Voordelen van een eigen subnet

Via Freedom kun je een subnet bestellen: https://freedom.nl/diensten/subnet
Ook op het forum al een aantal berichten gezien en gelezen over mensen die het al gebruiken.

Maar ik begrijp het nog niet helemaal. Ik begrijp dat je meerdere ipv4 ip adressen krijgt. Maar mijn vraag is waarvoor deze dan te gebruiken? wat is het voordeel van het benutten van meerdere ipv4 adressen?
Welke services gebruik je dan bijvoorbeeld allemaal met een eigen ipv4 adres?
Ikzelf heb een firewall/router (opnsense) - access point wifi - NAS met mail en webserver.
Wat zouden de voordelen zijn in zo’n bovenstaande config?

Alvast bedankt voor de info

Hoi,

Nou je legt het zelf eigenlijk al uit :wink:
Volgens mij alleen maar nodig als je meerdere apparaten hebt die zelf op een uniek adres bereikbaar moeten zijn op het internet, of die zichzelf naar buiten toe uniek kenbaar moeten maken.

Zelf heb je een webserver en mail draaien, dat gaat natuurlijk over hetzelfde IP adres.
Maar bijvoorbeeld nog een eigen smarthome server? Die zou een eigen IP adres kunnen krijgen


Er zijn talloze voorbeelden waarbij je wel meerdere IP adressen wilt, maar voor heel veel thuisgebruik natuurlijk niet nodig


Hoi en bedankt voor je reactie. Het is misschien het niet geheel begrijpen van alle mogelijkheden?
Op freedom subnet info schrijven ze zelf “Draai jij een eigen e-mail-, file- of backupserver?”,
Maar dan ga ik er over nadenken en dan zoek ik naar het voordeel hiervan. In veiligheid? Snelheid? Gemakt? want zonder eigen ip-adres werkt alles al, alleen via een en hetzelfde ip adres.

Net wat je zegt

“Er zijn talloze voorbeelden waarbij je wel meerdere IP adressen wilt, maar voor heel veel thuisgebruik natuurlijk niet nodig
”

Als je 17 euro per maand moet betalen voor alleen dat je router ip xxx.15 heeft en je email server xxx.16 lijkt me toch niet voldoende om het aan te schaffen? Ik moet iets missen in mijn denken lijkt me :slight_smile:

Maakt in basis geen verschil in veiligheid of snelheid.

Met verschillende services op verschillende poorten kom je met 1 IP-adres ook een heel eind. Maar je zou bijvoorbeeld kunnen denken aan je gasten WiFi op een eigen WAN IP (bijv. omdat je normale IP op whitelists staat), of een apart IP voor je mailserver, webserver etc. i.p.v. op hetzelfde IP als waar vandaan je surft. Door dat op een ander IP te draaien dan het IP waar vandaan je surft bescherm je mogelijk je privacy beter (servers kunnen zich identificeren met een hostname die mogelijk te herleiden is naar jouw persoon, of een site die op dat IP draait die naar jou te herleiden is). En zo zijn er vast nog 1001 mogelijke nuttige toepassingen te bedenken. :slight_smile:

1 like

De enige echte reden die ik weet te verzinnen is dat mensen services willen draaien op dezelfde poort, maar voor een applicatie die geen onderscheid kunnen of willen maken op basis van de hostnaam. Ter voorbeeld, webservers kunnen prima onderscheid maken tussen omgevingen gebaseerd op hostnaam, zodat elke website op 1 ip adres de eigen content laat zien.

Voor thuisgebruik is het alleen handig als je op een dergelijke manier iets wil aanbieden en niet kan (wil) uitwijken naar ipv6, wat vorig milennium is geintroduceerd (zij het net, in 1999). Onderscheid tussen eigen en zakelijk verkeer kan ook een reden zijn, maar dan zou ik eerder voor een VPS oplossing elders kiezen. (heb ik ook gedaan, er draaien 2 zakelijke VPS’en elders)

Als je thuis niet meerdere services aanbied op dezelfde poort die expliciet IPv4 vereisen zou ik geen extra ip blok aanvragen. Als IPv6 prima werkt, dan kan je even. Je krijgt een /48 bij je freedom lijn, waarmee je 65.536 /64 subnets kan maken met daarin ruimte voor 18.446.744.073.709.551.616 systemen per /64. Ik denk dat iedereen daar wel even genoeg aan heeft.

3 likes

Ik denk dat het nog heel lang door gaat, dat mensen zich vast houden aan IPv4
Wonderlijk in een wereld met snelle ontwikkelingen,
na bijna 25 jaar IPv6 nog steeds niet de standaard is.

4 likes

Hier is zakelijk ipv4 al alleen ‘als fallback’ ingericht, alle services draaien met juiste certificaten op ipv6, ipv4 is 1 adres voor alles, men doet het er maar mee.

Prive idem, ipv6 primair, ipv4 voor de oude omgevingen die dit milennium nog niet gehaald hebben.

Is een heel andere discussie, maar ik heb zelf ook bewust IPv6 uitgezet en laat dat de komende jaren ook nog wel zo. De basis op internet is nog steeds IPv4, dat merk je. Zelf meerdere malen (ook recent nog) meegemaakt dat netwerkverstoringen op exchanges en transits veel minder snel opgemerkt (en dus opgelost) worden op het v6 netwerk dan op het v4 netwerk. Ook heb ik zelf voor zakelijke doeleinden een login op een website welke zowel via v4 als v6 bereikbaar is, maar die dienst werkt met een verplichte whitelist op IP niveau. Een gebrek daarbij is dat het (nog steeds) niet mogelijk is om ranges te whitelisten. Ik moet dus op alle devices die bij die dienst kunnen inloggen een vast IPv6 instellen en die allemaal op de whitelist toevoegen. Wordt (al tijden) aan gewerkt door de leverancier, maar ja, het heeft een lage prio. En eerlijk gezegd snap ik dat wel. Er is geen enkele noodzaak om v6 te gebruiken. Alles is bereikbaar via IPv4 en zal dat nog vele jaren blijven (al hadden ze dan wel beter op de servers v6 support kunnen uitzetten totdat dit is opgelost). IPv4 adressen zijn gewoon “op de markt” te koop voor providers, tuurlijk kost dat wel een centje, maar dat is zakelijk vaak geen enkel probleem.

De grote oorzaak waarom mensen niet overgaan naar v6 zijn niet de mensen, maar is een ontwerpfout in het protocol. Het had backwards compatible moeten zijn, in plaatst van een heel nieuw protocol naast het bestaande ontwerpen. Daarnaast is v6 standaard ook nog eens dominant tegenover v4 (m.a.w. als je zowel een v4 als v6 IP hebt zal verkeer standaard over v6 gaan lopen), wat ook niet meehelpt om mensen “langzaam aan” te laten wennen. Was v4 standaard dominant, ben ik er van overtuigd dat v6 al op veel meer plaatsen geïmplementeerd was, het zou namelijk minder directe impact hebben. Dan had op een gegeven moment v4 langzaam uitgefaseerd kunnen worden.

In veel (legacy) serieuze zakelijke omgevingen is het een boel werk om alles naar v6 te migreren, en zoals we allemaal weten zijn alle migraties ook een grote kans op een boel gedoe met nasleep. Dat samen met dat er geen enkele noodzaak is (een extra blokje kopen is sneller) zorgt er voor dat IPv4 nog heeeeeel lang (ik vraag me af of wij het nog gaan meemaken) blijft. En zeker als je geen zin hebt in grotere kans op gedoe en problemen, laat je IPv6 op dit moment nog links liggen op belangrijke schakels in je netwerk. Zo ook ik. :wink:

1 like

Hahahaha die opmerking snijdt zeker houd als u het mij vraagt. Je zou hier een hele etische discussie over kunnen voeren en parallellen kunnen trekken naar andere problematiek (opwarming van de aarde comes to mind).
Mijn verklaring is dat IPV4 bekend is en met name goed te overzien is met een klein beetje denkwerk. IPV6 hoewel de oplossing voor het huidige tekort vaan IPV4 spacing is voor velen (incluis mijzelf) niet in 1 opslag overzichtelijk.
A : onbekend maakt onbemind.
B: het is gewoon lastiger “human readable”

Kortom verandering, dus lastig, dus is er (en wordt er nog steeds) door zelfs grote netwerk vendoren met een grote boog omheen gelopen.
Want de implementatie en ondersteuning van IPV6 laat zelfs vandaag de dag vaak nog te wensen over.

Maar ook ik ben ervan overtuigd dat het onontkoombaar is, maar of ik nog ga mee maken dat IPV4 volledig vervangen is door IPV6 durf ik wel te betwijfelen.

1 like

Die discussie heb ik vaker gehad met mensen, die met de neus vooraan hebben gestaan.
Ze willen domweg het risico niet lopen, om gatenkaas te verkopen.
Vooral in omgevingen waar ze nog maar net van de fax afscheid hebben genomen.

De verwondering zit vooral in de eigen verwachting en dat het nog niet zover is (gekomen) is omdat ingevoerde & gebruikte zaken nog prima voldoen.
//–//
Tal van (embedded & industrie) systemen werken alleen op IPv4 en veel omgevingen hangen van oudsher op IPV4 zoals o.a. routing & firewall/rules etc.etc
 Met IPv4 hoeft men maar Ă©Ă©n set (en ook stack) te onderhouden.
Verder zijn er nog allerlei exoten, denk aan FCIP & IPFC, die veelal daarin vast gebeiteld zijn.
Ook niet onbelangrijk in operaties, is het kunnen onthouden van IPv4 (4 getallen 00-FF) een stuk eenvoudiger is dan de 16 hexbytes bij IPv6.
Ik weet dat een “moderne” & en niet met historie belaste beheerder dat mogelijk flauwekul vindt maar bij ons is de core met alleen IPv4, erg prettig om mee te hannesen. De beperking van IPv4 geeft daarbij ook de dwang om er over na te denken.

Als altijd is het niet dat ouder beter zou zijn maar dat ouder meer gesetteld is en daardoor een grote waarde heeft. Mocht ik de klok 50 jaar terugdraaien, zou ik (ook) IPv6 aanbevelen en niet eens nadenken om IPv4 te introduceren, laat staan al die andere van oudsher ontstane beperkingen met als oorzaak wat toen voorstelbaar was. En als ik daar toch ben, gelijk de kiem van allerlei hedendaagse gegroeide beperkingen oplossen.

NB: net zoals @WoSp heb ik IPv6 uitgezet. Over een jaar of 5 kijken we wel weer of het zinnig is om er energie in te steken.

De enige problemen die ik hier tegenkom zijn op IPv4, als er iets stuk is dan gaat het daar stuk. Ipv6 is hier al sinds '02 via tunnels (eerst xs4all, later henet erbij, sixxs en nu met wegvallen van xs4all en sixxs alleen nog henet en sbtb) en nu ook native in gebruik. Inkomend en de antwoorden daarop via de tunnels, uitgaand en de daarop terugkomende antwoorden via native.

Geen problemen what so ever, als ik geen typos maak in de complexe source based routing. :wink:

1 like

Alles lijkt bereikbaar via IPv4, maar is dat niet. Verder gaan IPv4 whitelists tegen het probleem van CGNAT aan lopen, waarbij mensen ‘hun’ IPv4 adres doorgeven, maar wat dan werkelijk het IPv4 adres van de CGNAT doos is, en dus niet 1 persoon daarmee toegang krijgt, maar alle mensen van die provider.

Hiervoor hebben ze Happy Eyeballs bedacht, waardoor dit geen probleem meer is.

Dit verschuift het probleem alleen maar naar de toekomst. Want dan krijg je de problemen wanneer je IPv4 uitzet.

Volgens mij is er wel een reden en die is dat IPv4 duurder is dan IPv6, want je moet ergens een blokje huren en dan heb je ook nog de kans dat je huur opgezegt wordt. Terwijl je nog gewoon IPv6 adressen van een RIR kan krijgen zonder dat je daar extra voor hoeft te betalen.

Dit, je betaald bij Freedom 17 euro p/m voor 4 adressen, ipv6 krijg je er gratis bij, 65k /64 blokken met elk blok meer adressen dan er mensen op aarde zijn. Sommige sites zijn ipv4 only (zoals helaas een van onze banken), maar alles dat geen ipv6 kan en niet strikt noodzakelijk is laat ik nu lekker links liggen als het niet wil werken.

IPv6 is gratis als je RIPE LIR bent (mijn bedrijf is dat, dus weet een beetje hoe het werkt ;-)), net zoals vroegah IPv4 gratis was (en nu kan je als nieuwe LIR nog steeds op de wachtlijst voor een gratis /24). Dat gezegd hebbende, IPv4 kan je gewoon kopen (leasen is een keuze, die op korte termijn goedkoper is, op langere termijn duurder en afhankelijk van de contractuele afspraken risicovoller) en dan betaal je op dit moment ongeveer eenmalig € 35-45 per IP. Minimaal per 256 IP’s (want kleinste subnet dat je op internet kan routeren is een /24). Maw voor ca. € 10.000,- eenmalig heb je weer 256 IP’s in je pool zitten. Natuurlijk is dat geld, maar zakelijk gezien meestal niet echt een issue en worden dergelijke bedragen gezien als peanuts, simpelweg omdat 256 IP’s kunnen gebruiken voor services veel meer oplevert aan inkomsten. En zakelijk gezien zal je hoe dan ook IPv4 bereikbaarheid moeten hebben de komende decennia, dus die kosten ga je toch hebben, of je nou v6 erbij hebt of niet. Daarnaast nog veel gedoe en potentieel gezeik met IPv6 implementaties
nee dankje, in een zakelijke omgeving is stabiliteit en betrouwbaarheid de allerhoogste prioriteit. Met alle respect, maar dat soort omgevingen kan je niet vergelijken met je thuis setup.

Overigens is CGNAT voor de meeste consumenten verbindingen helemaal prima. Ja, je deelt dat IP dan wel maar al staat dat op een whitelist zoals in mijn voorbeeld, dan heb je daarnaast nog steeds gebruikersnaam/wachtwoord (en als je wilt zelfs nog extra 2FA) nodig, dus de kans op misbruik daardoor is minimaal. IPv6 wordt niet massaal geĂŻmplementeerd, omdat er simpelweg niet genoeg noodzaak voor is. Ja, het heeft een aantal verbeteringen, maar die wegen vooralsnog niet op tegen de nadelen die het ook heeft.

En voor ISP’s levert het zelfs een mooie extra kans op winst op. Je zou bijv. standaard een CGNAT verbinding kunnen gaan leveren (zullen veel klanten probleemloos mee uit de voeten kunnen) en voor een paar euro per maand extra kan je een vast eigen IP huren. Met een aanschafprijs van eenmalig € 35,- tot € 45,- per IP heb je dat snel terugverdiend en daarna zijn die extra kosten pure winst. De gebruikers die echt geen CGNAT willen zullen het ongetwijfeld ook geen probleem vinden een paar euro per maand extra te lappen.

Human readable is niet eens een argument, daar heb je juist de FQDN of hostnaam voor, dat vereist precies Ă©Ă©n keer even goed opletten dat je het hexadecimale IPv6 adres goed ingesteld hebt.

Niet alles hangt direct aan internet/staat (of wil je) in DNS. Cluster communicatie of storage netwerken om maar eens twee voorbeelden te noemen. Kan je met aanpassingen in hostfiles gaan werken
ook niet echt een succes. Dan is idd human readable best fijn werken.

Wat mij betreft kan het zo moeilijk maken als je zelf wil op het moment dat je geen fqdn wil gebruiken. Een IPv6 adres van 2001:db8::1 heeft minder segmenten dan 192.0.2.1 :wink:

1 like

Voor de Ă©Ă©n niet en voor de ander - met een ander oogmerk - is bv het leesbare/(ont)houdbare juist handig en een (bestaande) omgeving daarbij niet wordt opgezadeld met extra service/aanroep/stacks/(werk)procedures/documentatie etc.etc.

Spelen met IPv6 is prima maar qua investering zou ik een extra keer gaan krabben of IPv6 als route wel werkwijs is om zo dat al kan, wat IPv4 euro’s ter adressering uit te sparen.
Kosten & tijdsgeest hebben ergens een kantelmoment. Wijs is dan nadenken om (ooit) IPv6 te bouwen en ondertussen voortjakkeren op reeds het in bezit zijnde IPv4 kapitaal.

:slight_smile: Dat is een verkeerde weergave, 2001:db8::1 telt 5 hexbytes en gaat uit dat met de :: (her)kent. Terwijl 192.0.2.1 4 hexbytes zijn.

Wat je terecht aangeeft is dat een lezer kan leren om te wennen aan een andere notatie.