Die 20/20 score hoe dan? Wat wjb zegt heb ik geprobeerd en werkt niet.

Ik ben niet gevoelig voor die score. Als je het weekend bent deel het hier maar dan kunnen anderen het hergebruiken. 

Waarom blijf je nu telkens voor SLAAC kiezen terwijl niemand meer zegt dat je dat moet doen. Het enige dat gezegd wordt is:

• Zet de “Router mode” bij “Router Advertisements” op “Unmanaged”

• Zet “Enable DHCPv6 server on interface LAN” uit.

Dan heb je de toewijzing van IPv6 adressen volledig gebaseerd op SLAAC.

Toch is het wel belangrijk om ook die laatste twee puntjes te scoren bij apparaten die je o.b.v. IPv6 wilt kunnen benaderen. IPv6 leunt sterk op icmpv6 voor het “elkaar kunnen vinden”.

Wat voor een apparaat gebruik je om die score te bepalen?

Hoe staat de firewall van dat apparaat inkomend ingesteld voor icmpv6 echo-requests?

Hoe staat de PfSense IPv6 firewall inkomend ingesteld voor icmpv6 echo-requests?

Wannneer ik SLAAC kies dan is het RA menu (waar ik nu managed kies) niet beschikbaar. Of bedoel je dat niet?

Dat bedoel ik inderdaad niet. Ik heb het over op "Unmanaged" zetten de "Router mode" bij "Router Advertisements" en het vinkje weghalen bij "Enable DHCPv6 server on interface LAN".

Router mode en router advertisements heb ik niet / kan ik niet vinden. Waar zou dat moeten zitten?

 

Dit "Enable DHCPv6 server on interface LAN" vinkje staat bij mij onder "DHCPv6 en RA" menu. En dat menu is niet enabled als ik SLAAC kies.

Waarom blijf je nu telkens voor SLAAC kiezen terwijl niemand meer zegt dat je dat moet doen. Het enige dat gezegd wordt is:

• Zet de “Router mode” bij “Router Advertisements” op “Unmanaged”

• Zet “Enable DHCPv6 server on interface LAN” uit.

 

Dan heb je de toewijzing van IPv6 adressen volledig gebaseerd op SLAAC.

Excuus! Ik begreep het verkeerd. Unmanaged en het vinkje uit bij Enable DHCPv6 server on interface LAN levert mij (inderdaad) meerdere juiste IPV6 adressen op. En ook op Android telefoon. En IPV6-TEST.COM geeft mij nu 19/20. Alleen nog IPv6 als default zetten.

Kan een van jullie mij het verschil uitleggen tussen SLAAC en zelf de adressen via DHCPv6 uitdelen is? Android krijgt ze nu wel dus er zit een wenselijk verschil tussen de twee methodes toch?

Ik zie alleen op telefoon geen IPv6 met MAC adres erin verwerkt. Of is dat dan iets wat alleen voor Windows / linux clients op gaat? Telefoon heeft 2 IPv6 adressen. (Okee 3 als fe80 mee rekent )

Windows laptop geeft IPv6 en temp IPv6 adres. Alleen ook dat IPv6 zit mac adres niet in verwerkt. Laptop geeft nog steeds score van 18/20. Blijft zeggen ICMP filtered.

Edit: dat zeg je ook niet. Je zegt adhv MAC gegenereerd wordt. Dus blijft dat IPv6 adres gewoon hetzelfde en die Temp die wisselt. Check.

SLAAC staat voor Stateless Address Autoconfiguration en is verreweg de eenvoudigst in te richten en te beheren methode voor IPv6 netwerken. In consumentennetwerken is dit ook verreweg de meest gebruikte methode. 

Bij SLAAC is het primaire (vaste) IPv6 adres opgebouwd o.b.v. de IPv6 /64 prefix en het MAC adres van de (W)LAN adapter en is per definitie dus uniek en er hoeft geen centrale regie vanuit een DHCP server gevoerd te worden om dat te waarborgen.

DHCPv6 is feitelijk niets anders dan DHCPv4 maar dan voor IPv6 adressen binnen de IPv6 prefix.

Okee dank voor uitleg. Nu alleen nog die ICMP oplossen. Watismijnip.nl toont nu mijn IPv6 adres. Dus dat zou dan default moeten zijn.

Als het goed is dan heeft één van die 2a02 IPv6 adressen hetzelfde laatste vier blokken als van dat fe80 (link-local) IPv6 adres. Klopt dat?

Dat is het stuk waar dat MAC adres in zit. Eerst drie bytes van het MAC adres dan ff:fe en dat de laatste drie bytes van het MAC adres. Van de eerste byte van het MAC adres wordt daarbij ook nog één bitje omgegooid. Zie ook deze site.

Plaats eens een screenshot van de uitkomst van https://ipv6-test.com.

Wel even jouw IPv4 en IPv6 adres gedeeltelijk wegpoetsen.

Welk onderdeel scoor je nu nog niet?

Ik scoor nu wel 20/20. En af en toe 19/20. Dan zegt die IPV6 not set as default. Maar dit lijkt nu dus ook goed.

Enige waar ik nu tegen aan loop is dat mijn IPv4 DNS niet meer werkt. Ik kan vanaf mijn telefoon ineens devices in mijn netwerk niet meer pingen/bereiken op FQDN. Hij geeft unknown host. Wat wij nu gedaan heeft toch niks met IPv4 DNS te maken? Op IPv4 adres kan ik de devices wel pingen.

Als het apparaat een voorkeur heeft om via IPv6 te communiceren dan zal hij dus ook de IPv6 DNS server gebruiken om hostnames te resolven. Waar wijst de IPv6 DNS server nu naartoe? Is dat dezelfde DNS server als waar ook jouw IPv4 DNS server naar verwijst?

Nee. IPv4 gaat via domain controller naar Adguard via DNS Forwarder. 

IPv6 gaat via RA naar cloudflare dns.

Dan heb je daar de oorzaak. De DNS server van Cloudflare kent natuurlijk niet de hostnames op jouw thuisnetwerk en kan die dus ook niet resolven.

Je zult de IPv6 DNS dus ook via jouw domain controller moeten laten lopen.

Ja klinkt logisch. Even kijken wat ik daarvoor moet doen op de DC.

Ik meen mij te herinneren dat ik ergens gelezen heb dat je intern voor de makkelijk gewoon IPv4 kan / zou moeten gebruiken. Vergis ik mij? Hoe zie jij dat?

Ik ga in ieder geval geen IPv6 adressen onthouden, dat is natuurlijk veel te lastig. Ik benader apparaten in mijn thuisnetwerk via hun hostname of IPv4 adres.

Nu staan die hostnames gewoon in de DNS server van mijn EdgeRouter en verwijst de IPv6 DNS server die ik "adverteer" ook gewoon naar mijn EdgeRouter. Ik heb dat probleem dan ook niet.

Ja de PFSense Ipv6 DNS zal ook naar mijn DC moeten.

Weet jij toevallig of het nodig is om DC static IPv6 te geven? Het niet Temp IPv6 adres maar gewoon IPv6 blijft toch altijd zelfde? Zoals subnet gelijk blijft.

Nee.

Klopt.

Kan ik niet de lokale netwerk device de IPv4 adressen laten gebruiken? Ik meen dat ook ergens gelezen te hebben.

Met Android heb je assisted nodig ipv managed. 

Voor Android kan je ook prima “Unmanaged” gebruiken en ik zou dat persoonlijk ook doen, dan loopt de toewijzing van IPv6 dus altijd via SLAAC en is er geen DHCPv6 server benodigd.

 

Die ICMP test moet je negeren, ik heb ook 18/20. Wat nodig is voor IPv6 regelt pfsense aL voor je met hidden rules. 

Je kunt eenvoudig 20 uit 20 halen door op de firewall van de router inkomend open te stellen voor ipv6-icmp echo-requests en dit ook te doen in de firewalls van de aangesloten cliënts.

 

 

okey je hebt mij gemotiveerd Ik ben om naar SLAAC, DHCPv6 uit. En 20/20 score met een floating rule :)

In principe zou een apparaat een falback moeten doen van IPv6 naar IPv4, ook als het resolven m.b.v. de IPv6 DNS servers niet lukt. Toch zou ik daar niet op willen vertrouwen.

@Operations8  een floating rule

http://shouldiblockicmp.com

https://homenetworkguy.com/how-to/configure-ipv6-opnsense-with-isp-such-as-comcast-xfinity/

Eventueel uit te breiden met:

• Destination Unreachable (Type 1) - All codes
• Packet Too Big (Type 2)
• Time Exceeded (Type 3) - Code 0 only
• Parameter Problem (Type 4) - Codes 1 and 2 only
• Echo Request (Type 128)
• Echo Response (Type 129)

Belangrijke velden:

Deze als nice to have erbij gezet, ik meen dat hij al in de hidden ruleset aanwezig is. Just to be sure staat hij er nu bij.

Met Android heb je assisted nodig ipv managed. 

Voor Android kan je ook prima “Unmanaged” gebruiken en ik zou dat persoonlijk ook doen, dan loopt de toewijzing van IPv6 dus altijd via SLAAC en is er geen DHCPv6 server benodigd.

 

Die ICMP test moet je negeren, ik heb ook 18/20. Wat nodig is voor IPv6 regelt pfsense aL voor je met hidden rules. 

Je kunt eenvoudig 20 uit 20 halen door op de firewall van de router inkomend open te stellen voor ipv6-icmp echo-requests en dit ook te doen in de firewalls van de aangesloten cliënts.

 

 

okey je hebt mij gemotiveerd Ik ben om naar SLAAC, DHCPv6 uit. En 20/20 score met een floating rule :)

Ja zo heb ik het nu ook ook met floating rule. Heb net onnodige rules weggehaald. Je hoeft niet die IPv6 ICMP op any te zetten. Volgens de RFC moet je er 6 aanvinken.

Echo Reply

Echo Request

Parameter problem

Time exceded 

Packet to big en destination u reach able.

Qua DNS, ja dan moet mijn DNS ook IPv6 gaan doen. Alleen dan moet ik ze toch handmatig toevoegen? De DHCP komt immers niet vanuit de AD. Dus worden clients ook niet automatisch aan DNS toegevoegd toch?

Jeps je kunt een IPv6 DNS adres meegeven via RA, via de instellingen die ik vanmorgen deelde. Dit zal dan het adres van je Aduard OS zijn.

Altijd uitdagend, twee verschillende servers die iets met het uitdelen van adressen doen. Zelf heb ik alles binnen pfSense geregeld. En daar in de DNS Forwarder/Resolver mijn LAN adressen opgenomen in DNS. Daarmee heb je geen autoregistratie meer, ik meen wel dat er in pfSense 23.01 een bug is opgelost met auto registratie via DHCP en Unbound.

Maar je hoeft natuurlijk niet naar IPv6 adressen te resolven, dat mag ook gewoon naar IPv4 resolven.