Microsoft wil IPv6-ondersteuning in Windows 11 uitbreiden

8 maart 2024 16:06

Voor diegenen die net als ik ook nog niet op de hoogte waren van wat CLAT is en hoe het werkt.
Hier een vrij gedetailleerde uitleg van Juniper

@TD-er • 8 maart 2024 16:16

464XLAT only suports IPv4 in the client-server model, so it does not support IPv4 peer-to-peer communication or inbound IPv4 connections.

Zelfde nadeel als CGNAT dus.

Het lijkt ook op CGNAT met /96 waarbij orig. IPv4 in het IPv6 zit verpakt?

De voordelen:

Benefits of 464XLAT

No need to maintain an IPv4 transit network

No need to assign additional public IPv4 addresses

Het voordeel zou dus op een (W)LAN er op neer komen dat je geen dual stack hebt (met bijbehorende firewall en routing en de hele hatseflats).

Internettoegang

@Jerie • 8 maart 2024 16:30

CG-NAT ga je sowieso overal krijgen (er zijn veel te weinig IPv4 adressen om iedereen zijn eigen adres te geven), het grote voordeel van 464XLAT is dat je de underlay IPv6-only kan maken en geen dubbele infrastructuur meer in stand hoeft te houden.

@Jerie • 8 maart 2024 16:37

Volgens mij is het voordeel vooral voor de provider.
Ik kan mij voorstellen dat zij in de toekomst eigenlijk alleen nog maar IPv6 willen verwerken en voor die enkele toepassing met IPv4 (in de toekomst dus...) wrappen ze dat in IPv6 pakketjes zodat het over 't internet zelf eigenlijk allemaal via IPv6 gaat.

Alxndr
@TD-er • 8 maart 2024 16:59

Mij iets te gedetailleerd (het is bier uur hier

)

Wat ik me afvraag, (hoe) is dit interessant/relevant voor de normale consument?

cricque
8 maart 2024 16:14

@Alxndr • 8 maart 2024 17:05

[...]
Wat ik me afvraag, (hoe) is dit interessant/relevant voor de normale consument?

Ik kan mij voorstellen dat in de toekomst de providers minder routing-capaciteit hebben voor IPv4 traffic, of dat zij dit zelf op deze manier via CLAT gaan implementeren.
Dus effectief zal je internetverbinding wellicht meer "snappy" aanvoelen als je data direct via IPv6 over het internet gaat.

Tsja en we blijven rustig IPV4 gebruiken, Maar we gingen al zolang geleden in de problemen komen, en we blijven voortploeteren om het zo te zeggen.

Terrestrial
@cricque • 8 maart 2024 16:20

Dat ploeteren zal wel mee vallen, nog nooit enig nadeel ondervonden van het feit dat ik overal IPv6 uitzet. Sterker nog ik mis het niet. Zie jij enig voordeel dan?

[Reactie gewijzigd door Terrestrial op 8 maart 2024 16:21]

MarcelG
@Terrestrial • 8 maart 2024 16:31

Dat is ook exact mijn gevoel; ik wéét dat ik eigenlijk IPv6 zou moeten gebruiken in m'n thuis-lan en thuis-lab, maar vanwege allerlei redenen kom ik er al jarenlang niet aan toe om IPv6 goed in te regelen (firewall, etc). Uitstelgedrag, I know. Maar, zoals jij ook stelt: ik heb tot op heden geen enkel nadeel ondervonden.

Wel andersom, als ik IPv6 gewoon aan laat staan, en ook activeer op m'n EdgeRouter, dan is ineens alles internet-connected (wat ik niet wil) en ik kan er amper controle op uitoefenen (firewalling, DNS traffic redirection etc).

Blokker_1999

Windows 11
Internettoegang

@MarcelG • 8 maart 2024 18:54

Euhm, nee. Misschien de documentatie eens lezen.

Wanneer jij IPv6 aanzet, krijgt inderdaad elk apparaat een internet routeerbaar adres. Maar geen enkel apparaat in je eigen netwerk zal op dat moment benaderbaar zijn vanaf het internet. Je Edgerouter gaat dat tegenhouden. Net zoals op IPv4 waar je aan PAT (geen iedee waarom iedereen het NAT noemt wanneer je poorten ipv adressen vertaald op consumentenspul) gaat doen om toch maar dat poortje naar je PC door te sturen moet je bij IPv6 expliciet gsan aangeven welke poorten je door wenst te laten op je Edgerouter naar welk device.

Terrestrial
@Blokker_1999 • 8 maart 2024 21:52

Maar waarom zou je een internet routeerbaar adres willen? Dan weet het hele internet gelijk op welk IPv6 adres blokker z'n xbox draait bijvoorbeeld. Je geeft namelijk altijd informatie weg.

RJG-223
@Terrestrial • 8 maart 2024 22:29

Maar waarom zou je een internet routeerbaar adres willen?

Zodat je geen hocus-pocus hoeft te doen met NAT. Dat dat een probleem is, dat merk jij meestal niet, maar dat werkt niet handig voor allerlei communicatieprotocollen. Een probleem is dat je bijvoorbeeld niet twee of meer apparaten thuis kunnen hebben die via dezelfde externe poort benaderbaar moeten zijn. Dan moet je voor elk apparaat een andere poort kiezen. Voor standaard-protocollen, die standaard-poorten gebruiken is dat lastig. Als je bijvoorbeeld op twee interne machines een webserver wilt draaien, dan kan maar een ervan poort 80 gebruiken, en de andere niet, en dan moet je iedereen die een verbinding wil maken instrueren dat ze die andere poort moeten gebruiken. Met IPv6 niet. Beide webservers zijn dan via poort 80 te benaderen, op hun eigen adres. Mits je natuurlijk de firewall goed geconfigureerd hebt.

En zo zijn er meer soorten problemen, waar soms truukjes voor verzonnen zijn om ze met NAT te laten werken. Want NAT is eigenlijk een smerige hack. Met IPv6 zijn al die truukjes niet meer nodig. Omdat het adres van jouw apparaat internet-routeerbaar is. Dat betekent niet dat jouw apparaat via internet te benaderen is - je hebt namelijk een firewall. Alleen dat er geen hocus-pocus meer nodig is op jouw router.

Dan weet het hele internet gelijk op welk IPv6 adres blokker z'n xbox draait bijvoorbeeld. Je geeft namelijk altijd informatie weg.

Nee. In principe niet. Elke zichzelf respecterende fabrikant gebruikt de privacy-extensions voor IPv6. Resultaat is dat je elke dag (? of elke paar uur ? of zo) een nieuw IPv6 adres krijgt (*), zodat websites jouw apparaat niet aan het IPv6 adres kunnen herkennen. Er zijn natuurlijk wel zat andere manieren om apparaten te herkennen, maar niet het IPv6 adres dus. Overigens weten ze wel wat jouw IPv6 prefix is, en die blijft waarschijnlijk steeds hetzelfde (afhankelijk van de provider). Net zoals jouw internet-IPv4 adres (dwz: het IPv4 adres van jouw router) vaak hetzelfde blijft. Dus daaraan kunnen ze wel herkennen in welk huis jouw apparaat staat.

(*) Dwz: het IPv6 adres waarmee je een verbinding maakt naar externe servers. Je apparaat heeft ook een 'permanent' IPv6 adres, dat je altijd kunt gebruiken om een verbinding te maken naar jouw apparaat. Dat adres verandert in principe nooit, maar dat wordt dus nooit gebruikt als jouw apparaat een verbinding maakt naar een externe dienst.

nout77
@RJG-223 • 8 maart 2024 23:52

Super interessant! Dankzij dit artikel weer wat meer over IPv6 te leren. Ik heb het ooit geweten maar nooit meer echt gebruikt. IPv6 is dus op vele punten superieur aan IPv4 en niet alleen op het 'bijna oneindige' aantal meer adressen. In eigen netwerken zette ik vaak ook IPv6 uit omdat alles toch wel werkte met IPv4 en anders ook dubbel er in moest staan qua firewall rules.. Ik had me er toch wat meer in moeten verdiepen kennelijk

D0ubleD0uble
@Terrestrial • 8 maart 2024 22:20

Want dat is met IPv4 niet het geval? Mensen doen alsof echt alles uit IP addressen kan worden getrokken maar dat is niet zo. Daarbij maken al je end-devices gebruik van privacy-temporary adressen. Die veranderen als het goed is iedere 24 uur. Alleen je prefix, de eerste helft van je IPv6 adres, die blijft hetzelfde. Net als met IPv4: de IPv6 prefix is een beetje te vergelijken met je publieke IPv4.

Het obfusceren van adressen als beveiligingsmethode heeft nog nooit iemand veilig gehouden. Goede firewalls, anti tracking software zoals adblockers of IDS wel. Welke browser je gebruikt, wat voor soort apparaat via je schermverhouding, dat soort informatie is veel waardevoller dan een lummelig IPv6 adresje dat binnen 24 uur deprecated wordt en binnen een week zichzelf helemaal vernietigt. In dat opzicht zou je zelfs kunnen stellen dat IPv6 iets beter is dan IPv4.

Als IPv6 echt zo'n groot probleem was geweest met publiek retourbare adressen hadden we daar nu wel de ellende van gezien voor end users, en die is er simpelweg niet.

wpoely86
@Terrestrial • 8 maart 2024 22:16

Daarom de privacy extensions:
https://datatracker.ietf.org/doc/html/rfc4941

RJG-223
@Blokker_1999 • 8 maart 2024 22:41

geen iedee waarom iedereen het NAT noemt wanneer je poorten ipv adressen vertaald op consumentenspul

Huh ? Er worden toch echt adressen vertaald, want het IP-adres van jouw apparaat is niet internet-routeerbaar. Dus moet dat vertaald worden naar een routeerbaar adres: het (externe) adres van jouw router. Volgens mij zijn de meeste routers zo ingesteld dat ze de poorten juist niet vertalen als dat niet hoeft. Veel makkelijker. Alleen als er een conflict zou optreden (twee verbindingen zouden exact dezelfde combinatie hebben van protocol (TCP/UDP/SCTP) en beide IP-adressen en poorten), dan moet er een andere lokale poort gekozen worden. Mogelijk zijn ze bij UDP wat strikter, maar ik betwijfel of er protocollen zijn die dat echt nodig hebben - al is het alleen al juist omdat dat problemen kan geven met NAT...

MarcelG
@Blokker_1999 • 9 maart 2024 01:15

Zucht, waarom meteen zo’n openingszin? RTFM….
Ik heb het niet over inkomend verkeer, maar juist andersom; ik wil bepaalde vlan’s en bepaalde devices überhaupt niet naar buiten laten gaan, en sommige poorten mogen uitgaand uitsluitend gebruikt worden door bepaalde devices.
En daar zijn - misschien alleen met de combi ziggo/unifi - een aantal dingen die niet lekker werken; zie bijv. https://gathering.tweaker...message/78313956#78313956

Plofkotje
@MarcelG • 8 maart 2024 17:21

Niet te vergeten dat een van de grootste providers van Nederland, Odido, gewoon nog steeds geen IPv6 heeft

D0ubleD0uble
@Plofkotje • 8 maart 2024 22:35

Precies de reden voor mij waarom toen Tweak werd opgedoekt om vooral NIET naar Odido over te gaan! Een ISP die niet de huidige versie van het internet protocol ondersteund levert simpelweg een inferieure service ten opzichte van de rest. En als je gewend bent aan IPv6 voor je omgeving, waarin je niet meer afhankelijk bent voor PAT/NAT forwarding, split horizon DNS, SNI proxies en hairpin NAT dan wil je echt niet meer terug naar de rotzooi die IPv4 is

ronald136813
@D0ubleD0uble • 9 maart 2024 22:34

wat een onzin hoezo is IP4 troep als je IPV6 gaat gebruiken dan gebruik je de prefix delegation en meestal SLAAC en hangen de devices gewoon aan internet en dus moet je goed nadenken over filrewall policies beetje kort door de bocht antwoord , IPV4 werkt gewoon prima en is inherent veiliger omdat NAT er nog tussen zit.

Stetsed
@MarcelG • 8 maart 2024 16:44

"Wel andersom, als ik IPv6 gewoon aan laat staan, en ook activeer op m'n EdgeRouter, dan is ineens alles internet-connected (wat ik niet wil) en ik kan er amper controle op uitoefenen (firewalling, DNS traffic redirection etc)."

Hier moet ik een "NAT is not a firewall" in zetten, maar je kan precies hetzelfde van deze dingen doen op v6 als je op v4 kan. Je kan gewoon alle port 53 traffic redirecten op hetzelfde manier dat je dat dan op v4 doet. Je kan ook gewoon normaal firewalle.

Je kan gewoon een firewall rule instellen voor "Default inbound niks alleen connecties die van binnen zijn gestart" is echt niet moelijk en veel routers hebben dit all bij default.

Je hoeft ook niet meteen compleet over te stappen naar v6, maar de problemen die jij noemt bestaan gewoon niet, maar ik begrijp well dat het meer werk is.

[Reactie gewijzigd door Stetsed op 8 maart 2024 18:06]

MarcelG
@Stetsed • 9 maart 2024 00:52

Ik gebruik NAT niet als firewall. Ik gebruik NAT om van buitenaf 3 devices in mijn huis op een 5-tal poorten te ontsluiten. Buiten die poorten en devices is WAN_IN helemaal beperkt tot established en related, Mijn usecase is juist andersom, ik wil bepaalde vlan’s en bepaalde devices überhaupt niet naar buiten laten gaan, en sommige poorten mogen uitgaand uitsluitend gebruikt worden door bepaalde devices.
En daar zijn - misschien alleen met de combi ziggo/unifi - een aantal dingen die niet lekker werken; zie bijv. https://gathering.tweaker...message/78313956#78313956

[Reactie gewijzigd door MarcelG op 9 maart 2024 01:18]

dmantione

Internettoegang

@MarcelG • 8 maart 2024 16:54

Ik weet niet wat voor router jij hebt, maar bij de mijne maakt geen enkel apparaat van buiten bereikbaar tenzij ik dat expliciet voor dat apparaat instel.

MarcelG
@dmantione • 9 maart 2024 01:00

Klopt, dat is hier ook het geval (WAN_IN DROP new, invalid ALLOW established, related) maar ik wil juist uitgaand verkeer beperken voor een aantal devices. Het phone home gedrag van sommige (IOT) devices wil ik tegenhouden namelijk. Bij ipv4 zijn die devices te pinpointen obv statisch zelf uitgedeeld intern adres, maar bij ipv6 heb ik dat gemak niet meer, temeer omdat ook de prefix dynamisch blijkt te zijn (tenminste bij ziggo)

[Reactie gewijzigd door MarcelG op 9 maart 2024 01:02]

DiedX

@MarcelG • 9 maart 2024 01:51

Raar verhaal. Want je mac veranderd niet. Pak je m daar op.

Mijn unifi is in staat om - met ipv6 - alles te blokkeren of toe te laten hoe ik het wil.

N8w8
@MarcelG • 8 maart 2024 19:28

Singlestack v6 lijkt me ideaal en uiteindelijk het doel, maar nu heb je daarnaast nog v4 nodig.
v4 is vooralsnog de standaard, waardoor men "altijd" wel zorgt dat dat sowieso goed werkt.
Bij v6 is dat toch wat minder vanzelfsprekend.
Bijv voor de gein had ik ooit v6 aangezet, toen kwam ik een Youtube CDN server tegen die niet goed op v6 werkte, met timeouts tot gevolg. Of zie het GoT IPv6 topic, er zijn regelmatig incidenten.
Ja en 2 stacks tegelijk is an sich gewoon complexer met daarmee meer kans op issues.
Hoe langer je v6 uitstelt zonder dat te missen, hoe meer tijd je "de industrie" geeft om alle issues glad te strijken, en hoe minder lang je dualstack hoeft te draaien.

D0ubleD0uble
@MarcelG • 8 maart 2024 22:29

Dat heeft meer te maken met hoe slecht en brakkig de ondersteuning van IPv6 op Unifi spul is dan dat het probleem met IPv6 zelf is. Ik kan gewoon firewalling, DNS redirection en IDS doen op IPv6 zonder enig probleem via OPNsense en ook de regelrechte kloon van Unifi, TP-Link Omada, heeft nu zo goed als volwaardige IPv6 ondersteuning. En voor de rest, een router/firewall werkt altijd met een default deny voor inkomend WAN verkeer. Daar zit geen onderscheid tussen IPv4 en IPv6 in, die worden allebei gewoon netjes tegengehouden zoals het hoort.

Tozz
@Terrestrial • 8 maart 2024 16:27

Genoeg redenen.

1) IPv4 wordt steeds duurder. Een /24 kost nu ongeveer EUR 12k. Dit belasten ISPs gewoon door.
2) Vanwege 1) doen steeds meer partijen CGNAT waardoor je geen eigen servers of port forwards meer kunt toepassen. Ook p2p toepassingen ondervinden hier hinder van. Bijvoorbeeld video streams (eg. Teams, Zoom, whatever) waarbij beide gesprekspartners CGNAT gebruiken moeten de video stream via een tussenliggende partij aanbieden. Kost extra bandbreedte en infrastructuur, dus duurder.
3) IPv4 NAT was al een 'work-around' voor de IP-schaarste. Het is en blijft eigenlijk een kut oplossing en komt met allerlei nadelen
4) Billing en monitoring is met NAT ook een uitdaging.

IPv6 lost al deze problemen op

MrFax
@Tozz • 8 maart 2024 16:49

Ik denk dat er uiteindelijk een abonnement gaat komen "for gamers en home server owners" die 20 euro per maand duurder is, maar je een vast IPv4 adres geeft zodat je nog inbound connecties kan krijgen.

[Reactie gewijzigd door MrFax op 8 maart 2024 16:49]

Kaoh

@MrFax • 8 maart 2024 16:56

maar met IPv6 kan je veel eenvoudiger (geen NAT en geen double NAT etc) binnenkomende connecties krijgen. Dus waarom zou ik extra betalen om het via IPv4 te doen en mn NAT te moeten gaan beheren?

BeosBeing
@Kaoh • 15 maart 2024 09:33

Dus waarom zou ik extra betalen om het via IPv4 te doen en mn NAT te moeten gaan beheren?

Omdat er nog steeds dingen zijn die alleen IPv4 kennen/gebruiken waardoor je voor die alleen met IPv4 bereikbaar bent. Uiteindelijk zal natuurlijk wel alles over moeten gaan, waarmee je evt IPv4 alleen nog intern gebruikt - bv voor dingen die niet naar buiten mogen.

Probleem is wel dat
1) IPv4 - de basis dan toch - voor heel veel begrijpelijk is. NAT snappen ze nog en dat een firewall ongewenste dingen tegenhoudt ook maar dan houdt het voor de gewone gebruiker meestal op - veel denken ook dat NAT en firewall hetzelfde of min-of-meer hetzelfde is of dat een firewall van NAT afhankelijk is.
2) IPv6 oppervlakkig bekeken gelijk veel ingewikkelder oogt. Mensen snappen niet hoe het in elkaar zit.
Als het nou gewoon een extra byte adresdata geweest zou zijn ipv 192.168.1.xxx nu 192.168.111.222.yyy dan zou dat minder spelen.

Internettoegang

@MrFax • 8 maart 2024 16:57

Dat is alleen niet zo heel lang meer nodig - de uitrol van IPv6 gaat best snel, in dit tempo is het over een jaar of 4-5 een zeldzaamheid om als consument geen IPv6 te hebben. Op dat punt heb je weinig extra nut aan een IPv4 adres meer. Je kan dan net zo goed alles over IPv6 laten lopen, en die enkeling die nog via IPv4 verbindt via Cloudflare doen, dat is gratis ipv 20 euro per maand.

Maar idd, je ziet nu al bij de cloud server hosters dat IPv4 een betaald extra is, dat gaat overal wel zo worden.

JPDeckers
@Tozz • 8 maart 2024 18:47

1) IPv4 wordt steeds duurder. Een /24 kost nu ongeveer EUR 12k. Dit belasten ISPs gewoon door.

Prijs is gezakt de laatste tijd, nu nog "maar" 30-35 USD (7500-9000$ per /24). Twee jaar terug kreeg ik nog 48 EUR/ip bij een /24, scheelt nogal.
Een /16 gaat voor $50/ip, dan kom je op die 12k uit, maar die ranges zijn voor de wat grotere jongens.

Zie https://ipv4.global/reports/ voor actuele IPv4 prijzen.

Wel vraagt Amazon nu voortaan geld elke maand in AWS voor IPv4 adressen, zelf een /24 kopen kan nu snel aantrekkelijk zijn.

[Reactie gewijzigd door JPDeckers op 8 maart 2024 18:49]

Internettoegang

@Terrestrial • 8 maart 2024 16:41

Het heeft toch wel een hoop voordelen, voornamelijk omdat je de complexiteit van NAT kan vermijden en geen IPv4 addressen meer nodig hebt, wat steeds vaker een optionele (betaalde) add-on wordt.

Op zich kan een beperkte groep mensen tot in lengte van dagen op IPv4 blijven zitten, maar je zit gewoon in een steeds kleiner deel van het internet. Zie het als The Matrix - het IPv4 internet wordt langzaamaan een relatief klein gevirtualiseerd netwerk bovenop het onderliggende native IPv6 internet. Natuurlijk kan je "in de matrix" blijven hangen en alles op IPv4 doen zonder iets van IPv6 te merken, maar zodra je native naar het echte internet wil, dan zal je toch IPv6 moeten doen.

[Reactie gewijzigd door Dreamvoid op 8 maart 2024 16:58]

Blokker_1999

Windows 11
Internettoegang

@Terrestrial • 8 maart 2024 16:51

Totdat je naar een nieuwe ISP wenst over te stappen die geen IPv4 adressen meer kan krijgen, ja 1 klein /24 block. Iedereen achter CGNAT.

Voor de grote ISPs in westerse landen valt het inderdaad allemaal zeer goed mee. Maar in zovele opkomende markten is het tekort aan IPv4 wel voelbaar.

Dus dat jij geen nadeel ondervindt moet je vooral in historische context gaan zoeken.

En ja, ik zie een voordeel, ::1 is sneller te schrijven dan 127.1

Maurits van Baerle

Ipv6

@Terrestrial • 8 maart 2024 17:06

Ik heb wel eens begrepen dat als je support wil van Microsoft ze je niet verder willen helpen als je IPv6 hebt uitgeschakeld omdat het systeem dan niet werkt zoals het bedoeld is. Ik kan me bijvoorbeeld voorstellen dat bepaalde Windows diensten leunen op het Neighbor Discovery Protocol om hun netwerkomgeving in kaart te brengen.

Het kan best zijn dat jij geen zaken gebruikt waar IPv6 voor nodig is (*) maar het kan lastig zijn om onomstotelijk te bewijzen dat bepaalde problemen niet veroorzaakt worden door het gebrek er aan.

* _{Omgekeerd kan ook. Ik heb een tijdje een klapperende verbinding gehad waarbij het IPv6 adres snel terug was maar IPv4 niet zonder modem herstart terug kwam. Soms kwam ik er pas na uren werken achter dat ik de IPv4 verbinding kwijt was omdat alles gewoon over IPv6 werkte en IPv4 niet nodig was.}

[Reactie gewijzigd door Maurits van Baerle op 8 maart 2024 17:07]

bitflusher
@Terrestrial • 9 maart 2024 22:29

Als je enigsinds in home automation zit, Matter heeft ipv6 nodig. Delta heeft vorige week ipv6 op mijn adres aangezet. Matter was zo gefixed en mijn lampen en gordijnen zijn wat meer responsive geworden.

bigbadbull
@cricque • 8 maart 2024 16:20

persoonlijk en ook voor bedrijven intern is er weinig nood aan IPV6 en is IPV4 veel eenvoudiger en vooral beter beheersbaar.
Enkel wanner je rechtstreeks op het internet zit wordt ipv6 "nuttig"
En Nee we willen zeker niet af van de firewalls (en routing) die houden ons veilig(er)

elmuerte
@bigbadbull • 8 maart 2024 16:43

IPv6 is juist eenvoudiger en beter beheersbaar dan IPv4. Meer ruimte om je netwerken de isoleren. Minder problemen met VPNs en andere prive-netwerken. (Iedereen gebruikt natuurlijk 192.168)

[Reactie gewijzigd door elmuerte op 8 maart 2024 16:47]

GertMenkel
@elmuerte • 8 maart 2024 17:55

Met 10.0.0.0/8 moet je een aardig netwerk hebben eer je tekort komt aan beheersruimte, mits je niet te gretig bent geweest. Helemaal als je ook nog ergens een router neerzet die 172.16.0.0/12 en 192.168.0.0/16 routeert (bijvoorbeeld om 10/8 voor clients te gebruiken en 172.16/12 en 192.168/16 voor servers). Dan zou je daar ook nog eens 100.64/10 aan kunnen toevoegen als je zelf geen ISP bent en dus geen CGNAT implementeert.

Afhankelijk van hoe snel providers hun configuratie updaten en hoe hard er gestreden wordt voor IPv4-ruimte, kun je zelfs nog 240/4 gebruiken als je de gok wilt wagen.

Dat gezegd hebbende, is een ULA wel zo makkelijk, eerlijk gezegd. Ik zou geen GUA gebruiken om interne netwerken te managen, en gelukkig kun je zoveel ULA's aan je netwerk hangen als je zelf wilt. Jammer genoeg hebben ULA's die aan de specs voldoen slechts 16 bits aan subnetruimte, maar niks weerhoudt je ervan om meerdere ULA's te routeren zoals je wellicht ook 10.0.0.0-10.255.55.0 zou routeren.

Alfa1970
@GertMenkel • 8 maart 2024 18:55

10.0.0.0/8 op een plat netwerk ja, maar als je 10.<land>.<kantoor/stad>.x/24 gebruikt omdat je allerhande kantoor netwerken hebt in verschillende landen dan loop je al heel snel tegen problemen aan en is IPv6 een goede uitkomst.

GertMenkel
@Alfa1970 • 8 maart 2024 19:53

Ja, op die manier is je subnet zo op, inderdaad.

Zelfs dan zit je met de beperkingen van het aantal subnets (16 bits aan indeelbaar subnetten per ULA, meer met een GUA maar dan moet je uitkijken voor wat je provider uitvreet).

Aan de andere kant kun je ieder gebouw een eigen ULA geven zonder dat je conflicten krijgt, maar dat is nog steeds iets minder makkelijk dan een plat netwerk. Wel een stuk makkelijker te beveiligen!

D0ubleD0uble
@GertMenkel • 8 maart 2024 19:20

Dan zit je dus met 3 verschillende RFC1918 ranges en om nu CGNAT ruimte te gebruiken is ook geen probleem. GUAs zijn overigens prima te gebruiken voor interne netwerken, en het een sluit het ander niet uit: een interface mag tenslotte meerdere IPv6 addressen hebben, zoals dus een GUA + ULA. De reden waarom je ULAs meestal niet gebruikt is omdat in praktisch alle OSen ze een lagere prioriteit hebben dan IPv4 addressen.

Daarbij, dan zit je met al die subnet maskers te knoeien, CIDR ranges, opdelen, DHCP moet je over al die addressen regelen. Met IPv6 heb je al die problemen niet, je subnet is altijd een /64 en als bedrijf heb je dan een /48 prefix waar je 65k subnets uithaalt. Als dat nog steeds niet genoeg is, kan je altijd een extra /48 of groter aanvragen bij de RIPE. Kan ook handig zijn als je provider independent space wilt hebben

GertMenkel
@D0ubleD0uble • 8 maart 2024 19:51

Ik bedoel ook niet dat je helemaal geen GUA's moet gebruiken, alleen dat je voor je interne services beter ULA's kunt gebruiken om de boel te managen. GUA's voor verkeer naar het internet en misschien een server die thuiswerkers nodig hebben, ULA's voor printers en ander intern spul.

Al die IPv4-ranges zijn niet heel praktisch, maar ik denk niet dat er veel bedrijven zijn die dit probleem hebben en niet al lang naar IPv6 gekeken hebben.

Shinji
@GertMenkel • 8 maart 2024 22:56

Met die 100.64/10 zou ik trouwens ook uitkijken als je geen ISP bent. Wij gebruikten hem ook vaak voor NAT naar/van S2S tunnels. Ik kom hem echter steeds vaker tegen in het wild op mobiele verbindingen.

Bij Starlink krijg je bijvoorbeeld een adres uit die reeks. En we hebben steeds meer klanten die dat gebruiken.

@elmuerte • 8 maart 2024 18:12

Iedereen gebruikt natuurlijk 192.168

Nope.

Blokker_1999

Windows 11
Internettoegang

@bigbadbull • 8 maart 2024 16:53

Maar iedereen wil wel verbinden met dat internet. En er is bijna geen enkel systeem dat op IPv6 standaard inkomend verkeer zal toestaan. Mensen doen altijd alsof IPv6 minder veilig is omdat NAT hen beschermd, maar dat is niet correct. Als je PC een internet routeerbaar IPv6 adres krijgt, zal je modem/router inkomend verkeer reeds tegenhouden en moet jij expliciet aangeven om dit door te laten.

D0ubleD0uble
@Blokker_1999 • 8 maart 2024 17:05

En end-user devices zoals een Windows of iets dergelijks bevatten zelf ook vaak nog een firewall. Heel veel mensen snappen niet dat een globaal routeerbaar adres niet gelijk is aan het direct kunnen verbinden met ieder IPv6 apparaat. Daarbij, NAT is alleen de vertaalslag. NAT is altijd afhankelijk van een stateful firewall, net als IPv6. Anders zou NAT ook zo lek zijn als een mandje. IPv4 port forwarding bestaat tenslotte uit het mappen van een adres naar een ander (inclusief het gedoe met poorten) EN een firewall regel. Met IPv6 heb je alleen dat laatste nodig.

Internettoegang

@bigbadbull • 8 maart 2024 17:00

IPv6 is makkelijker, maar de huidige situatie met IPv6 + IPv4 in parallel is idd niet ideaal qua complexiteit. Maar dit is dus waar deze nieuwe feature in Windows bij helpt, het maakt het makkelijker voor netwerk admins bij bedrijven om IPv6-only te draaien met behoud van IPv4 compatibility aan de client kant.

[Reactie gewijzigd door Dreamvoid op 8 maart 2024 17:02]

@cricque • 8 maart 2024 16:36

Duitsland loopt grotendeels op IPv6 + CGNAT.

Ik heb dual stack doch heb twee (m.i. goede) redenen om IPv4 te prefereren.

1) Mijn geheugen is te slecht om IPv6 adressen te onthouden.

2) Ik heb geen zin om 2x zoveel firewall rules te onderhouden.

Beide kun je deels mitigeren.

@Jerie • 8 maart 2024 16:46

Volgens mij krijg je bij "de grote" providers hier in NL ook geen eigen IPv4 adres meer, tenzij je er specifiek om vraagt (vaak tegen meerprijs).
Daar is het standaard dan CGNAT of DS-lite of hoe ze het dan ook maar noemen.

Ook voor de zakelijke abonnementen zie je een verandering;
Van de week was ik bij iemand met een zakelijke fiber aansluiting via Delta en daar krijg je dan wel een eigen IPv4 adres, maar moet je je WAN poort dus een VLAN tag meegeven en ga je dan via best wel grote subnetten (als in gateway IP lag behoorlijk eind van IP van de klant) waar je dus niet met andere IPs dan alleen de gateway kunt verbinden. (afgeschermd met VLAN tags dus)
Dit is al heel anders dan een paar jaar geleden waar men nogal verkwistend omging met IPv4-adressen waarbij je eigenlijk minimaal 4 of 8 IPs kwijt was per klant.

D0ubleD0uble
@TD-er • 8 maart 2024 16:55

Ziggo doet het in sommige gevallen met nieuwe klanten via DS-Lite. Delta en Caiway zijn de enigen die echt CGNAT toepassen. Voor de rest zullen de providers nog wel een groot genoege pool aan IPv4 addressen hebben (en zien daarmee geen reden om IPv6 te ondersteunen, ik kijk naar jou Odido

)
Hoe schaarser/kostbaarder de IPv4 ruimte, hoe breder de IPv6 ondersteuning zal worden. Kijk maar naar GitHub: die zijn nu pas bezig met IPv6 nadat AWS mensen laat betalen voor een IPv4. Het financiële plaatje is wat IPv4 uiteindelijk zal verdringen.

@TD-er • 8 maart 2024 16:57

Van Freedom kreeg ik netjes dual-stack. Daar dok je dan wel voor.

Bij Ziggo probeerden ze me eerst IPv6 met CGNAT aan te smeren. Dat had grote nadelen voor mij. Niet in de laatste plaats had ik packet loss. Terug naar IPv4 met een oudere router en opgelost.

Binnenkort krijg ik glas via ODF / Odido. Ik heb nergens ook maar iets gelezen over IPv4 of IPv6. VLAN vind ik prima.

dmantione

Internettoegang

@Jerie • 8 maart 2024 20:01

Ik ben op het moment weg aan het gaan bij Odido, op zich een goede provider, omdat ze nog niet eens een IPv6-strategie hebben, is het nu over en uit.

@dmantione • 8 maart 2024 20:06

Statisch IP?

Zit helaas jaar aan ze vast dankzij ODF. Ik zal jaartje redundant nemen met Freedom. Betaal bij Freedom 10 maanden voor prijs van 12 dus na 6 jaar heb ik het eruit. Na jaar switch ik dan van Odido naar naar Freedom.

dmantione

Internettoegang

@Jerie • 8 maart 2024 20:13

Je hebt een vast IP bij Odido, dus daar geen klachten over. Ik ben het evenwel spuugzat om voor alles te moeten NAT'en en ik wil gewoon machines die enkel op v6 verbonden kunnen bereiken zonder dat ik dat via een machine moet doen die wel op het v6 is aangesloten.

De VM die ik nu bij Strato huur kan zodra ik v6 heb eruit en die gaat op een Raspberry Pi in de meterkast gehost worden.

@dmantione • 8 maart 2024 20:22

Vroeger had je nog van die 4 to 6 tunnels zoals SixXS. Moet je wel de tunnel provider vertrouwen, en je hebt hogere latency. Hoeft niet veel meer te zijn.

Mijn mening is dat volwaardig internet dual stack moet zijn. Geen dual stack, dan moet men dat duidelijk adverteren. Plus evt. verplichting om tegen kostprijs wel dual stack te leveren als klant dat wenst. Huidige situatie is een rommeltje.

Ik had met IPv6 only van Ziggo tegenovergestelde probleem: via LTE (IPv4 only) kon ik mijn thuisnetwerk via VPN niet op.

D0ubleD0uble
@Jerie • 8 maart 2024 16:46

1. Dat is waarom er dit magische middel bestaat genaamd DNS

2. Als je transparant filtert (een beetje goede firewall doet dat wel) regelt hij je firewalling voor IPv4+IPv6 via één regel. In Opnsense kan dit bijvoorbeeld heel goed.

@D0ubleD0uble • 8 maart 2024 17:18

Klopt bijv split horizon DNS. Weer extra ding om bij te houden. Bonjour ed. werkt enkel op LAN. Terwijl ik nog IPv4 adressen en ranges van 30 jaar geleden nog uit m'n hoofd ken. Zelfde mbt telefoonnummers. Maar IPv6 lukt me dat niet mee (ranges soms nog wel).

OPNsense ga ik draaien, momenteel zit ik nog op EdgeOS. Succes met OPNsense draaien op MIPS of ARM64, btw

MacGyverNL
@Jerie • 8 maart 2024 17:45

Klopt bijv split horizon DNS.

... maar met IPv6 heb je juist géén split horizon nodig, omdat de adressen zowel intern als extern werken. Minder complex, dus. En als de systemen niet extern bereikbaar moeten zijn: daar is je firewall voor, niet het feit dat ze niet in DNS staan.

@MacGyverNL • 8 maart 2024 18:07

M.i. horen interne hostnames niet wereldwijd beschikbaar te zijn middels DNS. Onafhankelijk van IPv4 of IPv6.

D0ubleD0uble
@Jerie • 8 maart 2024 17:46

Openwrt bevat gelukkig ook een NAT64 optie via Jool dus dat lijkt mij heel goed mogelijk op ARM

@D0ubleD0uble • 8 maart 2024 18:08

Dat is mooi ook op VyOS is er progressie op dit gebied:

https://blog.vyos.io/vyos-project-january-2024-update

Is ook meer een teken dat EdgeOS dood is

Llopigat
@cricque • 8 maart 2024 16:25

Mijn provider biedt nog niet eens een IPv6 adres

(Jazztel, ook in Spanje net zoals @Rex), is een onderdeel van Orange. Nou mis ik het ook niet, ik heb nog nooit een site gevonden waar ik niet op kon. Het boeit me niet buiten technische interesse. Ook draait mijn prive mesh VPN nog exclusief op v4. Het is vooral belangrijk als je veel met Azie werkt.

Ik heb een jaar geleden nog eens gevraagd hoe het er mee stond en ik kreeg alleen een nietszeggend antwoord dat het op de roadmap stond.

[Reactie gewijzigd door Llopigat op 8 maart 2024 16:29]

Rex
@cricque • 8 maart 2024 16:25

Ik weet niet of dit kritiek is of niet, maar de IPv6 adoptie blijft elk jaar maar groeien.

Ik zit in de IPv6 betatest van mijn provider (Movistar ES), en zij staan op het punt om IPv6 bij alle klanten uit te rollen. Er komen dus in één klap 25 miljoen nieuwe IPv6 klanten erbij.
Als straks ook Italië hun 50 miljoen internetklanten over laten stappen op IPv6, ziet de meerderheid van West Europa op IPv6.

D0ubleD0uble
8 maart 2024 16:42

Internettoegang

@Rex • 8 maart 2024 16:44

West-Europa zit op circa 63%, dus die zijn er al voorbij. Heel Europa (incl Rusland) heeft nog even te gaan, die zitten pas op zo'n 31%.

Eindelijk! Hier wacht ik al heel lang op! Android, iOS en MacOS sinds Ventura ondersteunen CLAT nu ook al een tijdje op een fatsoenlijke manier. Voor degenen die niet weten hoe een CLAT precies werkt, het is een speciale vertaalslag op OS/kernel niveau die IPv4 literals kan omzetten. Het gebruik maken van IPv6-to-4 brengt namelijk een paar nadelen met zich mee zonder CLAT, omdat je dan alleen DNS64 kan doen. Werkt prima voor het browsen van websites, maar P2P spul, VOIP en vele games gaan dan kapot. Een CLAT heeft al deze limitaties niet: die stuurt IPv4 spul naar de kernel, deze vertaalt hem door naar je NAT64 prefix en dit werkt nagenoeg vlekkeloos, als eindgebruiker merk je 0 verschil. Door de PREF64 of DHCP optie 108 mee te geven zullen apparaten geen IPv4 adres meer configureren en zal er in Windows dus alleen een IPv6 adres staan. Sterker nog, DHCP 108 zal straks niet eens meer nodig zijn in veel netwerken aangezien alle end-user devices dan over een CLAT beschikken. Geen DHCPv4 server meer nodig, netwerk kan als single stack worden geconfigureerd en NAT64/CLAT doet de rest $_/-\o_$

Alxndr
@D0ubleD0uble • 8 maart 2024 17:08

Thanks voor je verhaal, maar het is me niet helemaal duidelijk of en wat precies het voordeel voor mij als eindgebruiker is of kan zijn?

Je hebt het over P2P vele games die kapot gaan, maar als ze dit nu pas aan Win 11 gaan toevoegen, neem ik aan dat het niet in Win 10 zit? Ik game en download zonder problemen met een IPv6 verbinding?

(je moet er wel maar net zin in hebben om dit uit te leggen, ik begin ook net met weekend vieren

)

Internettoegang

@Alxndr • 8 maart 2024 17:15

Het grote voordeel is op bedrijfsnetwerken, die hikken nu vaak aan tegen de extra workload om dual stack IPv6+IPv4 te draaien. Maar als de clients (Windows, Android, macOS/iOS, Linux etc) allemaal CLAT kunnen, dan kan de netwerk admin IPv4 compleet weglaten en een (veel simpeler) IPv6-only netwerk draaien. Het is een ontbrekend puzzelstukje in de IPv6 transitie.

Voor thuisnetwerken bij de doorsnee consument thuis heeft dit op het moment nog niet heel veel invloed, die moeten de komende jaren nog wel noodgedwongen dual stack IPv6+IPv4 blijven, onder andere omdat teveel oude apparatuur nog niet zonder IPv4 kan. De Nintendo Switch bijvoorbeeld kan helemaal geen IPv6, en daar zijn er miljoenen van in omloop, de komende 10 jaar nog. Zolang consumenten verwachten dat die dingen blijven werken (en Nintendo niets update), kunnen providers IPv4 sowieso niet compleet uitschakelen bij de mensen thuis.

Alxndr
@Dreamvoid • 8 maart 2024 17:23

Ff voor mijn eigen duidelijkheid, zou - in theorie - Nintendo de software waar de Switch op draait een vergelijkbare update kunnen geven als MS nu met Win 11 doet? Of is het ook hardware afhankelijk?

En hoe zit het met Windows 10? Ik zie in settings dat mijn PC een 'link-local ipv6' adres heeft (maar ook een ouderwets 192.168. . .) Zou ik IPv4 uit kunnen/willen zetten als ik nou alleen PC's op m'n netwerk heb?

[Reactie gewijzigd door Alxndr op 8 maart 2024 18:36]

Internettoegang

@Alxndr • 8 maart 2024 17:36

Voor Nintendo is dat veel lastiger - ze hebben uberhaupt geen IPv6 ondersteuning, dat moeten ze eerst toevoegen. Daarna idd CLAT, wat een relatief simpele feature is.

Windows 10 heeft al IPv6 ondersteuning, en zelfs al CLAT ondersteuning, Microsoft heeft alleen de beperking erin gezet dat Windows het alleen gebruikt als je een laptop hebt met een WWAN (4G/5G SIM) verbinding. Wat nu nieuw is (dit nieuwsartikel), is dat Windows 11 dit ook mogelijk gaat maken op ethernet/WiFi verbindingen.

En hoe zit het met Windows 10? Ik zie in settings dat mijn PC een 'link-local ipv6' adres heeft (maar ook een ouderwets 192.168. . .) Zou ik IPv4 uit kunnen/willen zetten als ik nou alleen PC's op m'n netwerk heb?

fe80:: is alleen lokaal, dus dan heb je blijkbaar geen IPv6 van je provider. Je hebt dat als je een adres in de 2000::/3 range hebt.

Als je dat wel hebt: je kan voor de lol wel eens proberen op Windows 10 of 11: ga naar de netwerkinstellingen, en zet IPv4 helemaal uit, en bij de IPv6 instellingen stel 1 van deze DNS servers in. Je draait dan IPv6-only met DNS64/NAT64.

Je zal dan zien dat bijna alles werkt, maar sommige applicaties niet: oudere games, de Spotify desktop app, en andere applicaties die naar een letterlijk IPv4 adres willen verbinden. Dat is het probleem dat CLAT fixt: het geeft aan applicaties die per se IPv4 nodig hebben een adres, en doet de vertaling naar IPv6 op OS-niveau.

[Reactie gewijzigd door Dreamvoid op 8 maart 2024 17:40]

D0ubleD0uble
@Alxndr • 8 maart 2024 17:41

De Switch doet zover ik weet geen IPv6. Het is niet hardware afhankelijk, de CLAT is een stukje vertaal software, dus het is aan de fabrikant om dat in te bouwen. Tenzij je een geavanceerde netwerknerd bent of een enterprise omgeving wilt draaien hoef je je echt geen zorgen te maken om CLATs.

Een link-local adres is een vereiste binnen IPv6. Deze wordt gebruikt voor router advertisements (deze wordt gebruikt voor autoconfig genaamd SLAAC om een IPv6 adres aan te maken zonder centrale DHCP server zoals IPv4 dat nodig heeft) en ook voor mDNS zodat je bijvoorbeeld een printer of speaker kan vinden op je netwerk zonder geavanceerde configuratie. Een link local werkt namelijk alleen binnen het eigen subnet: ze worden niet gerouteerd en kunnen ook niet het internet op.

@Alxndr • 8 maart 2024 20:12

Nintendo Switch OS 'Horizon' is een proprietary microkernel deels gebaseerd op Android en FreeBSD. Alle drivers draaien in user space. Networking is van FreeBSD, en die hebben als 1 van de eerste OSen ter wereld IPv6, de KAME stack. Dus ik zou zeggen dit kan relatief eenvoudig. Ze doen het niet want hogere attack surface.

D0ubleD0uble
@Alxndr • 8 maart 2024 17:34

Er gaat niks kapot omdat in de meeste gevallen draai je dualstack (je hebt dus zowel een IPv6 als IPv4 adres, in het geval van IPv4 heb je zo'n 192.168.x.x, dat heet formeel de RFC1918 space)
Verbindingen die IPv6 gebruiken doen het dan via je IPv6 adres en IPv4 gaat via je IPv4 adres.

Dit gaat over meer geavanceerde netwerken (voornamelijk bedrijf/enterprise) waar je zoveel mogelijk IPv6 wilt draaien om het onderhoud makkelijker te maken. IPv6 is niet compatibel met IPv4. Als ik alleen een IPv6 adres heb en geen IPv4 adres, dan kan ik geen IPv4 websites of apps bezoeken. Om dit op te lossen heb je transitie technologie zoals NAT64. Je IPv4 adres doet namelijk NAT44 (je 192.168 veranderd in een publiek IPv4) en met NAT64 doe je eigenlijk precies hetzelfde, alleen dan heb je geen 192.168 meer nodig. Een CLAT is een van deze transitie technologieën. Via een optie in je router zegt ie dan tegen je apparaat "hey, als je over een CLAT beschikt mag je je 192.168 adres uitschakelen"
Je apparaat zal zichzelf via de CLAT dan zo instellen dat hij al je IPv4 verkeer "tunnelt" naar de eigen CLAT en die stuurt het weer door naar je router. De CLAT is dus eigenlijk een vertalertje waardoor je router niet twee addressen moet beheren voor één apparaat (dus je 192.168 en een IPv6 adres, zoals 2001:db8::) maar alleen het IPv6 adres nodig heeft.

CLAT wordt ook wel 464XLAT genoemd en dit wordt bijvoorbeeld al gebruikt door T-Mobile in de VS.

(Ik ben een ontzettende grote netwerknerd/tweaker die thuis en op servers enkel op IPv6 draait

)

gwabber
8 maart 2024 16:56

Internettoegang

@D0ubleD0uble • 8 maart 2024 17:05

Nou nog wachten op support voor NAT64 bij providers en PREF64 op routers, want dat is helaas ook nog niet heel wijdverspreid.

Zit een beetje in the middle. Ik heb mijn netwerk al wel voorbereid om te kunnen internetten met IPv6 en alle verkeer waarbij het mogelijk is gaat netjes via V6 naar buiten. Alleen laat ik mijn apparaten intern nog IPv4 met elkaar communiceren

Ghandi
@gwabber • 8 maart 2024 17:12

Ik heb precies hetzelfde als gwabber. Communicatie naar buiten gaat via IPv6/IPv4; intern over IPv4.

Wat mij namelijk onduidelijk is, is hoe je moet omgaan met je IPv6 netwerk als je verbinding weg valt.

Ik zit op Freedom en voor IPv6 is het DHCP6 en op de interne interfaces is het: Track Interface.

Op het moment dat de verbinding naar buiten wegvalt, vervalt ook de IPv6 nummering intern; het 'fe80 adres" blijft wel, maar daar kan je niet mee tussen VLAN's routeren.

Kwestie van nog geen tijd genomen om me er echt in te verdiepen.

fuzzyIon
8 maart 2024 16:55

Internettoegang

@Ghandi • 8 maart 2024 17:17

Voor private routeerbare netwerken heb je ULA adressen (fd00::/8), die kan je door je router laten uitdelen.

gwabber
@Dreamvoid • 8 maart 2024 17:31

ik gebruik inderdaad ook ULA adressen voor interne routing met IPv6.

Echter heb ik hetzelfde als Ghandi. Als de trackinterface wegvalt, lijkt ook de routing voor de ULA's weg te vallen. Ik gebruik Pfsense en heb de ULA's als VIPs ingesteld op de interfaces waar ik ook een trackinterface op heb zitten voor een GUA.

Fijn dan gelijk ook een flag in edge waarbij je net zoals met firefox een optie hebt om ipv6 (dns) in de browser uit te schakelen.

D0ubleD0uble
@fuzzyIon • 8 maart 2024 17:09

Maar waarom zou je IPv6 willen uitschakelen, en specifiek in de browser? Bepaalde Chromium forks hebben die optie geloof ik wel. Je bent veel beter af door Windows te configureren om IPv4 te prefereren boven IPv6 dan proberen om IPv6 spul hier en daar uit te schakelen. Of gewoon het juiste doen en IPv6 overal inschakelen

fuzzyIon
@D0ubleD0uble • 8 maart 2024 18:21

Maar waarom zou je IPv6 willen uitschakelen, en specifiek in de browser?

Om een dnsleak te voorkomen als je een vpn gebruikt. Ook al zet je ipv6 overal uit in windows blijft umatrix nog steeds een ipv6 adress tussen alle aanvragen weergeven.

https://learn.microsoft.c...configure-ipv6-in-windows

Ja ik heb de voorkeur aangegeven voor ipv4 boven ipv6 . Bovendien evengoed deur 6 op slot gedaan.