De Netweters
annuleren
Resultaten voor 
Zoek in plaats daarvan naar 
Bedoelde u: 

IPv6 op de CV8560E (E-router)

Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 70
Een bus vol! En we zijn vertrokken! Dat begint te tellen! Goed bezig!

Het lijkt precies of DHCPv6 weer problemen heeft vanaf het moment dat ik de config van de CV8569E veranderd heb (door via mijn.telenet het mac address voor passthrough te zetten). Ik zal straks nog eens een pcap nemen, maar zie op de Fritzbox nu het voglende:

 

IPv6 prefix: xxxx:xxxx:xxxx:xxxx::/60, Valid for: 170969/0s

(waarbij xxxx:xxxx:xxxx:xxxx natuurlijk de gisteravond toegekende prefix toont).

 

Misschien gooit de mac pass-through zelf roet in het eten, of komt het door de config verandering, die natuurlijk ook verschillende services restarts veroorzaakt.

 

 



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 19
Say what?! Tien op tien! En we zijn vertrokken! Nog geen reader's digest? :-)

Modem reset (met pin) doet niets voor mij. Alle statuslampjes gaan uit en modem herstart, dus reset lijkt wel te werken. De router krijgt echter nog altijd gewoon publiek ipv4 en ipv6 werkt vooralsnog niet. 

Op mijn.telenet.be kan je ook de modem terugzetten naar standaardinstellingen -- dit lijkt me alsof dit hetzelfde zou moeten doen, maar werkt ook gewoon niet. Ttz, het MAC adres van mijn router blijft staan -- dat is geen factory reset dan he Telenet... 
Misschien is dat net mijn probleem, dit ik mijn modem niet kan resetten -- als jullie zeggen dat je na de reset het MAC adres terug gaat ingeven in mijn.telenet , is dat dan omdat het er niet meer staat of om manueel een update van de settings te triggeren?

0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 70
Een bus vol! En we zijn vertrokken! Dat begint te tellen! Goed bezig!

Vreemd. Bij mij was het mac address veld in mijn.telenet effectief ook leeg na de factory reset. Ik heb de reset gedrukt tot alle leds 2 of drie keer geknippert hadden. Pas als de restart dan terug begon heb ik de reset losgelaten.



Meten is weten. Gissen is missen.
Beantwoorden
Highlighted
Professional Superweter
Berichten: 4871
Jij bent af! Opgeruimd staat netjes! Champagne, lezer van het jaar! De gouden postveer is voor jou

@Arnie  Bij mij was het mac adres veld ook leeg na een factory reset. Wat de bedoeling is. Ik heb het bij mij niet aan de praat gekregen tot nu toe. Ik heb zelfs nog minder informatie in mijn router pagina's. Het werkt maar ik zie nu nergens meer welke IPadressen er in gebruik zijn. Dat wordt straks opnieuw beginnen.



  Ignace (igvfer) | Krak
  Niets is mooi of lelijk, het is enkel wij die het mooi of lelijk vinden.
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 70
Een bus vol! En we zijn vertrokken! Dat begint te tellen! Goed bezig!

Bij mij werkte IPv6 goed na de factory-reset, echter voor beperkte tijd. De prefix werd niet vernieuwd via DHCP, en na ongeveer 12uur was geen IPv6 meer mogelijk vanaf clients naar het internet. De Fritzbox zelf had nog wel connectiviteit.

 

Er staan voor dit weekend weer verschillende tests gepland, om dit probleem verder te onderzoeken. We denken in de richting van twee mogelijke oorzaken:

 

1) Tijdens het opstarten na een factory-reset bevindt de CV8560E zich korte tijd in DHCPv6 stateless mode. Misschien "profiteert" de Fritzbx hiervan, en kan zo in deze korte tijd een prefix ontvangen. Later wijzigt de config van de CV8560E naar stateful mode, omdat android devices dit nodig hebben (die kunnen niet goed met stateless overweg).

Misschien heeft de Fritzbox stateless nodig. Dit zou betekenen dat na dit korte moment geen renews mogelijk zijn van de prefix via DHCPv6.

Ik ga dit uittesten door een factory reset uit te voeren, en te zien (met pcap natuurlijk) hoe mijn fritzbox zich connecteerd. De fritzbox zal een private ipv4 address ontvangen (192.168.0.0/24). Ik zal dit zo laten, en tijdelijk dubbel-NAT gebruiken.

Ik zal monitoren of de prefix behouden blijft / er DHCPv6 uitwisselingen zullen blijven komen.

 

2) Maakt een config change de setup kapot? Later (na een dag?) zal ik via mijn.telenet mijn mac-address invoeren. Verstoord deze config wijziging iets in DHCPv6? Blijven renewals nog mogelijk?

 

Ik zal jullie op de hoogte houden. Hopelijk kunnen we de oorzaak van het probleem vinden, zodat er gekeken kan gaan worden naar hoe de oplossing er uit zal kunnen zien.

 



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Highlighted
Experienced Meerweter
Berichten: 96
Topicvreter! Opgeruimd staat netjes! Topicwurm! Goed bezig!

@Arnie  schreef:

Bij mij werkte IPv6 goed na de factory-reset, echter voor beperkte tijd. De prefix werd niet vernieuwd via DHCP, en na ongeveer 12uur was geen IPv6 meer mogelijk vanaf clients naar het internet. De Fritzbox zelf had nog wel connectiviteit.


Dit is identiek aan wat ik ervaren en vermeld heb: eerst zijn LAN clients en router globaal v6 bereikbaar, en, een halve dag later of zo, enkel nog de router. En die eind situatie is eveneens door, ik denk, @igvfer beschreven. Is het dan nu voor jou toch op zijn minst zo dat de router via dhcpv6 reeds een bereikbaar adres krijgt? Voordien kwam er, als ik alles goed begrepen heb, niet eens een server antwoord op dhcpv6 client solicit (laat staan met een bereikbaar adres).

{*niet* 'like'-en aub}
0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 70
Een bus vol! En we zijn vertrokken! Dat begint te tellen! Goed bezig!

Correct. Oorspronkelijk werden de DHCPv6 Sollicit packets niet beantwoord, en kwam het niet tot een IPv6 Prefix Delegation.

Na een factory reset van de CV8560E volgde opeens wel een DHCPv6 Advertise antwoord, en werd de nodige informatie uitgewisseld.

 

Status Code: Success (0)

 

Zowel de router zelf alsook achterliggende clients hebben nu ipv6 connectiviteit:

 

 

connected since 19.06.2020, 21:18, Cable modem or internet router,
IPv6 Address: xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx, Valid for: 243553/70754s,
IPv6 prefix: xxxx:xxxx:xxxx:xxxx::/60, Valid for: 233439/60639s

 

 

Ik heb nog geen veranderingen via mijn.telenet aangebracht. Ik heb dus nu geen mac pass-through.

Het ziet er helaas naar uit dat de timer van de prefix afloopt, en dat er geen periodieke renews plaatsvinden. Ik zie de fritzbox wel DHCPv6 Renew request uitsturen, maar deze worden niet beantwoord.

 

Ik weet het niet zeker, maar vermoed dat het iets met authentication te maken heeft. Het laatst ontvangen DHCPv6 packet van de CV8560E is namelijk een Reconfigure packet met authentication informatie. Alle packets die de Fritzbox daarna stuurt bevatten geen authentication, en er volgen geen antwoorden meer van de CV8560E.

 

 



Meten is weten. Gissen is missen.
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 24
Tien op tien! Follow the reader, reader! Leesbeest! Twee handen vol!

@Arnievery interesting.

RFC3633 Section 15 zegt


https://tools.ietf.org/html/rfc3633#section-15

15.  Security Considerations

   Security considerations in DHCP are described in section 23,
   "Security Considerations" of RFC 3315.

   A rogue delegating router can issue bogus prefixes to a requesting
   router.  This may cause denial of service due to unreachability.

   A malicious requesting router may be able to mount a denial of
   service attack by repeated requests for delegated prefixes that
   exhaust the delegating router's available prefixes.

   To guard against attacks through prefix delegation, requesting
   routers and delegating routers SHOULD use DHCP authentication as
   described in section 21, "Authentication of DHCP messages" of RFC
   3315.  For point to point links, where one trusts that there is no
   man in the middle, or one trusts layer two authentication, DHCP
   authentication or IPsec may not be necessary.  Because a requesting
   router and delegating routers must each have at least one assigned
   IPv6 address, the routers may be able to use IPsec for authentication
   of DHCPv6 messages.  The details of using IPsec for DHCPv6 are under
   development.

   Networks configured with delegated prefixes should be configured to
   preclude intentional or inadvertent inappropriate advertisement of
   these prefixes.

 

Nu, uiteraard staat authentication als "SHOULD" en in principe zou je verwachten dat de CV8560E alles aan de LAN side vertrouwt voor PD.

 

Toen ik zat te neuzen in de configuratie opties voor dhcp6c (de DHCPv6 client van pfSense) zag ik inderdaad dat je authentication parameters kon predefiniëren.

 

https://www.freebsd.org/cgi/man.cgi?query=dhcp6c.conf

 

Misschien is dit nodig om PD consistent te doen werken? Zou ik zelfs nog kunnen inkomen, immers weet de router dan perfect van wie het komt. Maar if so, welke authentication parameters dan...

0 Likes
Beantwoorden
Highlighted
Professional Bijna Allesweter
Berichten: 948
Boek alvast het Sportpaleis! Jij #DTV. Goed bezig! Ongelooflijk (maar waar)! Krak

Inderdaad interessant!

Als het dit zou zijn lijkt me dit wel onnodig voor een home LAN en misschien ook te complex naar configuratie toe om te vragen aan een modale gebruiker.

 

Telenet zou dus eens moeten kijken of ze die dhcp auth requirement niet kunnen afzetten.

Een hint aan de gebruikers hier met directe contacten 😉

 

PS: dus de WAN kant van de eigen router blijft altijd bereikbaar van buitenaf, maar de /60 niet he? Ook de /64 op de LAN interface van de router niet?

 

PS2: je hebt blijkbaar Secure-DHCPv6 en DHCPv6SEC.

Die laatste laat volgens dit artikel een transparante uitwisseling van de encryptie key toe. Het eerste niet. Wat ondersteunt de Fritzbox?

 

https://ieeexplore.ieee.org/ielx7/6287639/8600701/08726291.pdf?tp=&arnumber=8726291&isnumber=8600701...


  Steven-E | Krak
  Ik wil groot zijn in iets kleins
  Vergeet niet om likes te geven en/of als oplossing te markeren.
0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 70
Een bus vol! En we zijn vertrokken! Dat begint te tellen! Goed bezig!

@Steven-E  schreef:

PS: dus de WAN kant van de eigen router blijft altijd bereikbaar van buitenaf, maar de /60 niet he? Ook de /64 op de LAN interface van de router niet?

 

PS2: je hebt blijkbaar Secure-DHCPv6 en DHCPv6SEC.

Die laatste laat volgens dit artikel een transparante uitwisseling van de encryptie key toe. Het eerste niet. Wat ondersteunt de Fritzbox?

 

De traces liggen al bij Telenet 🙂

 

Correct. Enkel de eigen router behoud zijn Ipv6 address, net als andere clients in het netwerkje van de CV8560E. De adres-toekenning verloopt via SLAAC (ICMPv6), niet DHCPv6. De router kan ook zelf nog ping6'en en is bereikbaar.

Voor de prefix delegation wordt DHCPv6 gebruikt, en daar gaat het fout.

 

Ik weet (nog) niet welke vorm van authentication de Fritzbox ondersteund, als hij dat al doet. Deze boxes zijn hoofdzakelijk gericht opp de duitse ISP markt, waar ze ingezet worden als (DSL) edge router. Daar heb je eigenlijk geen authentication nodig, dus het zou me niet verbazen mocht dat niet geimplementeerd zijn.



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 70
Een bus vol! En we zijn vertrokken! Dat begint te tellen! Goed bezig!

wireshark-trace.png

 

Hier is (een stukje) van de trace met de essentiele informatie. In de packets 2273 en 2705 is plots melding van authentication. Daarna zie ik alleen nog maar renew requests vanaf de Fritzbox die onbeantwoord blijven, zeer waarschijnlijk omdat ze niet over de juist authentication informatie beschikken.



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 24
Tien op tien! Follow the reader, reader! Leesbeest! Twee handen vol!

@Steven-E 
Als ik de paper in die link lees, bestaat er officiëel enkel Secure-DHCPv6. DHCPv6Sec is een alternatief protocol die ze in die paper voorstellen, maar ik vindt niets over een officiële implementatie.

0 Likes
Beantwoorden
Highlighted
Experienced Meerweter
Berichten: 96
Topicvreter! Opgeruimd staat netjes! Topicwurm! Goed bezig!

@Arnie  puik werk

 

Het feit dat devices op een /64 LAN er niet in slagen hun IPv6 adres
te vernieuwen lijkt inderdaad een behoorlijk probleem. Of er authenticatie aan te
pas komt of niet, een werkende setup vergelijken met een niet werkende
setup zou verschillen kunnen helpen duiden. Er is meer: niet alleen
verliezen devices op een /64 LAN hun IPv6 adres, de IPv6 route naar
dat /64 subnet verdwijnt ook. Dit kan je eenvoudig testen door op het
device manueel een /64 IPv6 adres in het juiste subnet te configureren
met de juiste IPv6 default gateway (naar de router). Voor niet vaste
adressen kan ik nog begrijpen dat Telenet routes naar /64 subnets doet
verdwijnen, maar voor vaste adressen mogen imo vaste routes blijven,
Ik heb een vast IP abonnement en mijn bedoeling is om sommige
belangrijke devices van buitenaf te bereiken. Daarvoor ga ik
natuurlijk niet de nogal willekeurige door dhcp toegekende adressen
gebruiken maar ik geef dergelijke devices een vast adres eindigend op
::n/64 n=1,2,etc...

Het model om per /64 subnet routes te managen lijkt me niet nodig en al
zeker niet voor vaste prefix abonnementen. Waarom niet gewoon het
volledige /56 subnet naar de gebruiker routen die daar dan verder zijn
plan mee trekt? Ook, het toekennen van een sub-prefix van het /56
prefix aan de (CV8560E design) router WAN lijkt alles er me wat dat betreft niet eenvoudiger
op te maken. De (e.g. CV7160E) design om het volledige /56 subnet via een route naar
een (desnoods variabel) /128 p-t-p prefix te implementeren is
alleszins eenvoudiger. DHCP en forwarden kan dan 100% door de
gebruiker gebeuren. Als het argument is dat men zo adressen verspilt,
geef dan gewoon een /60 of nog groter prefix per gebruiker (EDPnet is wat dat betreft niet gierig, daar krijg je een /48). Hoe dan ook, de doorsnee gebruiker ligt er niet van wakker of hij een- of honderd- miljard IPv6 devices in IPv6 kan adresseren.

Maar een mysterie blijft, hoe (imo onnodig) complex de huidige
implementatie ook is, voor sommigen werkt ze. Ze is dus niet fout. En te
weten komen waarom ze voor anderen niet werkt zal niet eenvoudig zijn
en vereist gedetailleerd vergelijken.

{*niet* 'like'-en aub}
0 Likes
Beantwoorden
Highlighted
Professional Weetjesweter
Berichten: 34
Tien op tien! Jij bent af! Say what?! Nice talking to you!

ik kan bevestigen dat de reset methode werkte met een pFsense router.

 

De eerste keer lukte het niet.

Daarna heb ik in pFsense het vinkje in de WAN afgezet bij 'block bogon networks' en 'Block private networks'. Deze laatste is voornamelijk nodig om Nat type 3 werkende te krijgen omdat de WAN side een privaat adres krijgt.

 

Na een tweede reset kreeg de WAN op mijn pfsense het volgende:

- het startte met 0.0.0.0 (no ip)

- ik kreeg een Ipv4 adres

- Het IPv4 adres verdween en ik kreeg een IPv6 adres.

- Het IPv4 adres kwam terug en de IPv6 PD /60 werd toegekend aan 2 interne netwerken (met verschillende prefix) en er is een route naar het www.

 

Ik heb nu nog geen Mac Pass through ingesteld. Dat is de volgende stap, maar ik las hier al ergens dat de PD terug verdwijnt. Dit moet ik nog testen.

 

Dit is alleszins NIET als designed. Tenzij dit een speciaal telenet design is?

 

 

EDIT: PD verdwijnt idd na instellen van Mac Pass Through. 😞

0 Likes
Beantwoorden
Highlighted
Experienced Weetjesweter
Berichten: 70
Een bus vol! En we zijn vertrokken! Dat begint te tellen! Goed bezig!

Bij mij is de timer (prefix "ten minste houdbaar tot") inmiddels afgelopen, en is IPv6 van achter mijn router niet langer mogelijk. 😞

De router zelf heeft nog wel IPv6 connectiviteit naar het internet, wat te verwachten was. Hiervoor is geen DHCPv6 nodig, deze adres- en default-route toekenning gebeurt via ICMPv6 (SLAAC).

 

Het toekennen van static IPv6 adressen aan clients achter je eigen router heeft geen zin. Zij kunnen dan wel packets naar het internet sturen, je gaat echter geen antwoorden kunnen ontvangen. Vanaf internet kunnen de retour packets tot aan de CV8560E geraken, die op zijn beurt weet dan niet waar zich het bewuste static adres bevindt.  Je zou dan een static ip-route op de CV8560E nodig hebben die de weg wijst via je eigen router. Deze static route kun je niet aanmaken, dus helaas......

Je heb echt Prefix Delegation nodig om dit werkend te krijgen, iets wat in principe ook goed werkt, maar nu lijkt de falen vanaf het moment dat de CV8560E aangeeft dat die authentication gaat gebruiken. Je eigen router volgt dit niet.

 

Ik ben tijdens deze test-fase het private 192.168.0.110 adres op de router blijven gebruiken. Ik heb bewust niets via mijn.telenet veranderd, om geen extra variabelen tijdens het trouble-shooten te introduceren.

 



Meten is weten. Gissen is missen.
0 Likes
Beantwoorden