IPv6 UDM achter de Box 14 niet te pingen

Je kunt net als bij IPV4 poorten (enkele poort of een range) openzetten naar betreffend IPV6 adres.

Helaas niet, het is een delegated ipv6 block, dus de experiabox heeft geen weet van welke sub range dat is. Die zegt alleen maar "Dit device heeft geen ipv6 address".

Even misschien een domme vraag (vanuit mijn kant)…
maar je hebt de DMZ toch ook voor IPv6 opgegeven?

(want ik zie op de Box 12 dat je dat apart voor IPv4 en IPv6 kunt doen.)

Ik had wel ergens gelezen over problemen met icmpv6 maar dat zou bij de laatste firmware opgelost moeten zijn.

PS. Daarna is het uiteraard ook nodig om het IPv6 verkeer door de firewall van de UDM machine door te laten.

Domme vragen bestaan niet :)

Je kunt DMZ inderdaad apart voor ipv6 doen, maar als ik dan de poort kies waar de UDM aan zit, krijg je een "The selected device has no ipv6 address".

Wat op zich logisch is want het is een delegated block, dus mijn UDM heeft geen eigen ipv6 address, dat komt pas op een van de LAN vlans. Ik gok dat men geen rekening had gehouden met die scenario oid. 

Normaliter had dit geen issue geweest, dan had de udm zelf het ipv6 block gehad, in dit geval hangt die achter de box 14.

Ik snap niet dat de firewall van de box 14 icmpv6 niet standaard doorlaat naar het lan, of in ieder geval de keuze geeft. Het wan ipv6 adres is ook pingbaar, unifi firewall staat ook open hiervoor.

Ok. Dan staat de UDM dus niet in DMZ… Maar… eigenlijk wil je die UDM ook helemaal niet in DMZ want IPv6 is geen NAT, dat de UDM dan alles weer door zou sturen. Je wilt dus eigenlijk die eindserver in de DMZ !!

Heb je het IPv6 adres die eindserver al eens handmatig in de DMZ van de Box 14 proberen te zetten?

Zonder iets in die IPv6 DMZ zal er dus niets door de firewall van de Box 14 komen.

Als de firewall van de Box 14 ICMPv6 toelaat en de Unify doet dat ook, dan zouden de delegated IPv6 op de Unify wel pingbaar moeten zijn, denk ik.

Maar voor het normale verkeer zitten er toch 2 firewalls tussen. Ten eerste kun je die firewall van de Box 14 volgens mij niet uitzetten voor binnenkomend verkeer (anders dan die DMZ). Alleen Aangepast/Standaard maar dat is volgens mij voor uitgaand verkeer. Al het andere doe je via de port forwarding, UPnP of DMZ. Ik neem aan dat als je het IPv6 van de server niet handmatig in de DMZ kunt zetten, dat dat ook niet lukt bij port forwarding??

Oh zeker wil ik die niet in de DMZ, want zoals je zelf zegt het is geen NAT :)

Het eindip kun je er niet in zetten ook al zou je dat willen, portforwarding wil je ook niet want again, het is geen NAT.

Als de firewall van de Box 14 ICMPv6 toelaat en de Unify doet dat ook, dan zouden de delegated IPv6 op de Unify wel pingbaar moeten zijn, denk ik.

Dat zou je denken, maar is helaas niet zo :(

Het firewall niveau is inderdaad uitgaand, niet inkomend.

Uh… maar je zegt het is een server? Hoe wil je dat dan doen? Hoe heb je dit dan op de Unify ingesteld?

Wat wil je nu precies bereiken???? Want port forwarding is daar nu net voor bedoeld.

En als je dus niet elke poort individueel door wilt lussen, zet je die server in de DMZ.

Je kunt ook besluiten een heel subnet in de DMZ te zetten (zoals je delegated UDM range) maar dat wordt dus sterk afgeraden.

Overigens kon ik gewoon handmatig elke IPv6 of subnet in het DMZ veld zetten en opslaan (ook niet bekende). Dat zal bij de port forward ook wel kunnen.

Het IPv6 adres in DMZ zou niet uit de range van publieke IPv6 komen, maar het lokaal IPv6 adres. Dit kan men berekenen uit het MAC-adres.

Ik krijg overigens een simpele Linux server direct op de Box 12 ook niet open op IPv6. Dus ik vraag me af of die Box 12 sowieso wat doorlaat (portforward IPv6 =eigenlijk firewall regel & DMZ geprobeerd).

Makkelijker zal zijn die hele Box 14 ertussenuit te halen (maar je gaf al aan dat dat een reden had 😉).

yes, hier is die reden iptv, ik heb er fabian's scripts op staan maar na random tijd krijg ik rare issues met 2 decoders (schokkend beeld voor ½ sec, audio issues bijv), igmp snooping ed staan hier allemaal goed. Als ze op de box 14 zitten zie ik die issues niet, ook al wacht ik 3 maanden.

Inmiddels werkt port forward bij mij nu wel op IPv6.

ICMPv6 (ping) schijnt wel tegen gehouden te worden (lokaal werkt het wel met extern adres, extern niet).

Je zou dus bij port-forward wel het IP van de eindmachine in moeten kunnen geven en dan wordt daar een ALLOW regel in de firewall van de Box 14 voor aangemaakt.

(Waarom is ICMPv6 cruciaal voor IPv6?)

Door middel van icmpv6 wordt je pmtud (path mtu discovery) bepaald, wat dus weer van belang is voor de tcp-mss van je verbinding. IPv6 doet namelijk niet aan fragmentatie net als ipv4, als het packet niet past wordt het gedropt en krijg je dus rare dingen. 

Als het pakket te groot is krijg je dus normaal een ping pong heen en weer met welke mtu / mss er ondersteund worden op een verbinding, als icmp niet werkt, werkt dat dus ook niet.

Nu heb ik op dit moment nog geen issues gezien, en dat de rest dicht zit, is geen probleem op moment, maar icmp dicht houden is voor IPv6 niet handig.

Hoe heb je ipv6 ping geforward in icmp? Ik kan alleen tcp/udp kiezen.

Gezien het achter de Experiabox zit kan ik natuurlijk met verschillende routers testen zonder de boel overhoop te halen, dus ik zal ook eens met een plain linux router testen kijken of het toch niet aan de udm ligt dat icmp dicht staat, maar jij ondervond hetzelfde.

Nee, ik zei dat ICMPv6 juist dicht zit.

Ik had bij de firmware releases wel iets gezien dat dat opgelost zou moeten zijn maar ik krijg met een ping van buiten naar mijn Linux server ook geen reactie (terwijl een ping -6 intern wel werkt).

Als ik via https://ipv6-test.com/ test dan geeft die ook aan dat ICMPv6 gefilterd wordt.

Kan iemand bevestigen of dit bij een Box 12/14 zou moeten werken?

En als het niet werkt… dat er naar gekeken wordt.

En als het wel werkt… in welke firewall stand is dat?

En ja… “Modem reageert op pings” staat aangevinkt maar volgens mij is dat alleen voor IPv4.
(mijn Box 12 firmware V12.C.25.08.16)

Mijn box 14 heeft firmware V14.C.25.08.08

Hier modem replied op ping ook aangevinkt, ik kan mijn ipv4 / ipv6 address op het modem direct wel pingen van buiten, alleen alles daarachter is niet pingbaar.

Die ICMPv6 naar apparaten op de router krijg ik van buiten nog niet voor elkaar.

Maar als dat bij jou wel werkt… dan zou je misschien moeten kijken naar de firewall van de UDM.

Kun je wel vanaf een apparaat op de Box 14 naar een apparaat op de UDM pingen met IPv6?

Moest even een vm installeren daarvoor, direct achter experiabox, zodat ik daar wat testjes mee kon doen, conclusie is in ieder geval dat KPN het blokkeert in de box 14 voor verkeer van buitenaf.

Ik kan van mijn vm direct achter de experiabox (dus geen delegation maar direct adres), het ipv6 adres pingen van de vm achter de udm, maar de udm WAN zit aangesloten op de 10G LAN poort van de experiabox.

Ook het ipv6 ip van de vm direct achter de experiabox is extern niet te pingen wat de udm uitsluit in dit geval.

Ik heb het nog niet getest maar ik ga er van uit dat als ik de experiabox er tussenuit haal, het “probleem” opgelost is, echter heb ik dan een waf probleem, ik kies dan wijselijk voor geen ping op ipv6 voor nu :)

Ha, ja. Ik dacht dat je zei dat je wel een apparaat kon pingen maar daar bedoelde je de router zelf dus mee. Apparaten zelf met IPv6 zijn dus niet van buiten te pingen.

Dan is dat dus inderdaad geblokkeerd. 

​Misschien kan iemand (of moderator) duidelijkheid geven over ICMPv6 van buiten bij Box 12/14.