Belgacom: IPv6

[jelleV]

hallo,
Dit kan voor sommigen misschien een domme vraag zijn maar ik geraak er gewoon niet uit.

Fervente speler van WoW en hier kan je met IPv6 spelen.
Voorheen was dit altijd grijs (omdat ik wist dat ik geen ipv6 kon krijgen hier) maar sinds een dag of twee is dit niet meer grijs dus ik kan in theory IPv6 enablen in het spel. Nu mijn vraag is: heeft belgacom al IPv6 aanstaan en zou ik het uitproberen om het aan te zetten in WoW?
Ik deed een ipv6 test op test-ipv6 en die zei dat het resultaat 0/10 was bij ipv6 (dus echt wel geen ipv6).
Weet iemand hier meer van? (ik heb een internet comfort abo op het 16.5 MB)

Alvast bedankt

[digishine]

IPV6 is nog niet beschikbaar in belgie.

[jelleV]

AH kk

Komaan belgacom, we betalen genoeg neen

Bedankt voor het antwoord

[krisken]

Ik begrijp dat je ipv6 wenst, ikzelf ben ook vragende partij. Maar wat voor voordeel zou wow hier mee hebben?

[jelleV]

Geen idee maat, ik weet wat IPv6 doet maar ik weet niet waarom WoW dit zou willen gebruiken

Nu ben ik er eigenlijk wel nieuwsgierig voor want een guild member zei dat hij helemaal geen verschil zag tussen 4 en 6.

[meon]

IPV6 is nog niet beschikbaar in belgie.

... Bij Belgacom. EDPnet staat op dat vlak al enkele stappen verder.

[lithion]

Zelfs EDPNET biedt nog geen native IPv6 aan.

[Ofloo]

maar ze geven wel die indruk 'k snap niet echt wat daar de bedoeling van is.

[zaiko2000]

IPv6 is toch maar ontwikkeld om het tekort aan internet adressen op te lossen en het nieuwe IPv6 heeft een bijna onuitputtelijke voorraad adressen !
De laatste IPv4 adressen waren al opgebruikt.

[tonym]

maar ze geven wel die indruk 'k snap niet echt wat daar de bedoeling van is.

EDPnet heeft toch al 4 maand een IPv6 PoP voor Belgie: https://www.sixxs.net/pops/edpnet/

[lithion]

Ze voorzien gewoon een POP voor een IPv6 tunnel. Meer niet. EDPNET heeft wel als enige commerciële ISP een dual stack website. Belgacom en consoorten zijn wel aan het spelen met IPv6, maar heeeeel beperkt.

[depeje]

Ook de websites die bij hun gehost staan en hun mailservers zijn dual stack.

[jelleV]

IPv6 is toch maar ontwikkeld om het tekort aan internet adressen op te lossen en het nieuwe IPv6 heeft een bijna onuitputtelijke voorraad adressen !
De laatste IPv4 adressen waren al opgebruikt.

De laatste IPv4 adressen zijn nog niet helemaal opgebruikt hoor. Ergens gelezen dat er nog een paar 10 duizend misschien honderdduizend zijn ter beschikking van de ISP's of zoiets. EN inderdaad IPv6 was ontwikkeld voor het tekort, (ipv6 is onbeperkt denk ik).

IK denk dat ik heb gevonden waarom WoW ipv6 ondersteund. In azia hebben ze nu al veel IPv6 adressen en daarmee denk ik

[krisken]

De /8 blokken zijn uitgedeeld, dus "in theorie" zijn ze op.

[Ofloo]

maar ze geven wel die indruk 'k snap niet echt wat daar de bedoeling van is.

EDPnet heeft toch al 4 maand een IPv6 PoP voor Belgie: https://www.sixxs.net/pops/edpnet/

Daar heb ik nu echt op zitten wachten nog een tunnel, het enige nieuwe daaraan is dat de routing misschien iets beter zal zijn, maar het loopt nog altijd over een IPv4 netwerk, als je tegen mij verteld dat een ISP IPv6 aanbied dan denk ik dat ik een IPv6 rechtstreeks van de ISP krijg zonder dat ik hier tunnels voor moet creëren.

In mijn ogen is dit veel tamtam maken voor niks xs4all gaf vroeger al 6to4 of iets dergelijks. 5 ~ 10 jaar geleden? Kan ook een ander soort tunnel geweest zijn 'k weet enkel dat xs4all vroeger reeds ipv6 leverde en ik dacht chello ook.

[tonym]

Begrijp best je punt wel, maar eerlijk wat hebben we vandaag meer aan native IPv6?
Pas vanaf juni 2012 zal IPv6 echt belang beginnen krijgen:
http://www.internetsociety.org/news/wor ... t-protocol

Ik heb ook al een paar jaar een SixXS tunnel over IPv6 PoP van Easynet en dat heeft ruim volstaan.

[skynetbbs]

meer "adressen" is slechts 1 van de 8 verbeteringen... ik geloof dat WoW vnl profiteerd van de multicast waardoor data veel sneller kan verstuurd worden van de servers naar de klanten ... nu moet alle data naar elke klant afzonderlijk...meer verbruik en bottleneck aan de serverkant...
Jumbograms kunnen ook voordelig zijn?
meer info hier : http://en.wikipedia.org/wiki/IPv6

dit zijn ze nog eens op een rijtje:
1 Larger address space
2 Multicasting
3 Stateless address autoconfiguration (SLAAC)
4 Mandatory network-layer security
5 Simplified processing by routers
6 Mobility
7 Options extensibility
8 Jumbograms

[ubremoved_539]

Dergelijke dingen gaan vermoedelijk pas echt zin hebben als je front-to-back native IPv6 support hebt... en aangezien geen enkele provider dit momenteel in Belgie heeft is het dus twijfelachtig.

[skynetbbs]

Xs4all biedt het aan in combinatie met zon fritz fon router

[ Post made via mobile device ]

[Gent32m]

Eventjes dit topic vanonder het stof halen.

1. Wanneer zal Belgacom IPV6 aanbieden. Is hierover ondertussen al meer bekend ?
2. Als je via IPV6 verbindt, wat verandert er dan intern allemaal in je netwerk (of moet je zelf voorzien) ?

* Nieuwe switches ? (of blijven die ook met IPV6 werken)
* Windows XP en IPV6 (service pack/patch hiervoor installeren)
* Static IP (wordt een IPV6 nummer of blijft intern een IPV4 adres)
* Andere ?

Wie heeft hier al ervaring mee.

Gent32m

[xenne]

er zou naar het schijnt een mogelijkheid bestaan om een test IPv6-adres te verkrijgen

[nico2]

Dat heb met googelen ook gevonden en onderander hier: http://community.belgacom.be/posts/b40e ... 2238#72238
Maar er wordt nergens gemeld hoe je dit moet doen om er ene vast te krijgen ?
Ik ben ook wel geinteresseerd en als iemand weet hoe, dan zou ik het ook graag weten.

Nico

[TomG]

er zou naar het schijnt een mogelijkheid bestaan om een test IPv6-adres te verkrijgen

Met "een ipv6" adres kan je slechts één device connecteren (remember, geen NAT meer), dus het zal toch zeker een range moeten zijn.

* Nieuwe switches ? (of blijven die ook met IPV6 werken)
* Windows XP en IPV6 (service pack/patch hiervoor installeren)
* Static IP (wordt een IPV6 nummer of blijft intern een IPV4 adres)
* Andere ?

Een domme switch (layer 2) zal daar geen hinder mee ondervinden. Ander paar mouwen natuurlijk voor layer 3 switchen, maar die heb je vast niet thuis staan
Voor Windows xp, dunno maar waarom zou je daar nog ipv6 op willen? ipv4 kan naast ipv6 bestaan. Vanaf een ipv4 adres kan je uiteraard geen ipv6 hosts bereiken (los van eventuele ipv6 tunnels etc).
Statische ip's zal wel denk ik enkel voor business oplossingen zijn.

Waar ik mij echter meer zorgen over maak en je leest daar zelden iets over in dergelijke topics is wat met security. Geen NAT wil zeggen dat een groot stuk basis beveiliging verdwijnt. Er is dus ook niets meer zoals port forwarding (DMZ ook niet althans binnen NAT bekeken).
Zijn alle ipv6 compatibele routers dan nog voorzien van degelijke firewalling?

[jackho]

@ Nico2, als je naar je opgegeven link hierboven surft staat daar :

je kan altijd vragen om een (test)IPv6-adres te krijgen maar dit is geen zekerheid dat je deze zal krijgen, dat zal dan een gunst zijn

Dus blijkbaar zal het niet voor iedereen weggelegd zijn en dan vraag ik mij af of er dan ook iets in de BBOX2 moet ingesteld worden ?
mvg

[ubremoved_539]

Waar ik mij echter meer zorgen over maak en je leest daar zelden iets over in dergelijke topics is wat met security. Geen NAT wil zeggen dat een groot stuk basis beveiliging verdwijnt. Er is dus ook niets meer zoals port forwarding (DMZ ook niet althans binnen NAT bekeken).
Zijn alle ipv6 compatibele routers dan nog voorzien van degelijke firewalling?

Misschien dat EDPnet klanten hier iets kunnen over vertellen ?

Initieel had ik ook nog een foutje in m'n IPv6 tunnel configuratie (eigenlijk m'n firewall setup) en stond zo ook compleet open

[Gent32m]

Verdwijnt de Firewall op de modem/router ? (of slechts in beperkte mate).
Zo ja, wat stellen jullie in, om dit te compenseren

Een domme switch (layer 2) zal daar geen hinder mee ondervinden. Ander paar mouwen natuurlijk voor layer 3 switchen, maar die heb je vast niet thuis staan
Voor Windows xp, dunno maar waarom zou je daar nog ipv6 op willen? ipv4 kan naast ipv6 bestaan. Vanaf een ipv4 adres kan je uiteraard geen ipv6 hosts bereiken (los van eventuele ipv6 tunnels etc).
Statische ip's zal wel denk ik enkel voor business oplossingen zijn.

- Mijn switch is een Linksys switch (van rond de 50 euro). Dus, die zal wel layer 2 zijn, veronderstel ik
- Ik zit nog met Windows XP op mijn desktop pc (zou daarmee alle websites, etc) nog willen kunnen bereiken. Eens mijn Fritzbox modem via de IPV6 van Belgacom verbindt.

Gent32m

[ubremoved_539]

Officieel denk ik niet dat er reeds IPv6 ondersteuning is voor de BBOX2 en Belgacom... dus dat zou enkel maar speculaties zijn.

Post je vraag eens binnen een EDPnet IPv6 topic zouik zeggen.

[depeje]

Verdwijnt de Firewall op de modem/router ? (of slechts in beperkte mate).
Zo ja, wat stellen jullie in, om dit te compenseren

De firewall verdwijnt zeker niet uit de router. Wat wel verdwijnt (voor het IPv6 gedeelte dan) is de NAT en de intrinsieke beveiliging die dat met zich meebrengt. Namelijk: Een host op het internet kan een host in je lan niet contacteren voordat de host op je lan eerst die host op het internet heeft gecontacteerd.

Diezelfde veiligheid kan teruggebracht worden met een echte firewall. Die zal dan controleren of een host op het internet wel recht heeft de lan host te contacteren door na te gaan welke host het initiatief voor de communicatie heeft genomen. Een aantal firewall regels volstaan om de NAT-veiligheid terug te brengen. Die gaan waarschijnlijk standaard in de router (zo eentje voor huis-tuin-en-keuken-gebruik) geprogrammeerd zitten.

Als je dan een service toch toegankelijk wil maken vanop het internet, moet je gewoon de poort openzetten voor het IP adres van de juiste host, maar moet je niet gaan port-forwarden. Je kan dan in dezelfde moeite heel gemakkelijk instellen WELKE internet hosts toegang moet krijgen tot die poort op je LAN host.

Voorbeeld:

Dit is de configuratie van mijn IPv6 firewall. Enkel twee lijnen zijn nodig om de NAT-veiligheid terug te brengen. De andere zijn om bepaalde services op bepaalde hosts toegankelijk te maken vanop het internet. Als iemand een beveiligingslek ziet, laat het dan AUB weten .

Code: Selecteer alles

krusty:~ # ip6tables -L -v
Chain INPUT (policy DROP 973K packets, 165M bytes)
 pkts bytes target     prot opt in     out     source               destination         
40881   32M ACCEPT     tcp      any    any     anywhere             anywhere            state ESTABLISHED 
 108K   23M ACCEPT     udp      any    any     anywhere             anywhere            state ESTABLISHED 
 858K   76M ACCEPT     ipv6-icmp    any    any     anywhere             anywhere            
    0     0 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:ssh 
    0     0 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:http 
  149 11920 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:https 

Chain FORWARD (policy DROP 15790 packets, 966K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:ssh 
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:https 
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:http 
6022K  503M ACCEPT     all      any    sixxs   anywhere             anywhere                                                  <= deze lijn laat alle verkeer van LAN naar internet toe
13M   16G ACCEPT     all      any    any     anywhere             anywhere            state ESTABLISHED     <= deze lijn laat verkeer van internet naar LAN toe als een LAN host het initiatief heeft genomen.

Chain OUTPUT (policy ACCEPT 1168K packets, 112M bytes)
 pkts bytes target     prot opt in     out     source               destination

De lijnen in het bij CHAIN FORWARD slaan op de regels voor het gerouterde verkeer (LAN naar WAN of terug). De andere regels slaan op verkeer dat origineert op de router, of voor de router zelf bedoeld is. Bijvoorbeeld voor de managementsinterface, of de kloksynchronisatie. (Ik draai http, https en ssh op mijn router.)

[Gent32m]

Bedankt voor de info.

Kun je op deze manier ook bepaalde poorten gaan openzetten ? (iets wat ik vroeger deed met Port Forwarding).
Ik gaf dan een Port nummer + het IP adres (van de oproepende host/pc) op.

Gezien die port forwarding verdwijnt met IPV6.
Maar misschien zit er in die keuken modems (zoals de Fritzbox) hier ook wel iets voor voorzien.

Gent32m

[depeje]

Portforwarding wordt vervangen door het gewoon openzetten van poorten van een bepaald IP adres. In je router (met ingebouwde firewall) moet je die twee dan gaan ingeven. Het voordeel is dat je nu meerdere hosts in je lan kan hebben met dezelfde poorten open.

Maar de laatste 3 posts horen eigenlijk beter thuis in het topic "EDPnet IPv6... de praktijk" welk net is gestart of nog beter "IPv6... de praktijk".

[TomG]

Verdwijnt de Firewall op de modem/router ? (of slechts in beperkte mate).
Zo ja, wat stellen jullie in, om dit te compenseren

De firewall verdwijnt zeker niet uit de router. Wat wel verdwijnt (voor het IPv6 gedeelte dan) is de NAT en de intrinsieke beveiliging die dat met zich meebrengt. Namelijk: Een host op het internet kan een host in je lan niet contacteren voordat de host op je lan eerst die host op het internet heeft gecontacteerd.

Diezelfde veiligheid kan teruggebracht worden met een echte firewall. Die zal dan controleren of een host op het internet wel recht heeft de lan host te contacteren door na te gaan welke host het initiatief voor de communicatie heeft genomen. Een aantal firewall regels volstaan om de NAT-veiligheid terug te brengen. Die gaan waarschijnlijk standaard in de router (zo eentje voor huis-tuin-en-keuken-gebruik) geprogrammeerd zitten.

Als je dan een service toch toegankelijk wil maken vanop het internet, moet je gewoon de poort openzetten voor het IP adres van de juiste host, maar moet je niet gaan port-forwarden. Je kan dan in dezelfde moeite heel gemakkelijk instellen WELKE internet hosts toegang moet krijgen tot die poort op je LAN host.

Voorbeeld:

Dit is de configuratie van mijn IPv6 firewall. Enkel twee lijnen zijn nodig om de NAT-veiligheid terug te brengen. De andere zijn om bepaalde services op bepaalde hosts toegankelijk te maken vanop het internet. Als iemand een beveiligingslek ziet, laat het dan AUB weten .

Code: Selecteer alles

krusty:~ # ip6tables -L -v
Chain INPUT (policy DROP 973K packets, 165M bytes)
 pkts bytes target     prot opt in     out     source               destination         
40881   32M ACCEPT     tcp      any    any     anywhere             anywhere            state ESTABLISHED 
 108K   23M ACCEPT     udp      any    any     anywhere             anywhere            state ESTABLISHED 
 858K   76M ACCEPT     ipv6-icmp    any    any     anywhere             anywhere            
    0     0 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:ssh 
    0     0 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:http 
  149 11920 ACCEPT     tcp      any    any     anywhere             2a02:578:f09:1::1/128 tcp dpt:https 

Chain FORWARD (policy DROP 15790 packets, 966K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:ssh 
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:https 
    0     0 ACCEPT     tcp      sixxs  any     anywhere             2a02:578:f09:1::1/128 tcp dpt:http 
6022K  503M ACCEPT     all      any    sixxs   anywhere             anywhere                                                  <= deze lijn laat alle verkeer van LAN naar internet toe
  13M   16G ACCEPT     all      any    any     anywhere             anywhere            state ESTABLISHED     <= deze lijn laat verkeer van internet naar LAN toe als een LAN host het initiatief heeft genomen.

Chain OUTPUT (policy ACCEPT 1168K packets, 112M bytes)
 pkts bytes target     prot opt in     out     source               destination

Dat maakt al heel wat duidelijk! Ik veronderstel dat de 2 regels voor reeds established connecties ervoor zorgen dat het enige verkeer dat normaal binnen kan, enkel hetgene is dat je zelf naarbuiten toe geïnitialiseerd hebt?

De (2) netwerk interfaces (WAN en LAN zijde) zijn die dan gewoon gebridged? Of zijn die afzonderlijk en moet je tussen netten routeren?

[lithion]

Bij IPv6 zal jouw router gewoon gaan routeren. Je krijgt één adres op je WAN kant en een range (meestal /56 for home use) voor je LAN kant. Bij default filter een fritzbox al het inkomend verkeer. Als noob heb je dus nog even 'veilig' als bij NAT.

[depeje]

Inderdaad. In mijn voorbeeld is "sixxs" de interface aan de WAN kant. Alle andere interfaces zijn LAN. De rules die belang hebben op het routeren tussen het internet en LAN zijn te vinden in "Chain FORWARD". Policy drop betekent dat alles gedropped moet worden wat niet voldoet aan de volgende regels. Bij de lijnen die van belang zijn heb ik al commentaar gezet.

De Chains INPUT en OUTPUT slaan enkel op het verkeer dat vertrekt of aankomt op de machine zelf. (Mijn IPv6 router is ook server, en genereert zelf ook wat verkeer.) Daarvoor heb ik dezelfde regels als in de FORWARD chain ook moeten toepassen in die chain. De eerste twee regels in de input chain doen hetzelfde als de laatste regel bij FORWARD, maar daar is UDP en TCP ontdubbeld. OUTPUT policy ACCEPT betekent hetzelde als de voorlaatste regel in de FORWARD chain, maar dan voor lokaal gegenereerd verkeer.

[TomG]

Dus voor puur routering (en internet toegang op router zelf enkel regels in input neem ik aan) heb je enkel zoiets hieronder nodig?

Code: Selecteer alles

    Chain INPUT (policy DROP 973K packets, 165M bytes)
     pkts bytes target     prot opt in     out     source               destination         
    40881   32M ACCEPT     tcp      any    any     anywhere             anywhere            state ESTABLISHED
     108K   23M ACCEPT     udp      any    any     anywhere             anywhere            state ESTABLISHED

Chain FORWARD (policy DROP 15790 packets, 966K bytes)
     pkts bytes target     prot opt in     out     source               destination         
    6022K  503M ACCEPT     all      IFLAN    IFWAN anywhere             anywhere
    13M   16G ACCEPT     all      IFWAN    IFLAN     anywhere             anywhere            state ESTABLISHED 

Is er een reden waarom je geen WAN interface gedefinieerd hebt op je forward chain internet --> lan? Want op de regel erboven in omgekeerde richting doe je dat wel.

En om één of meerdere hosts toegankelijk te maken van het internet voor een bepaald protocol moet je dus die regel in de input en de forward chain definiëren, that's all?

(mijn iptables kennis zit ondertussen al wat ver en kan een opfrisbeurt gebruiken )

[depeje]

Vergeet niet dat de output chain policy ACCEPT moet hebben. Die chain kan je trouwens niet verwijderen. Op de forward chain rule wan ->lan heb ik geen interface gedefinieerd omdat het eigenlijk niet uitmaakt. Established connections mogen in alle richtingen door. En ik hebnog wat meer dan die twee interfaces. Dat spaart mij wel wat regels uit.

Om toegang te geven tot een host zijn elkel regels nodig in de forward chain. Bij mij staan die ook in de input chain omdat die host toevallig ook mijn router is, en linux het niet zo nauw neemt met IP adressen. (Voor linux behoort een adres aan de machine toe, niet aan de interface.) Anders had ik het eleganter kunnen oplossen. Het IP adres dat je kan zien in mijn iptables is eigenlijk van de lan interface, maar pakketten van het internet (interface sixxs) naar dat IP komen toch direct in de INPUT chain.