ook nuttige info voor de developers…

@rolandm Niet eenvoudig. Ik heb niet echt een mobiel genoeg apparaat wat ik even bij de experiabox kan aansluiten. Maar de setup die ik nog gebruik werkte prima met de experiabox V9 zolang ik daar het poortje open zette. In jouw geval zou ik toch maar heel snel IPv6 uit zetten. Super gevaarlijk als alles zo open staat.

Reputatie 7

Ik kan jouw ervaring (gelukkig) niet reproduceren. De poort die ik initieel wilde openen is niet bereikbaar van buitenaf. Voor de zekerheid heb ik even een simpel webservertje geprobeerd op poort 80 en die poort in mijn ASUS router (die achter de experiabox zit) door de firewall gelaten. De webserver is van buitenaf niet te bereiken. Dus daar lijkt zeker wel een firewall tussen te zitten.

Dus dat simpele webservertje stond achter jouw Asus?

Heeft die dan wel netjes een IPv6 adres gekregen want naar ik begrepen heb werkt de IPv6 prefix delegation niet op de V10a?

En hoe zit het met de IPv6 firewall op de Asus, want die kan het IPv6 verkeer natuurlijk ook blokkeren.

IPv6 staat op passthrough en ik heb de poort op de Asus uiteraard open gezet.

Reputatie 7

IPv6 staat op passthrough en ik heb de poort op de Asus uiteraard open gezet.

Wat voor een IPv6 adres heeft die webserver achter jouw Asus dan?

Voorbeeld: 2a02:a442:XXXX:1:d197:90ae:ad92:5552.

IPv6 staat op passthrough en ik heb de poort op de Asus uiteraard open gezet.

Wat voor een IPv6 adres heeft die webserver achter jouw Asus dan?

Voorbeeld: 2a02:a442:XXXX:1:d197:90ae:ad92:5552.

Begint met 2a02:a441: etc. Dus geen link local adres. 

Reputatie 7

IPv6 staat op passthrough en ik heb de poort op de Asus uiteraard open gezet.

Wat voor een IPv6 adres heeft die webserver achter jouw Asus dan?

Voorbeeld: 2a02:a442:XXXX:1:d197:90ae:ad92:5552.

Begint met 2a02:a441: etc. Dus geen link local adres. 

En wat is het vierde blokje van dat IPv6 adres?

Dus het rode stukje in 2a02:a442:XXXX:1:d197:90ae:ad92:5552.

Gebruik je ook het vaste, op het MAC adres gebaseerde IPv6 adres van de webserver om verbinding te maken en niet het tijdelijke IPv6 adres dat telkens weer wijzigt?

Voorbeeld:

 

Die is 0 bij mij. En hij is mac adres gebaseerd.

Reputatie 7

Die is 0 bij mij. En hij is mac adres gebaseerd.

Vreemd want bij een goed werkende IPv6 Prefix Delegation zou die af moeten wijken van de prefix die achter de Experia Box zelf gebruikt wordt, maar wellicht is dat die IPv6 passthrough die je noemde.

Heeft de Asus zelf dan ook een WAN IPv6 adres met een 0 in het vierde blokje?

Er is geen sprake van prefix delegation in deze setup volgens mij. Passthrough werkt als een soort van bridge dus alles achter mijn ASUS krijgt IPv6 adressen van de experiabox. Dit werkte prima met de v9, mits ik poorten door beide firewalls heen liet.

Ik kan zo snel niet vinden waar het IPv6 adres van de ASUS router wordt weergegeven, maar ik weet vrij zeker dat die ook een 0 in het vierde blokje zal hebben.

Ik zie wel deze info in the experiabox settings:

WAN Prefix:  2A02:A441:XXXX:1::/64
Assigned Prefix: 

2A02:A441:XXXX::/64

Reputatie 6
Badge +9

Hallo allen, ik heb eindelijk meer duidelijkheid. Het blijkt nu inderdaad zo te zijn dat voor de huidige firmware van de Experia Box V10a (v5.00.31_build420) geen IPv6 DMZ en port forwarding beschikbaar zijn. De verwarring hierover is ontstaan, omdat onze developers beschikken over ontwikkelsoftware waarbij die opties wel worden weergegeven. Ik heb begrepen dat we de opties in een van de komende versies willen gaan meenemen. Wanneer dat gaat gebeuren is nog niet bekend.

 

Hallo allen, het duurde eventjes, maar ik was op de achtergrond nog druk bezig. De ontwikkelaars zijn aan het testen, maar hebben het probleem waar  @rolandm tegenaan loopt tot op heden nog niet kunnen reproduceren. Zij worden gelimiteerd in wat ze kunnen doen door de huidige coronamaatregelen. De testmogelijkheden zijn beperkter. Ik vrees dat het nog wel even gaat duren voor ik meer duidelijkheid heb. :disappointed:  Voor nu is het dus afwachten.

@rolandm, je zou tot die tijd eventueel IPv6 uit kunnen zetten. 

@Natasja , dankjewel voor je reactie. Ik heb inmiddels een FRITZ!Box aangesloten, want de ExperiaBox was me toch te beperkt qua opties en veiligheid. De FRITZ!Box bevalt een stuk beter! Maar ik hou deze thread wel in de gaten, aangezien ik toch wel nieuwsgierig ben of ik nu deze enige met dit probleem was en/of er een oplossing gevonden wordt.

Reputatie 6
Badge +9

Goed om te lezen dat de FRITZ!Box goed bevalt. :slight_smile:  Gezien de ontwikkelaars deze signalen verder niet hebben gehad, verwacht ik dat het om een incident gaat en niet zozeer om een modem issue, maar het is dus even afwachten hoe de vork in de steel zit. Zodra ik meer weet, deel ik het hier. 

Ik heb het zojuist bij mij ook getest (v10a op firmware v5.00.31 build420) en onder IPv6 staat de boel inderdaad wagenwijd open. Dit is echt niet goed!

Getest met een SSH-connectie vanaf een externe server (VPS naar mijn thuislaptop (over IPv6 uiteraard). Op beide ipv6 adressen.

@Natasja misschien kunnen de developers nog even extra kijken of ze dit kunnen reproduceren?

Reputatie 6
Badge +9

Ik heb het zojuist bij mij ook getest (v10a op firmware v5.00.31 build420) en onder IPv6 staat de boel inderdaad wagenwijd open. Dit is echt niet goed!

Getest met een SSH-connectie vanaf een externe server (VPS naar mijn thuislaptop (over IPv6 uiteraard). Op beide ipv6 adressen.

@Natasja misschien kunnen de developers nog even extra kijken of ze dit kunnen reproduceren?


Ik beloof je dat de developers hun uiterste best doen om dit te reproduceren, @ElmerL. Maar zoals eerder gezegd zijn de mogelijkheden om te testen momenteel een stuk beperkter dan normaal gesproken. Daar heeft niemand invloed op. Als er nieuws is, dan deel ik dat hier. Maar houd er rekening mee dat dit nog wel even gaat duren.

Hallo allen, ik heb eindelijk meer duidelijkheid. Het blijkt nu inderdaad zo te zijn dat voor de huidige firmware van de Experia Box V10a (v5.00.31_build420) geen IPv6 DMZ en port forwarding beschikbaar zijn. De verwarring hierover is ontstaan, omdat onze developers beschikken over ontwikkelsoftware waarbij die opties wel worden weergegeven. Ik heb begrepen dat we de opties in een van de komende versies willen gaan meenemen. Wanneer dat gaat gebeuren is nog niet bekend.

Hoi @Natasja , is er inmiddels iets bekend over wanneer deze update voor klanten beschikbaar komt?

Reputatie 6
Badge +9

Hallo @BrightSilence. Ik heb jammer genoeg nog geen nieuws. :disappointed: Ik heb de developers zojuist gemaild wat de status is. Als ik een reactie heb, deel ik die hier.

Ik heb gemerkt dat de Experiabox V10a, als je IPV6 op “Automatic” zet, hij transparant wordt voor ipv6 verkeer. Ik kan bijv. vanaf de buitenwereld direct ssh’en naar een laptop hier intern in het LAN op z’n IPv6 adres. Dat betekent dat bij Automatic alle interne computers thuis, als ze ipv6 hebben aan staan en geen lokale firewall hebben, direct bereikbaar zijn voor het internet. Kan de firewall op de Experia box worden ingesteld dat inkomend ipv6 verkeer niet zomaar wordt toegelaten? Lijkt me een redelijk basale veiligheidsoptie. Er zijn waarschijnlijk zat appliances met ipv6 en geen eigen firewall.

Admin: bericht afgesplitst en topics samengevoegd.

Reputatie 7

Dit issue is al eerder gemeld op het forum en dit lijkt een serieus security breach te zijn waarvoor helaas nog geen reactie vanuit KPN is gekomen.

Nu is het wel zo dat het IPv6 adres waarmee je actief bent op Internet telkens maar kort geldig is maar het bezoek aan een "foutieve" site zou desastreus kunnen zijn.

 

Dit is iets waar KPN mijns inziens op zeer korte termijn iets aan zou moeten doen.

Admin: bericht afgesplitst en samengevoegd met bestaand topic.

Reageer