Ik heb mijn nieuwe router en Freedom aansluiting binnen. Super blij mee!
Maar ik twijfel nog een beetje of eea nou goed geconfigureerd is. Het gaat om een Draytek 2927F. De router is met een patchcover en SPF module rechtstreeks aangesloten op de aansluiting.
Ik heb de standaard Quick wizard doorlopen, met de algemene instellingen er naast.
Alles lijkt momenteel te werken. Maar de eerste speed testen gaven een firewall error tijdens upload. Deze lijkt inmiddels (zonder aanpassing) verholpen.
Volgende stap wordt om mijn Proton of Mullvad VPN erop te installeren. Andere tips zijn ook welkom. De router heeft mij eerlijk gezegd eigenlijk net te veel opties (waar ik niks van snap).
De verbinding is inmiddels ook weer weg.
WAN1 geeft nu Ethernet / PPPoE aan. Ik heb hier volgens mij niks meer van aangepast. Alleen wat met OpenVPN zitten spelen, maar ook weer verwijderd.
Het lijkt mij dat de Fiber input niet goed is? Het type/mode wordt volgens mij automatisch bepaald - dus dat deze nu op Ethernet staat, lijkt mij een teken dat er niks binnenkomt?
UPDATE: Inmiddels ook gereset en van factory instellingen even opnieuw begonnen.
Als ik dan de wizard doorloop, zoals ik dat de vorige keer ook deed geeft hij bij WAN1 als physical mode: Ethernet aan.
DHCPv6 lijkt me ook correct, mogelijk kun je aangeven de PD (Prefix Delegation) de gewenste DHCP mode is. IPv6 wan help draytek
DHCPv6 Client
DHCPv6 client mode would use DHCPv6 protocol to obtain IPv6 address from server.
Identify Association : Choose Prefix Delegation or Non-temporary Address as the identify association method.
Heb zelf een 2862B modem/router met een bonded-VDSL verbinding.
Net nog even getest middels een non-fragmented ping, een MTU instellen op de DrayTek van 1500 is de juiste/beste instelling (voor mij althans). Bij lagere MTU waarden (bv. 1492) geeft de ping fragmentatie meldingen terug.
(Ik gebruik zelf geen jumbo frames.)
Ik heb zoiets in het verleden ook geprobeerd/gedaan (verbinden naar/met ExpressVPN/NordVPN/ProtonVPN) op mijn 2862B. Was daar niet heel erg tevreden over, omdat de DrayTek alleen naar een fixed ip adres kan verbinden (dus je loopt kans dat de server die je hebt uitgekozen uit de lucht is of juist heel druk bezet is).
Bovendien scherm je zo alleen je ip adres af, dus de meerwaarde is erg beperkt, mijns inziens.
(Mijn ip adres afschermen doe ik “liever” met een vanilla TorBrowser.)
IPv6 gebruik ik zelf (nog) niet. Kan nog prima uit de voeten zonder merk ik. Dus vanuit het oogpunt een zo klein mogelijk security target te zijn, heb ik het vooralsnog uitgeschakeld staan.
De DrayTek ondersteund RFC4638, dat is voldoende (althans in mijn netwerk). Ik heb daar bovenop geen (grotere) jumbo frames nodig. Aldus heb ik geen jumbo frames enabled via het SSH interface van de Draytek, die (grotere) frames mogelijk maken met afmetingen van 1537 t/m 9022.
Ik snap je argument, ben het er ook mee eens. Maar moet een afweging maken, en vanuit mijn optiek is het (quote:) ‘tamelijk roekeloos’ om meer “open” te zetten dan strict noodzakelijk is. Reden is dat het mijn attack surface vergroot.
Het is een veel gemaakte fout… NAT is geen beveiligingshulpmiddel. Het is een gebrek in het systeem van IPv4.
Er zijn niet genoeg IPv4 adressen in de wereld door NAT zijn een paar bitjes van de 16 bits in de poortnummers overgeheveld naar de adres ruimte. maar dat zet geen zoden aan de dijk. => IPv6 is de oplossing hiervoor.
m.i. is NAT zelfs een security risico, er zijn allerlei extra hulpmiddelen nodig (ALG’s, proxies, en protocollen als STUN, TURN, UPNP), … om de gebreken veroorzaakt door NAT te verhelpen. Die extra code BEVAT fouten of werkt door gebrekkige implementatie als het achter de wagen gespannen paard. (veel ALG’s).
En dan is er nog eens Carrier grade NAT…, De NAT op ISP niveau, dan breekt er van alles zodat zelfs STUN etc. niet meer als reparaties werken.
En of een firewall nu checked op adres etiket 1 of adres etiket 2… (of delen ervan) is niet het verschil tussen IPv4 of IPv6. Routers / Firewalls die IPv6 niet (goed) ondersteunen horen op de schroothoop voor recycling. ISP’s die er nog niet mee bezig zijn of bij navraag aangeven dat ZIJ nog voldoende IPv4 adressen hebben horen m.i. ook gerecycled te worden.
Wat interfaces stapeling betreft:…
Fysiek… hetzij (koper/glas) ethernet of koper DSL.
VLAN (6) (= WAN)
PPPoE (over VLAN6/ WAN)
PPP regelt adres voor IPv4, DHCPv6 in DP mode regelt adres voor IPv6. (via PPP interface).
Dank voor alle reacties! En de discussies (daar leer ik nog wat van).
Ik ben inmiddels weer online.
Na een hard factory reset vanaf het device gedaan en die herkende hij de fiber input weer. Zelfde stappen doorlopen en met IPv4 weer connected. IPv6 werkt nog steeds niet lekker.
Met PPP of DHCPv6 Client werkt het beide niet en krijg ik geen adres.
Bij Proton kun je een country config downloaden. Die connect dan gewoon naar een random (beste) server available. Ik geloof gisteren inderdaad verschillende IPs na reconnect te hebben gekregen.
Wellicht dus verbeterd sinds jou verleden?
Ik interpreteerde je tekst/vraag, als dat je via een VPN client op je DrayTek, je je hele thuis netwerk achter een VPN wil (ver)plaatsen. In dat geval is er niets veranderd/verbeterd (denk ik). De beperking zit bij de DrayTek VPN client, niet bij het wel of niet kunnen downloaden van (waarschijnlijk/bijvoorbeeld een OpenVPN) country config configuratie.
De DrayTek firmware heeft een aparte VPN server en een aparte VPN client implementatie (deze laatste heet “LAN to LAN” in de GUI). Deze laatste support alleen de volgende protocollen: PPTP/IPsec/L2TP/SSL-tunnel, middels een static server ip adres, dat je zelf moet invoeren.
Die country config kan je wel gebruiken op je PC/laptop, indien je daar zelf een VPN client (bijvoorbeeld TunnelBlick) op installeert, dat werkt prima, maar dan zit niet je gehele thuis netwerk “erachter”. Het is dan echter makkelijker om de ProtonVPN client applicatie te installeren op je PC.
Weet je zeker dat het ook om de 2927F gaat? Dat was o.a de reden om voor deze router te gaan. Voor zover ik weet ondersteund die ook OpenVPN (op de client). En ik had het idee dat met een (country) config de ovpn wel met dynamic ip/dns kon werken? Ik hoop hier morgen even mee aan de slag te gaan.
Door de IPv6 prefix op te vragen aan de andere kant wordt ook de IPv6 sluis naar jou opengezet, met een static configuratie start de IPv6 stream dus niet.
Volgens beschikbare documentatie over Draytec, zou de Identify Association op PD moeten staan.
http://eu.draytek.com:12750/help/help_v6_general_wan.htm (ik had deze link al eerder gepost maar dan als link.
Ik zie die artikelen ook wel, als de datum gecontroleerd wordt dan zijn dat artikelen uit 2010/2011… toen het nog echt nieuw was.
Of de zorgen toen terecht waren is de vraag, inmiddels zijn de protocol stacks al wat jaren aan de tand gevoeld.
Maar het is niet altijd even duidelijk of het “nieuws” is of achterhaalde onzin… (veel artikelen worden ook niet herzien of als het wel opgelost is van een opmerking voorzien wat de status op een later moment was.
Het zijn veelal schreeuwerige krantenkoppen, ongenuanceerd en met weinig diepgang. Maar ze doen wat ze doen moeten aandacht trekken, ook al zou het op papier al gerecycled zijn, dit blijft staan.
