Wanneer kunnen we de Box 12 release na V12.C.24.16.14 verwachten?

Dank, en sorry, ik had deze aankondiging gemist. 

In de release notes helaas wel de opmerking:

• IPv6 prefix delegation staat op een vaste configuratie. In een latere update wordt dit aangepast zodat je dit kunt inzien en wijzigen. Tot die tijd is het niet mogelijk om (sub)prefixes op de IPv6 firewall open te zetten. Je kunt wel port forwarding naar specifieke IPv6 adressen instellen.

Tja, Fritzbox kan dus nog niet terug naar de eigenaar, want PD blijft hierdoor mank. KPN levert je welliswaar een uitgebreide IPv6 /48 prefix, maar daar kun je dus sinds 2 maanden heel weinig mee. En bovendien is port-forwarding in de IPv6 wereld ongeveer als vloeken in de kerk. Wie dat verzonnen heeft moet nog maar eens een keer goed de RFC’s bekijken. 

Kan je misschien kort uitleggen waarom het onwenselijk is om port-forwarding in een IPv6 omgeving te gebruiken?

Met IPv6 is het niet langer nodig en ook niet wenselijk om port forwarding te gebruiken: Je krijgt van KPN immers niet één IPv6 adres toegewezen maar een hele range. Uit die range geeft het modem  vervolgens aan ieder apparaat in je thuisnetwerk een IPv6 adres, waarmee die apparaten direct internet toegang hebben.  Dit IPv6 adres is echter ook onmiddellijk vanaf een willekeurige plek in het internet bereikbaar. Gelukkig zorgt de firewall in het modem dat die externe toegang wordt geblokkeerd.  

Wil je nu toch een achterliggende poort van een server wel openzetten voor internet toegang dan hoef je in IPv6 alleen maar die server-port combinatie in je firewall te openen. Niks port forwarding en NAT, met de bijbehorende interne conversies en overhead, maar een simpele firewall rule zorgt voor een directe verbinding. 

Het is in theorie geen poort forwarding bij ipv6. Maar feitelijk komt het wel op hetzelfde neer: je moet nog steeds iets instellen op de KPN Box. 

En die zogenaamde "overhead" van NAT bij ipv4 is alleen theoretisch. In de praktijk merk je daar bij je thuisnetwerkje echt helemaal niks van hoor.

Bijna mee eens, behalve als je het over Prefix Delegation hebt. Enig idee hoe je dat zou willen “port forwarden”. Dat is dan ook precies de reden waarom PD op Box 12 mank is (zie eerdere posts).  Laten we het niet moeilijker maken dan het is: in IPV4 regel je het met NAT, wat sowieso een workaround is, en IPv6 met firewall rules. Even wennen, maar het is wel zoals het functioneert, en ik hoop dat die wetenschap ook bij de KPN ontwikkelaars post vat, zodat er snel een PD fix voor Box 12 komt. 

Dat is alleen relevant als je een 2de router achter de Experiabox hebt staan. En daarbij zou het bij 1 router nog steeds moeten werken volgens KPN. Pas bij meerdere routers is er een probleem met Prefix Delegation. 

Heb jij een router achter de Experiabox/KPN Box? 

​@Marlon92 

Er staat idd één router/firewall achter Box12 (opnSense). Deze krijgt van de huidige Box12 ook een gedelegeerd /56 prefix toegewezen, waaruit een /64 wordt gekozen voor het achterliggende netwerk. So far so good, maar sinds de mei 2025 firmware staat de firewall van Box12 dicht voor inkomend verkeer richting dat gedelegeerde netwerk. Vòòr mei 2025 werkte het prima. Gevolg is dat er geen IPv6 connecties meer kunnen worden opgezet naar twee backend servers in mijn netwerk.

Het is ook niet op te lossen met die vermaledijde “port forwarding” opties of - nog slechter - met een “IPv6-DMZ-adres”. Wie dat laatste verzonnen heeft verdient sowieso een rapportcijfer 1.  Crux is dat het hier echt gaat over generieke firewall rules in een IPv6 netwerk. Die rules zijn kennelijk niet meer out-of-the-box geactiveerd in Box12 firmware, en dat heeft niets te maken met iets wat lijkt op “good old” IPv4 port forwarding. 

De oplossing lijkt simpel: maak in Box12 weer een firewall rule met “all open” voor gedelegeerde netwerken, net zoals dat voor mei 2025 het geval was. De achterliggende firewall/router is prima in staat om binnenkomend verkeer alleen naar toegestane adres/port combinaties in het netwerk toe te staan, en al het andere verkeer te blokkeren.

PS en FYI: werking is gechecked na factory reset op Box12, daar ligt het dus ook niet aan :) 

​@John Goets Dank voor je korte uitleg van firewall rules in IPv6 vs NAT in IPv4.

Begrijp ik nu goed uit je uitleg hierboven, dat je zelf geen volledige controle hebt over de IPv6 firewall in de Box 12 firmware?

Nu heb ik in mijn LAN dual stack servers draaien (IPv6 en IPv4) (de IPv4 ranges en adressen zijn nog goed te onthouden voor een mens, van de IPv6 adressen en ranges word ik gillend gek). Dit betekent dat ik de complexiteit van beide protocollen over mij heen krijg. Werkt DHCP in IPv6 hetzelfde als in IPv4 voor mijn LAN? Is mijn LAN nog wel een LAN, wanneer IPv6 adressen in mijn subnet (als het dat nog is) direct vanaf het gehele internet bereikbaar zijn en slechts door de firewall geblokkeerd worden.

(Ik liep overigens tegen deze thread aan omdat ik niet meer in kon loggen op m’n Box12 omdat de admin HTTP-interface geen HTTPS meer ondersteunt.)

Overigens zijn dit uitermate valide opmerkingen rond IPv6 en KPN! Ik hoop dat de KPN ontwerpers en developers dit ook tot zich nemen. Er is daar wellicht nog wel wat ruimte voor nieuwe/andere inzichten.