Beantwoorden
Ex-Netweter
 

Hoe ICMPv6 unfilteren?

Op de website https://ipv6-test.com/ krijg ik als resultaat het volgende te zien.

 

Capture4.JPG

 

Ik heb al eens in mijn eigen router Respond ICMP Echo (ping) Request from WAN op Yes gezet doch geen resultaat.

 

Capture3.JPG

 

Moet ik hier in mijn eigen router een firewall rule maken, of in de e-router? Ook, hoe moet die rule er respectievelijk exact uitzien?

0 Likes
25 reacties
NofanTasi
Freshman Bijna Allesweter
Berichten: 480
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW! Lees je nog iets anders? ;-)

Hoe ICMPv6 unfilteren?

Dank om ons over je IPv6 kalvarie berg tocht te informeren. Het is leerzaam en interessant. Soms denk ik dat vendors bepaalde CVEs (Common Vulnerabilities and Exposures) wel eens fixen door simpelweg gaten dicht te metselen. Maar, dat pakt niet noodzakelijk de ware onderliggende oorzaak aan.

{*niet* 'like'-en aub}
0 Likes
Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

Hoe ICMPv6 unfilteren?

Port-forwarding is een techniek die betrekking heeft op IPv4 NAT (Network Address Translation), of eigenlijk correcter gezegd PAT (Port Address Translation).

Je kunt dan één IP adres gebruiken (dat van de WAN poort), en het daarop ontvangen verkeer afhankelijk van de aangesproken TCP of UDP poort naar een specifiek intern IP adres doorsturen.

 

Address-translation is niet van toepassing in geval van IPv6, en dus ook port-forwarding niet.

Dat gezegd hebbende, zijn er wel verschillende router-fabrikanten die het begrip port-forwarding eveneens voor IPv6 gebruiken, terwijl ze eigenlijk gewoon een accept firewall-rule bedoelen.

 

Bedenk wel dat wanner je meerdere firewalls achter elkaar hebt staan ze ook allemaal het verkeer moeten doorlaten. Als er één de doorgang blokkeert komt het verkeer niet op de bestemming aan.

 


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
Steven-E
Freshman Meesterweter
Berichten: 2584
Jij bent geliefd! Jij bent een pro! Krak 2021 Krak 2022

Hoe ICMPv6 unfilteren?

@Ex-Netweter om je nog meer uitdaging en slapeloze nachten te bezorgen 🙂 hier een interessant artikel van Cloudflare over fragmentatie van IP pakketten en hoe belangrijk ICMP hier is, zowel voor IPv4 als IPv6.

 

https://blog.cloudflare.com/ip-fragmentation-is-broken/

 

Er staan ook twee test links op, eentje voor IPv4 en IPv6, met elke twee ICMP gerelateerde testen.

Je mag niet gaan slapen vooraleer alle 4 testen groen zijn 🙂


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
Ex-Netweter
 

Hoe ICMPv6 unfilteren?

Hoi @Steven-E 

 

Mopjesvest.

 

Mja ... ik heb wel even met de handen in het haar gezeten, maar dan omwille van iets heel anders. Off-topic. De nieuwe firmware voor mijn WD MyCloud Nas, OS5, zorgde voor heel wat miserie. Toen ik ter downgrade in PuTTY het verkeerde commando gaf (...mtdblock0 i.p.v. 1) heb ik mijn Nas naar de vaantjes geholpen; blijkbaar was de bootloader niet read only. En, wanneer ik beide schijven in het docking station plaatste: RAW 😰. Gespecialiseerde software hielp niet de inhoud van de HDD's te recupereren, maar gelukkig heb ik van vrijwel alles een wekelijkse backup op mijn WHS 😁. Mijn Synology is alvast op komst.

 

Alright, on-topic nu. Hierbij de resultaten van de 4 testen.

 

IPv4

 

IPv4.JPG

 

IPv6

 

IPv6.JPG

 

Zo te zien ben ik geslaagd voor alle vier de testen.

 

Kan het zijn dat je me met deze testen wou geruststellen, ik bedoel, wou aangeven dat ondanks het resultaat op https://ipv6-test.com/ mijn Asus router hoogstwaarschijnlijk wel andere facetten van ICMPv6 tot een goed einde ging brengen? Facetten zoals te vinden in https://tools.ietf.org/html/rfc4443#:~:text=RFC-2119%5D.-,2.,(ICMPv6%20%22ping%22)?

0 Likes
Steven-E
Freshman Meesterweter
Berichten: 2584
Jij bent geliefd! Jij bent een pro! Krak 2021 Krak 2022

Hoe ICMPv6 unfilteren?

Nee, was gewoon even een uitdaging.

Ik zelf heb hiervoor de IPv6 firewall op Mijn Telenet moeten uitzetten, maar dat ga jij niet moeten doen.  De IPv6 firewall van Telenet heeft enkel betrekking op het IPv6 subnet rechtsreeks achter de HGW, maar niet op de prefix achter je eigen router.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Ex-Netweter
 

Hoe ICMPv6 unfilteren?


@Arnie  schreef:

 

Om ICMPv6 door te laten tot aan je eigen PC zul je een accept rule moeten toevoegen in je eigen router IPv6 firewall settings.

 


Van Asus heb ik vernomen dat het filteren van ICMPv6 - voorlopig - niet ongedaan kan gemaakt worden. De ommezwaai is er gekomen in de recentste firmware, omwille van een aantal niet nader vernoemde redenen.

 

Indien ik toch ICMPv6 unfiltered wens te hebben dan zal ik de firmware van de router moeten downgraden. De eerdere firmwareversies zijn standaard out of the box ping 6 friendly.

 

Nu rest me de vraag: waarom deze plotse omkering? Waarom gaat Asus hier dezelfde toer op als Netgear?

 

Al was het maar om eens uit interesse te testen, wel jammer dat ik als klant niet voor mezelf kan/mag uitmaken of ik ICMPv6 filter dan wel unfilter.

Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

Hoe ICMPv6 unfilteren?

Het grootste deel van de klanten voor Asus en Netgear bestaat uit mensen die geen uitgebreide kennis of interesse hebben in networking. Die groep klanten wordt het beste bedient met zo min mogelijk parameters, om problemen en foutieve configuraties te voorkomen.

Dit levert beperkingen op voor mensen die meer willen dan de out-of-the-box opties, vandaar de verschillende projecten zoals freetz(-ng) voor de AVM Fritzbox of OpenWRT en andere forks voor andere  'low-cost' merken, of je moet kiezen voor een router uit het duurdere professionele segment, zoals bijvoorbeeld Cisco.


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
NofanTasi
Freshman Bijna Allesweter
Berichten: 480
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW! Lees je nog iets anders? ;-)

Hoe ICMPv6 unfilteren?


@Ex-Netweter  schreef:

@Arnie  schreef:

 

Om ICMPv6 door te laten tot aan je eigen PC zul je een accept rule moeten toevoegen in je eigen router IPv6 firewall settings.


Van Asus heb ik vernomen dat het filteren van ICMPv6 - voorlopig - niet ongedaan kan gemaakt worden. De ommezwaai is er gekomen in de recentste firmware, omwille van een aantal niet nader vernoemde redenen.


Zoals ik aangaf (en ergens in de Changelogs of Releasenotes vond, ik moet het exact terug opzoeken): om de "gaten" van bepaalde CVEs "dicht te metselen" op 'consumer aparatuur' (om 'consumers' (grootste deel van de klanten, zoals @Arnie  terecht aangeeft) te "beschermen"). Maar: alzo RFC recommendaties niet volgen is, eigenlijk (IMO), geen definitief geldige oplossing. Zelfs voor 'consumers' zou een on/off toggle moeten bestaan. Maar dan (indien ongefilterd), moeten de CVEs ook wel bij de bron aangepakt en opgelost zijn. Misschien komt dit alles, zoals Asus wel lijkt te suggereren met '-voorlopig- niet', in een volgende firmware.

{*niet* 'like'-en aub}
0 Likes
Ex-Netweter
 

Hoe ICMPv6 unfilteren?

@Arnie @NofanTasi 

 

Zou er iets in de pijplijn zitten bij Asus qua het opnieuw ping 6 friendly worden?

 

https://www.asuswrt-merlin.net/changelog

 

Asuswrt-Merlin 386/NG Changelog
===============================

386.2_2 (13-Apr-2021)
  - FIXED: IPv6 pings were blocked if sent below the rate limit
           instead of above (issue introduced in 42095)
  - FIXED: kernel debuging log entry (was removed) (RT-AC86U)
  - FIXED: Field that accepted a float value would reject
           values equal to the allowed minimum (for example
           the QoS bandwidth limits)
  - FIXED: QoS Bandwidth settings were hidden on
           non-HND models when accessing the QoS page.
  - CHANGED: Tweaks to the Firmware Upgrade page display.
  - CHANGED: Enabling DOS protection will now also rate limit
             ICMPV6 echo (type 128) packets, like with IPv4.

 

In lekentaal, wat is/was het probleem precies?

 

Hopelijk zal dit ook geïmplementeerd worden in de officiële firmware-updates van Asus.

Arnie
Professional Allesweter
Berichten: 1744
Krak 2021 Krak 2022 Krak Hallo zeg! Wat weet jij niet?

Hoe ICMPv6 unfilteren?

@Ex-Netweter  schreef:

  - FIXED: IPv6 pings were blocked if sent below the rate limit
           instead of above (issue introduced in 42095)

 

 

Dit zou de oorzaak van het probleem geweest kunnen zijn.

De bug zelf beschrijft een fout in de logica voor de rate-limit.

Een router (of andere host) kan ping (ICMP requests) negeren wanneer ze te snel achter elkaar binnen komen. Dit is een attack beveiligings-maatregel.

Als er bijvoorbeeld meer dan 5 per seconde binnenkomen kan de router deze inkomende request droppen ipv beantwoorden.

Deze bug veroorzaakt omgekeerde logica - enkel wanneer er meer dan 5 requests per seconde binnenkwamen antwoordde de router, wanneer het er minder waren werden de request gedropt.

Ik gebruik hier 5 packets per seconde als voorbeeld. Ik weet niet welke waarde op Asus ingesteld is.

Het kan dus goed zijn dat dit de oorzaak is van jouw probleem, jij deed tenslotte een normale ping test, geen aggresieve attck met zeer veel requests per seconde.

 


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
NofanTasi
Freshman Bijna Allesweter
Berichten: 480
Meer goede raad dan tante Kaat Opgeruimd staat netjes! WOW! Lees je nog iets anders? ;-)

Hoe ICMPv6 unfilteren?


@Arnie  schreef:

 

Het kan dus goed zijn dat dit de oorzaak is van jouw probleem, jij deed tenslotte een normale ping test, geen aggresieve attck met zeer veel requests per seconde.

 


Het ligt ook in de lijn van wat ik aangaf : soms (zeker bij consumer aparatuur) doet men gewoon tijdelijk de deur dicht zolang men de oorzaak niet kent of weet aan te pakken. In dit geval een simpele boolean bug (groter versus kleiner). Bij professionele aparatuur, pakweg routers van providers, zie ik dit soort tijdelijk omzeilen niet gebeuren. Want een bepaalde provider zou wel eens kunnen rekenen op het feit dat de deur open staat terwijl een andere provider misschien net langs die open deur belagerd wordt. En dan staat de router vendor in een pat stelling. Daarom heeft degelijke netwerk aparatuur soms zo veel configuratie mogelijkheden. In dit geval zou de rate limit configureerbaar kunnen zijn (maar dat zou de boolean bug natuurlijk niet fixen).

{*niet* 'like'-en aub}