IPv6 subnetten consumenten

TomG · 18 dec 2021, 22:51

Hallo,

Ik heb een paar vraagjes rond global IPv6 subnetten die je door je provider toegekend krijgt bij een consumenten internet verbinding.

Krijg je altijd hetzelfde IPv6 subnet toegkend (begint in Belgie precies vaak met 2a02 merk ik). Of van wat hangt dit af? Wijzigt dit na stroom onderbreking, wissel van modem,...?
Heeft iedere klant zijn eigen subnet of worden subnetten gedeeld door meerdere klanten?
Krijg je voor een toestel steeds hetzelfde ip toegewezen gekregen?
Deze vraag volgt na een 'ja' o vraag 2 en 3: Is zo'n subnet 'veilig' te gebruiken voor 'vertrouwde' LAN toegang? Met andere woorden, stel dat je in een aantal toestellen firewall instelt dat gans het subnet er aan kan èn externe IPv6 adressen of subnetten van vertrouwde locaties (en uiteraard de nodige gaatjes in je router om dit mogelijk te maken). Het idee is dat het apparaat dan op één en hetzelfde global IPv6 adres bereikbaar is (en het liefst zo min mogelijk te klooien met WAN public IPv4 en LAN private IPv4).

Context: door het gemak van geen NAT te hebben, kan je ieder device (Raspberry Pi's, NAS'en,...) rechtstreeks bereikbaar te maken vanaf het internet. Met die verstande dat je voor bepaalde vertrouwde locaties ip adressen en subnetten in de firewall steekt van die apparaten zodat die niet voor gans de wereld er aan kan.
Deze vraag geldt specifiek voor Proximus en Edpnet.

alvast bedankt

dupondje · 19 dec 2021, 08:45

1. Je krijgt natuurlijk een IP uit de range van je provider. Maar (zeker bij Proximus) is dat bij elke reconnect anders (zoals bij IPv4)
2.Een subnet is uniek. Dus enkel jij hebt op dat moment dat subnet (een /56 normaal) actief.
3. Nee, aangezien je prefix wijzigt. Je suffix is normaal altijd hetzelfde als je SLAAC gebruikt.
4. Je kan een soort dyndns doen die je prefix aanpast in DNS als die wijzigt. Zo kan je idd je devices vanaf extern en zonder NAT aanspreken als je de nodige zakken openzet

gm123 · 19 dec 2021, 15:04

1. Bij Edpnet krijg je een statische /64. Altijd dezelfde dus.
2. Reeds beantwoord hierboven. Met een statische prefix is het echt volledig van jou (gelinkt aan je fysieke verbinding natuurlijk).
3. Met een statische prefix kan dat dus wel. Ik merk dat mijn Fritzbox SLAAC gebruikt (of iets gelijkaardig) waarbij de suffix wordt afgeleid van het MAC adres. Wanneer een nieuw IPv6 device verbindt wijst hij eenmalig een suffix toe aan dat device, en die blijft vanaf dan statisch ook na restarts, reconnects, veranderen van LAN poort, etc. Dus met een statische prefix en een statische suffix heb je een volledig statisch adres. Je kan ook gewoon een statisch IPv6 adres instellen op je device, die je kiest uit jouw pool van /64 (de statische prefix die je krijgt toegewezen + een suffix die je zelf kiest).
4. Yep kan zeker. Met een firewall op de router die standaard alle inkomende verbindingen blokkeert is er geen enkel verschil tussen een poort open zetten op IPv6 en port forwarding i.c.m. IPv4 NAT. In beide gevallen zal 'het internet' aan die poort kunnen. Je opent enkel de poort die je toegankelijk wil naar je IPv6 device, al de rest blijft standaard dicht (bij een FB is dat toch zo).

19 dec 2021, 15:17

1. Er nooit vanuit gaan dat een ipv6 subnet statisch is. Indien je statische adressen nodig hebt, voorzie dan een ULA zodat je altijd intern dat kan gebruiken.

2. Gezien de massa aan IPV6 adressen krijgt elke klant een eigen ipv6 range toegewezen. Bij telenet krijg je als je geen dhcpv6 gebruikt een /64 toegewezen aan je router, met dhcpv6 krijg je een /60 welke je verder kan onderverdelen in je eigen netwerk.

3. Hangt af van de configuratie.
SLAAC: meestal zelfde adres, gebaseerd op (oa) mac adres, tenzij de privacy extensions geactiveerd hebt, dan kan dit random zijn.
DHCPv6: adres wordt toegewezen door de server. Die zal meestal wel altijd hetzelfde adres toewijzen.

Dat subnet is veilig, MAAR... ga er vanuit dat het niet statisch is. Dingen die je perse via ipv6 wil adresseren binnen je eigen lan: gebruik een ULA. Als je dingen van buitenaf wilt addresseren, voorzie dan dat je op een of andere Dynamic DNS service zodat je altijd van naam naar IP kan gaan.

En zoals altijd: een goede firewall voorzien.

Edward Valckx · 19 dec 2021, 22:45

TomG schreef:Krijg je altijd hetzelfde IPv6 subnet toegkend (begint in Belgie precies vaak met 2a02 merk ik). Of van wat hangt dit af? Wijzigt dit na stroom onderbreking, wissel van modem,...?

Op https://www-public.imtbs-tsp.eu/~maigro ... cs/BE.html zie je welke subnetten toegekend zijn aan elke provider:

EDPnet: 2a02:578::/32 en 2a04:4400::/29
Proximus: 2a02:a000::/26 en 2a04:9f80::/29
Telenet: 2a01:498::/32 en 2a02

:/24 en 2a00:ace0::/32
VOO: 2a02

:/32

EDPnet geeft wel een vaste IPv6 LAN prefix (een /56 en deze is constant, en zie je zelfs in je MyEdpnet), maar hun IPv6 WAN prefix is variabel (tenzij je een fixed IPv6 neemt, zoals bij IPv4).

21 dec 2021, 11:30

Welke ranges zijn toegekend (zowel ipv4 als ipv6) kan je t makkelijkste bekijken via http://bgp.he.net