De Netweters
annuleren
Resultaten voor 
Zoek in plaats daarvan naar 
Bedoelde u: 

IPv6 op de CV8560E (E-router)

Beantwoorden
Steven-E
Professional Allesweter
Berichten: 1673
Champagne, lezer van het jaar! GP, kort voor Giga Poster! Hallo zeg! Wat weet jij niet? Happy New Year!

@PietjeNetweter  schreef:

Ook bij mij lukt het nu, ik werk met pfsense.

 

Ik heb wel een probleem dat mijn pc nu en dan ipv6 connectiviteit verliest, ik weet nog niet of het na slaapstand van de computer is of na enige tijd wachten. Als ik mijn netwerkinterface terug down en up zet terug ok. Iemand suggesties ?


Voor de duidelijkheid, de PC waar je de connectiviteit op verliest is een ander toestel dan waar PFSense op draait? Indien ja, verliezen andere toestellen op je LAN ook IPv6 connectiviteit?


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
PietjeNetweter
Freshman Beetjesweter
Berichten: 4
Leesclubje starten? Pageturner! Gelezen en goedgekeurd! Hi there!

Ja, ik heb een aparte pfsense router (opgezet als virtuele machine op mijn NAS).

 

Mijn WAN ip op de pfsense : 2a02:1811:9401:ef00:5054:ff:fec1:bbc1

LAN ip of de pfsense : 2a02:1811:9401:ef30:5054:ff:feb3:2054

LAN ip op de pc : 2a02:1811:9401:ef30:9d59:5ec:678b:8bc3

 

gisteren had ik een 2a02... ipv6 adres op mijn pc maar kon toch niet pingen naar ipv6 DNS servers bvb. tot dat ik de netwerkinterface eens uit en terug inschakelde. ik kijk dit weekend verder...

 

Wat ik ook vreemd vind is dat ik niet kan pingen naar het WAN ipv6 adres van de pfsense vanaf het internet, ondanks dat de ipv6 firewall op "mijn telenet" uit staat, en ik icmp toelaat op de pfsense (pingen naar het ipv4 public ip adres van de pfsense vanaf het internet lukt wel overigens.). ik heb bridge mode ingeschakeld op mijn telenet en heb dus een public ipv4 adres op de wan interface van de pfsense.

 

 

 

 

 

 

 

 

0 Likes
Beantwoorden
PietjeNetweter
Freshman Beetjesweter
Berichten: 4
Leesclubje starten? Pageturner! Gelezen en goedgekeurd! Hi there!

Ondertussen valt de ipv6 connectiviteit blijkbaar niet meer weg, geen idee wat voordien aan de hand was.

 

Ook bereikbaarheid op ipv6 vanaf het internet werkt, ik dacht eerst dat het voldoende was om in mijn telenet  de ipv6 firewall bescherming op niet actief te zetten, en dat alle verkeer bidirectioneel toegelaten werd, maar je moet ook daaronder een ipv6 rule aanmaken die icmp verkeer toelaat.

 

Het is me niet duidelijk wat de "firewall bescherming" op actief versus niet actief zetten dan juist betekent/wijzigt. Weet iemand dit ?

 

 

0 Likes
Beantwoorden
RMO
Professional Weetjesweter
Berichten: 30
It's your first party! A born reader! On a roll... Nice talking to you!

Ik heb deze week bij mijn ouders ook de modem vervangen naar een CV8560E en een Unifi UDM geïnstalleerd. Ik bevestig dat IPv6 PD werkt, heb wel inderdaad nog eens de modem extra moeten herstarten vooralleer het werkte, dus die "bug" heb ik ook tegen gekomen.

0 Likes
Beantwoorden
igvfer
Professional Superweter
Berichten: 6117
Wat een systeem! Happy New Year! Jij bent een pro! Meer goede raad dan tante Kaat

@PietjeNetweter  schreef:

 

Het is me niet duidelijk wat de "firewall bescherming" op actief versus niet actief zetten dan juist betekent/wijzigt. Weet iemand dit ?

 

 


Ik denk dat bij een actieve firewall gewoon de basisregels worden toegepast. Inkomend verkeer geblokkeerd op alle poorten, uitgaand verkeer toegelaten op alle poorten. En de extra regels zijn dan voor jou om dingen toe te laten of te blokkeren. Maar het zal niets uit maken voor de eigen router die je via bridge hebt aangesloten denk ik. Die werkt zoals je rechtstreeks op een modem zou aansluiten en een modem heeft geen firewall. Dus is het de ingebouwde firewall van je eigen router die het zal moeten doen.



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Steven-E
Professional Allesweter
Berichten: 1673
Champagne, lezer van het jaar! GP, kort voor Giga Poster! Hallo zeg! Wat weet jij niet? Happy New Year!

@igvfer  schreef:

 

Ik denk dat bij een actieve firewall gewoon de basisregels worden toegepast. Inkomend verkeer geblokkeerd op alle poorten, uitgaand verkeer toegelaten op alle poorten. En de extra regels zijn dan voor jou om dingen toe te laten of te blokkeren. Maar het zal niets uit maken voor de eigen router die je via bridge hebt aangesloten denk ik. Die werkt zoals je rechtstreeks op een modem zou aansluiten en een modem heeft geen firewall. Dus is het de ingebouwde firewall van je eigen router die het zal moeten doen.

 

@igvfer Mac bridging is enkel voor ipv4 van toepassing. Voor Ipv6 is de cv8560e nog altijd een router.

 

@PietjeNetweter heeft trouwens icmp

voor ipv6 moeten toelaten op “Mijn Telenet”.


Ik zou ook denken: firewall uit, alles toegelaten. Ook van buitenaf. 

Maar blijkbaar is het toch niet helemaal zo.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
Beantwoorden
cybergeek
Experienced Beetjesweter
Berichten: 4
Leesbeest! Primeur! Leesclubje starten? Pageturner!

Bij mij staat IPv6 Firewalls & rules op default. 

Dat wil zeggen Firewall-Bescherming staat op actief.

Maar dat laat een icmp wel perfect toe van buitenaf.

E,g. een test via http://www.ipv6now.com.au/pingme.php geeft volgende resultaat:

The response for '2a02:1810:4e25:ebb1:w:x:y:z' using IPv6 is:

PING 2a02:1810:4e25:ebb1::w:x:y:z (2a02:1810:4e25:ebb1:w:x:y:z) 56 data bytes
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=1 ttl=50 time=184 ms
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=2 ttl=50 time=162 ms
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=3 ttl=50 time=162 ms
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=4 ttl=50 time=166 ms
64 bytes from 2a02:1810:4e25:ebb1:w:x:y:z: icmp_seq=5 ttl=50 time=162 ms

--- 2a02:1810:4e25:ebb1:w:x:y:z ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 162.093/167.817/184.975/8.762 ms

 Het lijk er dus op dat de FW wel degelijk icmp doorlaat. Ik heb het wel op mijn interne router expleciet moeten doorlaten want daar was de default een deny.

 

HTH

0 Likes
Beantwoorden
PietjeNetweter
Freshman Beetjesweter
Berichten: 4
Leesclubje starten? Pageturner! Gelezen en goedgekeurd! Hi there!

Bedankt, ik heb het nog even opnieuw getest en nu is het bij mij ook ok :

1. ipv6 firewall op mijn telenet uitgeschakeld : alles wordt inbound vanaf internet doorgelaten

2. Ofwel kan je de firewall ingeschakeld laten en een firewall rule aanmaken die ICMP richting LAN  toelaat.

 

Misschien had dit te maken met het feit dat ik ook nu en dan mijn ipv6 connectie kwijtraakte en net op het verkeerde moment testte. ondertussen is de telenet router ook herstart.

 

Het moet inderdaad ook toegelaten worden op de eigen router (pfsense) en door de firewall op de machine waarnaar je pingt .

 

 

 

0 Likes
Beantwoorden
Steven-E
Professional Allesweter
Berichten: 1673
Champagne, lezer van het jaar! GP, kort voor Giga Poster! Hallo zeg! Wat weet jij niet? Happy New Year!

Het is niet aangeraden om zomaar alles van ICMPv6 toe te laten.

Ik heb RFC 4890 gevolgd over "Recommendations for Filtering ICMPv6 Messages in Firewalls""

 

https://tools.ietf.org/html/rfc4890#section-4.3

Meer bepaald enkel wat onder 4.3.1 en 4.3.2 laat ik door (op basis van de juiste "types" en "codes"), niets anders.

  4.3.  Recommendations for ICMPv6 Transit Traffic . . . . . . . . 
       4.3.1.  Traffic That Must Not Be Dropped . . . . . . . . . . . 
       4.3.2.  Traffic That Normally Should Not Be Dropped  . . . . . 

 Ik heb nu ook een 20/20 op https://ipv6-test.com/ .

 

 


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Steven-E
Professional Allesweter
Berichten: 1673
Champagne, lezer van het jaar! GP, kort voor Giga Poster! Hallo zeg! Wat weet jij niet? Happy New Year!

@cybergeek  schreef:

Bij mij staat IPv6 Firewalls & rules op default. 

Dat wil zeggen Firewall-Bescherming staat op actief.

Maar dat laat een icmp wel perfect toe van buitenaf.


Het lijk er dus op dat de FW wel degelijk icmp doorlaat. Ik heb het wel op mijn interne router expleciet moeten doorlaten want daar was de default een deny.

 

HTH


Hier toch niet.  Ik moet met een ingeschakelde firewall, net zoals @PietjeNetweter , een firewall rule toevoegen op Mijn Telenet alvorens ik een 20/20 krijg op https://ipv6-test.com/ .

Zonder die firewall rule heb ik 18/20, met als opmerking “ICMPv6 failed”.

 

Dit zijn nu mijn instellingen. Op mijn eigen firewall filter ik dus ICMPv6 in meer detail uit.

Screenshot 2021-02-23 at 09.30.53.png


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Arnie
Experienced Bijna Allesweter
Berichten: 662
Krak It's your first party! De vlam zit erin. Alles op zijn plek!

Dat is vreemd. Ik heb 20/20 met onderstaande instellingen in mijn telenet.

Met een ICMPv6 accept rule op mijn eigen router kan ik ook vanaf het internet een ping6 naar mijn PC doen. Dit is enkel als test, default is deze accept rule disabled.

 

mijn-telenet-ip6rules.png


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Steven-E
Professional Allesweter
Berichten: 1673
Champagne, lezer van het jaar! GP, kort voor Giga Poster! Hallo zeg! Wat weet jij niet? Happy New Year!

@Arnie de test van https://ipv6-test.com/ doet ook een ping vanaf het internet.

Ik zie alleszins de applicatie "ping6" op mijn Palo Alto Networks firewall toekomen, maar enkel als ik de ICMPv6 allow regel toevoeg in "Mijn Telenet".

Ik kan het echt reproduceren: met regel 20/20, zonder regel 18/20 en niets te zien van ping6 op mijn firewall.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
cybergeek
Experienced Beetjesweter
Berichten: 4
Leesbeest! Primeur! Leesclubje starten? Pageturner!

@Steven-E Ik heb dezelfde settings als @Arnie aan de Telenetkant. 

Met hetzelfde resultaat als gevolg 20/20 op de  https://ipv6-test.com/ 

Bizar dat jij de icmp rule aan Telenet kant wel moet toevoegen.

Misschien dat iemand van Telenet hier uitsluitsel kan bezorgen ?

0 Likes
Beantwoorden
Steven-E
Professional Allesweter
Berichten: 1673
Champagne, lezer van het jaar! GP, kort voor Giga Poster! Hallo zeg! Wat weet jij niet? Happy New Year!

Het verschil bij mij is dat ik geen gebruik maar van Prefix Delegation, omdat mijn firewall dit niet ondersteunt. Ik doe het met NDP Proxy.

https://www.netweters.be/t5/Instellingen-software-hardware/IPv6-op-de-CV8560E-E-router/td-p/96759/pa...

 

Weet niet of dit iets uitmaakt.


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Arnie
Experienced Bijna Allesweter
Berichten: 662
Krak It's your first party! De vlam zit erin. Alles op zijn plek!

Elk LAN heeft zijn eigen /64 prefix. Wellicht werkt de IPv6 firewall op de CV8560E enkel voor source of destination adressen binnen de direct connected /64 prefix.

Bij het gebruik van NDP Proxy heeft uitgaand verkeer toch een adres uit deze prefix?

 

Bij het gebruik van Prefix-Delegation krijgen de achterliggende hosts een adres uit een andere prefix. Is enkel nog maar een vermoeden, maar zou zich eenvoudig laten uittesten.


   Arnie | Krak
   Meten is weten. Gissen is missen.
    Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden