GuiG

Gedreven Meedenker
  • 17Posts
  • 0Oplossingen
  • 5Likes

Ipv6 Bridge mode met ubiquiti edgerouter werkt 'nog niet'

Ik heb een connectbox in bridge mode staan. Ik woon in oud ziggo gebied en heb net zoals veel andere een brief gekregen dat op 1 december ipv6 beschikbaar komt. 

 

Ik heb als firewall een zone based Edgerouter lite. Met ipv4 gaat alles goed. Alleen ipv6 welke zou moeten werken, doet het nog niet. 

 

Hoe kan ik controleren of ipv6 uberhaupt aanstaat? Wie heeft met succes een zonebased firewall edgerouter lite draaien met ipv6? 

 

Mijn modem heeft de volgende specs. 

Conform standaard specificaties:DOCSIS 3.0
Hardware versie:4.01
Software versie:CH7465LG-NCIP-6.15.31p1-NOSH
MAC-adres: 
Serienummer Connect Box: 
Beschikbaarheid:2day(s)8h:17m:14s
Netwerk toegang:

Toegang tot internet

 

Klopt het dat het nog geen docsis 3.1 modem is? en kan dit model ipv6 aan? 

 

alvast dank je wel, 

14 Reacties 14
Bert
Super Expert
Super Expert
  • 50966Posts
  • 3185Oplossingen
  • 11571Likes

Docsis 3.1 heeft niets te maken met IPv6.

Ook Connectboxen op Docsis 3.0 krijgen Full Dual Stack in bridge.

 

Over de Ubiquity kan ik je niets zeggen, hopelijk komt er snel iemand langs die hier meer van weet.

Bert
Super Expert
Super Expert
  • 50966Posts
  • 3185Oplossingen
  • 11571Likes

Mogelijk kan dit topic je verder op weg helpen: Eindelijk IPv6 in Bridge modus... - Ziggo Community

GuiG
topicstarter
Gedreven Meedenker
  • 17Posts
  • 0Oplossingen
  • 5Likes

Daar heb ik de vraag ook gesteld. Alleen er werd me geadviseerd om een aparte topic te openen. 

 

Overigens kan je in de connectboxen zien of full dual stack aanstaat of geconfigureerd is? 

 

Paul
Community Moderator
Community Moderator
  • 9744Posts
  • 834Oplossingen
  • 2331Likes

Goedemorgen @GuiG en een warm welkom op de Community,

Goed dat je met deze vraag een topic gestart bent! Je geeft aan te willen weten of IPV6 bij jou ook al in bridged modus werkt. Ik heb gelijk even je gegevens erbij gepakt om dit te controleren. Ook bij jou dient IPV6 te werken op het moment dat je modem in bridged modus staat. Alle SmartWifi modems (Arris/Compal V1/V2) en Ubee1318ZG modems in voormalig Ziggo gebied ondersteunen IPV6 in bridged, ook wanneer je (zoals bij jou het geval is) een IPV6 Full Dualstack adres hebt in routermodus. 

Als je inlogt op de routerinterface dan kun je onder "Beheer"  > "Informatie" controleren wat op dit moment de internetconfiguratie is. Wanneer IPV6 (bridged) op dit moment nog niet werkt bij jou dan raad ik aan de firewall instellingen van je router te controleren. In sommige gevallen dien je op je router de optie "Prefix Delegation (PD)" aan te vinken. Daarbij wordt mogelijk gevraagd om de waarde van de Prefix Delegation Size PD in te vullen. Die waarde is /56. Check hiervoor ook de handleiding van je router. Wordt er ook gevraagd om het type IPv6 internetconnectie? Kies dan voor automatisch of DHCPv6. 

Het kan zijn dat je na het opslaan v.d. instellingen in je router zowel het modem als de router even opnieuw moet opstarten. Start dan eerst alleen het modem op, en daarna weer het modem. Laat je weten of het gelukt is?

GuiG
topicstarter
Gedreven Meedenker
  • 17Posts
  • 0Oplossingen
  • 5Likes

Hoi @Paul 

 

Ik heb een connectbox. Ik weet niet of dat een arris of compal is. En zeker weten geen ubee. 

De informatie zoals in beheer / informatie heb ik hieronder neergezet. 

 

Conform standaard specificaties:DOCSIS 3.0
Hardware versie:4.01
Software versie:CH7465LG-NCIP-6.15.31p1-NOSH
MAC-adres:54:67:51:F5:D0:11
Serienummer Connect Box:DDAP622627D1
Beschikbaarheid:3day(s)1h:0m:54s
Netwerk toegang:

Toegang tot internet

 

Ik heb een ubiquiti edgerouter lite. Met vyatta. 

De eth0 (internet facing) die is gekoppeld aan de connectbox. Zou een ipv6 adres moeten krijgen. 

 

Dit is de config. 

 

address dhcp
 description " WAN (Peering: ZIGGO Zakelijk Internet Complete [500Mbit/s Down/40Mbit/s Up])"
 dhcpv6-pd {
     no-dns
     pd 0 {
         interface eth1.1003 {
             host-address ::1
             prefix-id :1
             service slaac
         }
         interface eth2 {
             host-address ::1
             prefix-id :2
             service slaac
         }
         prefix-length 56
     }
     rapid-commit enable
 }
 duplex auto
 ipv6 {
     address {
         autoconf
     }
 }
 speed auto

 

 

En dit is het resultaat van de show interfaces. 

 

Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------                 
eth0         84.x.x.179/23                  u/u  WAN (Peering: ZIGGO Zakelijk 
                                                    Internet Complete [500Mbit/s 
                                                    Down/40Mbit/s Up])          
eth1         x.x.1.1/24                    u/u  LAN                         
eth1.1002    172.x.1.1/24                     u/u  IoT (Internet of Things)    
eth1.1003    172.x.1.1/24                     u/u  GUEST                       
eth1.1005    172.x.1.1/24                     u/u  dVPN(DMZ VPN)               
eth2         -                                 u/D  Local 2                     
lo           127.0.0.1/8                       u/u                              
             ::1/128                          

 

 Ik heb de addressen een beetje geanonimiseerd. 

 

Ik kan dus nergens controleren of een ipv6 adres werkt, of het goed geconfigureerd is en of ik deze kan ontvangen. Staat alles goed aan jullie kant? is de modem goed geconfigureerd? Zijn de juiste updates geplaatst?

Paul
Community Moderator
Community Moderator
  • 9744Posts
  • 834Oplossingen
  • 2331Likes

Goedemiddag @GuiG,

Onze collega van InHome Engineering heeft op afstand even meegekeken naar de configuratie. Het lijkt erop dat de configuratie bij jou nog op SLAAC staat i.p.v. DHCPv6. Kun je dit nagaan?

GuiG
topicstarter
Gedreven Meedenker
  • 17Posts
  • 0Oplossingen
  • 5Likes

Goedenmiddag @Paul 

 

Dat klopt. Ik heb wat configuratie voorstellen gezien waarbij slaac gebruikt wordt. 

Is dat niet zo? 

 

En is dhcpv6-pd niet noodzakelijk om de subnetten toe te wijzen aan de verschillende interne netwerken?

 

 

Paul
Community Moderator
Community Moderator
  • 9744Posts
  • 834Oplossingen
  • 2331Likes

@GuiG In dit geval is het nodig om DHCPv6 in te stellen in je configuratie en dus geen SLAAC.

GuiG
topicstarter
Gedreven Meedenker
  • 17Posts
  • 0Oplossingen
  • 5Likes

Ik heb dat geprobeerd maar ik krijg geen ipv6. 

 

In mijn dhcpv6 log staat " Client6_send: transit failed: operation not permitted" 

icmpv6 mag overal doorheen en ik heb de dhcpv6 poorten 546 en 547 open gezet vanuit het internet naar de router. 

 

Staat alles goed in de modem? heeft hij de juiste updates gehad? is full dual stack geconfigureerd? 

Ben ik misschien aan het troubleshooten op iets wat nog helemaal niet aangezet is? 

 

Paul
Community Moderator
Community Moderator
  • 9744Posts
  • 834Oplossingen
  • 2331Likes

@GuiG Het modem staat volgens de collega's van InHome Engineering goed geconfigureerd. Het moet dus lukken om IPV6 te krijgen in zowel Bridged modus al in router modus, aangezien je modem een IPV6 Full Dual Stack profiel heeft.Ik vermoed dat er toch ergens iets verkeerd staat ingesteld in de configuratie van je router.Kun je nagaan of de optie: "only request a dhcp6-pd" wel aanstaat? 

efok
Expert
Expert
  • 3281Posts
  • 179Oplossingen
  • 1100Likes

@GuiGHier mijn werkende edgerouter config:

 

interfaces {
    ethernet eth0 {
        address dhcp
        description Internet
        dhcpv6-pd {
            duid 00:01:00:01:21:ce:8f:cf:44:d9:e7:41:31:fb
            pd 0 {
                interface eth1 {
                    host-address ::1
                    no-dns
                    prefix-id 1
                    service slaac
                }
                interface eth1.50 {
                    host-address ::1
                    prefix-id 2
                    service slaac
                }
                interface eth1.60 {
                    host-address ::1
                    prefix-id 3
                    service slaac
                }
                interface eth2 {
                    host-address ::1
                    prefix-id 4
                    service slaac
                }
                prefix-length /56
            }
            rapid-commit enable
        }

 

Volgens mij zit je op de goede weg, want het verschilt niet of nauwelijks. Ik heb prefix-length /56 ipv 56 misschien maakt dat uit? Kun je IPv6 WAN LOCAL firewall regels eens laten

zien?

Ik heb:

 

 

ipv6-name WAN6_LOCAL {
        default-action drop
        rule 10 {
            action accept
            description "allow established/related"
            protocol all
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "drop invalid packets"
            protocol all
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "allow ICMPv6"
            protocol icmpv6
        }
        rule 40 {
            action accept
            description "allow DHCPv6 client/server"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }

 

 

 

 

 

 

 

 

GuiG
topicstarter
Gedreven Meedenker
  • 17Posts
  • 0Oplossingen
  • 5Likes

@efok Ik gebruik zowel inbound als outbound firewall rules. WAN-to-Local-6 en Local-to-WAN-6

 

Ze staan hieronder. 

 

 

 ipv6-name Local-to-WAN-6 {
        default-action drop
        enable-default-log
        rule 1 {
            action accept
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action drop
            log enable
            state {
                invalid enable
            }
        }
        rule 100 {
            action accept
            description "Allow ICMP (Ping)"
            log enable
            protocol icmpv6
        }
        rule 300 {
            action accept
            description "Allow FTP/SFTP (File Transfer Protocol)"
            destination {
                port 20,21
            }
            log enable
            protocol tcp
        }
        rule 400 {
            action accept
            description "Allow NTP (Network Time Protocol)"
            destination {
                port 123
            }
            log enable
            protocol tcp
        }
        rule 700 {
            action accept
            description "Allow IPv6 DHCP"
            destination {
                port 547
            }
            log enable
            protocol udp
            source {
                port 546
            }
        }
        rule 800 {
            action accept
            description "Allow SSH Management"
            destination {
                port 22
            }
            log enable
            protocol tcp
        }

 ipv6-name WAN-to-Local-6 {
        default-action drop
        enable-default-log
        rule 1 {
            action accept
            description "Allow established"
            protocol all
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action drop
            description "Drop invalid packets"
            log enable
            protocol all
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6 (IPv6 Ping)"
            log enable
            protocol icmpv6
        }
        rule 40 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            log enable
            protocol udp
            source {
                port 547
            }
        }
    }

 

 

Op dit moment werkt het. Ik krijg ipv6 addressen maar ik denk dat er nog een probleem is met de routeradvertisements. 

 

 

ethernet eth1 {
        address 192.x.x.1/24
        description LAN
        duplex auto
        speed auto
        vif 1002 {
            address 172.x.x.1/24
            description "IoT (Internet of Things)"
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }
        }
        vif 1003 {
            address 172.x.x.1/24
            description GUEST
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
                router-advert {
                    cur-hop-limit 64
                    link-mtu 0
                    managed-flag true
                    max-interval 600
                    other-config-flag true
                    prefix ::/64 {
                        autonomous-flag true
                        on-link-flag true
                        preferred-lifetime 14400
                        valid-lifetime 86400
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }
        }

 

 

Daarnaast krijg ik af en toe op mijn iphone wel een ipv6 address en op mijn mac nog helemaal niet. Dus ik heb nog wat troubleshooting te doen.

 

Dit is dan nog voor een stabiel ipv6 op het gastennetwerk. Daarna moet ik nog uitzoeken hoe en of ik met dhcpv6-pd static leases kan doen zodat ik de machines die op het interne netwerk zitten volledig op kan nemen in het ipv6 netwerk. Maar stapje voor stapje.  

efok
Expert
Expert
  • 3281Posts
  • 179Oplossingen
  • 1100Likes

Op de LANs kun je gewoon een prefix id meegeven met service slaac. Dan krijgen alle devices vanzelf een IPv6 adres.

GuiG
topicstarter
Gedreven Meedenker
  • 17Posts
  • 0Oplossingen
  • 5Likes

Staat op dit moment zo ingesteld. Alleen een iPhone krijgt een ipv6 adres, en dan ook niet altijd. Het is op dit moment nog niet stabiel. 

Een mac doet het op dit moment helemaal nog niet. Ik draai nu monterey dus het zou kunnen dat er een bug in het besturingssysteem zit maar dat lijkt me sterk. 

 

Hieronder mijn eth0 - wan interface. 

 

ethernet eth0 {
        address dhcp
        description " WAN (Peering: ZIGGO)"
        dhcpv6-pd {
            pd 0 {
                interface eth1.1002 {
                    host-address ::1
                    prefix-id 12
                    service slaac
                }
                interface eth1.1003 {
                    host-address ::1
                    prefix-id 13
                    service slaac
                }
                interface eth1.1005 {
                    host-address ::1
                    prefix-id 15
                    service slaac
                }
                prefix-length /56
            }
            rapid-commit enable
        }
        duplex auto
        ipv6 {
            address {
                autoconf
            }
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag true
                max-interval 600
                other-config-flag false
                prefix ::/56 {
                    autonomous-flag true
                    on-link-flag true
                    valid-lifetime 2592000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
    }

 

Misschien moet ik hier mijn router advertisements nog aanpassen. Maar volgens mij heeft dat geen invloed op het ipv6 verkeer op de subnetten. Maar alleen maar op de toewijzing van het ipv6 adres op de eth0 interface.

 

Uitgelicht topic