Problemen met Fritzbox en ipv6 deels opgelost

Ik dump mijn bericht maar hier omdat ik last had van problemen met ipv6 en een fritzbox.

Instellen van de fritzbox is eenvoudig genoeg, gebruik de standaard instelling voor Freedom.nl (glas). Alleen had ik last van 2 praktisch gelijke clients met minuscule verschillen in de configuratie waarbij een systeem prima werkte met ipv6 en de andere werkte prima met ipv4, maar alle ipv6 verkeer werd geblokkeerd.

De oplossing die ik uiteindelijk heb gevonden bestond uit een vinkje bij:

Internet | Account information | IPv6

IPv6 connectivity => native IPv6

Connection settings => Derive global address using the assigned prefix

Met die instellingen heb je wel je interne computers extern zichtbaar (!), maar kennelijk wordt dan ook een vinkje aangezet dat het interne IPv6 verkeer doorgestuurd wordt in de Fritzbox.

Ik kan het niet helemaal verklaren, maar ik vermoed dat het te maken heeft met het ipv6::/48 subnet dat standaard vervangen wordt door een ipv6::/62 subnet, waarbij het probleem-systeem dan net buiten het geldige subnet viel(?). (Dat is mijn verklaring als leek).

Als iemand een betere verklaring heeft hoor ik die graag. Met een beter antwoord kan immers de router beter dichtgezet worden voor ongewenst verkeer (in principe werkt het systeem ook met een ge-NAT IPv4 adres, maar IPv6 met een goede filter ervoor lijkt mij efficienter).

Een prefix:extra::/62 netwerk is altijd een subnet van een prefix::/48 subnet als beide dezelfde /48 prefix hebben (eerste 48 bits gelijk).

Ik heb zelf geen Fritsbox en weet niet hoe die subnetten verdeeld. Gebruikelijk is dat van de ontvangen prefix (/48 bij freedom, anderen doen ook wel /56) er /64 subnetten per LAN interface wordt toegewezen.

Een IPv6 device kan meerdere adressen gebruiken. Een voorbeeld zijn de Privacy adressen, die worden elke X seconden (vaak om het uur), opnieuw aangemaakt, als de laatste gebruiker van een adres de poorten sluit wordt het adres pas opgeruimd. Een applicatie zal dus niet halverwege een ander adres krijgen.

Noot: NAT is geen firewall…. Het breekt wel veel protocollen die niet meer kunnen werken zonder allerlei hulp protocollen. (VOIP heeft allerlei hulpjes nodig om in NAT te functioneren)
Als NAT achter NAT wordt toegepast wordt het helemaal hopeloos. Daarom werken veel VOIP applicaties beroerd op mobieltjes buiten WiFi om.

Zover ik weet.
2a10:3781:zzzz:1:: / 64 is voor het reguliere netwerk.
2a10:3781:zzzz:2:: / 64 is voor gasten.

Waarbij 2a10:3781 Freedom is.
En zzzz de klant van freedom

De FRITZ!box instellingen dei je noemt zijn de standaard-instellingen. Waarbij onder “Connection settings“ ook “Use DHCPv6 Rapid Commit” aangevinkt is.

Je krijgt een /48 prefix en daaruit wordt de eerste /64 als subnet gebruikt. Er wordt dus niets ‘vervangen’. Je zou daarnaast nog 65.535 /64 subnets kunnen halen uit die /48 die je van ons krijgt.

Die /62 snap ik niet. Dat is een heel ongebruikelijke subnet-grootte. Waar zie je die?

Want, subnets zijn namelijk vrijwel altijd een /64 voor multiple access LANs (zoals ethernet). Zelfs als mensen ze kleiner maken zoals bijvoorbeeld /126s voor point-to-point links is het vrij gebruikelijk om de hele /64 te alloceren. Dan kun je er altijd nog weer een multiple access netwerkje van maken.

Het is ongebruikelijk om te NAT-ten met IPv6. Ik denk niet dat de FRITZ!box dat überhaupt kán doen voor IPv6. Ik heb het gelukkig niet gevonden. We willen juist van NAT af met IPv6.

Wellicht hier. Prefix grootte.

afbeelding577×167 3.43 KB

Hoe zit dat met de opbouw van prefix en subnet?

Deze optie is bedacht voor de ISPs die zuinige /56s uitdelen. Ik zie op fora voor Ziggo en Vodafone dat men dit op een 56 bits moet instellen.

Het is dus de prefix-lengte die je van de ISP krijgt. Dan is een /62 is wel extreem karig moet ik zeggen. Degenen die dat bedacht hebben moeten op een IPv4-ontwenningskuur.

Aan de andere kant van je router kun je dat ophakken in blokjes met prefix-lengtes langer dan de prefix die je van de ISP krijgt. Maar de prefix-lengte van een subnet (LAN) is nooit korter dan 64 bits (/64). Dus bij ons krijg je een /48, die je kunt opdelen in 65.536 /64s, bij anderen een /56 die je kunt opdelen in 256 /64s en mocht je een /62 krijgen dan kun je 4 /64s gebruiken.

De opbouw is dus 48+16+64
Waarbij 48 je netwerk ID is.
De 16 is het subnet.
En de 64 is de interface ID.

Ik begrijp alleen niet dat mijn /48
In Rapid Commit een prefix lengte geeft van 62
Wat doet dit eigenlijk?

Volgens mij, gebruikt de Fritzbox standaard, maar 3 van die /64 blokjes?

Ik denk dat je de opbouw zo aardig uitlegt.

Dat zijn twee verschillende dingen.

DHCPv6 Rapid Commit (DHCPv6 option 14) staat los van de prefix lengte die je van je ISP krijgt. Het zijn twee verschillende dingen die los van elkaar staan.

DHCPv6 wisselt standaard vier berichten uit: Solicit, Advertise, Request en Reply. Deze optie verkort dat tot twee: Solicit, Reply. In ons geval kunnen we dat toepassen. Voor meer info zie RFC 8415, sectie 21.14. [1]

Voor wat ik uit de help van de FRITZ!box begrijp is dat Require certain length for the LAN prefix is bedoeld voor ISPs die een /64 uitgeven. In zo’n geval kun je geen aparte /64 voor gasten gebruiken. Deze systeem-optie lijkt in ons geval helemaal niets te doen. Vermoedelijk omdat we een fatsoenlijke /48 uitdelen. Gewoon niet gebruiken is mijn advies.

De FRITZ!box gebruikt er één voor het interne LAN. De tweede voor het gasten-LAN Meer zou ik niet weten. Als je meer wilt gebruiken moet je andere hardware inzetten en daar een deel van je /48 bijvoorbeeld de bovenste /49 naar toe routeren.

Hoe kom je op drie? Mogelijk voor de link tussen Freedom en het modem? Dat is niet het geval want daarvoor worden link-local adressen gebruikt.

[1] RFC 8415: Dynamic Host Configuration Protocol for IPv6 (DHCPv6)

Bedankt voor de uitleg.
IPv6 is best een uitdaging om te leren.

Ik kom daar op via.
Network/Advanced Network Settings/ IPv6 Prefixes Used
Daar staat dat 1 is Home, 2 Guest, 0 WAN
Daaruit trek ik de conclusie dat Fritz intern ook nog wat gebruikt.
Wellicht naar myfritz of zo? Ik gebruik dat niet, op dit moment.

De link local adressen zijn ook handig om te onthouden.
Als ik IPv4 verpruts, heb ik het unieke IPv6 LL adres nog.
Of als je met een 2e fritzbox bezig bent.

Hah! Ik zie nu ook de FRITZ!box inderdaad ook een /64 op de WAN poort zet. Weer wat geleerd Ik redeneerde vanuit onze routers want die babbelen door de PPP-tunnel alleen via link-local-adressen.

Maar met bijvoorbeeld onze DNS-servers praat de FRITZ!box inderdaad met het eerste adres uit de eerste /64.

Dank voor de uitleg.

Ik heb een standaard 7690 ingericht voor gebruik met Freedom. Daarbij kwam ik 2 zaken tegen:

Het Rapid Connect /62 subnet.

De DNS-servers die afweken van de beschikbare DNS-sen van Freedom.

Hoewel ik redelijk kennis heb van routers (met name via oude routers met IPv4 en NAT uit het verleden) zag ik daar de ‘standaard configuratie’ van de 7690 toch licht onderuit gaan. Bij deze zijn mijn problemen gedocumenteerd.

PS NAT vs IPv6, dat is nu nog een keus: betere snelheid met IPv6 of minder zichtbaar op het internet via NAT (waarbij verschillende protocollen beroerd werken met NAT). Met IPv6 is in principe is elk systeem op het LAN expliciet zichtbaar vanaf internet. NAT biedt daarmee een fractie meer privacy.

Nu moet ik alleen nog uitzoeken waarom ik niet via een VPN vanaf mijn telefoon mijn LAN kan bereiken.

Hier kun je veel meer leesbare info over IPv6 vinden, https://he.net/
Als je achteraf een “examen” doet kun je een T-Shirt verdienen. (in ieder geval een paar jaar geleden nog).

NAT is in tegenstelling tot wat velen denken GEEN SECURITY optie.
Wat verbergen betreft je IP Adres / Prefix verwijst toch naar jouw locatie. (Anders had je geen netwerk verkeer met de rest van de wereld).

IPv6 heeft de mogelijkheid van Temporary Addresses die regelmatig ververst worden.
Het systeem dat die opvraagt vergeet oude adressen zodra alle sockets bij dat adres gesloten zijn.
Dit wordt ook wel een de Privacy Adressen optie genoemd.