Hoi Allemaal, ik ben nieuw bij freedom en hier op het forum.
M’n lijn is sinds gisteren om. Dat was wat laat naar mijn smaak omdat ik al sinds de aankondiging wachtte op het beschikbaar komen van subnetten. Het idee was dat ik beter in 1 keer van provider kon wisselen en meteen naar een subnet toe dan eerst een andere provider en daarna nog eens aanpassen aan subnetten. De omzetting gisteren heeft me ruim 3 uur werk gekost, dus dat had ik me graag bespaard . Gelukkig ben ik nu in ieder geval alle veranderingen bij xs4all voor.
Als ik dit topic een beetje doorscan dan zie ik vraagtekens bij de noodzaak van voor een subnet. Hoewel er veel met reverse proxy’s opgelost kan worden kan dat zeker niet met alles. Ik geef een paar voorbeelden van mijn huidige situatie die zouden verbeteren met een subnet:
Ik draai een tor relay (geen exit). Tor heeft in principe z’n eigen poorten, maar ze vinden het ook fijn als je hem op 443 kan laten luisteren omdat je daar minder kans hebt op blokkades. Dat kan echter niet, want daar daait m’n webserver al (nou ja, reverse proxy ) . Tor via de reverse proxy laten lopen is geen optie omdat het geen http is.
Daarnaast blokkeren sommige sites (tomshardware komt nu bij me op) alles wat met tor te maken heeft. Doordat ik zelf browse vanaf hetzelfde adres blokkeren ze daarmij ook mijn eigen sessies die niet via tor lopen.
Ik draai m’n eigen mailserver en die luistert uiteraard op de nodige poorten om inkomende mail aan te nemen. Omdat ik bij updates zeker wil weten dat alles blijft werken heb ik ook een test mailserver. Uitgaand kan ik daarmee testen, inkomend niet omdat de gebruikte poorten daarvoor al op de reguliere mailserver uitkomen.
Daarnaast moet de reverse lookup voor m’n IPv4 adres resolven naar de naam van m’n mailserver. Daardoor lijkt het vanaf de buitenwereld alsof ik vanaf m’n primaire mailserver zit te browsen .
Om dit netjes uit elkaar te trekken heb ik dus 4 adressen nodig: tor, 2 mailservers’s en regulier client verkeer. IPv6 is wel een oplossing, ik draai nu al jaren dual stack, probleem is dat de buitenwereld niet mee gaat . Van de ca. 5500 concurrent tcp connecties die er staan zijn er ongeveer 1000 IPv6.
Yep, ik heb hier ook al heel erg lang IPv6, intern is het meeste verkeer puur IPv6, maar van de buitenwereld komt er wel degelijk ook nog steeds heel veel IPv4 binnen. Ik gebruikte vier van de vijf IP’s van mijn /29 bij Xs4all, totdat ze hem in Oktober gewoon weghaalden. Ik weet een reverse proxy werkt voor web sites, maar niet voor DNS en mail Servers, die je natuurlijk ook netjes een correcte Rdns meegeeft. Ik ben gisteren naar freedom gekomen, omdat ik nu dus ook mijn RDNS kwijt ga raken, en dat is een dealbreaker. Ik hoop dat ze dit weer snel gaan leveren zodat ik die vier IP’s weer terug krijg, die ik dan gewoon als VIP in de router zet, werkt als een zonnetje, zonder ugly workarounds als een nginx or IIS ARR proxy.
RDNS is niet zo’n probleem, je moet het wel even via de Helpdesk vragen (en vooraf de forward goed instellen, de reverse wordt aan de hand daarvan ingesteld.). zowel voor IPv4 als voor IPv6.
Mooi, dat is bij KPN niet mogelijk, een van de redenen dat ik nu naar freedom ga. Bij XS4all kon je ipv4 wel doen, ipv6 moest ook via email naar helpdesk.
Misschien een ideetje, voor mail opsplitsen en DNS heb ik een VPS gehuurd. (nu had ik die al zakelijk, daar lift ik prive op mee) Voor reverse IPv6 heb ik een henet (US IP space) en een securebit tunnel. Bij henet kan (kon?) je een reverse delegatie instellen. Bij secure bit kan je een ripe ipv6 /48 via jouw tunnel laten routeren als privé persoon (moet je wel even via helpdesk vragen, normaal krijg je een /64 op de tunnel), waarbij je bij ripe je reverse instelt. Volledige controle en provider onafhankelijk.
De VPS kost wat extra (even zoeken en je kan een goedkope vinden, performance hoeft dat ding niet te hebben voor mail/dns), maar als je via KPN zit kan je evt af met een goedkopere lijn omdat een deel van je verkeer via de vps gaat. (als je daar ook je web server draait)
Als je een VPSje zoekt kan ik je aanraden eens naar https://soleus.nu te kijken. Ik heb daar zelf ook een VPS’je (en, voor de zekerheid, verder geen belangen), Het is een vereniging en dat past goed bij de spirit van Freedom. Je krijgt daardoor meer achtergrond info en inspraak dan bij een normale VPS boer, maar ook geen (uptime) garanties.
Ik kreeg vanmiddag een mailtje met bestelinstructies. Ingevuld, verstuurd en binnen een uurtje was de boel al geactiveerd. Eerste servertje gemigreerd naar een van de IP’s van het subnet en alles werkt uitstekend! Wow!
Het was een mail aan mensen die zich als geïnteresseerde aangemeld hadden. Misschien kan je even mailen naar subnet@freedom.nl met de vraag of je toch al kan aanvragen.
Gister aangevraagd, direct geactiveerd. Werkt top!
Voor de mensen met een Edgerouter, vergeet niet even je PPPoE verbinding opnieuw te maken anders werkt het niet (en ja dit heeft me zeker een uur gekost).
Mijn complimenten aan Freedom, toch weer een beetje trots deel uit te maken van de club die met al haar inzet de voorzieningen weet te faciliteren.
Mooie actie. Wel een tikje aan de hoge prijs maar voor wie het nodig heeft… kan het verkrijgen. Ook prima opzet het per maand te kunnen doen (afrekenen).
Stapje voor stapje wordt het steeds mooier. Ben blij dat het kan. Ondertussen had ik zelf een andere oplossing gemaakt maar ben blij dat deze feature ook binnen de native appeltaart familie kan
Ik gebruik geen Egderouter maar gewoon een linux gebakkie, en ook hier komen de nieuwe IP adressen pas binnen na een restart van de PPPoE. Bedankt voor de tip
Ik zit nog wat te experimenteren want het is voor mij (privé althans) voor het eerst dat ik een subnet tot m’n beschikking heb. Ik merk dat voor mij alle adressen gewoon bruikbaar zijn, inclusief het eerste en het laatste adres waarmee dat formeel niet zou moeten kunnen.
Mijn setup is als volgt:
M’n router is een linux gebakje met nftables, die zet een ppp verbinding op en krijgt daarop het reguliere vaste IP adres toegewezen. De adressen uit het subnet configureer ik op geen enkele interface, maar op deze router doe ik een dnat van de subnet adressen naar het gewenste interne adres.
Op deze manier kan ik nu (als test) m’n webserver op alle adressen uit m’n subnet bereiken
Het is wel verstandig (noodzakelijk) om het ipadres als alias op de ppp interface toe te voegen.
anders heeft een kernel best een uitdaging om pakketten correct op te pakken.
(icmp, traceroute etc.).
Op de manier die jij beschrijft heb je ook echt 8 adressen btw.
Op wat voor problemen/uitdaging doel je dan? Ik zit nu met tcpdump mee te kijken met testjes en alles doet het gewoon prima zoals je het zou verwachten. De destination adressen zijn simpelweg niet local dus hij behandeld het als te forwarden verkeer en dat is ook precies wat hij moet doen. De router zelf heeft al een publiek IP (van de ppp link) wat hij kan gebruiken als hij bijvoorbeeld icmp (unreachables, ttl exceeded of wat dan ook) zou willen sturen, dus ik zie eerlijk gezegd niet de meerwaarde om daar een extra adres aan toe te voegen.
Je hebt wat neven effecten op “niet gebruikte” adressesn. Kijk maar eens wat er af en toe aan treintjes ping & tracerotues lang om paden etc, op te zoeken. (In mijn geval gebruik ik het adres ook op de router btw… dus dat is een verschil).
. Gelukkig ben ik nu in ieder geval alle veranderingen bij xs4all voor.
) . Tor via de reverse proxy laten lopen is geen optie omdat het geen http is.
