Beantwoord

IPv6 extra /64 door routeren

  • 11 mei 2015
  • 16 reacties
  • 7753 keer bekeken

Afgelopen zondag kwam ik door het inloggen op mijn Experiabox (ZTE H368N) erachter dat IPv6 nu ondersteund/geleverd wordt door KPN.

Met trial-and-error ontdekt dat een /48 (2a02:a442:xxxx::/48) afgeleverd wordt op mijn Experiabox op IP 2a02:a442:xxxx:2::1. 

Nu heeft mijn server/router achter de Experiabox automatisch een IPv6 toegewezen gekregen van de Experiabox (2a02:a442:xxxx::1/64). In de Experiabox heb ik de DMZ-host voor IPv6 toegewezen aan dit IPv6-adres, maar helaas komen de overige /64 hierop niet binnen. Ik heb de volgende o.a. geprobeerd : 2a02:a442:xxxx:3::/64 ,2a02:a442:xxxx:8000::/64 , 2a02:a442:xxxx:8001::/64 .

Is het wel mogelijk om een andere /64 door te routeren via een eigen router door middel van de DMZ IPv6 instellingen in de Experiabox? 

Met vriendelijke groet,

Jan Peter Veldhuizen

icon

Beste antwoord door jpveldhuizen 20 mei 2015, 14:36

Probleem nu opgelost door de /64 prefix maar zelf verder op te delen in prefixes van /80. 

Met ndp6 (Neighbor Detection Proxy for IPv6) op mijn router / firewall werken ook alle aparaten achter mijn firewall nu goed op IPv6. 

Geen SLAAC dus, maar een radvd met DHCPv6. Iets meer configuratie, maar ik hou ook niet zo van automatisch adressen. 

Enige nadeel nog wel is dat alle IPv6 adressen die bereikbaar moeten zijn vanaf extern apart in de DMZ (of poortforwarding voor IPv6) gezet moeten worden in de Experiabox. Mijn lijstje met DMZ-hosts is dus al aardig gevuld :-) 

De reden dat ik over wilde op de native IPv6 van KPN heeft wel goed uitgepakt :

https://

Een prima snelheid dus!

Alle reageerders bedankt voor het meedenken.

Bekijk origineel

16 reacties

Reputatie 7
Badge +30
Maar, zou je hier in je eigen topic over verder willen gaan? Dan kunnen we eventueel uitzoeken of dit probleem bij KPN ligt of ergens anders, en de verantwoordelijken aansporen om dit op te lossen.
Dat klopt het is een workaround maar is op dit moment de enige oplossing is lijkt het.
Vanaf afgelopen donderdag waren er ineens grote problemen met het versturen van mail, en bij gebruik van een mobiele telefoon op de WIFI van het KPN modem was mailen helemaal niet meer mogelijk zowel ophalen als versturen ging niet meer. Na het uitschakelen van IPV6 werkt alles weer naar behoren.
Ik heb geen idee wat we kunnen doen om dit probleem op te lossen vandaar dat uitschakelen op dit moment voor ons de enige oplossing is.
Reputatie 7
Badge +30
Zonder meer info kan ik hier weinig nuttigs over zeggen, maar IPv6 uitschakelen is nooit de oplossing, maar altijd de workaround.
Hier in Kinderdijk omgeving Rotterdam heeft KPN zonder aankondiging vorige week donderdag IPV6 in het modem aangezet,.Goed om te horen dat de uitrol dus nog steeds loopt!.

Alleen het vervelende is dat het niet werkt, ik heb al veel klanten het advies moeten geven om IPV6 uit te schakelen omdat ze sinds afgelopen donderdag geen mail meer konden versturen.
Reputatie 7
Badge +30
Hier in Kinderdijk omgeving Rotterdam heeft KPN zonder aankondiging vorige week donderdag IPV6 in het modem aangezet,.Goed om te horen dat de uitrol dus nog steeds loopt!

Om terug te komen op dit topic, als je met je eigen router een subnet (/56) van de Experiabox vraagt, zal de Experiabox je dat subnet geven en kan je achter je eigen router SLAAC gebruiken.
Hier in Kinderdijk omgeving Rotterdam heeft KPN zonder aankondiging vorige week donderdag IPV6 in het modem aangezet,.
Afgelopen zondag kwam ik door het inloggen op mijn Experiabox (ZTE H368N) erachter dat IPv6 nu ondersteund/geleverd wordt door KPN.

Met trial-and-error ontdekt dat een /48 (2a02:a442:xxxx::/48) afgeleverd wordt op mijn Experiabox op IP 2a02:a442:xxxx:2::1. 

Nu heeft mijn server/router achter de Experiabox automatisch een IPv6 toegewezen gekregen van de Experiabox (2a02:a442:xxxx::1/64). In de Experiabox heb ik de DMZ-host voor IPv6 toegewezen aan dit IPv6-adres, maar helaas komen de overige /64 hierop niet binnen. Ik heb de volgende o.a. geprobeerd : 2a02:a442:xxxx:3::/64 ,2a02:a442:xxxx:8000::/64 , 2a02:a442:xxxx:8001::/64 .

Is het wel mogelijk om een andere /64 door te routeren via een eigen router door middel van de DMZ IPv6 instellingen in de Experiabox? 

Met vriendelijke groet,

Jan Peter Veldhuizen



Beste Jan Peter Veldhuizen,

Welke router gebruik je?

Mijn huidige router ondersteunt helaas geen ndp6 en de apparaten achter de firewall krijgen geen IP adres op IPv6. 

Alvast bedankt!
Welke prefix heb je gebruikt voor de /80, en welke default route? Ik krijg het zelf nog niet aan de praat met een eigen router.

Reputatie 3
Badge
MAg ik vragen waarom je zoveel DMZ's nodig hebt, in principe heb je alleen een DMZ nodig naar de Device waar op je applicaties heb draaien die zonder zelf uitgaand verkeer te generenen van buitenaf benaderbaar moeten zijn (zoals een WEB server). Dus voor normaal uitgaand verkeer hoef je niets in te stellen. En door DMZ's in te stellen schakel je de firewall van de Experia Box voor die betreffende apparaten uit. Als deze van zichzelf goed beveiligd zijn nog geen probleem, maar je maakt je interne netwerk wel nodeloos kwetsbaar en in mijn beleving is dat dus niet nodig.

Probleem nu opgelost door de /64 prefix maar zelf verder op te delen in prefixes van /80. 

Met ndp6 (Neighbor Detection Proxy for IPv6) op mijn router / firewall werken ook alle aparaten achter mijn firewall nu goed op IPv6. 

Geen SLAAC dus, maar een radvd met DHCPv6. Iets meer configuratie, maar ik hou ook niet zo van automatisch adressen. 

Enige nadeel nog wel is dat alle IPv6 adressen die bereikbaar moeten zijn vanaf extern apart in de DMZ (of poortforwarding voor IPv6) gezet moeten worden in de Experiabox. Mijn lijstje met DMZ-hosts is dus al aardig gevuld :-) 

De reden dat ik over wilde op de native IPv6 van KPN heeft wel goed uitgepakt :

https://

Een prima snelheid dus!

Alle reageerders bedankt voor het meedenken.

Reputatie 3
Badge
Je probeert het /64 adres in te voeren, dit is de prefix van KPN. Echter moet je het volledige IPv6 adres invullen waarop de DMZ wordt aangemaakt. Een IPv6 Address bestaat uit 128 bits en de eerste 48 bits worden door KPN bepaalt en zijn uniek per aansluiting. De volgende 16 bits worden door de Experia Box toegevoegd (Dit is dus samen de eerste /64). De laatste 64 bits worden door uw eigen apparatuur aangevuld. Dus een volledig IPv6 address bestaat uit 8 groepjes van 16 bits. Voor Windows en OSX geldt dat deze per computer 2 IPv6-Addressen aanmaakt voor extern gebruik. Een vaste welke altijd het zelfde is en door de hardware wordt bepaald, deze is dus nodig om poorten of DMZ aan te koppelen. Ook genereren deze systemen  een tijdelijk IPv6 address welke regelmatig veranderd en voor uitgaand verkeer wordt meegestuurd. Verder is er nog een lokaal IPv6 adres wat altijd begint met FE80:: en waarbij het tweede deel dus hetzlefde is als het tweede deel van het vaste IPv6-Address voor extern gebruik. Hoe dit voor niet Windows of OSX apparaten geregeld is hangt van het betreffende apparaat af.

Heeft uw apparaat niet zo'n volledig intern IPv6 Address wat begint met fe80:: dan is IPv6 niet beschikbaar op dat apparaat of het staat uit.

Diverse andere subnetten geprobeerd (niet de 0, 1 of 2) op de link achter mijn router/firewall, echter werkt niet. Pakketjes met data gaan wel uit, maar komen nooit meer terug. Deze blijven op de Experiabox hangen omdat deze niet de route naar de andere subnetten weet (lijkt mij). 

Er zal dus op de Experiabox of een IPv6 routingtabel ingesteld moeten worden, of er moeten al standaard routes ingesteld zijn, welke ik dan graag zou willen weten. 

Ik zou me zo kunnen voorstellen dat er bijvoorbeeld adressen zijn, zoals 2a02:a442:xxxx::yyyy:1/64 die dan de router zijn voor de subnetten 2a02:a442:xxxx:yyyy::/64 -> dit lijkt mijzelf wel een mooie oplossing, zodat alle subnetten gebruikt kunnen worden (niet dat ik ze alle 65532 nodig heb....).

Ik hoop nog dat iemand van het KPN WebCare team welke in de IPv6 business zit hierop een lichtje kan laten schijnen? 

Hi,

Bij een hoop modems / routers is er een apparte DMZ poort, vandaar dat ik dacht aan een eigen vlan/zone/subnet. Maar ik denk dat dat niet het geval is bij een experiabox.

Zover ik het nu begrijp na een kort zoeken online is de DMZ host in de experiabox bedoeld voor een eigen router, al het verkeer gericht aan je publieke IPv4 adres wordt geforwarded.

Bij IPv6 is dit niet meer van toepassing omdat je vele publieke adressen hebt. Je zou dus met een port forward (firewall regel) dus al volstaan om iets voor vanaf buiten beschikbaar te maken. 

Het probleem wat blijft is dat je sommige dingen achter een firewall of op zijn minst in een andere prefix wilt hebben.

Dat staat enigzins los hiervan, dit is puur PD (prefix delegation) of statische routes kunnen aanmaken. Dit zodat de experiabox weet waar verkeer naartoe te sturen.

Als een van deze 2 zaken mogelijk is stop je firewall of eigen router in de experiabox, geeft deze een IP adres in de LAN range en achter deze firewall gebruik je 1 of meerdere andere /64 prefixes.

Blijft nogwel staan of je in de experiabox een portforwarding (eigenlijk firewall regel) mag aanmaken voor een /64 die deze niet standaard heeft. Ik heb CPE's gezien die dit niet toestaan (Fritzbox). 

Je kunt dit testen onder "ipv6 port forwarding" en daar bijvoorbeeld port 80 open te zetten voor 2a02:a442:xxxx:AAAA::1234 Dit is een geldig adres binnen je /48. Mocht de experiabox dit niet toestaan dan gaat het zowieso niet werken. 

 

Bij een Xs4all verbinding had ik prefix delegation en de eigen firewall kreeg netjes meerdere IPv6 subnetten uit een /56 die de prefix delegation gaf. Echter de apparaten die aan die firewall waren gekoppeld waren niet bereikbaar, Fritzbox liet namelijk niet toe dat er portforwarding regels werden aangemaakt behalve voor de standaard prefix die de DHCPv6 uitdeelt. Misschien dat je onder menu "network" meer informatie vindt over routes, ik meen me te herinneren dat je met een experiabox wel voor IPv4 statische routes kon aanmaken, vanuit die gedachte zou je hopen dat KPN feature parity (zelfde opties voor IPv4 als IPv6) zou hebben toegepast.

 

In het kort:

- DMZ host is niet van toepassing voor IPv6

- Prefix delegation mogelijkheden of statische routes zijn nodig om een eigen firewall te gebruiken

- Experiabox moet toestaan om portforwarding te doen naar ieder geldig adres binnen je /48

 

 

 

Goedemorgen,

Wjb en Didi_Sam bedankt voor de opmerkingen.

Ik zit hier inderdaad in Hilversum, met een Glas 500/500 verbinding. Tot nu toe had ik een SixXS IPv6 tunnel draaien waarbij ik alle aparatuur achter mijn router/firewall in een apart IPv6 /64 subnet had draaien. Het nadeel hiervan was dat de snelheid niet hoger dan 100 MBit over IPv6 ging (limiet van de IPv6 tunnel-broker). Dus toen ik ontdekte dat KPN op mijn Experiabox IPv6 had geactiveerd, wilde ik zsm over op Native IPv6.

Hieronder drie afbeeldingen van mijn WAN poort, LAN poorten en DMZ instellingen :

WAN poort.PNG

WAN-poort instellingen.

LAN poort.PNG

LAN Poorten instellingen.

DMZ Host.PNG

DMZ Host instellingen.

De Experiabox heeft dus aan de WAN poort het IPv6-adres 2a02:a442:xxxx:2::1 (het IPv6 subnet 2a02:a442:xxxx:2::/64).

De LAN poort heeft autmatisch het IPv6 adres 2a02:a442:xxxx:1:ee8a:4cff:fe93:xxxx gekregen (dus het 2a02:a442:xxxx:1::/64 subnet op basis van het MAC-adres van de Experiabox).

De DHCPv6 server van de Experiabox deelt de IPv6-adressen uit in de range 2a02:a442:xxxx:: (dus het 2a02:a442:xxxx:0::/64 subnet). Mijn router / firewall kreeg automatisch het adres 2a02:a442:xxxx::1 toegewezen, zowel de RA (Router Advertisment) als de default gateway staan ingesteld op fe80::1. Dit is dus het Link Local adres van de Experiabox, ik kan dus helaas niet zien welk IPv6 adres in de range van 2a02:a442:xxxx:0::/64 hieraan hangt.

Via een traceroute vanaf een andere IPv6 enabled netwerk zie ik dus dat het complete 2a02:a442:xxxx::/48 subnet terecht komt bij de WAN poort van mijn Experiabox, de laatste hop is 2a02:a442:xxxx:2::1 voordat er time-outs komen.

Ik heb ze natuurlijk niet alle 65532 uitgeprobeerd, maar zowel de 2a02:a442:xxxx:3::1 als de 2a02:a442:xxxx:ffff::1 komen daar uit....

In de Experiabox heb ik geen mogelijkheden om een IPv6 routingtabel aan te maken of te wijzigen.

voor Prefix Delegation zijn ook geen instellingen in de Experiabox, maar ik zal even gaan uittesten of dit automatisch gebeurd. Ik heb hier nog nooit mee gewerkt / nog nooit ingesteld, dus moet dit even gaan uitzoeken hoe ik dit op mijn linux-box moet instellen.

Bedankt voor de push in een nieuwe richting Didi_Sam, ik ga even Googlen en me inlezen.

Met vriendelijke groet,

Jan Peter Veldhuizen

Of het door routeren mogelijk is weet ik niet, dat ligt eraan hoe KPN het heeft opgezet. 

Het zou op 2 manieren kunnen:

- een mogelijkheid om zelf een route aan te maken in de experia box en daarin opgeeft welke prefix naar je router moet.

- PD (prefix delegation) waarbij een /56 blok uit een al dan niet instelbare range doorgegeven wordt naar je eigen router.

Ik denk dat je LAN een IPv6 reeks heeft gekregen, dit adres kun je niet verschuiven naar je DMZ omdat deze zal worden gezien als een andere zone. Misschien dat je het hier appart op kan aanzetten, of dat er al adressen in de DMZ zone worden uitgedeeld maar dan uit een andere prefix. Dit zal je het snelste zien door bijvoorbeeld even een laptop aan de DMZ poort te verbinden en te kijken of deze een IPv6 adres krijg en zo ja, welke prefix dit dan is.

Is dit omgeving Hilversum, zover mij bekend is dat namelijk het enige gebied waar KPN IPv6 aan het uitrollen is.

Reputatie 7
Hoi jpveldhuizen, welkom op het forum.

Kan jij hier eens een screenshot plaatsen van die DMZ-Host instelling?

Reageer