Skip to main content
Antwoord

Gebruikers krijgen geen VPN-toegang via IPv6 met zakelijke verbinding (DNS fout?)

  • June 5, 2025
  • 9 reacties
  • 94 keer bekeken
B
Deelnemer

Ik heb dit verzoek reeds telefonisch geprobeerd in te dienen, maar die weten niet wat te doen en verwijzen mij door naar het Abuse-team, die mij op hun beurt weer terugsturen naar de klantenservice. Dus, naar aanleiding van een eerder topic poog ik het hier: 

 

Een zakelijke relatie van ons, met zakelijke KPN-verbinding, heeft VPN-toegang beschikbaar voor externe gebruikers. Dit werkt bij een aantal gebruikers met een IPv6-verbinding niet en de oorzaak lijkt bij de DNS-servers van KPN te liggen.

 

Het volgende heb ik getest via twee mobiele KPN-verbindingen en Windows via een mobiele-hotspot:

Als ik een AAAA query doe naar vpn.bedrijf.nl, dan krijg ik een IPv6-adres terug. Een ping-opdracht naar datzelfde adres resulteert ook in een IPv6-adres dat bovendien beantwoord wordt. De klant heeft geen IPv6 geconfigureerd, dus de VPN-applicatie kan de verbinding niet opzetten. Via het IPv4-adres lukt dit wel, maar dan verschijnt er een certificaatfout.

Wanneer ik handmatig de DNS-servers van KPN (2a02:a47f:e000::53 en 2a02:a47f:e000::54) gebruik dan krijg ik hetzelfde resultaat, maar als ik de IPv6-DNS-servers van Quad9 of Cloudflare gebruik, dan wordt dat DNS-verzoek niet omgezet naar een IPv6-adres. Dit komt overeen met het antwoord van de web/domeinbeheerder die aangeeft dat er helemaal geen IPv6-records gedefinieerd zijn op dit domein. 

Wat me verder opvalt is dat traceroute naar zowel het IPv4 en IPv6 adres achter vpn.bedrijf.nl dezelfde route af lijkt te leggen en geresolved wordt naar een ip.biz.kpn.net-adres. Het bedrijf maakt geen gebruik van IPv6, maar het lijkt er hiermee op dat het IPv6-adres wel bij die verbinding hoort. IPInfo.io markeert het adres overigens als bogon address. 

 

Onbekend is of er in het verleden wel een AAAA-record heeft bestaan met deze waarde, dus ik weet niet of er simpelweg een record hangt, of dat de DNS-servers van KPN een eigen leven leiden. 

 

Handmatige alternatieven zoals IPv6 uitzetten bij de gebruikers, IPv4-adres invullen of hostsfile aanpassen gaan we niet doen. IPv6 aanzetten bij de klant is inmiddels wel voordeliger denk ik :-).

 

Wie wil mij helpen mag ik een privébericht met de adresgegevens sturen? Dank!

Beste antwoord door bry87

Het is geen kastje muur, gewoon een vraag of je wel de zakelijke (i.p.v. de gewone) klantenservice had gebeld.

Ik ben overigens geen KPN medewerker, die kun je herkennen aan het gedeelte “van KPN” in hun forumnaam, de overige gebruikers zijn allemaal gewone forumgebruikers.
KPN medewerkers/moderators reageren als ze aan je topic zijn toegekomen, dat kan een aantal dagen duren afhankelijk van hoe druk ze het hebben.

 

Edit: Ik hoor wel of het gewerkt heeft, zou toch vreemd zijn als KPN dat record zou overrulen.

Sorry GeSp, dat was niet persoonlijk bedoeld! Ik doelde op het pingpongen tussen afdelingen bij KPN. Waarschijnlijk was het uiteindelijk wel gelukt, maar het forum blijkt krachtiger en educatiever: Het werkt. Nadat het AAAA-record is aangemaakt geven zowel de DNS-servers van KPN als die van Quad9 geven hetzelfde IPv6-adres terug. 

Deze begint nu met ::ffff:. Gister was die prefix vanuit KPN nog 64:ff9b::. Misschien ging het daar mis. 

 

Ik zie dat het IPv4-to-IPv6-gegenereerde adres soms ook automatisch omgezet wordt naar :ffff:ipv4 (dus bijvoorbeeld ::ffff:5816:1616 = ::ffff:88.22.22.22).

Dank nogmaals. Ik hoop dat het anderen ook kan helpen. 

 

9 reacties

A
  • Anonymous
  • June 5, 2025

Hallo ​@bry87 

 

Oplossing voor het echte probleem heb ik niet, dat zal door KPN moeten gebeuren, je hebt de zakelijke klantenservice op 0800-0403 gebeld? Je zou verwachten dat die dat naar de juiste afdeling kunnen doorzetten.

Een workaround: Je zou een vpn.bedrijf.nl kunnen laten aanmaken door de DNS beheerder voor IPv6 met een geconverteerd IPv4 naar IPv6 IP adres: https://dnschecker.org/ipv4-to-ipv6.php

Dan wordt je gewoon doorgeleid naar het juiste IPv4 IP adres.

B
Vikash van KPN
B
Deelnemer
  • bry87
  • Auteur
  • Deelnemer
  • June 5, 2025

Hallo ​@bry87 

 

Oplossing voor het echte probleem heb ik niet, dat zal door KPN moeten gebeuren, je hebt de zakelijke klantenservice op 0800-0403 gebeld? Je zou verwachten dat die dat naar de juiste afdeling kunnen doorzetten.

Een workaround: Je zou een vpn.bedrijf.nl kunnen laten aanmaken door de DNS beheerder voor IPv6 met een geconverteerd IPv4 naar IPv6 IP adres: https://dnschecker.org/ipv4-to-ipv6.php

Dan wordt je gewoon doorgeleid naar het juiste IPv4 IP adres.

 

Ik heb een keer gebeld naar dat nummer en ik heb twee afdelingen gesproken, maar ik voel een kastje-naar-de-muur aankomen nu. Ik kende deze IPv4-naar-IPv6-oplossing nog niet en ik neem hem serieus in overweging. 

Edit: Als het record wel hangt bij KPN dan maakt dit waarschijnlijk geen verschil. We gaan het zien :-)

 

A
  • Anonymous
  • June 5, 2025

Het is geen kastje muur, gewoon een vraag of je wel de zakelijke (i.p.v. de gewone) klantenservice had gebeld.

Ik ben overigens geen KPN medewerker, die kun je herkennen aan het gedeelte “van KPN” in hun forumnaam, de overige gebruikers zijn allemaal gewone forumgebruikers.
KPN medewerkers/moderators reageren als ze aan je topic zijn toegekomen, dat kan een aantal dagen duren afhankelijk van hoe druk ze het hebben.

 

Edit: Ik hoor wel of het gewerkt heeft, zou toch vreemd zijn als KPN dat record zou overrulen.

B
Vikash van KPN
H
Slimmerik
Forum|alt.badge.img+7
  • hmmsjan_2
  • Slimmerik
  • June 6, 2025

Wat u waargenomen heeft is verklaarbaar. U gebruikt het mobiele netwerk, en dat gebruikt met de standaard APN uitsluitend IPv6.  Nu is het uiteraard niet de bedoelingen om sites met alleen IPv4 uit te sluiten, dus de KPN DNS geeft  vpn.bedrijf.nl  een IPv6 adres in de range 64:ff9b::/96 met de laatste 32 bits het IPv4 adres hexadecimaal. Deze adressen worden afgevangen bij KPN en als IPv4 naar de betreffende server gestuurd. Een standaard netwerk kan niets met deze adressen, dus een normale DNS server mag ze niet uitgeven. 

Daarnaast geeft het besturingssysteem een enkel IPv4 adres om IPv4 adressen naar de 64:ff9b::/96 IPv6 prefix te vertalen, zodat bijv. “ping 1.1.1.1” werkt. Als alles goed samenspeelt heb je dus “dual stack” terwijl alleen IPv6 door de ether gaat. ( Zie NAT64 en 464XLAT voor details)

Een VPN zonder IPv6 support voegt dan weer een “klassieke” IPv4 verbinding toe. Als alle internet verkeer over de VPN gaat, wat als ik goed begrepen heb standaard is bij IOS, moet de VPN de DNS server dus wel aanpassen naar een eigen server.  

In theorie moet het dus werken, maar ik weet te weinig van mobiel of alle operating system versies die in telefoons gestopt worden dit allemaal netjes doen. In dat geval kunt u een APN proberen die een “echt” IPv4 adres uitgeeft.

B
Deelnemer
  • bry87
  • Auteur
  • Deelnemer
  • Antwoord
  • June 6, 2025

Het is geen kastje muur, gewoon een vraag of je wel de zakelijke (i.p.v. de gewone) klantenservice had gebeld.

Ik ben overigens geen KPN medewerker, die kun je herkennen aan het gedeelte “van KPN” in hun forumnaam, de overige gebruikers zijn allemaal gewone forumgebruikers.
KPN medewerkers/moderators reageren als ze aan je topic zijn toegekomen, dat kan een aantal dagen duren afhankelijk van hoe druk ze het hebben.

 

Edit: Ik hoor wel of het gewerkt heeft, zou toch vreemd zijn als KPN dat record zou overrulen.

Sorry GeSp, dat was niet persoonlijk bedoeld! Ik doelde op het pingpongen tussen afdelingen bij KPN. Waarschijnlijk was het uiteindelijk wel gelukt, maar het forum blijkt krachtiger en educatiever: Het werkt. Nadat het AAAA-record is aangemaakt geven zowel de DNS-servers van KPN als die van Quad9 geven hetzelfde IPv6-adres terug. 

Deze begint nu met ::ffff:. Gister was die prefix vanuit KPN nog 64:ff9b::. Misschien ging het daar mis. 

 

Ik zie dat het IPv4-to-IPv6-gegenereerde adres soms ook automatisch omgezet wordt naar :ffff:ipv4 (dus bijvoorbeeld ::ffff:5816:1616 = ::ffff:88.22.22.22).

Dank nogmaals. Ik hoop dat het anderen ook kan helpen. 

 

Vikash van KPN
A
  • Anonymous
  • June 6, 2025

Ik vatte het ook niet persoonlijk op ​@bry87 maar het was alleen bedoeld om duidelijk te maken dat er hier nog geen KPN medewerker had gereageerd.
 

Fijn dat het werkt en je dat nog even hebt laten weten.

B
H
Slimmerik
Forum|alt.badge.img+7
  • hmmsjan_2
  • Slimmerik
  • June 7, 2025

Eens getest met een (oude) iphone en OpenVPN naar een eigen server. Met hotspot aan maakt IOS een bridge aan, zodat de telefoon en de PC op een enkel netwerk zitten en een geldige IPv6 configuratie verkregen wordt. Plus IPv4.  APN=internet.  

Zonder IPv6 adres krijgt de OpenVPN server een IPv6 in de   64:ff9b:: range en VPN werkt. Communicatie tussen PC en telefoon loopt via IPv6 en het 64:ff9b:: adres. Dit is zoals het zou moeten zijn, webservers met alleen IPv4 lopen ook via die 64:ff9b:: prefix. 

Maar een ::ffff:<ipv4 adres> prefix in DNS werkt het ook, ik heb nooit een toepassing hiervoor gezien. De communicatie tussen PC en telefoon loopt nu via IPv4. Achter de telefoon kan ik niet kijken, maar bij gebrek aan een IPv4 adres zal toch 64:ff9b:: naar buiten moeten gaan.

Dus: IOS + Linux werkt noals het moet. Het zou ook nog kunnen zijn dat Windows of beveiligingssoftware problemen heeft met die 64:ff9b prefix, die als “bogon” op ipinfo.io staat. Wat op ipinfo staat is correct: dit adres hoort niet op internet. Maar het blijft binnen het KPN netwerk, naar buiten gaat IPv4.

 

 

 

TDN
Wijsgeer
Forum|alt.badge.img+12
  • TDN
  • Wijsgeer
  • June 7, 2025

Het zou ook nog kunnen zijn dat Windows of beveiligingssoftware problemen heeft met die 64:ff9b prefix, die als “bogon” op ipinfo.io staat. 

Windows ondersteunt CLAT nog niet op Wifi of LAN maar wordt dan ondersteunen in Windows 11

Windows 11 Plans to Expand CLAT Support

When you can’t sleep at night, it’s because you’re awake in someone else’s dreams
B
H
Slimmerik
Forum|alt.badge.img+7
  • hmmsjan_2
  • Slimmerik
  • June 7, 2025

OK, dat zou wat kunnen verklaren. Ik zal bij gelegenheid eens op een Win10 systeem kijken, want helemaal begrijp ik het nog niet. Ik krijg in Linux netjes een IPv4 en IPv6 adres, en als je dus simpelweg 64:ff9b:: via de default route naar de telefoon stuurt zou het volgens mij moeten werken. Maar als je via Wifi alleen 2000::/3 accepteert wordt het natuurlijk niets…

 

De Kennisbank

Heb je vragen over diensten, producten of wil je weten hoe je modeminstellingen verandert? Vind het antwoord op de meest gestelde vragen in onze Kennisbank

...

Community voorwaardenAccessibility statement