KPN Box 12: IPv6 is weer stuk sinds firmware V12.C.24.16.14 

Dit is een bekend probleem, inderdaad. De oplossing is voor nu IPv6 uit te zetten en alleen IPv4 te gebruiken, ​@John Goets. Teruggaan naar een eerdere softwareversie is helaas niet mogelijk. Er wordt gewerkt aan een oplossing.

​@Denise van KPN 

Wel heel erg jammer dat er een BEKEND probleem is, en dat er dan geen fallback is naar de vorige versie, die het toevallig wel goed deed. Als ik me heel voorzichtig uitdruk: “Niet echt fraai.”

Desalniettemin dank voor je reactie, je hebt in ieder geval duidelijk gemaakt dat het een probleem aan KPN zijde is, waarvan akte.

Dat ipv6 probleem zou toch juist opgelost moeten zijn in deze versie?

https://tweakers.net/nieuws/234338/kpn-repareert-bug-met-dubbel-uitgegeven-ipv6-adressen-in-box-12-modem.html

Het “dubbel” probleem lijkt in deze firmware opgelost, maar nu is er een IPv6 firewall issue geïntroduceerd. Het is ook allemaal erg nieuw natuurlijk /s (FYI: IPv6 begon in 1995!)

Ok. Wat een geknoei. Die softwareontwikkelaars zitten zichzelf aan het het werk te houden lijkt het wel. Het is nooit af.

Het word tijd dat KPN Fritzboxen gaat uitdelen aan de klanten die dit graag willen als compensatie. 
Niet iedereen meld zich hier altijd en direct, maar er zullen meer mensen zijn die balen van deze situatie. 

Hier nog een KPN er. 

Ik kom me er ook even mee bemoeien :) 

Dit klopt.

In de 16.14 versie is het IPv6 probleem dat in de vorige versie bestond opgelost:

• Er is een bug waarbij de Box 12 twee IPv6 gateway adressen uitdeelt (ipv 1) aan je eindapparaat via welke ze op internet gaan. Een hiervan is dan niet valide, waardoor je verbindingsproblemen kunt krijgen als je eindapparaat via dat niet valide adres op internet probeert te gaan. Deze bug is opgelost. 

Deze versie hebben we inmiddels bij het gros van de klanten geïnstalleerd. Als het probleem wat jij beschrijft algemeen voorkomend zou zijn, dan hadden we hier al meer meldingen van gezien. Wat niet wil zeggen dat jij niet nu een probleem hebt. Maar dat ik eerder denk dat dit iets individueels is.

Iets anders dat verholpen is in de 16.14 versie is dit:

• ICMPv6 werd ten onrechte tegengehouden bij firewallniveau Aangepast. Nu niet meer.

Ik begrijp dat jij firewallniveau Standaard en Aangepast al hebt gebruikt. Maar misschien dat er onder water wat dingen zij blijven hangen en door elkaar geraakt bij de update. Het is wat drastisch, maar reset je Box 12 eens? Het is een beetje een standaardantwoord, maar het is wel zo dat we zien dat een reset vaak de gekke dingen oplost. 

Zoals ik eerder in de Product Update aangaf heb ik dit even nagevraagd, en wat jij ervaart is de bedoelde werking. 

De firewall die je kunt instellen in het modem, is die voor het uitgaande verkeer. Op niveau Standaard zijn daarin geen beperkingen en kan alles naar buiten toe communiceren.

Maar voor de inkomende firewall staat standaard alles dicht. Dat is de bedoeling, en dat kun je ook niet aanpassen. 

Als jij een apparaat in je thuisnetwerk van buitenaf wilt bereiken, dan moet je dat apparaat daarvoor openzetten. Dat stel je in onder Beveiliging > Port forwarding > IPv6.

Zorg dat je het juiste publieke IPv6 adres van dat apparaat daar instelt, en dat het apparaat in kwestie met een fixed IPv6 adres werkt (smartphones hebben de neiging om daarin te wisselen voor beveiliging).

​@Erik van KPN 

Dit is een wel HEEL erg merkwaardige kronkel: IPv6 mixen met “Port forwarding” voor beveligings doeleinden? Dat doe je normaal gesproken toch in een firewall? Bovendien is portforwarding sowieso ongebruikelijk in IPv6.

Daarnaast is deze “oplossing” ook volledig strijdig met Prefix Delegation door het modem. Hierbij wordt -zoals je weet - het beheer van een volledig /64 sub-netwerk door het modem gedelegeerd aan een achterliggende router/firewall. Hoe zou dat dan “geportforward” moeten worden? Sterker nog, het modem kent de topologie achter dat PD netwerk niet eens. Ter info: Prefix Delegation wordt ondersteund in deze versie en werkt - gelukkig - nog wel.

Voor alle volledigheid: ik heb geprobeerd de instructie te implementeren, maar zoals verwacht werkt dit niet! Ook niet na een “reset to factory settings”. om te voorkomen dat er “onder water wat dingen zijn blijven hangen” zoals je meldde.

Dus: 

• Vorige firmware deed het wel prima, inclusief PD en binnenkomend IPv6 verkeer.
• Het is uitermate onaannemelijk dat IPv6 port forwarding een oplossing is, in ieder geval werkt het niet.
• Begin zoetjes aan wel ernstig te twijfelen aan de KPN software ontwerpers en ontwikkelaars. Misschien moet dit maar eens bij jullie “hogere legerleiding” aangekaart worden dat dit gehobby echt niet kan. 

Ben het dan ook volledig eens met het eerdere commentaar in deze thread:

Gebruik jij aanvullende eigen netwerkapparatuur, ​@John Goets? Zo ja, kun je aangeven wat voor apparatuur en hoe dit verbonden zit me de Box 12?

Dat is natuurlijk onzin om portforwarding te gebruiken met IPv6. Ieder IPv6 adres binnen thuis netwerk is vanuit internet bereikbaar, als men het adres maar weet, tenzij het is geblokkeerd door firewall.

In de Experiabox v10 niet. Bij de oude firmware wel. Maar sinds de nieuwe firmware erop staat niet meer.

​@Erik van KPN,
Samengevat ziet de configuratie er zoals hieronder weergegeven uit. KPN Box 12 is feitelijk een transparant doorgeefluik. Beveiliging en beheer vindt plaats in de twee opnSense routers/firewalls die je in de plaat als router4 en router6 terugvindt.  

​@Erik van KPN Heb je al informatie over hoe KPN dit probleem gaat oplossen? Of forceren jullie mij over te stappen naar ZIGGO dan wel Oididio. Terugzetten van de vorige firmware versie is ook  een optie om me aan boord te houden.  

​@Erik van KPN  heel jammer dat ik niets meer hoor. Is een duidelijke fout in de KPN firmware, en dan blijft het toch stil.  Tja als dat KPN policy is dan jaag je je klanten wel echt weg. Het geeft wel weer aan dat KPN haar klanten niet serieus neemt.      

ICMPv6 verkeer wordt geblokkeerd, ook al staat “Modem reageerd op pings” aan …
Helaas wederom bagger firmware …

En waarom dat gehannes elke keer met VLAN's aan de WAN kant ...

Port forwarding IPv6 is ongelukkig: IPv4 is port forwarding met impliciete inkomende firewall, IPv6 is inkomende firewall. 

Prefix delegatie geeft je de volledige controle over een prefix, je kunt er 256 subnetten mee maken (met e e n router voor het moment omdat je alleen 2a02:mmmm:nnnn:ff00::/56 krijgt. In een latere versie moet volledige prefix delegatie geïmplementeerd worden, dus je kunt dan 256  routers aansluiten die ieder 256 prefixen op VLANs kunnen uitdelen. Maar ook voor de gedelegeerde prefix werkt de firewall. Wil je echt volledige controle over IPv6 hebben, dan ontkom je niet aan een eigen router, die uiteraard ook weer GUI beperkingen kan hebben, tenzij je hem rechtstreeks met IPv6tables kunt configureren.

Ik heb inmiddels (2 uur geleden) de KPN Box 12 uit mijn netwerk gegooit en mijn Unifi Gateway Max rechtstreeks aangesloten …

WAN 1 gekoppeld aan VLAN 6. Het extreem ouderwetse en zwaar achterhaalde PPPOE username/password toegevoegd.
Paar gateway rules aangepast/aangemaakt voor ICMPv6 Echo reply en Request.

Problem solved !

(Zouden meer mensen moeten doen. Gaat veel sneller dan dat KPN dat probleem kan oplossen...)

Elk IPV6 adres is routeerbaar. Dit is iets ander dan bereikbaar. De firewall in de router van KPN heeft inderdaad alles standaard dicht zitten. Als dit niet zo was, zou dat niet best zijn; dan zou elke computer wagenwijd openstaan voor alle hackers van buitenaf.

Alleen met een portforward kun je een computer ook van buiten bereikbaar maken. Er wordt hierbij geen vertaalslag gemaakt zoals bij IPV4 NAT/PAT; misschien dat daar de verwarring ontstaat? Het enige wat er gebeurt is dat die computer niet meer wordt geblokkeerd. Wel zo veilig.

Nope, je bedoelt: met een firewall-rule kun je een computer ook van buiten bereikbaar maken, en dat is ook precies wat er effectief gebeurd.

Zoals je terecht opmerkt wordt in IPv6 niet meer geNAT en dus ook niet meer aan port forwarding gedaan. Toegang wordt in IPv6 wordt dus netjes als taditionele firewall rule geregeld: alles staat dicht maar je maakt een adres/poort combinatie van buiten bereikbaar. Merkwaardig is alleen dat KPN dat nog steeds port-forwarding noemt. Dat geeft niet alleen verwarring maar levert ook problemen op, zoals het niet kunnen “port forwarden” naar een gedelegeerd netwerk met IPv6 Prefix Delegation.