IPv6 of Dual Stack configuratie?

[synfan]

Ik heb momenteel mijn Nas naar wens ingericht in een IPv4 omgeving (via Ziggo modem in bridge en daarachter een eigen router). Ik loop nu tegen het probleem aan dat een gebruiker is overgestapt op een IPv6 aansluiting en deze daardoor mijn NAS (van buitenaf) niet meer kan bereiken.

Ik heb al met Ziggo contact gehad over het omzetten van IPv4 naar een dual stack aansluiting, maar daar zouden vaak problemen mee zijn met VPN en men raadde dit eigenlijk af. Overigens heb ik een zakelijk abonnement, dus het zou dan wel gaan om full dual stack en niet DS-lite.

Wat is nu de beste oplossing zodat ook mensen met alleen een IPv6 aansluiting weer toegang kunnen krijgen tot mijn NAS?

En is er iets van een handleiding hoe de NAS (en eigenlijk de rest van mijn netwerk) in te richten met dual stack / IPv6? Mogelijk dat ik niet goed genoeg gezocht heb, maar ik kan hierover niets vinden op het forum, alleen discussies over de problemen met DS-lite. Het lijkt me toch dat hier meer NAS eigenaren tegenaan gaan lopen de komende tijd?

[Briolet]

maar daar zouden vaak problemen mee zijn met VPN

Als VPN niet tegen IPv6 kan lijkt me er geen oplossing mogelijk, behalve dan de problemen met VPN op te lossen. Of een apart subdomein maken die alleen naar het IPv4 adres wijst en dat voor VPN gebruiken.

En is er iets van een handleiding hoe de NAS (en eigenlijk de rest van mijn netwerk) in te richten met dual stack / IPv6?

Zou niet nodig hoeven te zijn. Moet min of meer vanzelf gaan. De nas krijgt twee IP adressen en diegene die de nas benaderd kiest of hij IPv4 of IPv6 gebruikt.

[synfan]

Ondertussen ben ik vandaag lang met ziggo aan het bellen geweest. Alleen met een MKB (zakelijk internet complete pro) pakket krijg je een full dual stack verbinding. De goedkopere abo's hebben een DS-lite verbinding en men gaf aan dat alleen IPv6 niet eens mogelijk zou zijn met een modem in bridge mode. Dus met mijn huidige abo lijkt er vanuit Ziggo eigenlijk geen acceptabel alternatief voorhanden.

Voordeel van een MKB pakket is wel dat je dan ook een vast IPv4 adres krijgt (en natuurlijk een vast IPv6 adres). Nadeel is dat dit wel weer c. EUR 40 per maand duurder is dan het SOHO abonnement dat ik nu heb.

In reactie op Briolet: het VPN verhaal kwam van een Ziggo helpdeskmedewerker. Dat laat ik voor nu maar even voor wat het is.

Als ik de mensen van Ziggo goed begrepen heb, dan kun je het modem (en de router daarachter) met full dual stack zowel benaderen via het publieke vaste IPv4 als het IPv6 adres. Vervolgens kun je je lokale netwerk gewoon IPv4 houden voor partijen die via IPv4 de NAS willen benaderen.

Verschillende google searches verder begrijp ik dat je voor IPv6 dan in plaats van port forwarding de IPv6 firewall zo moet instellen dat de NAS bereikbaar wordt van buitenaf. Je moet alles dus wel "dubbel" instellen. Wat me dan wel weer verbaast is dat je bij IPv6 blijkbaar in de firewall toch weer beperken op poortniveau kunt doorvoeren, kijkend naar de instelling in mijn router. Dit terwijl ik dacht dat je bij IPv6 juist geen poorten meer hoefde te gebruiken. Of begrijp ik hier iets nog niet goed?

Blijft een lastig issue, waarbij je vrij zeker moet weten hoe dit aan te pakken. Het is niet zo dat je even een mogelijke oplossing kunt testen voordat je definitief overgaat of zo.

[Briolet]

Wat me dan wel weer verbaast is dat je bij IPv6 blijkbaar in de firewall toch weer beperken op poortniveau kunt doorvoeren, kijkend naar de instelling in mijn router. Dit terwijl ik dacht dat je bij IPv6 juist geen poorten meer hoefde te gebruiken. Of begrijp ik hier iets nog niet goed?

In theorie zou je niets met poorten hoeven te doen met IPv6 omdat elk apparaat een eigen IP krijgt die rechtstreeks vanaf het internet bereikbaar is. Sommige routers voegen echter een veiligheidslaag toe waarbij alle poorten standaard dicht zitten. Volgens mij verschilt dit echter per router. Maar ik heb zelf heen IPv6 en dus geen echte ervaring.

[synfan]

Ik ben weer een paar stappen verder gekomen.

Over mijn IPv4 netwerk heb ik via een tunnelbroker en een tunnel 6in4 connectie ( https://tunnelbroker.net/ ) ook IPv6 aan de praat gekregen. Router hierop ingesteld en heb nu een combi van IPv4 en Ipv6. Vervolgens ook de IPv6 firewall in de router ingesteld zodat de NAS bereikbaar is. De NAS heeft (en alle apparaten in mijn netwerk) nu zowel een IPv4 als een IPv6 adres.

Het externe IPv6 en IPv4 adres wordt ook herkend bij verschillende IPv6 checkers, maar er wordt bij vermeld dat mijn webserver niet bereikbaar is. Daadwerkelijke toegang krijg ik van buitenaf ook niet voor elkaar.

Uiteindelijk kwam ik er achter via testsites dat als ik de firewall van de NAS uitzette, dat er dan in ieder geval gepingd kon worden naar de NAS. Ik heb alleen zelf geen externe IPv6 verbinding om de IPv6 verbinding van buitenaf te testen. Gevalletje kip-ei  .  Vanaf het lokale netwerk kan ik dan wel de NAS via het externe IPv6 adres benaderen.

Ergens op het net had ik ook een bericht gevonden dat de IP locatie service van de Synology firewall nog niet goed om zou kunnen gaan met IPv6 adressen. Dat bericht kan ik alleen niet meer terug vinden.  Als dit waar is dan zou dit wel heel onhandig zijn, want ik gebruik de Synology firewall juist om op basis van IP-locatie de Chinezen, Indiers en andere minder vriendelijke poortkloppers tegen te houden.

-Weet iemand meer van eventuele IPv6-locatie problemen van de Synology firewall?
-Kan iemand mij ook vertellen of zo'n tunnelbroker eigenlijk wel veilig is?
-En de hamvraag, wat moet ik nu nog doen om de webserver/NAS toegankelijk te krijgen via IPv6? Ik neem aan dat daarmee de DSM omgeving via de 5001 poort bedoeld wordt?

[DSGebruiker]

Wel allemaal véél moeite voor 1 gebruiker die blijkbaar "native" (en enkel) IPv6 heeft ?
Zelfs een IPv6 gebruiker zal in principe nog "toegang" hebben tot het IPv4 Internet. Dit zal de ISP regelen op z'n infrastructuur (NAT64/DNS64 gateway). Het KUNNEN 2 parallelle werelden zijn, maar het hoeft niet.

Je kan mogelijks wel allerlei issues ondervinden. Het werkt ook niet voor alle protocols.

Wat je overige vragen betreft :

-Weet iemand meer van eventuele IPv6-locatie problemen van de Synology firewall?

=> Ik gebruik het zelf niet, maar ik kan me voorstellen dat het managen van IPv6 space op vlak van locatie NET even lastiger gaat zijn tov IPv4 omdat het zo gigaaaaaaaantisch véél meer IP-space is !!


-Kan iemand mij ook vertellen of zo'n tunnelbroker eigenlijk wel veilig is?

=> Niet veiliger of onveiliger als een andere ISP, maar in theorie kan al je verkeer natuurlijk "afgetapt" worden op dat punt. Nu dat kan bij je ISP en op andere IX (exchanges) op Internet ook. Gewoon voor de nodige encryptie zorgen op hogere/applicatieve lagen.

-En de hamvraag, wat moet ik nu nog doen om de webserver/NAS toegankelijk te krijgen via IPv6? Ik neem aan dat daarmee de DSM omgeving via de 5001 poort bedoeld wordt?

=> Heb je je firewall voor IPv6 ingericht ? Want dat zijn dus 2 parallele, onafhangkelijke dingen waar je rekening mee moet houden. In tegenstelling tot IPv4 waar je je nog enigzins achter "port forwarding" kon "verstoppen" is het bij IPv6 niet meer het geval en moet je je firewall goed inregelen om enkel het noodzakelijke verkeer toe te laten.

Als je test kan je ook je mobiel gebruiken hoor. Ik weet waar je woont, maar hier in Belgie zit standaard gewoon IPv6 op m'n telefoon 4G/LTE (naast IPv4). Als je op (D)DNS-level zorgt voor wat AAAA-records die verwijzen naar je publieke IPV6 allocatie moet je perfect met een smartphone kunnen testen of je NAS over IPv6 bereikbaar is.
In de wereld van IPv6 is DNS alleen maar belangrijker geworden, niemand gaat zich bezighouden met die lange IPv6 adressen te liggen invoeren.

[synfan]

DS gebruiker, dank voor je reactie.

-Het is inderdaad veel moeite, maar die "ene" gebruiker is wel een belangrijke  . Met zijn ISP heb ik contact gehad en hoopte ook op een dual stack-achtige oplossing van hun kant,  maar dat werd volgens de helpdesk niet aangeboden. Verder is het wel een interessante puzzel en we zullen toch een keer IPv6 moeten gaan implementeren. Dit is dat wel een interessante testcase. Een hobby mag wat tijd kosten zullen we maar zeggen.

-Wat betreft de veiligheid, ik ben er eigenlijk altijd van uit gegaan dat het dataverkeer met de NAS afdoende beveiligd was met https etc. Ga ik ook eens verder uitzoeken.

-Inzake het inrichten van de firewall voor IPv6 neem ik aan dat je de firewall van de router bedoelt. Ja dat heb ik gedaan. Vond het wel bijzonder dat je dan alsnog specifieke poorten voor de NAS aan moest geven in combinatie met het lokale IPv6 adres van de NAS.

-Ik gebruik de DDNS service van Synology en als ik via een IPv6 testwebsite de hostnaam invoer, dan wordt zowel het IPv4 als het IPv6 adres getoond. Dus dat gaat goed lijkt me? Ik heb ook geen ervaring met het maken van AAAA-records trouwens.

-En helaas, ik ben een ex-telfort klant en zit nu bij KPN in Nederland en die abo's hebben nog geen IPv6. Net toch nog maar een keer gecheckt met www.test-ipv6.com.

[DSGebruiker]

-Inzake het inrichten van de firewall voor IPv6 neem ik aan dat je de firewall van de router bedoelt. Ja dat heb ik gedaan. Vond het wel bijzonder dat je dan alsnog specifieke poorten voor de NAS aan moest geven in combinatie met het lokale IPv6 adres van de NAS.

Waarom bijzonder ?? Elke firewall-rule bestaat klassiek minimaal uit : Source-IP / Destination-IP / Service of Port
Je moet altijd, zelfs op vb IPv6 aangeven dat vb verkeer mag binnenkomen en naar een bepaalde poort gaan op een bepaalde IPv6 host op je LAN.
Natuurlijk kan je service "any" geven zodat een remote IPv6 alle poorten op je NAS kan bereiken op IPv6 maar dat wil je natuurlijk niet.

-Ik gebruik de DDNS service van Synology en als ik via een IPv6 testwebsite de hostnaam invoer, dan wordt zowel het IPv4 als het IPv6 adres getoond. Dus dat gaat goed lijkt me? Ik heb ook geen ervaring met het maken van AAAA-records trouwens.

Dan is dat prima, meer hoeft dat niet te zijn

[synfan]

Helemaal eens, maar er wordt vaak gezegd dat port forwarding niet meer nodig is met IPv6 omdat je al een uniek extern IP adres hebt, vandaar.

[DSGebruiker]

Port-forwarding & FW-rules zijn 2 compleet verschillende dingen.
In de IPv4-wereld had je nog een extra "veiligheid" met het feit dat je interne systemen NOOIT bereikbaar zijn zonder een correct port-forwarding.

Met IPv6 is dit wat anders, daar heb je inderdaad geen "port-forwarding" meer omdat er geen NAT meer is, maar nu moet je de FW-rules goed inregelen dat je inderdaad enkel bepaalde poorten/services van een server bereikbaar maakt.
Als je dat allemaal niet goed doet staat voor je het weet je volledig server (met alle poorten) bereikbaar op IPv6 Internet en kan vb plots iemand SSH'en (over TCP/6) naar je Linux webserver zonder dat je het wist.