Als een onbetrouwbaar device hebt…en Android moet je zien als een onbetrouwbaar device, dan is Stateful niet genoeg. Dan heb je tegenwoordig ook nog eens die IOT junk en daar helpt alleen veel bidden of dat device geheel de toegang tot het internet ontnemen.
Omdat ik geen betrouwbare tablet kan kopen in de winkel.
Tja egress filters en een bak sndere filters en nog weet Android erlangs te glippen. Toen was de maat vol.
Om IPv6 IP adressen verdeling te stoppen is een heel karwei omdst het juist ontworpen is om adressen te verdelen.
Het gewoon een kriem om het waterdicht te krijgen en dan is een absolute scheiding van mijn en dijn een betere start.
Statefull is established&related en een simple oplossing en alleen established gebruiken is nog veiliger.
Het gevaar zit niet alleen buiten het netwerk maar kan ook van binnenin komen. Op Android en Windows moet ik toestemming geven voordat een APP/programma kan netwerk verkeer mag genereren en dat beschermt niet dat die op een later tijdstip alsnog kwaadaardig wordt.
Een programma wat aangepast wordt heeft dan geen toegang meer en moet opnieuw toestemming krijgen.
Werkt goed en vlot. Ook de uitgaande poorten en inkomende poorten zijn per programma toegewezen en gebruikt die dan een niet toegewezen poort dan is dat niet toegestaan en krijg ik een melding.
Dat wel wat werk om dat op te zetten maar ik het ettelijke vreemde dingen hiermee voorkomen.
Zeker weten? wordt er /29 ipv. /32 afgeleverd, or een blok van 8 over delfde link geforward… (route add xxxxxx/29 gw ipaddress)
In het laatste geval zijn er gewoon acht bruikbaar. als je de juiste regels aanmaakt.
Eens waar dan de W-factor kan worden genegeerd. Op het moment dat je hele huis Frtiz is, incl smart-sheat/schakelaars, kan er nauwelijks iets fout gaan. Ook de telefonie werkt feilloos.
Links of rechts, is het met een Fritzbox, gewoon inprikken en dan kan/zal ongeveer elke helpdesk je ook helpen.
Dat gezegd hebbend zijn het voor een reacthgeaarde hobbyisten, frutselaars (meld mij), ondingen.
Toegang van buiten dicht is niet moeilijk ip6tables, pf etc. en alle daarop gebaseerde systemen (pfSense, opnSense, OpenWRT, …) kunnen dat allemaal uitstekend beheren. FritzDoos gebruikt vziw ook Linux dus die moet het ook kunnen.
Filter die een paar vaste diensten toestaat, en de rest blokkeert werkt gewoon en is Veilig. Ik gebruik het al jaren.
IPv6 is ECHT de toekomst, IPv4 is feitelijk al 20 jaar achterhaald, de QuickFix ( NAT / PAT ) is nu ook uit z’n jasje gegroeid.
Het echte probleem in deze zijn de Ziggo’s, KPN’s, en zelfs Tweak… die weigerden en er nu met de haren bijgesleept gaan worden IPv6 te implementeren.
In mijn ervaring is IPv6 vaak sneller in het gebruik.
Google block foo:
a) gebruik graphene OS, is AOS, compleet zonder google. compleet toestel te koop NitroPhone
b) andere android:
- gebruik een snelle tunnel (verplicht gebruik voor alles) van Mobiel → thuis (Wireguard)
- verplicht alle DNS verkeer langs een pi-hole
- blokkeer *.googleapis.com, *.google.com naast alle adblocks en nog een paar… (vervang door 0.0.0.0, dan wel ::0 niet DENY)
Enjoy a google/fb/… deprived omgeving, en een halve dag langer werkende accu.
Daarnaast kun je ook op IP adres hele blokkades opzetten.
Door de tunnel met u-bocht in het eindpunt (mijn router) kan ik precies bepalen wat er langs mag en niet, en in mijn geval alles op een en dezelfde router… (toegegeven het is geen FritzDoos).
1 like
W-factor. Wife/Wish e.a. at home die niets met mijn hobbybob zooi te maken wil (en hoef te) hebben.
Zelf vind ik het ook een plezierige gedachte dat ik desnoods dingen even, geen zin, kan laten
Gaat niet of er wat fout gaat maar dat alles basaal werkt en als dat het niet doet, de dames hier niet met Cisco hoeven te bellen om geflabbergasted of worden of de OSPF tabel wel goed staat of wazig bij een provider moet gaan uitleggen dat iets met Asterisk niet goed gaat.
Ik ben ook helemaal met je eens dat leveranciers de broncode zouden moeten publiceren, helaas leven we niet in die werelden.
Voor alle duidelijkheid ik heb een pesthekel aan close-source Fritzel-zooi maar toegegeven het werkt prima, zolang je maar niet meer wil of wat anders doet. Vanuit consumenten gedacht, is er wmb geen betere oplossing die alles inegreert en combineert. Zelfs ons ISDN is nog steeds operationeel en bruikbaar.
Kortom het is een persoonlijke waarneming van smaak, wat je maar gewend bent en dan ziet aan of van problemen. Ik denk dat Freedom e.a. niet voor niets bewust kiezen voor Fritz omdat die alles tezamen, voor de minste problemen zal zorgen en zonodig verwezen kan worden naar avm.de .
Zelf werk ik ook alleen maar met en in jouw wereldgedachte van autonomie maar moet (en wil) rekening houden met anderen die gewoon hun standaardzooi willen hebben en kunnen gebruiken.
Daar waar het thuis (of werk) kritisch is, kies ik bewust voor standaard fabriekoplossingen omdat ik niet kan vertrouwen op mijn of andermans momentele welwillendheid. Gaat er dan wat kapot, reset of bestel een andere en lees de meegeleverde handleiding om het in gebruik te kunnen nemen.
Bijzonder interessant topic.
Wellicht splitsen? Ik wil namelijk nog iets zeggen over de initiële klacht: beloven en niet leveren. Dat wordt zuur ontvangen en dat snap ik heel goed. Ik begrijp ook goed dat iemand de moeite neemt het te melden en ik denk dat dat ook heel belangrijk is.
Momenteel bouw ik voor de 2e keer in mijn carrière aan een IT startup en ik kan me wel voorstellen wat er achter de schermen gebeurd.
Mensen hebben diverse petten op, processen en procedures staan nog niet of lopen niet gesmeerd. Je maakt design keuzes waarvan je weet dat ze in de toekomst een keer anders moeten, bepaalde techniek hangt provisorisch aan elkaar, investeringen moeten mogelijk worden uitgesteld. De product roadmap komt in gevaar omdat techneuten telkens weer pleisters moeten plakken op zaken die ze eigenlijk meteen goed willen doen. Maar hey, tijd en geld. Uitdagingen met personeel. Inkoop van bepaalde diensten (voor dit topic bijvoorbeeld heel specifiek IPv4). Noem maar op.
Onder de streep heb je hier wel van doen met een kleine, nieuwe organisatie met een fantastisch streven waar we allemaal in geloven en achter staan. Veel medewerkers lezen hier vast mee en ik denk dat we daarom ook ons steentje moeten bijdragen op een positieve manier. Betekent niet dat kritiek niet goed is, juist wel. Maar laten we het positief houden en er ook voor zorgen dat potentieel nieuwe klanten aangemoedigd worden na het bezoeken van dit forum.
De gemiddelde gebruiker hier heeft geduld en snapt heel goed dat er weleens iets kan omvallen of sommige zaken langer duren. Het is misschien een les voor de toekomst om product releases iets beter te managen, maar ik kan het eigenlijk niemand kwalijk nemen in deze fase van het bedrijf. Mooi toch, dat er ruimte voor verbetering is. Daar kan iemand prima me aan de slag.
6 likes
Splitsen is inderdaad handig. Overigens snap ik niet waarom een verse organisatie bestaande uit oude (xs4all) rotten in het vak een belofte zou doen om ipv4 subnetten te leveren terwijl de beschikbaarheid van die adressen allang een uitdaging zijn. De ipv6 /48 is overigens welkom.
Wat betreft het gebruik van proxies e.d., apache (en andere webservers) werkt ook prima met sni en virtual hosts. Tig omgevingen op 1 server, al dan niet met eigen TLS certificaten en evt proxy. Dat zou toch ook moeten kunnen werken voor de online radio uitzendingen. Een ipv6 tunnel zou ook een optie kunnen zijn, maar wat ipv6 betreft is Nederland een uithoek.
De FritzBox’en zijn inderdaad voor simpel huis-tuin-keuken werk. Hier heb ik dat ding van xs4all even als wifi AP gebruikt, maar met de unify spullen heb ik betere wifi, dus dat ding is maandag met veel plezier gereset, afgestoft en in de retour doos gemikt. Het voordeel hier was dat ik fiber heb en KPN de fiber - RF45 converter (NTU?) niet terug wilde, dus als ‘router’ is hier een rpi aan het werk. Kan je toch heel wat meer mee dan zo’n proprietary dicht gemept ding. (al lig ik nog in de clinch met TV 
)
2 likes
Huren of kopen zal de oplossing zijn maar het kan door tal van factoren vertraging oplopen.
Helemaal mee eens. Ik heb enerzijds alle begrip voor klanten die in de knoei kwamen door het last-minute opheffen van het XS subnet en nu misschien noodgedwongen naar KPN EEN gegaan zijn. De verhalen van mensen die vanwege TV toch weer weg zijn gegaan vind ik ook triest. Klagende klanten zijn stiekem wel een blessing in disguise in de zin van dat ze een behoefte uitspreken en nog niet vertrokken zijn naar de concurrent. Of daar lessen in communicatie in zitten, geen idee. Misschien is dat meer iets om breder aan klanten te vragen dan alleen hier.
Maar anderzijds heb je ook compleet gelijk met dat dit (nog) een kleine organisatie is die in recordtempo van tekentafel naar levering is gegaan met tussendoor een hevige pandemie. En een team dat supergemotiveerd is om te verbeteren en diensten uit te rollen.
Ik merk zelf dat ik ook veel meer geduld heb voor Freedom dan voor elk ander gemiddeld bedrijf. Waarschijnlijk omdat ik (als enthousiasteling) vanaf het begin geïnformeerd ben waarom dingen lopen zoals ze lopen en omdat het doel ‘goed internet’ voorop staat en niet het uitknijpen van dochterbedrijven/klanten zodat je goed in de boeken komt voor overnamepartijen (hoi KPN). Dan ben je sneller geneigd te zeggen: “goh, zo dringend is mijn behoefte ook weer niet”.
4 likes
Precies dat.
En wat ik bedoelde met positiviteit is de boodschap die titel en inhoud (eerste post) van dit topic overbrengen. Dit is geen aanval op de TS want ik snap heel goed waar de frustratie vandaan komt. Maar voor de mensen van Freedom die zonder twijfel keihard werken aan dit bedrijf en daarnaast de aanwerving van nieuwe klanten zou een andere formulering prettig zijn.
Ik besefte me vandaag dat het eigenlijk ongelooflijk is dat zo’n toffe nieuwe ISP in recordtempo is opgericht. Wie had dat gedacht 10 jaar geleden.
2 likes
Dat heb ik dus duidelijk ook. KPN die zonder melding xs4all de nek om draait heeft bij mij de stap naar freedom in gang gezet (ok, de melding van xs4all moet blijven dat klanten in de oude ip space naar kpn over moesten was de trigger) Ik was eerder tegengehouden door het ontbreken van 50 Mbit op fiber hier. (ik wacht nog op een niet KPN lijn) Kwa TV is CD subtiel gezegd bagger vergeleken bij KPN, maar om nou vanwege dat bij KPN te blijven. TV is achtergrond ruis hier. (Al had Discovery wel wat leuks af en toe) Ik ben nog in gevecht met m’n router om pauzeren werkend te krijgen (de switch multicast/unicast gaat fout), maar dat is hooguit onhandig. (dan maar als vanouds naar de WC tijdens de reclames 
) Liever geen TV dan terug naar KPN.
Wat wel een leuk extra’tje zou zijn is een optie om CD via satelliet te krijgen naast IPTV. (Niet tegen de volle mep natuurlijk) Al ben ik wel benieuwd of dat nog via de oude smartcard werkt of daar ook al proprietary hardware nodig is.
Edit: TV pauzeren en start gemist werkt… Beetje prutten en netwerk snoopen en je komt er wel. (met hulp van de community om je op je vergeten stap te wijzen)
Check, UNIX gebruiker sinds '89, Linux gebruiker/beheerder sinds '94 en het is iets van vorige eeuw om meerdere ipv4 adressen op 1 interface te hebben. (meerdere ipv6 is wel geinig, ook niet nodig, maar waarom niet met een /64 met een paar servers in het net en een /48 toegekend)
Het vervelende is, ipv6 is eng (op te lossen met een goede firewall) als je het niet kent.
When all you have/know how to use is a hammer, every problem looks like a nail.
1 like
Heel goed punt inderdaad. Dat zie je steeds meer en meer gebeuren. Dat samen met social media/support teams die bijna geen bedrijfsinformatie meer tot zich krijgen (of mogen delen) krijg je tegenwoordig snel het gevoel tegen een grote anonieme muur aan te praten.
Al verwacht ik dat probleem zeker niet tegen te komen bij Freedom 
Een RPi als router is behoorlijk beperkt.
Door de interen USB-2 aansluiting van de ethernet adapter moet je de USB delen met allerlei apparaten en ook nog internet…
USB-2 heeft een theoretische limit van 400Mbps… Ik denk dat je mogelijk naar een ander platformje wil kijken, dan ook sustained 1Gbps op 2 interfaces kan aanbieden. Ook die zijn er in verschillende SOC-uitvoeringen. (of een oude router die ondersteund is van OpenWRT oid voorzien.).
Natuurlijk heeft de TS een terecht punt dat de belofte (nog) geen waarheid is, daarbij zie ik ook wat naïviteit (ook van Freedom) om dat voetstoots aan te - willen - nemen, laat staan als argument gebruiken om alvast maar over te stappen. Tipje voor Freedom: stuur @ jcmraats een appelpunt.
Daarbij heeft de TS een prima IPv4 adres waar naast dat het (formeel ook mag) talloze mogelijkheden zijn om daarmee toch je eigen ding te kunnen doen waarbij ik mij kan voorstellen dat die niet allemaal even bekend zijn of wellicht wat inspanning vragen.
Zelf heb ik liever dat een partij zich uitspreekt zodat je op dat moment daarop in/mee kunt spelen dan dat die om formele redenen alle(lei) kaartten tegen de borst houdt omdat er anders iemand wel’s met een claim komen dat Freedom van alles beloofd maar niet, laat staan met ‘s’, zou leveren.
Toegeven dat ik Freedom niet bezie SLA club maar (ook als founder) om samen met oog voor het (technische) individu het privacy verschil te willen maken. Dat daar wel 's wat mis gaat, accepteer ik dan bij voorbaat… wat natuurlijk anno 202X geen vrijbrief is om zonder verhaal maar wat aan te kunnen klooien.
Niemand (behalve ik, per ongeluk) wekt de indruk dat een ipv4 adres vandaag (helaas) niet noodzakelijk is? Ik stel alleen dat het in mijn visie niet echt past om meerdere ipv4 adressen in het vooruitzicht te stellen. Gewoon omdat het een, naar mijn mening, krom voorbeeld geeft en omdat ik niet weet of je dat moet willen. Ik vind het ook juist dat men er op wijst dat het vaak niet eens nodig is om meerdere routable adressen te hebben. Voor zover ik weet is er ook geen datum geplakt aan het voornemen om meerdere ipv4 adressen aan te bieden?
Ik ben het er wel mee eens dat, wat ik de “morgen gratis bier” taktiek noem, vaak uiteindelijk niet goed uit pakt. Het mag dan soms werken bij “dagtoerisme” maar anderzijds werkt het soms averechts.
1 like
Ik snap je mooie verwoording en uitleg, wat niet wegneemt dat iedereen zelf mag uitmaken wat die technisch wil(t). We moeten ook niet gaan beleren van gij moet of zult want xyz drogredenen.
Dat jij (en ik) IPv6 ziet mag niet maken dat we dat dan anderen, laat staan onszelf, moeten/gaan opleggen. Kan altijd wel vrolijk-pissig worden van mensen die mij gaan vertellen dat ik iets doe wat niet mag (of beter hoort) omdat e.o.a. verwegistan buro-instantie dat in een RFC heeft bepaald. Mijn huis, mijn leefwereld en ook mijn issue(s).
Als ik thuis voor elke webserver een eigen IP (mijn part range) wil hebben en dat ook prima kan, is daar helemaal niets mis mee. Vind het ook wel lollig dat ik intern adressen van IBM gebruik en mijn eigen google.com domein actief heb en er soms iemand zegt dat dat niet zou mogen. Pas wanneer dit vice versa de rechthebbende buitenwereld (aan)raakt, moet ik mij houden aan de eisen die daar dan (voor) gelden.
Ach, voor de 50 Mbit die ik heb (KPN fiber, helaas) is het meer dan voldoende. Het verkeer loopt inderdaad allemaal over dezelfde USB hub, maar voor deze lijn kan die dat prima aan. Ik ben begonnen met 20 Mbit en dat was ook meer dan genoeg, alleen KPN levert niet meer goedkoper dan 50 Mbit. (alternatief is 20/0.75 ADSL, te traag voor thuis werken of Ziggo)