De Netweters
annuleren
Resultaten voor 
Zoek in plaats daarvan naar 
Bedoelde u: 

IPv6 op de CV8560E (E-router)

Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 31
Say what?! Nice talking to you! On a roll... Goed gevonden!

@Steven-E  schreef:

 Weet jij hoe ik hier 2 prefixen uit kan distilleren voor op mijn 2 firewall interfaces?

 


Met NDProxy betwijfel ik of we in staat zouden zijn om die hele / 56 prefix naar je firewall (s) te sturen. Ik kan alleen het LAN-subnet (/ 64) routeren.

In feite is de NDProxy een hack, zodat uw router effectief fungeert als een enkele client voor de gateway-router.

Beantwoorden
Highlighted
Freshman Allesweter
Berichten: 1219
Volop in the game! Straf. Héél straf! It's your third party! Een mailpaal!

@Scotchy ook een nachtraaf zie ik 🙂

Ik heb het, na veel zoeken, aan de praat. Geweldig!

2u30 ik ga slapen. Altijd leuk als het uiteindelijk werkt.

Merci voor de inspiratie 🙂

 

Screenshot 2020-10-20 at 02.44.33.png


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 31
Say what?! Nice talking to you! On a roll... Goed gevonden!

Nice!

 

Ik hoop nog steeds dat de patch snel arriveert, ik heb minimaal 3/64 prefixen nodig voor mijn netwerk. Ik heb voorlopig NPTv6 opgelapt, maar het is echt niet mooi, en als het prefix wordt gewijzigd, is er zeker een verlies van connectiviteit ...

0 Likes
Beantwoorden
Highlighted
Freshman Allesweter
Berichten: 1219
Volop in the game! Straf. Héél straf! It's your third party! Een mailpaal!

@Scotchy  schreef:

Ik hoop nog steeds dat de patch snel arriveert, ik heb minimaal 3/64 prefixen nodig voor mijn netwerk. Ik heb voorlopig NPTv6 opgelapt, maar het is echt niet mooi, en als het prefix wordt gewijzigd, is er zeker een verlies van connectiviteit ...


Wel, ik ben hier superblij mee, want zelfs als de fix er eindelijk komt, zou ik er niet van kunnen genieten omdat mijn firewall geen DHCPv6 prefix delegation ondersteunt. Ik ben hier al jaren voor aan het "zagen" bij Palo Alto via hun system engineers.  Er bestaat een feature request, maar die krijgt voorlopig niet genoeg "votes" dus ook niet voldoende prioriteit.

 

Ik gebruik dus NDP Proxy op mijn externe interface in combinatie met NPTv6 (een soort NAT) waar ik de interne prefix vertaal naar de externe prefix (het host gedeelte blijft hetzelfde).
Intern gebruik ik de /64 prefix volgend op de /64 die gebruikt wordt op de LAN achter de HGW.

Heb oa met Wireshark het link local adres van de HGW moeten uitvlooien (zichtbaar in de router advertisements), want die had ik nodig als next hop voor mijn IPv6 default route.

 

Lelijk, maar voor mij de best mogelijke oplossing.

En als Telenet zijn prefix verandert (zou dit dikwijls gebeuren?) val ik terug op IPv4.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Highlighted
Professional Superweter
Berichten: 5474
Jij bent een pro! Meer goede raad dan tante Kaat Jij bent af! Opgeruimd staat netjes!

@Scotchy  Het is nog de vraag of je echt 3 prefixen gaat krijgen. Ik denk eerder 1 prefix met 16 of 256 subnetten. Dat is de reden waarom je een /60 of /56 prefix krijgt.

En ik vermoed per klant/aansluiting. Je zal 1 prefix krijgen in de zin van 2001:db8:1234:aa00 Waarbij je zal kunnen kiezen tussen subnet 00 tot ff ingeval van /56.

 

PS: Geen schrik deze prefix (2001:db8:1234:aa00 ) is onbruikbaar volgens https://tools.ietf.org/html/rfc3849 

 



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 31
Say what?! Nice talking to you! On a roll... Goed gevonden!

Een oplossing is om de klant de keuze te geven om DHCPv6 op de CV8560E uit te schakelen om botsingen te voorkomen, en om a /56 statisch naar de router van de klant te routeren, zoals het geval zou zijn met een modem.

0 Likes
Beantwoorden
Highlighted
Freshman Allesweter
Berichten: 1219
Volop in the game! Straf. Héél straf! It's your third party! Een mailpaal!

Prefix Delegation blijft toch de geprefereerde oplossing.

NAT en Proxy ertussen betekent dat de sessies worden afgebroken en opnieuw opgebouwd, wat zijn invloed heeft op de snelheid en sommige applicaties die niet out of the box meer werken (VPN's werken bijv enkel nog mits het aanzetten van NAT traversal).


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 31
Say what?! Nice talking to you! On a roll... Goed gevonden!

@Steven-E  schreef:

Ik gebruik dus NDP Proxy op mijn externe interface in combinatie met NPTv6 (een soort NAT) waar ik de interne prefix vertaal naar de externe prefix (het host gedeelte blijft hetzelfde).
Intern gebruik ik de /64 prefix volgend op de /64 die gebruikt wordt op de LAN achter de HGW.


Dus uw eindmachines krijgen geen GUA (2a02: :)?
Alleen de ULA (fd00 :: / 10) die is translated met NPT?

Als dat het geval is, zullen uw machines IPv6 niet gebruiken, tenzij het moet, omdat ULA's een lagere prioriteit hebben dan GUA's.

0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 31
Say what?! Nice talking to you! On a roll... Goed gevonden!

@Steven-E  écrit:

La délégation de préfixe reste la solution préférée.

NAT et Proxy entre les deux signifient que les sessions sont abandonnées et reconstruites, ce qui a un impact sur la vitesse et certaines applications qui ne fonctionnent plus hors de la boîte (les VPN, par exemple, ne fonctionnent que si la traversée NAT est activée).


Als een volledig /56-prefix naar uw router wordt gestuurd, is er geen NAT, Proxy of DHCP vereist. Het gedraagt zich net als een statische IPv4.

 

Aan jou om prefix delegatie naar je LAN-kant te implementeren, of wat je maar wilt ...

0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 31
Say what?! Nice talking to you! On a roll... Goed gevonden!

@igvfer  schreef:

@Scotchy  Het is nog de vraag of je echt 3 prefixen gaat krijgen. Ik denk eerder 1 prefix met 16 of 256 subnetten. Dat is de reden waarom je een /60 of /56 prefix krijgt.

En ik vermoed per klant/aansluiting. Je zal 1 prefix krijgen in de zin van 2001:db8:1234:aa00 Waarbij je zal kunnen kiezen tussen subnet 00 tot ff ingeval van /56.

 

PS: Geen schrik deze prefix (2001:db8:1234:aa00 ) is onbruikbaar volgens https://tools.ietf.org/html/rfc3849 

 


Ik bedoelde dat ik 3 verschillende / 64 prefixen moet toewijzen voor mijn 3 LAN-interfaces (pc's, servers, IoT-apparaten). Idealiter zou u voor elk van deze een afzonderlijk globaal routeerbaar prefix willen hebben. Met de proxy-hack delen ze allemaal hetzelfde globale prefix en ik heb enkele firewallregels op WAN-niveau gehackt om het verkeer te scheiden.

 

Als de telenet-router een / 60-subnet delegeert, betekent dit dat ik 16 verschillende globale / 64-prefixen kan toewijzen aan mijn LAN-interfaces, wat voldoende is voor mijn situatie, en dan zou ik de WAN-niveau firewall niet nodig hebben.

Beantwoorden
Highlighted
Freshman Allesweter
Berichten: 1219
Volop in the game! Straf. Héél straf! It's your third party! Een mailpaal!

@Scotchy  schreef:

@Steven-E  écrit:

La délégation de préfixe reste la solution préférée.

NAT et Proxy entre les deux signifient que les sessions sont abandonnées et reconstruites, ce qui a un impact sur la vitesse et certaines applications qui ne fonctionnent plus hors de la boîte (les VPN, par exemple, ne fonctionnent que si la traversée NAT est activée).


Als een volledig /56-prefix naar uw router wordt gestuurd, is er geen NAT, Proxy of DHCP vereist. Het gedraagt zich net als een statische IPv4.

 

Aan jou om prefix delegatie naar je LAN-kant te implementeren, of wat je maar wilt ...


Raar, mijn antwoord is vertaald in het Frans 🙂

 

Maar ik versta dat ik wel een /56 toegekend krijg van Telenet, maar zij gaan die volledige range toch niet routeren naar mijn eigen firewall?  Of zou ik dit aan de praat moeten krijgen met gewone Route advertisements?  Wat is de toegevoegde waarde dan nog van NDP Proxy?

 

 


@Scotchy  schreef:

@Steven-E  schreef:

Ik gebruik dus NDP Proxy op mijn externe interface in combinatie met NPTv6 (een soort NAT) waar ik de interne prefix vertaal naar de externe prefix (het host gedeelte blijft hetzelfde).
Intern gebruik ik de /64 prefix volgend op de /64 die gebruikt wordt op de LAN achter de HGW.


Dus uw eindmachines krijgen geen GUA (2a02: :)?
Alleen de ULA (fd00 :: / 10) die is translated met NPT?

Als dat het geval is, zullen uw machines IPv6 niet gebruiken, tenzij het moet, omdat ULA's een lagere prioriteit hebben dan GUA's.


Jawel, omdat ik een volgende officiële /64 prefix langs op de LAN interface van mijn firewall heb geconfigureerd.  Maar ik NAT deze naar de /64 prefix van de WAN kant van mijn firewall als ik het internet op ga.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 31
Say what?! Nice talking to you! On a roll... Goed gevonden!

@Steven-E  schreef:

Maar ik versta dat ik wel een /56 toegekend krijg van Telenet, maar zij gaan die volledige range toch niet routeren naar mijn eigen firewall?  Of zou ik dit aan de praat moeten krijgen met gewone Route advertisements?  Wat is de toegevoegde waarde dan nog van NDP Proxy?


Yep, sorry I'm translating literally everything using google translate... My dutch is pretty weak :p.

 

Ik gooide net een idee voor een oplossing op langere termijn, omdat ik denk dat NDProxy helemaal geen oplossing is...

 

Momenteel ontvangt je Telenet-router het / 56-prefix, maar het gebruikt het alleen voor DHCP-PD. Het zal dat nergens naartoe leiden, tenzij het een / 60-prefixdelegatie tot stand brengt (wat momenteel niet werkt).

Het wijst de xxxx: xxxx: xxxx: xx00 :: / 64 toe aan zijn LAN-interface, waardoor de DHCP-delegatie helemaal wordt omzeild, en routeert het verkeer naar zijn LAN-poorten. De NDProxy creëert in feite een ND-bridge tussen uw LAN-interface en de LAN-interface van de CV8560E.

0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 31
Say what?! Nice talking to you! On a roll... Goed gevonden!

@Steven-E  schreef:

Jawel, omdat ik een volgende officiële /64 prefix langs op de LAN interface van mijn firewall heb geconfigureerd.  Maar ik NAT deze naar de /64 prefix van de WAN kant van mijn firewall als ik het internet op ga.


Ha!

 

Slim, maar dit betekent dat je je klanten gewoon voor de gek houdt door te geloven dat ze een globaal adres hebben in IPv6, wat ze niet hebben (omdat de telent-router hiervan niets weet aan jouw kant). Dat kan voor sommige toepassingen al dan niet problemen opleveren ...

0 Likes
Beantwoorden
Highlighted
Experienced Veelweter
Berichten: 292
WOW! Klasse! Dat loopt vlotjes. Warming up?

Telenet alloceert op het moment een /56 aan de klant. Uit deze /56 wordt via prefix delegation een /60 aangeboden aan je eigen router (een eventuele vraag voor een andere prefix lengte, dmv prefix hint wordt genegeerd). Dit werkt helaas enkel wanneer de config van de CV8560E van de klant door Telenet gepatched is.

De bedoeling is de /60 op termijn te vergroten naar een /57.

Je kunt dan met je eigen router deze zelf verder opsplitsen.

 

Bij PD worden de IPv6 echt gerouteerd in je eigen router. De CV8560E houdt een routing tabel bij, en weet dat prefix X te bereiken is via jouw router. De CV8560E hoeft geen tabel bij te houden van alle "remote" IPv6 addressen, enkel van de lokale direct verbonden via de LAN interface.

Bij proxy of NAT lijkt het voor de CV8560E alsof alle IPv6 adressen lokaal zijn.

Zo begrijp ik het toch....



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Highlighted
Freshman Allesweter
Berichten: 1219
Volop in the game! Straf. Héél straf! It's your third party! Een mailpaal!

@Arnie  schreef:

Telenet alloceert op het moment een /56 aan de klant. Uit deze /56 wordt via prefix delegation een /60 aangeboden aan je eigen router (een eventuele vraag voor een andere prefix lengte, dmv prefix hint wordt genegeerd). Dit werkt helaas enkel wanneer de config van de CV8560E van de klant door Telenet gepatched is.

De bedoeling is de /60 op termijn te vergroten naar een /57.

Je kunt dan met je eigen router deze zelf verder opsplitsen.

 

Bij PD worden de IPv6 echt gerouteerd in je eigen router. De CV8560E houdt een routing tabel bij, en weet dat prefix X te bereiken is via jouw router. De CV8560E hoeft geen tabel bij te houden van alle "remote" IPv6 addressen, enkel van de lokale direct verbonden via de LAN interface.

Bij proxy of NAT lijkt het voor de CV8560E alsof alle IPv6 adressen lokaal zijn.

Zo begrijp ik het toch....


@Arnie ik had geprobeerd om de CV8560e mijn interne prefix te leren kennen via RA, maar dit lukte niet. Ik vrees dat het op mijn Palo Alto dus enkel gaat werken via native prefix delegation.

Of via de dirty workaround met NAT die ik nu gebruik ...

 


@Scotchy  schreef:

@Steven-E  schreef:

Jawel, omdat ik een volgende officiële /64 prefix langs op de LAN interface van mijn firewall heb geconfigureerd.  Maar ik NAT deze naar de /64 prefix van de WAN kant van mijn firewall als ik het internet op ga.


Ha!

 

Slim, maar dit betekent dat je je klanten gewoon voor de gek houdt door te geloven dat ze een globaal adres hebben in IPv6, wat ze niet hebben (omdat de telent-router hiervan niets weet aan jouw kant). Dat kan voor sommige toepassingen al dan niet problemen opleveren ...


@Scotchy de /64 prefix echt bridgen via NDP proxy, dat lukt me niet.
Ik ben dus verplicht te Natten vrees ik. Nu, die officiële /64 langs de binnenkant maakt deel uit van mijn eigen gereserveerde /56 van Telenet.  Er is geen kans dat die /64 ergens anders op het internet gebruikt wordt. Moesten er applicaties zijn die moeilijk doen, dan laat ik het hier weten.

Die Google Traslate werkt perfect trouwens, indrukwekkend!


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden