De Netweters
annuleren
Resultaten voor 
Zoek in plaats daarvan naar 
Bedoelde u: 

IPv6 op CV8560 blokkeren - Amazon, Netflix enz.?

Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 488
De race is begonnen! Waar zijn die handjes? Happy New Year! Lezersgoud. Respect!

Na een lang en uitvoerig topic over IPv6 prefix delegation op de CV8560E, om IPv6 mogelijk maken voor devices achter een eigen router, loop ik nu toch ook tegen een nadeel op.

Ik ben heel blij met IPv6 connectiviteit, zou deze nu echter willen kunnen afzetten voor bepaalde hosts.

 

Mijn smart-tv en Amazon fire-stick, die voorheen IPv4 only waren achter mijn eigen router werken nu ook over IPv6 😞

De IPv4 instellingen waren statisch; de opgegeven default-gw was een VPN gateway, zodat ik Amazon Prime kon gebruiken, zonder dat Amazon wist dat ik eigenlijk in België ben.

Nu dat de smart-tv en fire-tv stick IPv6 connectiviteit hebben gekregen, heeft dit prioriteit gekregen over IPv4. Kortom de VPN wordt niet langer gebruikt, maar mijn Telenet IPv6 adres, en Amzon Prime reageert daarop met een ander aanbod.

Bij de LG smart TV kan ik IPv6 uitschakelen, om zo het gebruik van de VPN tunnel te forceren. in de Fire-TV stick kan ik IPv6 niet uitschakelen en moet ik op zoek naar een andere oplossing.

 

Zijn er meer hobbiesten die tegen dit soort problemen oplopen?

Op mijn Fritzbox kan ik geen uitgaand verkeer op basis van IP versie blokkeren. De firewall regelt enkel inkomend verkeer, en zelfs dat enkel op basis van TCP/UDP poort,  niet de IP versie.

Ik bekijk nu de mogelijkheid een extra eigen router te plaatsen, zonder IPv6, en de smart TV daaraan te hangen. Nadeel is dan echter weer het gebrek aan connectiviteit naar mijn NAS.

 



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
14 reacties
Snarie
Freshman Meerweter
Berichten: 55
Happy New Year! It's your first party! Goed bezig! Dat begint te tellen!

Met een managed switch zou dit moeten lukken. Hierop kan je IPV6 blokkeren per poort, en IPV4 gewoon doorlaten.

Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 488
De race is begonnen! Waar zijn die handjes? Happy New Year! Lezersgoud. Respect!

Dat de oplossing zo eenvoudig kon zijn had ik niet verwacht. Ik was in de router op zoek om dit te blokkeren, maar kan inderdaad dit op de switch doen. Ik test het vanavond gelijk even uit.



Meten is weten. Gissen is missen.
Beantwoorden
NofanTasi
Experienced Veelweter
Berichten: 262
WOW! Klasse! Happy New Year! Dat loopt vlotjes.

@Arnie  hou ons op de hoogte ... mogelijk verkiest het OS op een toestel nogal koppig v6 (wat meestal default is, en configureerbaar in sommige OS), en, ik weet niet zeker of v6 blokkeren op switch poort niveau dergelijk toestel van gedacht kan laten veranderen. Het zou best kunnen, ik ben benieuwd!

{*niet* 'like'-en aub}
0 Likes
Beantwoorden
Steven-E
Experienced Allesweter
Berichten: 1408
Hallo zeg! Wat weet jij niet? Happy New Year! Like a journalist. Volop in the game!

@Snarie  schreef:

Met een managed switch zou dit moeten lukken. Hierop kan je IPV6 blokkeren per poort, en IPV4 gewoon doorlaten.


Ben je zeker?  Een Layer 2 switch houdt zich normaal niet bezig met het Layer 3 gebeuren, of die nu managed of niet is.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
Beantwoorden
NofanTasi
Experienced Veelweter
Berichten: 262
WOW! Klasse! Happy New Year! Dat loopt vlotjes.

@Steven-E  schreef:

@Snarie  schreef:

Met een managed switch zou dit moeten lukken. Hierop kan je IPV6 blokkeren per poort, en IPV4 gewoon doorlaten.


Ben je zeker?  Een Layer 2 switch houdt zich normaal niet bezig met het Layer 3 gebeuren, of die nu managed of niet is.


Inderdaad, maar zelfs als een of andere switch vendor IP 'adres familie' weet te filteren als marketing stunt (mijn managed switches kunnen dat, bijvoorbeeld, niet), dan nog ligt de beslissing om een adres familie te prefereren, terecht imo, deels ook bij een host. Globaal, of, per applicatie op die host, althans toch zo toch voor linux (en vandaag draaien vele toestellen linux, wie weet, ook dus voor de fire-tv stick in kwestie).

 

ref: 'man getaddrinfo' en 'addrinfo' struct met 'ai_family' field en 'desired address family values'  AF_INET, AF_INET6 of AF_UNSPEC. Daarom was, en ben, ik dus benieuwd!... want concrete ervaring heb ik niet, dus elk concreet resultaat van netweters die experimenteren is erg interessant.

 

PS: de familie voorkeur kan, in linux, globaal, in gai.conf geconfigureerd worden, maar: dan heeft men voldoende administratieve toegang nodig.

 

{*niet* 'like'-en aub}
0 Likes
Beantwoorden
Steven-E
Experienced Allesweter
Berichten: 1408
Hallo zeg! Wat weet jij niet? Happy New Year! Like a journalist. Volop in the game!

Sommige Layer2 switches ondersteunen multicast snooping en soms ook multicast filtering.

Mits dit laatste zou je ook de IPv6 route advertisements kunnen filteren.

Gewoon luidop aan 't denken 😉

 

Hier een voorbeeld voor Netgear. Het werkt daar enkel op basis van destination MAC address:

https://community.netgear.com/t5/Managed-Switches/Multicast-Filtering/td-p/1165196#:~:text=Netgear%2....


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 488
De race is begonnen! Waar zijn die handjes? Happy New Year! Lezersgoud. Respect!

Niet al mijn managed switches ondersteunen IPv6 filtering, maar ik heb er één gevonden (T1600G-28PS). De filtering is echter beperkt:

 

Note:
1: IPv6 ACL only supports the upper 64 bits of the source/destination IPv6 address.
2: IPv6 IP mask here must be written completely like "ffff:ffff:0000:ffff", and the mask is 64 bits long.
3: The L4 source/destination port field cannot be identified if there is more than one extention header in the IPv6 packet.

 

 

Dit gaat me dus helaas niet verder helpen.



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 488
De race is begonnen! Waar zijn die handjes? Happy New Year! Lezersgoud. Respect!

Een Amazon Fire TV stick is gebasseerd op linux, maar ik heb geen cli access, en al zeker geen root access. Inderdaad, deze stick hacken is een andere optie - daar is wel veel informatie over beschikbaar op het internet, maar eigenlijk werk ik heb liefst zoveel mogelijk met standard oplossingen, die ook een volgende upgrade overleven, vandaar dat ik aan het kijken was op ik al het IPv6 verkeer van dit device gewoon kan blokkeren.

 

PS. @NofanTasi ipv gai.conf gebruik ik /etc/sysctl.conf voor het aan het uitschakelen van IPv6 in de host zelf:

net.ipv6.conf.all.disable_ipv6=1

gai.conf is inderdaad iets 'netter' om de protocol versie voorkeur in een andere volgorde te zetten.



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Steven-E
Experienced Allesweter
Berichten: 1408
Hallo zeg! Wat weet jij niet? Happy New Year! Like a journalist. Volop in the game!

@Arnie  schreef:

Niet al mijn managed switches ondersteunen IPv6 filtering, maar ik heb er één gevonden (T1600G-28PS). De filtering is echter beperkt:

(T1600G-28PS). De filtering is echter beperkt:

 

 

Dit gaat me dus helaas niet verder helpen.

 

Ik denk dat je niet in die richting moet zoeken.

Als je de multicast zou kunnen filteren, dan zorg je er ook voor dat router advertisements niet meer kunnen toekomen.

"Each configured router interface on a link sends out a router advertisement message, which has a value of 134 in the Type field of the ICMP packet header, periodically to the all-nodes link-local multicast address (FF02::1)."

 

Je host zal dan geen RA ontvangen en via SLAAC ook geen publiek IPv6 adres genereren. En bijgevolg enkel IPv4 gebruiken.

Je zou dit dus moeten kunnen filteren op de poort naar je Amazon firestick.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 488
De race is begonnen! Waar zijn die handjes? Happy New Year! Lezersgoud. Respect!

Op multicast filteren lukt ook niet.

Misschien omslachtig maar misschien moet ik een extra router achter mijn eigen router plaatsen, die alleen IPv4 routering doet.

 

Momenteel gebruikt mijn eigen netwerk het subnet 192.168.1.0/24.

192.168.1.1 is de default gw (mijn Fritzbox, die achter de CV8560E hangt)

192.168.1.254 is de VPN gateway.

De smart-TV en enkele andere apparaten hebben 192.168.1.254 als default gateway (statitisch, of ontvangen via DHCP option). De IPv4 routing werkt perfect.

Op het gebied van IPv6 is er bijna niets te configureren.

 

Ik kan nu een extra router plaatsen, en de smart-TV daarachter hangen in een 192.168.2.0/24 subnet. Bij voorkeur zou ik dit echt routeren, en niet via NAT koppelen.

Deze router voorzie ik dan van een statische route:

0.0.0.0 via 192.168.1.254

Op de VPN gateway plaats ik een statische route naar 192.168.2.0/24 via deze extra router.

Niet echt elegant, maar wel een manier  om een stukje netwerk IPv4 only te maken, en wel onderlinge connectiviteit in mijn netwerk te behouden.



Meten is weten. Gissen is missen.
Beantwoorden
NofanTasi
Experienced Veelweter
Berichten: 262
WOW! Klasse! Happy New Year! Dat loopt vlotjes.

@Arnie  zo'n 2de router gaat wellicht werken. Zelf opteer ik meestal, afhankelijk van budget, voor 1 voldoende krachtige (bijvoorbeeld, een mini-pc, met, bijvoorbeeld, openwrt of zelf gemaakte gentoo) box met meerdere (pakweg 4) ethernet interfaces tussen dewelke alle mogelijke routering en bridging en filter combinaties dan (met linux) mogelijk zijn.

{*niet* 'like'-en aub}
0 Likes
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 488
De race is begonnen! Waar zijn die handjes? Happy New Year! Lezersgoud. Respect!

Ik heb een T1600G-28PS switch die ook kan routeren. Ik heb daar even snel een extra vlan op geconfigureerd. Moest wel gelijk mij ook even verdiepen in dhcp-relay, om de wifi clients automatisch van een IPv4 adres te voorzien, zonder extra dhcp-server op te zetten. De dnsmasq sever die ik gebruik (binnen freetz-ng) werkt perfect.

 

De vpn-gateway voorzien van een static route terug naar 192.168.12.0 via de switch en ipv4 is up-and-running. Ik moet nog even de juiste dns server info meegeven, zodat dit ook via de vpn tunnel verloopt, en zal dan daarna amazon testen.

 

 



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Steven-E
Experienced Allesweter
Berichten: 1408
Hallo zeg! Wat weet jij niet? Happy New Year! Like a journalist. Volop in the game!

En de andere kant van de VPN zal ook een route nodig hebben naar je nieuwe subnet he, als je nergens NAT doet.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Arnie
Freshman Bijna Allesweter
Berichten: 488
De race is begonnen! Waar zijn die handjes? Happy New Year! Lezersgoud. Respect!

Ik doe NAT op de VPN-server, omdat die maar 1 publiek IP-adres heeft.

De IPv4 connectiviteit werkt inmiddels zoals het hoort.

 

Op mijn wifi access-points heb ik een extra netwerk geconfigureerd (vpnnet), verbonden met een eigen vlan-tag. De AP is via een trunk met de switch verbonden.

Op de switch routeer ik dit netwerk 192.168.2.0/24 met mijn 'master' netwerk 192.168.1.0. De clients die met dit SSID of vlan verbinden krijgen een ip adres in de 192.168.2.50-200 range, uitgedeeld door mijn dhcp-server, die ik nu via dhcp-relay aanspreek. Via DHCP krijgt deze ook de def gateway en dns-server info. Alles werk naar behoren.

 

Echter; Prime (amazon.de) herkent mij nog altijd als iemand in het buitenland, terwijl ik juist hun aanbod wil bekijken 😞

Ik heb lange tijd hiervan kunnen genieten via IPv4 VPN. Ik denk dat IPv6 mijn echte lokatie heeft verraden, en dat ze dit misschien nu aan mijn account gelinkt hebben.



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden