Wat zijn de plannen voor native IPv6?

Inmiddels mag ik ook native IPv6 testen. Met behulp van @Joriz had ik het snel aan de praat. Overigens ook hier staat eea duidelijk beschreven, voor USG3 en UDM, in de classic en nieuwe interface: https://help.ui.com/hc/en-us/articles/115005868927-UniFi-UDM-USG-Configuring-DHCPv6-PD-and-Static-IPv6-Addressing

Ik heb daarbij ook geen firewall rule aan hoeven maken voor DHCPv6 voor WAN-IN (“Internet v6 In” voor de nieuwe interface). En voor WAN-LOCAL (“Internet v6 Local”) bestaat deze default al. Ik heb alleen de ICMPv6 rule aangemaakt.

Enige probleem is DNS. Op de een of andere manier lijken mijn Windows clients die niet op de pakken. Of ik nou Auto of Manual selecteer, en welke DNS addressen ik ook gebruik, ze worden op de eea manier genegeerd lijkt wel. Iemand enig idee?

De leasetijd staat op een uur. Dat is ook de tijd waarna de router de routes verwijdert als een client niet meer dhcpt. Ga anders eens het link-local van de router (fe80::6863:fcff:fe33:b141 op je internet vlan) pingen en kijk wat er dan gebeurt.

Sinds gisteren avond netjes een IPV6 lease gekregen.
Na het ontmantelen van de tunnel (en een hoop problemen door een Bug in de laatste controller versie van unifi) nu op de meeste vlans een aparte ipv6 reeks.
Snelheid lijkt goed (gisteren >900 Mbits) load op de router (het belangrijkste voor mij) < 6% tijdens de speed test.
Nu kijken of het stabiel blijft.

Nog vergeten. Router krijgt netjes een /128. Voor de interne netwerken is er netjes een /56 toegewezen die ik weer verdeel via RA.

Hallo, ik meld me bij deze ook aan voor de IPV6 test.

Lijkt erop dat je 2x snel na elkaar een solicit doet, krijg je ook iets in je logs te zien m.b.t. XID mismatch? Is het reproduceerbaar? Kun je eens een capture maken van de hele conversatie, dus solicit - renew voor de periode van een klein uurtje?

Ik hoor geen klachten uit Almere.

Klopt ik heb hier geen problemen, maar @Joriz zit in Enschede. Maar ook daar als ik de collega atlas probes bekijk lijkt hij de enige met problemen. Maar kan best dat hij ook de enige is die Native IPV6 gebruikt. Verder hebben we wel dezelfde hardware (Ubiquiti USG) ik alleen de Pro versie.

Ik zit in Almere en heb - in de korte tijd dat ik het gebruik, sinds gisteravond - geen problemen ondervonden met IPv6. Tot op heden rete-stabiel.

Ik heb even een uurtje gemeten:

admin@USG:~$ sudo tcpdump -vv -n -i eth0.34 '(udp port 546 and udp port 547)'
tcpdump: listening on eth0.34, link-type EN10MB (Ethernet), capture size 262144 bytes
11:32:25.195119 IP6 (hlim 1, next-header UDP (17) payload length: 106) fe80::REDACTED:USG::ETH0.34:IP.546 > ff02::1:2.547: [udp sum ok] dhcp6 renew (xid=1dc192 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (IA_NA IAID:0 T1:1000 T2:2000 (IA_ADDR 2a02:58:1:d::15 pltime:1800 vltime:3600)) (elapsed-time 0) (option-request DNS-server DNS-search-list))
11:32:25.281410 IP6 (flowlabel 0x189c2, hlim 64, next-header UDP (17) payload length: 128) fe80::6863:fcff:fe33:b141.547 > fe80::REDACTED:USG::ETH0.34:IP.546: [udp sum ok] dhcp6 reply (xid=1dc192 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (IA_NA IAID:0 T1:1000 T2:2000 (IA_ADDR 2a02:58:1:d::15 pltime:1800 vltime:3600)) (DNS-server 2a02:58:2:1:53::1 2a02:58:2:1:53::2))
11:32:27.006283 IP6 (hlim 1, next-header UDP (17) payload length: 107) fe80::REDACTED:USG::ETH0.34:IP.546 > ff02::1:2.547: [udp sum ok] dhcp6 renew (xid=32d26c (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (elapsed-time 0) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:1000 T2:2000 (IA_PD-prefix 2a02:58:TERUGKOMENDE-PREFIX::/56 pltime:1800 vltime:3600)))
11:32:27.044688 IP6 (flowlabel 0x05c1e, hlim 64, next-header UDP (17) payload length: 129) fe80::6863:fcff:fe33:b141.547 > fe80::REDACTED:USG::ETH0.34:IP.546: [udp sum ok] dhcp6 reply (xid=32d26c (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (DNS-server 2a02:58:2:1:53::1 2a02:58:2:1:53::2) (IA_PD IAID:0 T1:1000 T2:2000 (IA_PD-prefix 2a02:58:TERUGKOMENDE-PREFIX::/56 pltime:1800 vltime:3600)))

11:48 stuk - iets eerder mogelijk al.

Verbinding weer terug exact als de dhcp6 renew is geweest:
11:49:05.374993 IP6 (hlim 1, next-header UDP (17) payload length: 106) fe80::REDACTED:USG::ETH0.34:IP.546 > ff02::1:2.547: [udp sum ok] dhcp6 renew (xid=b9654a (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (IA_NA IAID:0 T1:1000 T2:2000 (IA_ADDR 2a02:58:1:d::15 pltime:1800 vltime:3600)) (elapsed-time 0) (option-request DNS-server DNS-search-list))
11:49:05.443113 IP6 (flowlabel 0xf7041, hlim 64, next-header UDP (17) payload length: 128) fe80::6863:fcff:fe33:b141.547 > fe80::REDACTED:USG::ETH0.34:IP.546: [udp sum ok] dhcp6 reply (xid=b9654a (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (IA_NA IAID:0 T1:1000 T2:2000 (IA_ADDR 2a02:58:1:d::15 pltime:1800 vltime:3600)) (DNS-server 2a02:58:2:1:53::1 2a02:58:2:1:53::2))
11:49:07.147879 IP6 (hlim 1, next-header UDP (17) payload length: 107) fe80::REDACTED:USG::ETH0.34:IP.546 > ff02::1:2.547: [udp sum ok] dhcp6 renew (xid=4f7919 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (elapsed-time 0) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:1000 T2:2000 (IA_PD-prefix 2a02:58:TERUGKOMENDE-PREFIX::/56 pltime:1800 vltime:3600)))
11:49:07.220601 IP6 (flowlabel 0x3ce05, hlim 64, next-header UDP (17) payload length: 129) fe80::6863:fcff:fe33:b141.547 > fe80::REDACTED:USG::ETH0.34:IP.546: [udp sum ok] dhcp6 reply (xid=4f7919 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (DNS-server 2a02:58:2:1:53::1 2a02:58:2:1:53::2) (IA_PD IAID:0 T1:1000 T2:2000 (IA_PD-prefix 2a02:58:TERUGKOMENDE-PREFIX::/56 pltime:1800 vltime:3600)))
12:05:45.545004 IP6 (hlim 1, next-header UDP (17) payload length: 106) fe80::REDACTED:USG::ETH0.34:IP.546 > ff02::1:2.547: [udp sum ok] dhcp6 renew (xid=e18749 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (IA_NA IAID:0 T1:1000 T2:2000 (IA_ADDR 2a02:58:1:d::15 pltime:1800 vltime:3600)) (elapsed-time 0) (option-request DNS-server DNS-search-list))
12:05:45.605669 IP6 (flowlabel 0x44824, hlim 64, next-header UDP (17) payload length: 128) fe80::6863:fcff:fe33:b141.547 > fe80::REDACTED:USG::ETH0.34:IP.546: [udp sum ok] dhcp6 reply (xid=e18749 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (IA_NA IAID:0 T1:1000 T2:2000 (IA_ADDR 2a02:58:1:d::15 pltime:1800 vltime:3600)) (DNS-server 2a02:58:2:1:53::1 2a02:58:2:1:53::2))
12:05:47.472024 IP6 (hlim 1, next-header UDP (17) payload length: 107) fe80::REDACTED:USG::ETH0.34:IP.546 > ff02::1:2.547: [udp sum ok] dhcp6 renew (xid=b4f5b6 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (elapsed-time 0) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:1000 T2:2000 (IA_PD-prefix 2a02:58:TERUGKOMENDE-PREFIX::/56 pltime:1800 vltime:3600)))
12:05:47.602520 IP6 (flowlabel 0x8c0c1, hlim 64, next-header UDP (17) payload length: 129) fe80::6863:fcff:fe33:b141.547 > fe80::REDACTED:USG::ETH0.34:IP.546: [udp sum ok] dhcp6 reply (xid=b4f5b6 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (DNS-server 2a02:58:2:1:53::1 2a02:58:2:1:53::2) (IA_PD IAID:0 T1:1000 T2:2000 (IA_PD-prefix 2a02:58:TERUGKOMENDE-PREFIX::/56 pltime:1800 vltime:3600)))
12:22:25.708779 IP6 (hlim 1, next-header UDP (17) payload length: 106) fe80::REDACTED:USG::ETH0.34:IP.546 > ff02::1:2.547: [udp sum ok] dhcp6 renew (xid=59562d (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (IA_NA IAID:0 T1:1000 T2:2000 (IA_ADDR 2a02:58:1:d::15 pltime:1800 vltime:3600)) (elapsed-time 0) (option-request DNS-server DNS-search-list))
12:22:25.776405 IP6 (flowlabel 0x8f344, hlim 64, next-header UDP (17) payload length: 128) fe80::6863:fcff:fe33:b141.547 > fe80::REDACTED:USG::ETH0.34:IP.546: [udp sum ok] dhcp6 reply (xid=59562d (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (IA_NA IAID:0 T1:1000 T2:2000 (IA_ADDR 2a02:58:1:d::15 pltime:1800 vltime:3600)) (DNS-server 2a02:58:2:1:53::1 2a02:58:2:1:53::2))
12:22:27.605835 IP6 (hlim 1, next-header UDP (17) payload length: 107) fe80::REDACTED:USG::ETH0.34:IP.546 > ff02::1:2.547: [udp sum ok] dhcp6 renew (xid=69a487 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (elapsed-time 0) (option-request DNS-server DNS-search-list) (IA_PD IAID:0 T1:1000 T2:2000 (IA_PD-prefix 2a02:58:TERUGKOMENDE-PREFIX::/56 pltime:1800 vltime:3600)))
12:22:27.763402 IP6 (flowlabel 0xf86a3, hlim 64, next-header UDP (17) payload length: 129) fe80::6863:fcff:fe33:b141.547 > fe80::REDACTED:USG::ETH0.34:IP.546: [udp sum ok] dhcp6 reply (xid=69a487 (client-ID hwaddr/time type 1 time 642422375 Mijn MAC) (server-ID hwaddr/time type 8 time 1636402003 00163e8f0d9b) (DNS-server 2a02:58:2:1:53::1 2a02:58:2:1:53::2) (IA_PD IAID:0 T1:1000 T2:2000 (IA_PD-prefix 2a02:58:TERUGKOMENDE-PREFIX::/56 pltime:1800 vltime:3600)))
^C
16 packets captured
16 packets received by filter
0 packets dropped by kernel

Ik zou bijna zeggen als je niet regelmatig een dhcp6 renew stuurt dat het dan stuk gaat.
Mede ook omdat een een release en renew het oplost.
Al zou dat niet dienen uitmaken als het maar eens per uur hoeft te gebeuren …

Pingen naar link-local van de router gaat probleemloos voor een uur:

--- fe80::6863:fcff:fe33:b141%eth0.34 ping statistics ---
3781 packets transmitted, 3781 received, 0% packet loss, time 3784900ms
rtt min/avg/max/mdev = 3.599/3.760/6.763/0.112 ms

Pingen naar Google onderbreekt dus wel over IPv6. Het rare is dat je dit met tcpdump wel naar buiten ziet gaan, maar dus niets op terug komt:

--- google.com ping statistics ---
3913 packets transmitted, 3167 received, 19% packet loss, time 3946709ms
rtt min/avg/max/mdev = 4.716/5.050/22.135/0.449 ms

De aangemaakt config van /var/run/dhcp6c-eth0.34-pd.conf is btw niet heel boeiend op de USG3:

# This file was auto-generated by /opt/vyatta/sbin/dhcpv6-pd-client.pl
# configuration sub-system.  Do not edit it.

interface eth0.34 {
        send ia-na 0;
        request domain-name-servers, domain-name;
        send rapid-commit;
        send ia-pd 0;
        script "/opt/vyatta/sbin/ubnt-dhcp6c-script";
};

id-assoc na 0 {};

id-assoc pd 0 {
        prefix ::/56 infinity;
        prefix-interface eth1 {
                sla-id 8;
                sla-len 8;
        };
        prefix-interface eth2 {
                sla-id 22;
                sla-len 8;
        };
};

Mijn USG doet ook elke 15 minuten (net iets meer) een renew. Config is inderdaad gelijk (op de extra vlans bij mij na)
Heb ook maar een ping naar google open gezet kijken of ik daar wat zie,

Na 2 uur lang pingen naar google (grappig ik kom in frankrijk terecht ipv amsterdam) 1 gemiste ping. Ik vermoed de laatste voordat ik CTRL-C deed .

@johan @Joriz , ik heb ook een pingtest gedaan, hieronder resultaten:

(! 16846)-> ping6 google.nl |tee pingtest.txt
PING google.nl(ams15s41-in-x03.1e100.net (2a00:1450:400e:802::2003)) 56 data bytes
64 bytes from ams16s21-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=1 ttl=119 time=2.10 ms
64 bytes from ams15s41-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=2 ttl=119 time=1.94 ms
64 bytes from ams16s21-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=3 ttl=119 time=1.91 ms
64 bytes from ams15s41-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=4 ttl=119 time=2.05 ms
64 bytes from ams16s21-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=5 ttl=119 time=1.94 ms
64 bytes from ams15s41-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=6 ttl=119 time=2.07 ms
…
64 bytes from ams15s41-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=4800 ttl=119 time=2.29 ms
64 bytes from ams15s41-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=4801 ttl=119 time=1.87 ms
64 bytes from ams16s21-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=4802 ttl=119 time=2.09 ms
64 bytes from ams15s41-in-x03.1e100.net (2a00:1450:400e:802::2003): icmp_seq=4803 ttl=119 time=2.21 ms

responsetijd is nooit boven de 2.5ms geweest

Ook hier een uurtje getest. Ping naar Google is feilloos, en iedere 16 minuut en 40 seconden een renew.

Ik gebruik geen VLAN 34 want alleen internet. Verder lijkt de config identiek al gebruik ik wel een handvol VLANs op het interne netwerk.

In principe hoeft je apparaat 30 minuten lang niks te doen - het prefix wordt voor 60 minuten toegewezen en 30 minuten geprefereerd. De route advertisements zijn voor 30 minuten geldig en worden zo te zien regelmatig gestuurd, zo om de 5 a 6 minuten (default 200-600s).

Als jouw pings wel naar buiten gaan zit de default route dus goed. Dan is mijn vermoeden dat de route op een tussenliggende device (van Tweak) komt te vervallen. Dus iets als een dhcpv6-snooping switch die zijn routes te snel laat vallen, @johan?

Dit soort grappen krijg je met Quad9 als DNS-resolver gebruikt (of een andere publieke resolver). Mijn ervaring is dat als je de resolvers van Tweak zelf gebruikt, je altijd bij een server van Google/Facebook/Microsoft/… in de buurt uitkomt.

Dat heeft te maken met het feit dat Quad9 ECS (EDNS Client-Subnet) op hun DNS servers blokkeert als extra privacy bescherming. Indien je van Quad9 gebruik wil maken, maar ook van ECS, dan dien je 9.9.9.11, 149.112.112.11, 2620:fe::11 en 2620:fe::fe:11 te gebruiken.

Ja, aan zoiets zat ik ook al te denken dat een vreemde ACL of snooping instelling dit gedrag veroorzaakt op een (wijk?)switch gezien de local route probleemloos blijft doorwerken en een handmatige DHCPv6 renew vanaf mijn kant het direct weer verhelpt.

Ik hoop dat @johan iets aan het licht kan brengen.

Het lijkt vandaag sinds 08:00 al wel minder te zijn geworden wat ook vreemd is. Ik werk vandaag toevallig thuis. Dus het lijkt er wel op dat meer verkeer er voor zorgt dat het iets minder snel optreedt. Dus mogelijk toch iets van snooping die dan wat alerter blijft.

Helaas ben ik verder geen netwerkexpert en weet ik niet hoe het aan de kant van Tweak zit.
Dus ik leer ook enorm veel bij, waardoor ik graag test. Ik zit voornamelijk zelf aan de (web)server kant van systemen qua kennis.

Ik hoop iedergeval dat we tijdens het testen veel kinderziektses kunnen duiden en documentatie kunnen delen.

Dank @johan voor het toevoegen aan de IPv6 native test. Ik heb wat instellingen aangepast op mijn EdgeRouter 4 en alles lijkt via PD prima te gaan.

Nee, dat kan niet. Op de switches in de wijkcentrales staan nl. per poort ACL’s voor het ip+prefix behorende bij die klant. Een switch laat verkeer toe vanaf dat IP+prefix en daarnaast ook voor de link-local prefix zodat communicatie over link-local met de IPv6 router mogelijk is. Als de DHCPv6 snooping entry op de switch expiret, gebeurt er effectief niks op switch-niveau. Echter, als het op een switch expiret, expiret het op de router ook omdat die dezelfde expiry-tijd aanhoudt

Ik heb je DHCPv6-verkeer bekeken, en ik zie iets wat mij niet helemaal in de haak lijkt. Je client doet nl. een afzonderlijke renew op je IP (IA_NA) en prefix (IA_PD). Met andere woorden, voor elke renew doet ie 2 requests, terwijl dat eigenlijk in 1 request hoort. Misschien is dit een symptoom voor een misconfiguratie die er wellicht ook voor zorgt dat je IP/prefix tijdelijk stuk is op je router. Ik kan alleen maar gissen, maar ik weet vrij zeker dat dit een lokaal probleem is gezien de ervaringen met de andere testers.

Correct ik gebruik dns9. Is me echter nooit eerder opgevallen.