Beantwoorden
Ex-Netweter
 

Hoe ICMPv6 unfilteren?

Op de website https://ipv6-test.com/ krijg ik als resultaat het volgende te zien.

 

Capture4.JPG

 

Ik heb al eens in mijn eigen router Respond ICMP Echo (ping) Request from WAN op Yes gezet doch geen resultaat.

 

Capture3.JPG

 

Moet ik hier in mijn eigen router een firewall rule maken, of in de e-router? Ook, hoe moet die rule er respectievelijk exact uitzien?

0 Likes
25 reacties
igvfer
Professional Superweter
Berichten: 7734
Dat verdient een trofee! PhD in problem solving! Organisatietalent! Topic held(in)!

Hoe ICMPv6 unfilteren?

@Ex-Netweter  Welke modem/router van Telenet heb je? Dat is belangrijk. Als je kan met het mac adres instellen dat je een publiek IP krijgt dan zal je alles moeten doen op je eigen router.

 



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Ex-Netweter
 

Hoe ICMPv6 unfilteren?

Dag @igvfer 

 

Ik maak gebruik van mac bridging op de e-router. Mijn eigen router (Asus) krijgt een publiek IPv4 adres.

 

Weliswaar heb ik al eens een firewall rule in de e-router uitgeprobeerd en dan kreeg ik als resultaat 20/20. Ik heb die rule dan maar verwijderd want 'k was niet zeker of die rule afdoende veilig dan wel correct was.

Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

Hoe ICMPv6 unfilteren?

In de CV8560E router / mijn telenet hoef je niets te doen.

MAC bridging is alleen van toepassing op IPv4, niet op IPv6, dus die setting is niet relevant.

De IPv6 firewall settings van de CV8560E router spelen hier ook geen rol. Die zijn enkel van toepassing op het direct geconnecteerde LAN, niet op achterligggend prefixes.

 

Om ICMPv6 door te laten tot aan je eigen PC zul je een accept rule moeten toevoegen in je eigen router IPv6 firewall settings.

 

Overigens is een score van 18/20 perfect in orde voor een goede werking van IPv6. Er is helemaal geen noodzaak om je eigen PC open te stellen voor ping6 vanaf het internet.

Ik geef daarom eigenlijk de voorkeur aan deze test:

http://ipv6.test-ipv6.com/

Daar zul je zien dat je score 10/10 is.

 


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

Hoe ICMPv6 unfilteren?

@Ex-Netweter, in mijn vorige antwoord ben ik er vanuit gegaan dat je eigen router ook effectief routeert, en niet enkel als bridge of access-point in gebruik is.

 


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Ex-Netweter
 

Hoe ICMPv6 unfilteren?

Dag @Arnie 

 

Mijn Asus staat in router mode, hoor.

 

Capture5_censored.jpg

 

Capture6.JPG

 


@Arnie  schreef:

De IPv6 firewall settings van de CV8560E router spelen hier ook geen rol. Die zijn enkel van toepassing op het direct geconnecteerde LAN, niet op achterligggend prefixes.


Hoe komt het dan als ik in de e-router een IPv6 firewall rule instel, ik wel 20/20 als resultaat te zien krijg?

 


@Arnie  schreef:

 

Om ICMPv6 door te laten tot aan je eigen PC zul je een accept rule moeten toevoegen in je eigen router IPv6 firewall settings.

Puur uit interesse, en zie het tweede screenshot in mijn eerste bericht, hoe zou die IPv6 rule dan in mijn Asus router er moeten uitzien?

0 Likes
Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

Hoe ICMPv6 unfilteren?


@Ex-Netweter  schreef:
Puur uit interesse, en zie het tweede screenshot in mijn eerste bericht, hoe zou die IPv6 rule dan in mijn Asus router er moeten uitzien?

De afbeeldingen zijn nog niet zichtbaar. De instellings-mogelijkheden van de Asus ken ik niet. Onderstaand is een screenshot van de config van mijn UDM-router.

Ik heb ook een screenshot van mijn telenet toegevoegd. De IPv6 firwall staat aan, zonder enige accept rule. Toch haal ik 20/20 wanneer ik de accept rule op mijn eigen router aanschakel.

 

ICMPv6-accept-rule.png

 

IPv6-mijntelenet-fw.png

 

Ik heb de


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

Hoe ICMPv6 unfilteren?

Dag @Ex-Netweter , na het zien van je screenshot van de Asus settings, ben ik nog niet overtuigd dat de Asus zich effectief in router mode bevindt voor IPv6.

Volgens deze handleiding (die misschien niet voor exact hetzelfde type bedoeld is), kun je bij de Asus kiezen tussen verschillende modi voor IPv6:

https://www.asus.com/support/FAQ/113990/

Wellicht staat die van jou ingesteld als bridge (passthrough) voor IPv6 verkeer ipv router (native) ?

 

Er is op zich niks mis mee de router als bridge te gebruiken voor IPv6. Is op zich wel iets eenvoudiger. In dat geval dien je inderdaad wel de firewall instellingen te doen via mijn telenet. Dat is dan namelijk de router die zich het dichtste bij de clients bevind.

 


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Ex-Netweter
 

Hoe ICMPv6 unfilteren?


@Arnie  schreef:

Dag @Ex-Netweter , na het zien van je screenshot van de Asus settings, ben ik nog niet overtuigd dat de Asus zich effectief in router mode bevindt voor IPv6.

Volgens deze handleiding (die misschien niet voor exact hetzelfde type bedoeld is), kun je bij de Asus kiezen tussen verschillende modi voor IPv6:

https://www.asus.com/support/FAQ/113990/

Wellicht staat die van jou ingesteld als bridge (passthrough) voor IPv6 verkeer ipv router (native) ?

 


Dag @Arnie 

 

Staat op Native, hoor. Zie:

 

Capture_censored.jpg

 

En nu ...?

0 Likes
NofanTasi
Freshman Bijna Allesweter
Berichten: 480
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW! Lees je nog iets anders? ;-)

Hoe ICMPv6 unfilteren?


@Arnie  schreef:

Er is helemaal geen noodzaak om je eigen PC open te stellen voor ping6 vanaf het internet.


Op reddit lees ik ivbm de https://ipv6-test.com/  melding van @Ex-Netweter

Responding to pings is a standards requirement: RFC 4443 requires that nodes respond to pings, and RFC 4890 says that routers and hosts must not drop echo request/response packets.

De exacte referenties zijn

rfc4443 section-4.1 https://tools.ietf.org/html/rfc4443#section-4.1

rfc4890 section-4.3.1 https://tools.ietf.org/html/rfc4890#section-4.3.1

Ik denk niet dat het zich niet houden aan die RFC vereisten grote problemen oplevert. En dus is het wellicht geen 'noodzaak'. Maar, zich aan de regels houden kan, in dit geval, denk ik, geen kwaad.

{*niet* 'like'-en aub}
0 Likes
Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

Hoe ICMPv6 unfilteren?

@NofanTasi, ik ben akkoord. Bij veel routers (AVM Fritbox, Unifi UDM en ook de CV8560E zelf) is de default een drop voor inkomend ICMPv6 verkeer.

Je dient een firewall rule aan te maken om het te accepteren. Hoewel het correct is om te doen, wees ik er eigenlijk alleen op dat het niet echt nodig is. De 18/20 score geeft gebruikers misschien wat onzekerheid, alles schijnt echter gewoon probleemloos te werken.


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.

Hoe ICMPv6 unfilteren?


@Ex-Netweter  schreef:

@Arnie  schreef:

De IPv6 firewall settings van de CV8560E router spelen hier ook geen rol. Die zijn enkel van toepassing op het direct geconnecteerde LAN, niet op achterligggend prefixes.


Hoe komt het dan als ik in de e-router een IPv6 firewall rule instel, ik wel 20/20 als resultaat te zien krijg?

Weird, daarnet de firmware van de Asus router geüpdatet en nu krijg ik - zoals het hoort - 18/20. Kan het zijn dat Asus iets gedicht heeft waardoor de ICMPv6 accept rule in Mijn Telenet heden geen rol meer speelt?

 

Wat een rare zaken ik maar tegenkom ... 😕

0 Likes
NofanTasi
Freshman Bijna Allesweter
Berichten: 480
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW! Lees je nog iets anders? ;-)

Hoe ICMPv6 unfilteren?

Misschien, om exact te weten tot hoe ver echo's een reply opleveren, kan je van buiten uit (er bestaan online tools, of je kent misschien iemand, of wij kunnen helpen) ICMPv6 echo paketten sturen naar je E-router WAN, je E-router LAN, je eigen-router en je host LAN v6 adressen.

{*niet* 'like'-en aub}
0 Likes
Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

Hoe ICMPv6 unfilteren?


@Ex-Netweter  schreef:

Kan het zijn dat Asus iets gedicht heeft waardoor de ICMPv6 accept rule in Mijn Telenet heden geen rol meer speelt?

Wellicht heeft de firmware update het gedrag van de Asus veranderd, waardoor die nu ook als default een drop firewall-rule heeft. Normaal zou zoiets in de release notes vermeld moeten worden, maar helaas geven niet alle leveranciers zo een document vrij.

Dit beinvloed daarom niet het gedrag van de CV8560E. Het is eigenlijk alsof er op de af te leggen route een extra verkeerslicht bijgeplaatst is wat standaard op rood staat, tenzij je dit aanpast (op het knopje drukken = accept rule toevoegen).


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
Ex-Netweter
 

Hoe ICMPv6 unfilteren?


@NofanTasi  schreef:

Misschien, om exact te weten tot hoe ver echo's een reply opleveren, kan je van buiten uit (er bestaan online tools, of je kent misschien iemand, of wij kunnen helpen) ICMPv6 echo paketten sturen naar je E-router WAN, je E-router LAN, je eigen-router en je host LAN v6 adressen.


Hoi @NofanTasi 

 

Dikke merci, maar 'k zal hier nog even mee wachten 😉

 

Zoals jullie weten heb ik onlangs IPv6 problemen gehad met mijn OnePlus 8 Pro. De quick fix - zonder de ware oorzaak van het probleem te hebben achterhaald - was mijn TP-Link router te vervangen door een Asus RT-AC68U, die daarvoor dienst deed als Aimesh node.

 

Deze RT-AC68U heb ik inmiddels terug ingesteld als Aimesh node, en de dienstdoende router heden is een Asus RG-AC2900.

 

En nu komt het, in tegenstelling tot de RT-AC68U is de RG-AC2900 - of eerder de huidige firmware ervan - niet ping 6 vriendelijk. Zo te lezen op enkele fora zou Asus/Merlin een plotse ommezwaai gemaakt hebben; zie bijvoorbeeld dit forum alwaar ik vandaag een thread gestart ben:

 

https://www.snbforums.com/search/156189/?q=icmpv6&o=date

 

Het unfilteren van ICMPv6 is nu schijnbaar quasi onmogelijk. Respond ICMP Echo (ping) Request from WAN op Yes zetten helpt niet, er is geen hidden htm, en de IPv6 firewall mogelijkheden zijn nogal beperkt...

 

https://www.asus.com/be-nl/support/FAQ/1013638

 

Het enige dat zou werken is Respond ICMP Echo (ping) Request from WAN aanzetten én een port forwarding rule aanmaken. In Asus' port forwarding kun je blijkbaar een protocol ofzo invoeren (ergens las ik protocol 1).

 

Ik wacht alvast ook op het antwoord van Asus support.

 

Pf

0 Likes