De Netweters
annuleren
Resultaten voor 
Zoek in plaats daarvan naar 
Bedoelde u: 

IPv6 op de CV8560E (E-router)

Beantwoorden
Steven-E
Freshman Meesterweter
Berichten: 1990
De slimste mens? Dat ben jij. It's your fourth party! Bye-bye Google, hello Yougle! Alles op zijn plek!

Over IPv6 op de nieuwe CV8560E router al dan niet in combinatie met MAC Passthrough zijn hier al ettelijke posts versleten. En niet altijd even gestructureerd, wat het (in de eerste plaats voor mezelf, maar ik vermoed voor iedereen) moeilijk maakt om de juiste info terug te vinden.

 

Daarom heb ik de 25 pagina's van deze tread (die veel breder gaat dan IPv6) eens doorgenomen en de meest waardevolle posts ivm met IPv6 op deze modem/router hieronder opgelijst.

Ik stel voor dat we de IPv6 discussie op de E-router hier verder zetten, en het ook enkel houden bij het IPv6 topic.

 

Conclusie van ondergaande posts: Telenet deelt voorlopig geen /56 subnet uit via DHCPv6 Prefix delegation, maar wel een /60 subnet.   Dit subnet wordt door de router/firewall van de klant gebruikt als IPv6 network aan de LAN kant.

Blijkbaar heeft meeste consumer apparatuur meer moeite met die /60 prefix en vereist dit wat extra configuratie, terwijl het bij een /56 subnet meestal out-of-the-box werkt.

Telenet zou het voor zijn klanten dus een pak eenvoudiger maken door met een /56 subnet te werken.

 

De laatste update die @Suzy van Telenet kreeg vat het mooi samen:

 

De update werd ondertussen uitgerold op de CV8560E, echter op deze modem zal je geen aparte prefix krijgen voor IPv6. Een eigen router zal steeds een subprefix krijgen van de /56 die aan de E-Router uitgedeeld wordt. In de huidige software krijgt een eigen router (die IPv6 prefix delegation dient te ondersteunen) een /60 prefix toegekend van de E-Router. Er is echter geen garantie dat dit steeds dezelfde /60 prefix is. Mogelijks wordt in de toekomst een grotere prefix uitgedeeld. 

 

 

Hier een lijst van interessante posts de voorbije 6 maanden:

 

10/1/2020 @Suzy  - over /56 prefix op de E-router

https://www.netweters.be/uqeik96587/board/message?board.id=Instellingen_software_en_hardware&message...

 

26/1/2020 @De_Kim  - IPv6 werkende op USG router met /60 prefix

https://www.netweters.be/t5/Instellingen-software-hardware/Docsis-3-1-E-router-CV8560E-bridging-acti...

 

5/2/2020 @RMO  - IPv6 wekende op PfSense met /60 prefix

https://www.netweters.be/t5/Instellingen-software-hardware/Docsis-3-1-E-router-CV8560E-bridging-acti...

 

21/2/2020 @Suzy  - /56 prefix uitgesteld naar 16/3/2020

https://www.netweters.be/t5/Instellingen-software-hardware/Docsis-3-1-E-router-CV8560E-bridging-acti...

 

20/3/2020 @Suzy  - na update software E-router: voorlopig enkel een /60 prefix

https://www.netweters.be/t5/Instellingen-software-hardware/Docsis-3-1-E-router-CV8560E-bridging-acti...

 

23/3/2020 @Snarie  - IPv6 werkende op Fritzbox met /60 prefix

https://www.netweters.be/t5/Instellingen-software-hardware/Docsis-3-1-E-router-CV8560E-bridging-acti...

 

1/6/2020 @Ex-Netweter  - samenvatting problematiek

https://www.netweters.be/t5/Instellingen-software-hardware/Docsis-3-1-E-router-CV8560E-bridging-actief/m-p/96452#M16285

 

19/10/2020 @Scotchy workaround in afwachting van een definitieve fix dmv ND Proxy - voor gevorderde gebruikers en enkel op specifieke apparatuur of mits installatie van extra software. Bovendien niet ideaal want als Telenet een andere prefix toekent moet de configuratie worden aangepast.
https://www.netweters.be/t5/Instellingen-software-hardware/IPv6-op-de-CV8560E-E-router/td-p/96759/pa...

 

20/11/2020 Telenet test intern een nieuwe software voor de CV8560E met een potentiële fix voor de IPv6 problemen achter een eigen router/firewall. Ook een beperkte groep van eindgebruikers test mee. Hun feedback klinkt alvast positief!

https://www.netweters.be/t5/Instellingen-software-hardware/IPv6-op-de-CV8560E-E-router/td-p/96759/pa...

 

15/2/2021 Upgrade Modem software met support voor IPv6 Prefix Delegation

https://www.netweters.be/t5/Instellingen-software-hardware/IPv6-op-de-CV8560E-E-router/td-p/96759/page/32#M21427 

 


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
Beantwoorden
551 reacties
Steven-E
Freshman Meesterweter
Berichten: 1990
De slimste mens? Dat ben jij. It's your fourth party! Bye-bye Google, hello Yougle! Alles op zijn plek!

@PietjeNetweter  schreef:

Ook bij mij lukt het nu, ik werk met pfsense.

 

Ik heb wel een probleem dat mijn pc nu en dan ipv6 connectiviteit verliest, ik weet nog niet of het na slaapstand van de computer is of na enige tijd wachten. Als ik mijn netwerkinterface terug down en up zet terug ok. Iemand suggesties ?


Voor de duidelijkheid, de PC waar je de connectiviteit op verliest is een ander toestel dan waar PFSense op draait? Indien ja, verliezen andere toestellen op je LAN ook IPv6 connectiviteit?


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
PietjeNetweter
Freshman Beetjesweter
Berichten: 4
Leesclubje starten? Pageturner! Gelezen en goedgekeurd! Hi there!

Ja, ik heb een aparte pfsense router (opgezet als virtuele machine op mijn NAS).

 

Mijn WAN ip op de pfsense : 2a02:1811:9401:ef00:5054:ff:fec1:bbc1

LAN ip of de pfsense : 2a02:1811:9401:ef30:5054:ff:feb3:2054

LAN ip op de pc : 2a02:1811:9401:ef30:9d59:5ec:678b:8bc3

 

gisteren had ik een 2a02... ipv6 adres op mijn pc maar kon toch niet pingen naar ipv6 DNS servers bvb. tot dat ik de netwerkinterface eens uit en terug inschakelde. ik kijk dit weekend verder...

 

Wat ik ook vreemd vind is dat ik niet kan pingen naar het WAN ipv6 adres van de pfsense vanaf het internet, ondanks dat de ipv6 firewall op "mijn telenet" uit staat, en ik icmp toelaat op de pfsense (pingen naar het ipv4 public ip adres van de pfsense vanaf het internet lukt wel overigens.). ik heb bridge mode ingeschakeld op mijn telenet en heb dus een public ipv4 adres op de wan interface van de pfsense.

 

 

 

 

 

 

 

 

0 Likes
Beantwoorden
PietjeNetweter
Freshman Beetjesweter
Berichten: 4
Leesclubje starten? Pageturner! Gelezen en goedgekeurd! Hi there!

Ondertussen valt de ipv6 connectiviteit blijkbaar niet meer weg, geen idee wat voordien aan de hand was.

 

Ook bereikbaarheid op ipv6 vanaf het internet werkt, ik dacht eerst dat het voldoende was om in mijn telenet  de ipv6 firewall bescherming op niet actief te zetten, en dat alle verkeer bidirectioneel toegelaten werd, maar je moet ook daaronder een ipv6 rule aanmaken die icmp verkeer toelaat.

 

Het is me niet duidelijk wat de "firewall bescherming" op actief versus niet actief zetten dan juist betekent/wijzigt. Weet iemand dit ?

 

 

0 Likes
Beantwoorden
RMO
Professional Weetjesweter
Berichten: 30
It's your first party! A born reader! On a roll... Nice talking to you!

Ik heb deze week bij mijn ouders ook de modem vervangen naar een CV8560E en een Unifi UDM geïnstalleerd. Ik bevestig dat IPv6 PD werkt, heb wel inderdaad nog eens de modem extra moeten herstarten vooralleer het werkte, dus die "bug" heb ik ook tegen gekomen.

0 Likes
Beantwoorden
igvfer
Professional Superweter
Berichten: 6296
Organisatietalent! Topic held(in)! Wat een systeem! Happy New Year!

@PietjeNetweter  schreef:

 

Het is me niet duidelijk wat de "firewall bescherming" op actief versus niet actief zetten dan juist betekent/wijzigt. Weet iemand dit ?

 

 


Ik denk dat bij een actieve firewall gewoon de basisregels worden toegepast. Inkomend verkeer geblokkeerd op alle poorten, uitgaand verkeer toegelaten op alle poorten. En de extra regels zijn dan voor jou om dingen toe te laten of te blokkeren. Maar het zal niets uit maken voor de eigen router die je via bridge hebt aangesloten denk ik. Die werkt zoals je rechtstreeks op een modem zou aansluiten en een modem heeft geen firewall. Dus is het de ingebouwde firewall van je eigen router die het zal moeten doen.



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Steven-E
Freshman Meesterweter
Berichten: 1990
De slimste mens? Dat ben jij. It's your fourth party! Bye-bye Google, hello Yougle! Alles op zijn plek!

@igvfer  schreef:

 

Ik denk dat bij een actieve firewall gewoon de basisregels worden toegepast. Inkomend verkeer geblokkeerd op alle poorten, uitgaand verkeer toegelaten op alle poorten. En de extra regels zijn dan voor jou om dingen toe te laten of te blokkeren. Maar het zal niets uit maken voor de eigen router die je via bridge hebt aangesloten denk ik. Die werkt zoals je rechtstreeks op een modem zou aansluiten en een modem heeft geen firewall. Dus is het de ingebouwde firewall van je eigen router die het zal moeten doen.

 

@igvfer Mac bridging is enkel voor ipv4 van toepassing. Voor Ipv6 is de cv8560e nog altijd een router.

 

@PietjeNetweter heeft trouwens icmp

voor ipv6 moeten toelaten op “Mijn Telenet”.


Ik zou ook denken: firewall uit, alles toegelaten. Ook van buitenaf. 

Maar blijkbaar is het toch niet helemaal zo.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
Beantwoorden
cybergeek
Experienced Beetjesweter
Berichten: 4
Leesbeest! Primeur! Leesclubje starten? Pageturner!

Bij mij staat IPv6 Firewalls & rules op default. 

Dat wil zeggen Firewall-Bescherming staat op actief.

Maar dat laat een icmp wel perfect toe van buitenaf.

E,g. een test via http://www.ipv6now.com.au/pingme.php geeft volgende resultaat:

The response for '2a02:1810:4e25:ebb1:w:x:y:z' using IPv6 is:

PING 2a02:1810:4e25:ebb1::w:x:y:z (2a02:1810:4e25:ebb1:w:x:y:z) 56 data bytes
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=1 ttl=50 time=184 ms
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=2 ttl=50 time=162 ms
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=3 ttl=50 time=162 ms
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=4 ttl=50 time=166 ms
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=5 ttl=50 time=162 ms

--- 2a02:1810:4e25:ebb1:w:x:y:z ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 162.093/167.817/184.975/8.762 ms

 Het lijk er dus op dat de FW wel degelijk icmp doorlaat. Ik heb het wel op mijn interne router expleciet moeten doorlaten want daar was de default een deny.

 

HTH

0 Likes
Beantwoorden
PietjeNetweter
Freshman Beetjesweter
Berichten: 4
Leesclubje starten? Pageturner! Gelezen en goedgekeurd! Hi there!

Bedankt, ik heb het nog even opnieuw getest en nu is het bij mij ook ok :

1. ipv6 firewall op mijn telenet uitgeschakeld : alles wordt inbound vanaf internet doorgelaten

2. Ofwel kan je de firewall ingeschakeld laten en een firewall rule aanmaken die ICMP richting LAN  toelaat.

 

Misschien had dit te maken met het feit dat ik ook nu en dan mijn ipv6 connectie kwijtraakte en net op het verkeerde moment testte. ondertussen is de telenet router ook herstart.

 

Het moet inderdaad ook toegelaten worden op de eigen router (pfsense) en door de firewall op de machine waarnaar je pingt .

 

 

 

0 Likes
Beantwoorden
Steven-E
Freshman Meesterweter
Berichten: 1990
De slimste mens? Dat ben jij. It's your fourth party! Bye-bye Google, hello Yougle! Alles op zijn plek!

Het is niet aangeraden om zomaar alles van ICMPv6 toe te laten.

Ik heb RFC 4890 gevolgd over "Recommendations for Filtering ICMPv6 Messages in Firewalls""

 

https://tools.ietf.org/html/rfc4890#section-4.3

Meer bepaald enkel wat onder 4.3.1 en 4.3.2 laat ik door (op basis van de juiste "types" en "codes"), niets anders.

  4.3.  Recommendations for ICMPv6 Transit Traffic . . . . . . . . 
       4.3.1.  Traffic That Must Not Be Dropped . . . . . . . . . . . 
       4.3.2.  Traffic That Normally Should Not Be Dropped  . . . . . 

 Ik heb nu ook een 20/20 op https://ipv6-test.com/ .

 

 


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Steven-E
Freshman Meesterweter
Berichten: 1990
De slimste mens? Dat ben jij. It's your fourth party! Bye-bye Google, hello Yougle! Alles op zijn plek!

@cybergeek  schreef:

Bij mij staat IPv6 Firewalls & rules op default. 

Dat wil zeggen Firewall-Bescherming staat op actief.

Maar dat laat een icmp wel perfect toe van buitenaf.


Het lijk er dus op dat de FW wel degelijk icmp doorlaat. Ik heb het wel op mijn interne router expleciet moeten doorlaten want daar was de default een deny.

 

HTH


Hier toch niet.  Ik moet met een ingeschakelde firewall, net zoals @PietjeNetweter , een firewall rule toevoegen op Mijn Telenet alvorens ik een 20/20 krijg op https://ipv6-test.com/ .

Zonder die firewall rule heb ik 18/20, met als opmerking “ICMPv6 failed”.

 

Dit zijn nu mijn instellingen. Op mijn eigen firewall filter ik dus ICMPv6 in meer detail uit.

Screenshot 2021-02-23 at 09.30.53.png


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Arnie
Professional Bijna Allesweter
Berichten: 936
Full speed writing! Volop in the game! Ongelooflijk (maar waar)! Boek alvast het Sportpaleis!

Dat is vreemd. Ik heb 20/20 met onderstaande instellingen in mijn telenet.

Met een ICMPv6 accept rule op mijn eigen router kan ik ook vanaf het internet een ping6 naar mijn PC doen. Dit is enkel als test, default is deze accept rule disabled.

 

mijn-telenet-ip6rules.png


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Steven-E
Freshman Meesterweter
Berichten: 1990
De slimste mens? Dat ben jij. It's your fourth party! Bye-bye Google, hello Yougle! Alles op zijn plek!

@Arnie de test van https://ipv6-test.com/ doet ook een ping vanaf het internet.

Ik zie alleszins de applicatie "ping6" op mijn Palo Alto Networks firewall toekomen, maar enkel als ik de ICMPv6 allow regel toevoeg in "Mijn Telenet".

Ik kan het echt reproduceren: met regel 20/20, zonder regel 18/20 en niets te zien van ping6 op mijn firewall.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
cybergeek
Experienced Beetjesweter
Berichten: 4
Leesbeest! Primeur! Leesclubje starten? Pageturner!

@Steven-E Ik heb dezelfde settings als @Arnie aan de Telenetkant. 

Met hetzelfde resultaat als gevolg 20/20 op de  https://ipv6-test.com/ 

Bizar dat jij de icmp rule aan Telenet kant wel moet toevoegen.

Misschien dat iemand van Telenet hier uitsluitsel kan bezorgen ?

0 Likes
Beantwoorden
Steven-E
Freshman Meesterweter
Berichten: 1990
De slimste mens? Dat ben jij. It's your fourth party! Bye-bye Google, hello Yougle! Alles op zijn plek!

Het verschil bij mij is dat ik geen gebruik maar van Prefix Delegation, omdat mijn firewall dit niet ondersteunt. Ik doe het met NDP Proxy.

https://www.netweters.be/t5/Instellingen-software-hardware/IPv6-op-de-CV8560E-E-router/td-p/96759/pa...

 

Weet niet of dit iets uitmaakt.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Arnie
Professional Bijna Allesweter
Berichten: 936
Full speed writing! Volop in the game! Ongelooflijk (maar waar)! Boek alvast het Sportpaleis!

Elk LAN heeft zijn eigen /64 prefix. Wellicht werkt de IPv6 firewall op de CV8560E enkel voor source of destination adressen binnen de direct connected /64 prefix.

Bij het gebruik van NDP Proxy heeft uitgaand verkeer toch een adres uit deze prefix?

 

Bij het gebruik van Prefix-Delegation krijgen de achterliggende hosts een adres uit een andere prefix. Is enkel nog maar een vermoeden, maar zou zich eenvoudig laten uittesten.


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden