Wat zijn de plannen voor native IPv6?

Robin_Dittrich · 18 november 2021 om 21:49

Ik draai inmiddels een paar dagen met IPV6 op een USG3P. Instellen was nog geen half uur werk. Alles draait super stabiel!
Geen last van connection drops of andere problemen!

SanderR · 19 november 2021 om 12:08

Zojuist het heugelijke nieuws ontvangen dat voor mijn IPv6 geactiveerd is en uiteraard gelijk willen activeren. Helaas is het nog stil aan de andere kant.

IK verstuur wel solicit messages, maar krijg nog geen antwoord terug.

Kan het zijn dat er in de wijkcentrale nog iets aangepast dient te worden?

johan · 19 november 2021 om 12:17

Zo te zien niet. Ik zie de dhcp replies jouw kant op gaan en ook in de switch zie ik de snooping entry voor je prefix. Weet je zeker dat je niet 1 of andere ACL erop hebt staan?

SanderR · 19 november 2021 om 12:31

ik ga gelijk kijken!

SanderR · 19 november 2021 om 14:29

Ah het was toch een ACL
De fiber loopt via mijn switch en ik leerde voorheen alle MAC adressen en om dat te voorkomen had ik een MAC filter, maar het device wat mij IPv6 serveert heeft een ander MAC adres.
De filter even verwijderd en ik heb succesvol een IPv6 adres een /128 nu op naar de /56

Joriz · 23 november 2021 om 19:08

Had je al iets kunnen achterhalen op de switch of kunnen reproduceren?

Ik ben vooral benieuwd of mijn stoom aan ‘mtr’ IGMP pakketjes van/naar Surfnet op ***:a99d (periodiek) op de wijkswitch mee gebeurt.
Zelf zie ik ze dus wel over en weer gaan aan de kant van Surfnet, maar bij zo’n periodieke hik met tcpdump in promiscuous mode enkel uitgaande en niet meer terug komen.

johan · 25 november 2021 om 15:03

Ik heb nog geen tijd gehad om er naar te kijken. Hopelijk volgende week. Dan ben ik weer op kantoor en kan ik in het testen in de testsituatie.
Bedoel je met “niet terugkomen” dat het niet meer bij jou aankomt of niet meer aan de andere kant? Als het niet bij jou aankomt zou ik dat nl. extreem raar vinden. De router leert de link-local neighbor entries (daar staan de routes naartoe) en expiret ze ergens tussen een kwartier en een half uur als er geen activiteit (dus: verkeer) is geweest. Ik ga er daarom vanuit dat de neighbor entry gewoon in stand blijft en het verkeer jouw kant op wordt geforward. Vanuit de router gaat het het layer 2 netwerk in en het lijkt me onwaarschijnlijk dat het daar gedropt wordt.

Joriz · 25 november 2021 om 16:38

Inkomende komt dan geen IPv6 verkeer aan op mijn router.

Ik heb nu al meer dan een week een traceroute (MTR) lopen die perfect extern aan de andere kant aankomt bij een server ***:a99d achter Surfnet. Tijdens die onderbrekingen gaat het verkeer er dus nog steeds bij mijn router correct uit en zie ik het ook correct aankomen bij die externe server met TCPDump achter Surfnet.

Op mijn Ubiquiti router zie ik echter tijdens de onderbrekingen met tcpdump in promiscuous mode het IPv6 IGMP verkeer perfect uitgaande gaan, maar dus niet meer terug binnen komen.
Mijn router ziet op die momenten dus geen ingaande IPv6 verkeer.

Wat het dus zeer vreemd maakt gezien als het een issue in mijn router was je minimaal zou verwachten dat je met TCPDump in promiscuous mode het IGMP verkeer zou terug zien komen, maar dan zou falen door bijvoorbeeld een route issue in mijn router.

Dus het lijkt er op dat er iets afwijkends gebeurt op de wijkswitch -of- toch die neigbor entry te vroegtijdig verloren gaat. Door enorm veel IGMP verkeer te versturen weet ik het namelijk meestal te rekken tot een ‘stabiele’ verbinding van 14 minuten per kwartier.
Elke kwartier stuurt mijn router namelijk de DHCPv6 renew en is de verbinding dus steeds weer (even) correct terug.

Vandaar dat ik ook zo benieuwd ben of jij op de wijkswitch wel correct mijn stroom aan IGMP naar ***:a99d en weer terug naar mij constant ziet doorlopen of die daar toch ook al niet meer langs komt.

PaulR · 25 november 2021 om 18:24

Ik zou ook graag IPv6 testen op mijn aansluiting.

Jeroen · 2 december 2021 om 18:22

Na de melding van de service desk dat native IPv6 geactiveerd is op mijn aansluiting, heb ik ook een poging gedaan op mijn USG.
Dit zijn mijn WAN settings:

En op mijn LAN staan deze settings ingesteld:

Voor zover ik kan zien heb ik dezelfde settings ingesteld, echter krijg ik IPv6 niet aan de gang.
Ik krijg geen prefix op mijn LAN, maar ook de WAN krijgt geen IPv6.

Zie jij een fout in mijn settings?
Heb jij verder nog iets aangepast op de USG?

Joriz · 2 december 2021 om 19:53

Firewall instellingen ook nagelopen?

Anders kan je het beste even kijken op je USG router wat er met tcpdump voorbij komt en of er ook DHCPv6 aanvragen worden verstuurd.

admin@USG:~$ sudo tcpdump -n -i eth0.34 ip6

Joriz · 2 december 2021 om 20:29

Nog een interessante tcpdump die laat zien dat IPv6 verkeer (periodiek) niet binnen komt.
Ik hoop dat er iets op de Wijkswitch met Tcpdump kan worden gezien als periodiek dit gedrag ontstaat.

USG3 achter Tweak ziet pingt pakketje 31889 vanaf mijn Raspberry PI wel naar buitenwerld naar Surfnet maar ziet niets terug:

21:19:12.862760 IP6 (flowlabel 0x1f1fb, hlim 7, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 31377
21:19:12.903092 IP6 (flowlabel 0x1f1fb, hlim 4, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 4047
21:19:12.967025 IP6 (flowlabel 0x1f1fb, hlim 8, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 31633
21:19:13.008105 IP6 (flowlabel 0x1f1fb, hlim 5, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 4303
21:19:13.071993 IP6 (flowlabel 0x1f1fb, hlim 9, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 31889
21:19:13.112978 IP6 (flowlabel 0x1f1fb, hlim 6, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 4559
21:19:13.216380 IP6 (flowlabel 0x1f1fb, hlim 7, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 4815
21:19:13.288550 IP6 (flowlabel 0x1f1fb, hlim 1, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 32401

Server bij Surfnet ziet gewoon pakketje 31889 binnen komen en pingt rustig over en weer

21:19:12.028512 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 24) 2001:SURFNET:a99d > 2a02:58:TWEAK-PI:40cf: [icmp6 sum ok] ICMP6, echo reply, seq 29329
21:19:12.379281 IP6 (flowlabel 0x1f1fb, hlim 1, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 2767
21:19:12.379464 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 24) 2001:SURFNET:a99d > 2a02:58:TWEAK-PI:40cf: [icmp6 sum ok] ICMP6, echo reply, seq 2767
21:19:13.077466 IP6 (flowlabel 0x1f1fb, hlim 1, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 31889
21:19:13.077721 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 24) 2001:SURFNET:a99d > 2a02:58:TWEAK-PI:40cf: [icmp6 sum ok] ICMP6, echo reply, seq 31889
21:19:13.430979 IP6 (flowlabel 0x1f1fb, hlim 1, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 5327
21:19:13.431045 IP6 (hlim 64, next-header ICMPv6 (58) payload length: 24) 2001:SURFNET:a99d > 2a02:58:TWEAK-PI:40cf: [icmp6 sum ok] ICMP6, echo reply, seq 5327
21:19:14.130403 IP6 (flowlabel 0x1f1fb, hlim 1, next-header ICMPv6 (58) payload length: 24) 2a02:58:TWEAK-PI:40cf > 2001:SURFNET:a99d: [icmp6 sum ok] ICMP6, echo request, seq 34449

Jeroen · 2 december 2021 om 20:30

Standaard firewall rules staan er in:

En volgens mij is dit de aanvraag die verstuurd wordt:
listening on eth2.34, link-type EN10MB (Ethernet), capture size 262144 bytes
21:17:10.470773 IP6 fe80::cece:1eff:fed7:7190.546 > ff02::1:2.547: dhcp6 solicit
21:19:16.865501 IP6 fe80::cece:1eff:fed7:7190.546 > ff02::1:2.547: dhcp6 solicit
21:21:23.215480 IP6 fe80::cece:1eff:fed7:7190.546 > ff02::1:2.547: dhcp6 solicit

EDIT:
Ik heb de fritzbox er even bijgepakt, maar die krijgt ook geen IPv6:

johan · 3 december 2021 om 14:19

Dit is gefixt. Was een foutieve config op de switch.

johan · 3 december 2021 om 14:20

Kun je ergens icmp (ping) op aanzetten en dat ip ff privé doorgeven?

Bishop47 · 3 december 2021 om 18:00

Dag @johan,

Mocht er nog plek zijn zou ik ook graag lid worden van de test groep

Gebruik een UDM-Pro, woon in Almere.

Dank!

Jeroen · 3 december 2021 om 18:09

Thanks!
De IPv6 prefix werd na de wijziging direct opgepakt door de USG.

recombinator · 5 december 2021 om 22:51

Hi @johan,

hier nog een gebruiker uit Almere die graag zou willen testen.
Ik gebruik een Edgerouter4 en hou me ook aanbevolen om te testen.

Thanks!

robin · 6 december 2021 om 12:51

Hoi @johan

Ik zou ook graag mee willen testen met ipv6.

Bij mij is een virtuele Sophos Firewall in gebruik met een HE 6in4 verbinding.
Heen en weer switchen tussen of simultaan gebruiken is geen probleem hier…

Frans · 7 december 2021 om 20:08

@johan
Ik heb even contact gehad met jullie helpdesk over CAI Harderwijk, maar krijg alleen als antwoord: dat werkt niet. Zou jij mij kunnen aangeven waar het probleem in zit en op welke termijn ik wat kan verwachten?