De Netweters
annuleren
Resultaten voor 
Zoek in plaats daarvan naar 
Bedoelde u: 

Hoe ICMPv6 unfilteren?

Beantwoorden
nickw
Professional Weetjesweter
Berichten: 79
Al 25 duimen! Goed bezig! Dat begint te tellen! Say what?!

Op de website https://ipv6-test.com/ krijg ik als resultaat het volgende te zien.

 

Capture4.JPG

 

Ik heb al eens in mijn eigen router Respond ICMP Echo (ping) Request from WAN op Yes gezet doch geen resultaat.

 

Capture3.JPG

 

Moet ik hier in mijn eigen router een firewall rule maken, of in de e-router? Ook, hoe moet die rule er respectievelijk exact uitzien?

0 Likes
Beantwoorden
22 reacties
igvfer
Professional Superweter
Berichten: 5991
Wat een systeem! Happy New Year! Jij bent een pro! Meer goede raad dan tante Kaat

@nickw  Welke modem/router van Telenet heb je? Dat is belangrijk. Als je kan met het mac adres instellen dat je een publiek IP krijgt dan zal je alles moeten doen op je eigen router.

 



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
nickw
Professional Weetjesweter
Berichten: 79
Al 25 duimen! Goed bezig! Dat begint te tellen! Say what?!

Dag @igvfer 

 

Ik maak gebruik van mac bridging op de e-router. Mijn eigen router (Asus) krijgt een publiek IPv4 adres.

 

Weliswaar heb ik al eens een firewall rule in de e-router uitgeprobeerd en dan kreeg ik als resultaat 20/20. Ik heb die rule dan maar verwijderd want 'k was niet zeker of die rule afdoende veilig dan wel correct was.

Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 570
En wanneer slaap jij? JACKPOT! Lees je nog iets anders? ;-) De race is begonnen!

In de CV8560E router / mijn telenet hoef je niets te doen.

MAC bridging is alleen van toepassing op IPv4, niet op IPv6, dus die setting is niet relevant.

De IPv6 firewall settings van de CV8560E router spelen hier ook geen rol. Die zijn enkel van toepassing op het direct geconnecteerde LAN, niet op achterligggend prefixes.

 

Om ICMPv6 door te laten tot aan je eigen PC zul je een accept rule moeten toevoegen in je eigen router IPv6 firewall settings.

 

Overigens is een score van 18/20 perfect in orde voor een goede werking van IPv6. Er is helemaal geen noodzaak om je eigen PC open te stellen voor ping6 vanaf het internet.

Ik geef daarom eigenlijk de voorkeur aan deze test:

http://ipv6.test-ipv6.com/

Daar zul je zien dat je score 10/10 is.

 



Meten is weten. Gissen is missen.
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 570
En wanneer slaap jij? JACKPOT! Lees je nog iets anders? ;-) De race is begonnen!

@nickw, in mijn vorige antwoord ben ik er vanuit gegaan dat je eigen router ook effectief routeert, en niet enkel als bridge of access-point in gebruik is.

 



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
nickw
Professional Weetjesweter
Berichten: 79
Al 25 duimen! Goed bezig! Dat begint te tellen! Say what?!

Dag @Arnie 

 

Mijn Asus staat in router mode, hoor.

 

Capture5_censored.jpg

 

Capture6.JPG

 


@Arnie  schreef:

De IPv6 firewall settings van de CV8560E router spelen hier ook geen rol. Die zijn enkel van toepassing op het direct geconnecteerde LAN, niet op achterligggend prefixes.


Hoe komt het dan als ik in de e-router een IPv6 firewall rule instel, ik wel 20/20 als resultaat te zien krijg?

 


@Arnie  schreef:

 

Om ICMPv6 door te laten tot aan je eigen PC zul je een accept rule moeten toevoegen in je eigen router IPv6 firewall settings.

Puur uit interesse, en zie het tweede screenshot in mijn eerste bericht, hoe zou die IPv6 rule dan in mijn Asus router er moeten uitzien?

0 Likes
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 570
En wanneer slaap jij? JACKPOT! Lees je nog iets anders? ;-) De race is begonnen!

@nickw  schreef:
Puur uit interesse, en zie het tweede screenshot in mijn eerste bericht, hoe zou die IPv6 rule dan in mijn Asus router er moeten uitzien?

De afbeeldingen zijn nog niet zichtbaar. De instellings-mogelijkheden van de Asus ken ik niet. Onderstaand is een screenshot van de config van mijn UDM-router.

Ik heb ook een screenshot van mijn telenet toegevoegd. De IPv6 firwall staat aan, zonder enige accept rule. Toch haal ik 20/20 wanneer ik de accept rule op mijn eigen router aanschakel.

 

ICMPv6-accept-rule.png

 

IPv6-mijntelenet-fw.png

 

Ik heb de



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 570
En wanneer slaap jij? JACKPOT! Lees je nog iets anders? ;-) De race is begonnen!

Dag @nickw , na het zien van je screenshot van de Asus settings, ben ik nog niet overtuigd dat de Asus zich effectief in router mode bevindt voor IPv6.

Volgens deze handleiding (die misschien niet voor exact hetzelfde type bedoeld is), kun je bij de Asus kiezen tussen verschillende modi voor IPv6:

https://www.asus.com/support/FAQ/113990/

Wellicht staat die van jou ingesteld als bridge (passthrough) voor IPv6 verkeer ipv router (native) ?

 

Er is op zich niks mis mee de router als bridge te gebruiken voor IPv6. Is op zich wel iets eenvoudiger. In dat geval dien je inderdaad wel de firewall instellingen te doen via mijn telenet. Dat is dan namelijk de router die zich het dichtste bij de clients bevind.

 



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
nickw
Professional Weetjesweter
Berichten: 79
Al 25 duimen! Goed bezig! Dat begint te tellen! Say what?!

@Arnie  schreef:

Dag @nickw , na het zien van je screenshot van de Asus settings, ben ik nog niet overtuigd dat de Asus zich effectief in router mode bevindt voor IPv6.

Volgens deze handleiding (die misschien niet voor exact hetzelfde type bedoeld is), kun je bij de Asus kiezen tussen verschillende modi voor IPv6:

https://www.asus.com/support/FAQ/113990/

Wellicht staat die van jou ingesteld als bridge (passthrough) voor IPv6 verkeer ipv router (native) ?

 


Dag @Arnie 

 

Staat op Native, hoor. Zie:

 

Capture_censored.jpg

 

En nu ...?

0 Likes
Beantwoorden
NofanTasi
Experienced Veelweter
Berichten: 300
It's your first party! WOW! Klasse! Happy New Year!

@Arnie  schreef:

Er is helemaal geen noodzaak om je eigen PC open te stellen voor ping6 vanaf het internet.


Op reddit lees ik ivbm de https://ipv6-test.com/  melding van @nickw

Responding to pings is a standards requirement: RFC 4443 requires that nodes respond to pings, and RFC 4890 says that routers and hosts must not drop echo request/response packets.

De exacte referenties zijn

rfc4443 section-4.1 https://tools.ietf.org/html/rfc4443#section-4.1

rfc4890 section-4.3.1 https://tools.ietf.org/html/rfc4890#section-4.3.1

Ik denk niet dat het zich niet houden aan die RFC vereisten grote problemen oplevert. En dus is het wellicht geen 'noodzaak'. Maar, zich aan de regels houden kan, in dit geval, denk ik, geen kwaad.

{*niet* 'like'-en aub}
0 Likes
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 570
En wanneer slaap jij? JACKPOT! Lees je nog iets anders? ;-) De race is begonnen!

@NofanTasi, ik ben akkoord. Bij veel routers (AVM Fritbox, Unifi UDM en ook de CV8560E zelf) is de default een drop voor inkomend ICMPv6 verkeer.

Je dient een firewall rule aan te maken om het te accepteren. Hoewel het correct is om te doen, wees ik er eigenlijk alleen op dat het niet echt nodig is. De 18/20 score geeft gebruikers misschien wat onzekerheid, alles schijnt echter gewoon probleemloos te werken.



Meten is weten. Gissen is missen.
Beantwoorden
nickw
Professional Weetjesweter
Berichten: 79
Al 25 duimen! Goed bezig! Dat begint te tellen! Say what?!

@nickw  schreef:

@Arnie  schreef:

De IPv6 firewall settings van de CV8560E router spelen hier ook geen rol. Die zijn enkel van toepassing op het direct geconnecteerde LAN, niet op achterligggend prefixes.


Hoe komt het dan als ik in de e-router een IPv6 firewall rule instel, ik wel 20/20 als resultaat te zien krijg?

Weird, daarnet de firmware van de Asus router geüpdatet en nu krijg ik - zoals het hoort - 18/20. Kan het zijn dat Asus iets gedicht heeft waardoor de ICMPv6 accept rule in Mijn Telenet heden geen rol meer speelt?

 

Wat een rare zaken ik maar tegenkom ... 😕

0 Likes
Beantwoorden
NofanTasi
Experienced Veelweter
Berichten: 300
It's your first party! WOW! Klasse! Happy New Year!

Misschien, om exact te weten tot hoe ver echo's een reply opleveren, kan je van buiten uit (er bestaan online tools, of je kent misschien iemand, of wij kunnen helpen) ICMPv6 echo paketten sturen naar je E-router WAN, je E-router LAN, je eigen-router en je host LAN v6 adressen.

{*niet* 'like'-en aub}
0 Likes
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 570
En wanneer slaap jij? JACKPOT! Lees je nog iets anders? ;-) De race is begonnen!

@nickw  schreef:

Kan het zijn dat Asus iets gedicht heeft waardoor de ICMPv6 accept rule in Mijn Telenet heden geen rol meer speelt?

Wellicht heeft de firmware update het gedrag van de Asus veranderd, waardoor die nu ook als default een drop firewall-rule heeft. Normaal zou zoiets in de release notes vermeld moeten worden, maar helaas geven niet alle leveranciers zo een document vrij.

Dit beinvloed daarom niet het gedrag van de CV8560E. Het is eigenlijk alsof er op de af te leggen route een extra verkeerslicht bijgeplaatst is wat standaard op rood staat, tenzij je dit aanpast (op het knopje drukken = accept rule toevoegen).



Meten is weten. Gissen is missen.
Beantwoorden
nickw
Professional Weetjesweter
Berichten: 79
Al 25 duimen! Goed bezig! Dat begint te tellen! Say what?!

@NofanTasi  schreef:

Misschien, om exact te weten tot hoe ver echo's een reply opleveren, kan je van buiten uit (er bestaan online tools, of je kent misschien iemand, of wij kunnen helpen) ICMPv6 echo paketten sturen naar je E-router WAN, je E-router LAN, je eigen-router en je host LAN v6 adressen.


Hoi @NofanTasi 

 

Dikke merci, maar 'k zal hier nog even mee wachten 😉

 

Zoals jullie weten heb ik onlangs IPv6 problemen gehad met mijn OnePlus 8 Pro. De quick fix - zonder de ware oorzaak van het probleem te hebben achterhaald - was mijn TP-Link router te vervangen door een Asus RT-AC68U, die daarvoor dienst deed als Aimesh node.

 

Deze RT-AC68U heb ik inmiddels terug ingesteld als Aimesh node, en de dienstdoende router heden is een Asus RG-AC2900.

 

En nu komt het, in tegenstelling tot de RT-AC68U is de RG-AC2900 - of eerder de huidige firmware ervan - niet ping 6 vriendelijk. Zo te lezen op enkele fora zou Asus/Merlin een plotse ommezwaai gemaakt hebben; zie bijvoorbeeld dit forum alwaar ik vandaag een thread gestart ben:

 

https://www.snbforums.com/search/156189/?q=icmpv6&o=date

 

Het unfilteren van ICMPv6 is nu schijnbaar quasi onmogelijk. Respond ICMP Echo (ping) Request from WAN op Yes zetten helpt niet, er is geen hidden htm, en de IPv6 firewall mogelijkheden zijn nogal beperkt...

 

https://www.asus.com/be-nl/support/FAQ/1013638

 

Het enige dat zou werken is Respond ICMP Echo (ping) Request from WAN aanzetten én een port forwarding rule aanmaken. In Asus' port forwarding kun je blijkbaar een protocol ofzo invoeren (ergens las ik protocol 1).

 

Ik wacht alvast ook op het antwoord van Asus support.

 

Pf

0 Likes
Beantwoorden