Ik heb ook een werkend smarthome zonder internet, meestal moet je alleen bij toevoegen van apparaten een internet verbinding hebben, daarna niet meer. De hele smarthome zijn verbonden met een lokale server.

Maar spraakbesturing (Google, Alexa, Siri...) werkt niet zonder internet.

Bridge mode kan niet, maar je kan PPPoE passthrough instellen in bepaalde router, b.v. Fritzbox.

Ja

IPv6 hoef geen DMZ, ze zijn direct vanuit buiten te bereiken.

Bij KPN modem worden sommige porten geblokkeerd, maar dat kan je fixen door firewall niveau op laag te zetten, paar onveilige porten zijn nog steeds geblokkeerd, niet door de KPN modem maar door de KPN servers zelfs. VoIP is niet geblokkeerd.

Beste ​@BramDiederik wat ook belangrijk is, is dat KPN met een andere IP-range werkt dan Ziggo, namelijk met 102.168.2.X

Succes.

BramDiederik schreef:

nu weet ik uit ervaring bij andere mensen dat kpn hun apparaten on nodig dicht timmert.

Het is een zeer vaak gehoord en hardnekkig misverstand dat KPN haar apparaten onnodig dichttimmert.

Uiteraard staat de firewall voor inkomend verkeer standaard helemaal dicht, maar elke consumentenrouter die dat niet doet zou mijns inziens verboden moeten worden. Het is volstrekt logisch en verstandig dat dat gebeurt. Laat onverlet dat je als abonnee m.b.v. port-forwardings uiteraard gewoon alles door kunt laten wat je door zou willen laten.

Bij een glasvezelaansluiting is er geen sprake van een modem, er is alleen sprake van een mediaconverter (NTU/ONT) en een router. Als jouw server als router fungeert dan zou je die ook rechtstreeks op de NTU/ONT aan kunnen sluiten, daar hoeft echt geen Experia/KPN Box tussen.

Meer informatie over het gebruik van een eigen router kan je in het onderstaande topic vinden.

De mening van een groep gebruikers dat KPN haar routers onnodig dichttimmert is niet gebaseerd op een misverstand maar eerder op een interpretatie van het woord dichttimmeren.

Dat instellingen default de meest veilig waarde hebben , daar zal niemand een probleem mee hebben en ben ik met ​@wjb eens is eigenlijk een vereiste. 

Probleem is dat in de KPN routers bepaalde instellingen niet configureerbaar zijn terwijl dit wel noodzakelijk is voor bv de groep gebruikers die eigen (game) servers heeft site to site VPN enz.

Dit heeft vanuit veiligheid het voordeel dat de standaard gebruiker ook niet per ongeluk noodzakelijke beveiligingen uit kan zetten. Nadeel is dat de groep gebruikers die hier meer controle over wenst en ook de kennis heeft om dit goed toe te passen, gewenste instellingen niet kunnen wijzigen en daardoor beperkt worden in functionaliteit.

Deze gebruikers ervaren het gebrek aan deze configuratie mogelijkheden als “onnodig dichtgetimmert”.

Voor deze groep is de standaard KPN router dan ook eigenlijk niet geschikt. Voor mij bv een reden om al jaren een eigen router te gebruiken. 

Site-to-site VPN heeft mijns inziens niets met "dichttimmeren" te maken maar met het ontbreken van functionaliteit en eigen (game) servers is geen enkel probleem.

Ook ik gebruik al sinds jaar en dag een eigen router (EdgeRouter 4) maar het is mijns inziens pertinent onjuist om te stellen dat de routers van KPN "dichtgetimmerd" zijn.

TDN schreef:

IPv6 hoef geen DMZ, ze zijn direct vanuit buiten te bereiken.

Maar gelukkig zal je ook voor IPv6 moeten aangeven welke apparaten van buitenaf benaderd mogen worden.

Het zou wat zijn zeg als al jouw apparaten, zonder dat je daar iets voor hoeft in te stellen, via IPv6 vanaf Internet te benaderen zouden zijn.

Dat KPN geen vpn functies in hun router heeft lijkt me logisch. Dat heeft ook geen enkele provider denk ik.

De FRITZ!Box heeft wel VPN functies en kan bij KPN ook gekozen worden i.p.v. de Experia/KPN Box.

Dit biedt vooral voordelen voor mensen met een zomerhuisje, camper, caravan of boot die daar de smart TV app van KPN zouden willen gebruiken om televisie te kijken en zo geen tweede TV abonnement af te hoeven sluiten. Zij kunnen dan namelijk hun Android TV een VPN verbinding laten opzetten met de FRITZ!Box en de smart TV via die VPN verbinding met het TV platform van KPN laten communiceren. Hierdoor denkt het TV platform dat de smart TV app thuis gebruikt wordt.

Dat meen ik dat men hoef geen apparaten in DMZ te stellen om van buiten te bereiken.

Wat maak ik fout? Ik kan zonder probleem een apparaat in mijn LAN bereiken vanaf internet als ik maar zijn IPv6 weet, en omdat IPv6 zoveel zijn moet echt iemand dit ipv6 adres weten. Een portscan zoals bij IPv4 werkt niet bij IPv6

Maar dat is GELUKKIG niet zo, het zou wel verschrikkelijk onveilig zijn als daar niet nog een firewall tussen zit en dat is dan ook het geval. Net als bij IPv4 moet je aangeven welk apparaat via IPv6 volledig opengesteld is (als DMZ fungeert).

En ook port-forwardings (iets wat bij IPv6 eigenlijk pin-holing heet) zal je op de router (Experia/KPN Box) moeten instellen.

Als jij zonder enige pin-holing vanaf Internet, via IPv6, apparaten op jouw thuisnetwerk kan benaderen dan zou ik me maar snel eens gaan verdiepen in de firewall van jouw router want dan gaat daar echt iets goed mis. Vanuit een ander apparaat in jouw thuisnetwerk is dat inderdaad geen enkel probleem maar vanaf Internet ... nee, dat zou enorme (onacceptabele) beveiligingsrisico's met zich meebrengen.

Dat je een apparaat zou kunnen pingen (via ICMPv6) is nog tot daaraantoe maar daar moet het wel stoppen, de rest zal je, ook bij IPv6, toch echt eerst in de firewall van jouw router open moeten stellen.

Ik bedoel ook niet dat bepaalde functionaliteit zoals bv site to site VPN in de KPN router zouden moeten zitten. Maar als je dat wil gebruiken en je de instellingen die daarvoor nodig zijn in de KPN router niet kan doen. Dan resulteert dat in een bepaald sentiment. 

Het punt wat ik wilde maken is dat het ontbreken van sommige basis configuratie mogelijkheden ( zo kan je niet bij alle types router van KPN en Software versies het ipadres van de router aanpassen) door sommigen als dichtgetimmerd word ervaren. En dat ik zowel KPN als deze groep gebruikers begrijp.

​@wjb Dat is ook zo, via firewall zijn IPV6 op LAN beschermd, men hoef geen DMZ te gebruiken. Overigens als iemand probeer mijn apparaten te scannen slaat DDOS alarm veel eerder, en bij IPv6 moet hij een gigantisch groot bereik van IP adressen scannen.

eagle3824 schreef:

zo kan je niet bij alle types router van KPN en Software versies het ipadres van de router aanpassen

Gelukkig behoort dat binnenkort tot het verleden met de introductie van de KPN firmware.

Op alle courante Experia/KPN boxen is deze dan aanpasbaar.

Ik weet overigens niet hoe dit met de V10a zit. Krijgt die ook de KPN firmware of wordt die zo snel mogelijk uitgefaseerd?

Dat hoeft bij IPv4 ook niet. Er is t.a.v. het, vanaf Internet, benaderbaar maken van apparaten in jouw thuisnetwerk gelukkig geen enkel verschil tussen IPv4 en IPv6.

@TDN

IPv6 hoef geen DMZ, ze zijn direct vanuit buiten te bereiken.

Is hier geen misverstand? IPv6 behoeft geen NAT, ieder adres is wereldwijd te benaderen, geen extern/intern adres conversie.  Maar, zoals een screenshot van wjb al laat zien, IPv6 heeft wel degelijk een DMZ optie, alleen beperkt (op box 10 in ieder geval) tot een enkel adres.  Iedere TCP/UDP poort op dat adres is dan zonder beperking bereikbaar.

De TS vroeg ook naar een alternatieve router, en ik noem daar ook Fritz!Box. DMZ (in definitie van Provider routers) is een overblijfsel van IPv4-tijdperk, voor IPv6 hoef dat helemaal niet meer, Fritz!box en vele andere routers hebben ook geen DMZ opties meer,

DMZ wordt niet ondersteund door de FRITZ!Box

DMZ is eigenlijk iets anders dan een apparaat open te stellen voor toegangen vanuit internet. DMZ is bedoeld om een deel van LAN tegen andere delen af te schermen maar toch vanuit internet toegankelijk te maken. DMZ in de zin van providers isoleert helemaal geen deel van LAN, dit deel heeft nog steeds toegang tot andere delen van LAN

Volgens mij... IPv6 heeft geen NAT. Daardoor zijn in principe alle apparaten die IPv6 ondersteunen zo vanaf internet bereikbaar. Je hoeft nooit poorten te forwarden ofzo.

Ideaal maar ook: niet zo veilig. Daarom zit er in de Experiabox/KPN Box toch wel een firewall die net als een NAT alle verkeer van buiten tegenhoud.

Hierdoor moet je toch weer poorten open zetten. Op soortgelijke wijze als bij IPv4. DMZ bij IPv6 heeft ook soortgelijke werking als bij IPv4. Alle poorten naar 1 ip open zetten.

Bij IPv6 zou het mogelijk zijn om meerdere apparaten in DMZ te zetten (wat bij IPv4 niet kan). Maar misschien heeft KPN dat niet geïmplementeerd. 

TDN schreef:

DMZ is een overblijfsel van IPv4-tijdperk, voor IPv6 hoef dat helemaal niet meer,

DMZ staat voor "demilitarized zone" en die is voor IPv6 niet anders dan bij IPv4.

Het is onzin om te stellen dat DMZ een overblijfsel van het IPv4-tijdperk is, ook bij IPv6 zal je de firewall moeten vertellen dat alle communicatie (TCP, UDP en IP) richting een IPv6 host toegestaan is.

Gelukkig maar, ik moet er immers niet aan denken dat een apparaat altijd maar van buitenaf bereikbaar is.

Dat er bij IPv6 geen sprake is van een DMZ Host is correct immers in principe kan elk apparaat in de DMZ geplaatst worden daar waar bij IPv4 slecht één apparaat als DMZ Host kan fungeren.

Bij IPv6 noemen we dat geen port-forwarding maar "pin-holing" (gaatjes prikken in de firewall). Een andere term maar hetzelfde principe.

De definities van DMZ en “Exposed hosts” lopen door elkaar. Wat KPN DMZ noemt is bij Fritzbox “Exposed host” als ik het correct lees. 

Om “bridge mode” te benaderen zou het voor IPv4 dus voldoende zijn om het adres van de server als DMZ op te geven, maar je loopt vast met IPv6 waar de “pinholes” op de KPN router geconfigureerd moeten worden op e e n  DMZ adres na.

De beste manier om de originele situatie te benaderen lijkt me dus om het UTP kabeltje van de glasfiber naar de KPN box in de Linux server te stoppen en daar PPPoE af te handelen.  Als TV en vast bellen geen rol spelen moet dat gemakkelijk te doen zijn.

Wel moet dan uiteraard met ip(6)tables, firewalld, ufw of wat ook maar beschikbaar is op de server een firewall geconfigureerd worden voor zowel de server als de forwards naar de LAN interface(s).