Hoe laat ik een IPv6 poort door de firewall met V10A?

Hallo allen, ik heb eindelijk meer duidelijkheid. Het blijkt nu inderdaad zo te zijn dat voor de huidige firmware van de Experia Box V10a (v5.00.31_build420) geen IPv6 DMZ en port forwarding beschikbaar zijn. De verwarring hierover is ontstaan, omdat onze developers beschikken over ontwikkelsoftware waarbij die opties wel worden weergegeven. Ik heb begrepen dat we de opties in een van de komende versies willen gaan meenemen. Wanneer dat gaat gebeuren is nog niet bekend.

Dat lijkt me niet, @wjb. Dat zou wel kwalijk zijn. Ik heb alleen nog geen antwoord op die vraag. Heb deze direct doorgezet naar mijn collega's en hoop jullie daar gauw meer over te kunnen vertellen. 

Ik kan jouw ervaring (gelukkig) niet reproduceren. De poort die ik initieel wilde openen is niet bereikbaar van buitenaf. Voor de zekerheid heb ik even een simpel webservertje geprobeerd op poort 80 en die poort in mijn ASUS router (die achter de experiabox zit) door de firewall gelaten. De webserver is van buitenaf niet te bereiken. Dus daar lijkt zeker wel een firewall tussen te zitten.

Ik kan niet verklaren waarom dit bij jou wel lijkt te werken, maar als dat het geval is en je hebt niet zoals ik nog een extra router er achter, dan zou ik per direct IPv6 uitschakelen. In feite staan dan gewoon alle poorten open en heeft geen enkel apparaat bescherming tegen de boze buitenwereld. Ik kan me bijna niet voorstellen dat er modems uitgegeven worden met IPv6 aan en zonder firewall. Dat is in feite het leveren van een hack garantie aan je klanten. Aangezien ik het aan mijn kant ook niet kan herproduceren ga ik er maar even van uit dat dat niet het geval is en dat je ergens een denkfoutje in je test hebt gemaakt. Desondanks ben ik blij dat ik er een extra firewall achteraan heb, zodat ik hoe dan ook geen risico loop.

@BrightSilence, het zou mooi zijn als het klopt dat het niet bij iedereen open staat, maar bij mij staat het echt open. Https verbinding naar mijn NAS (geïnitieerd door iemand anders vanaf een Ziggo ipv6 verbinding): geen probleem. Willekeurige poort openzetten met netcat6 onder windows 10 en ik kan zonder problemen er naar toe telnetten van buitenaf.

Aangezien ik het aan mijn kant ook niet kan herproduceren ga ik er maar even van uit dat dat niet het geval is en dat je ergens een denkfoutje in je test hebt gemaakt.

Ik zou niet weten wat voor structureel denkfoutje dat zou kunnen zijn met alle verschillende testen. 

Heb jij de mogelijkheid om een servertje op te zetten direct aangesloten op de ExperiaBox? Dus zonder de ASUS router er tussen? Als je er dan ook niet bij kunt, zit er echt ergens een verschil tussen onze verbindingen/ExperiaBox instellingen. Misschien is dat ook nuttige info voor de developers…

Dus dat simpele webservertje stond achter jouw Asus?

Heeft die dan wel netjes een IPv6 adres gekregen want naar ik begrepen heb werkt de IPv6 prefix delegation niet op de V10a?

En hoe zit het met de IPv6 firewall op de Asus, want die kan het IPv6 verkeer natuurlijk ook blokkeren.

Wat voor een IPv6 adres heeft die webserver achter jouw Asus dan?

Voorbeeld: 2a02:a442:XXXX:1:d197:90ae:ad92:5552.

En wat is het vierde blokje van dat IPv6 adres?

Dus het rode stukje in 2a02:a442:XXXX:1:d197:90ae:ad92:5552.

Gebruik je ook het vaste, op het MAC adres gebaseerde IPv6 adres van de webserver om verbinding te maken en niet het tijdelijke IPv6 adres dat telkens weer wijzigt?

Voorbeeld:

Vreemd want bij een goed werkende IPv6 Prefix Delegation zou die af moeten wijken van de prefix die achter de Experia Box zelf gebruikt wordt, maar wellicht is dat die IPv6 passthrough die je noemde.

Heeft de Asus zelf dan ook een WAN IPv6 adres met een 0 in het vierde blokje?

Hallo allen, het duurde eventjes, maar ik was op de achtergrond nog druk bezig. De ontwikkelaars zijn aan het testen, maar hebben het probleem waar  @rolandm tegenaan loopt tot op heden nog niet kunnen reproduceren. Zij worden gelimiteerd in wat ze kunnen doen door de huidige coronamaatregelen. De testmogelijkheden zijn beperkter. Ik vrees dat het nog wel even gaat duren voor ik meer duidelijkheid heb.  Voor nu is het dus afwachten.

@rolandm, je zou tot die tijd eventueel IPv6 uit kunnen zetten. 

Goed om te lezen dat de FRITZ!Box goed bevalt.   Gezien de ontwikkelaars deze signalen verder niet hebben gehad, verwacht ik dat het om een incident gaat en niet zozeer om een modem issue, maar het is dus even afwachten hoe de vork in de steel zit. Zodra ik meer weet, deel ik het hier. 

Ik beloof je dat de developers hun uiterste best doen om dit te reproduceren, @ElmerL. Maar zoals eerder gezegd zijn de mogelijkheden om te testen momenteel een stuk beperkter dan normaal gesproken. Daar heeft niemand invloed op. Als er nieuws is, dan deel ik dat hier. Maar houd er rekening mee dat dit nog wel even gaat duren.

Hallo @BrightSilence. Ik heb jammer genoeg nog geen nieuws.  Ik heb de developers zojuist gemaild wat de status is. Als ik een reactie heb, deel ik die hier.

Dit issue is al eerder gemeld op het forum en dit lijkt een serieus security breach te zijn waarvoor helaas nog geen reactie vanuit KPN is gekomen.

Nu is het wel zo dat het IPv6 adres waarmee je actief bent op Internet telkens maar kort geldig is maar het bezoek aan een "foutieve" site zou desastreus kunnen zijn.

Dit is iets waar KPN mijns inziens op zeer korte termijn iets aan zou moeten doen.

Admin: bericht afgesplitst en samengevoegd met bestaand topic.