os

Level 6
  • 129Posts
  • 8Oplossingen
  • 60Likes

Missend reverse DNS record voor IPv6 adressen van Ziggo

Goedemorgen, het is fijn om te zien dat Ziggo nu IPv6 aanbiedt voor fUPC klanten in bridge modus. Alles lijkt prima te werken, echter mist er nog één ding: een reverse DNS record voor de adressen.

 

Bij IPv4 hebben alle Ziggo IP adressen netjes een reverse (PTR) DNS record:

 

$ host 62.194.123.123
123.123.194.62.in-addr.arpa domain name pointer h123123.upc-h.chello.nl.

 

 

Echter mist dit bij IPv6:

 

$ host 2a02:a210:1234:1234::1
Host 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.3.2.1.4.3.2.1.0.1.2.a.2.0.a.2.ip6.arpa not found: 3(NXDOMAIN)

 

 

Dit kan voor problemen zorgen bij bijvoorbeeld het gebruik van een zelf gehoste SMTP server op IPv6. Hierdoor wordt e-mail geweigerd met SMTP error 550 ("no rDNS entry for 2a02:a210:1234:1234::1").

 

KPN doet dit wel netjes:

 

$ host 86.86.123.123
123.123.86.86.in-addr.arpa domain name pointer 86-86-123-123.fixed.kpn.net.
$ host 2a02:a442:1234:1234::1
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.3.2.1.4.3.2.1.2.4.4.a.2.0.a.2.ip6.arpa domain name pointer 2a02-a442-1234-1234--1.fixed6.kpn.net.

 

 

Zouden de Ziggo netwerk/DNS-beheerders kunnen kijken om deze records toe te voegen?

Uitgelicht
Paul
Community Moderator
Community Moderator
  • 19176Reacties
  • 1373Oplossingen
  • 7277Likes

@org Er is op dit moment geen project gaande of gepland om de DNS Records samen te voegen. Ik heb deze feedback uiteraard wel opnieuw doorgegeven. 

org

Level 6
  • 103Reacties
  • 5Oplossingen
  • 47Likes

@Paul reverse DNS lijkt al te werken voor IPv6 sinds augustus. De vraag nu is of de reverse domeinen van vorige providers, bijvoorbeeld upc.nl en chello.nl, worden vervangen door ziggo.nl (of ziggo.net).

56 Reacties 56
tobiastheebe

Level 20
T.E.A.M.
  • 31064Posts
  • 2180Oplossingen
  • 15500Likes

Ik heb zojuist de moderators ingelicht, lijkt mij een mooi project.

 

Dat HSTS is ingeschakeld voor ziggo.nl inclusief subdomeinen was mij ook opgevallen, ik kon eerder nog via reverse DNS op HTTP 80 verbinding maken met mijn webserver, maar dat lukt nu niet meer. Ik zou ook voorstander zijn om IP-adressen van klanten een ander domein toe te wijzen.

MR_CHIP

Level 19
  • 11498Posts
  • 131Oplossingen
  • 3968Likes

ik mis vooral die 20/20 ben niet voor niks autist 😛

 

 

robinjoo19_0-1659883664066.png

 

org

Level 6
  • 103Posts
  • 5Oplossingen
  • 47Likes

@tobiastheebe Gelijk al iemand die last van HSTS heeft ondervonden 😉 Bij het aanzetten van HSTS zijn er altijd veel waarschuwingen dat dit gevolgen heeft voor alle subdomeinen van het gegeven domein en dat je 100% zeker bent dat je dit wilt doen. Dit omdat HSTS vaak een cache heeft van een half jaar of meer en omdat preloading ook een ding is. Waarschijnlijk was Ziggo vergeten dat ze ziggo.nl ook voor andere dingen gebruikten naast hun eigen website. Ziggo's website heeft twee HSTS headers (lijkt mij een fout, één is maar nodig):

 

strict-transport-security: max-age=15724800; includeSubDomains
strict-transport-security: max-age=63072000; includeSubdomains; preload

 

En het domein is al ge-preload via Chromium's formulier. Terug gaan is geen optie meer.

 

De enige oplossing voor klanten is nu HTTPS gebruiken (of naar een andere provider over te stappen, zoals KPN die kpn.net gebruikt zonder enige HSTS). Of de oplossing is voor Ziggo om naar ziggo.net over te stappen (welke al in hun beheer is) voor reverse DNS records.

 

Als er hulp nodig is met de overgang zou mijzelf graag kosteloos willen aanbieden indien nodig. Heb wel redelijk wat ervaring met DNS en zou graag willen dat dit opgelost is voor de power-users/techneuten onder de Ziggo gebruikers. Schroom niet om met mij contact op te nemen Ziggo 😛

MR_CHIP

Level 19
  • 11498Posts
  • 131Oplossingen
  • 3968Likes

wat lief/behulpzaam van je kudo's 😉

Carlien
Community Moderator
Community Moderator
  • 2455Posts
  • 261Oplossingen
  • 1165Likes

Hi @os

We hebben navraag gedaan en je vraag staat hier nog steeds open. Wordt aan gewerkt! 

MR_CHIP

Level 19
  • 11498Posts
  • 131Oplossingen
  • 3968Likes

@org ik heb opeens reverse dns

@tobiastheebe 

@os 

robinjoo19_0-1660677217248.png

 

org

Level 6
  • 103Posts
  • 5Oplossingen
  • 47Likes

@MR_CHIP Scherp! Ik zie nu inderdaad hetzelfde, 2a02:a210::/28 lijkt nu een reverse record te hebben.

Deze subnets hebben nu een reverse record:

2001:b88::/33
2001:1c00::/23
2001:1c00::/24
2001:1d00::/24
2001:41f0::/32
2001:41f0::/33
2001:41f0:8000::/33
2a02:a210::/28

Deze nog niet:

2a00:18c8::/29
2a00:7740::/32
2a02:a200::/27
2a02:a200::/28
2a05:3b80::/29
2a07:3500:1240::/46
2a07:3500:12d0::/48
2a07:3500:1b90::/48
2a07:3502:1050::/48
2a07:3502:1060::/48
2a07:3502:10c0::/48

Het lijkt dat fZiggo klanten een dynamisch IPv6 krijgen uit 2001:1c00::/23 en een statisch IPv6 uit 2001:41f0::/32. Waarbij de fUPC klanten een IPv6 krijgen uit 2a02:a210::/28. Geen idee hoe het dan met statische IPv6 adressen zit bij fUPC.

We zijn in ieder geval een stapje verder!

org

Level 6
  • 103Posts
  • 5Oplossingen
  • 47Likes

Het fUPC (dynamisch) subnet is 32 keer kleiner dan het fZiggo subnet. Is dit ook mogelijk de reden dat fUPC klanten slechts een /57 prefix wordt toegewezen in plaats van een /56 bij fZiggo? Graag zien we dit natuurlijk gelijk getrokken.

MR_CHIP

Level 19
  • 11498Posts
  • 131Oplossingen
  • 3968Likes

ik was in ieder geval heel verast om dit te zien

 

eindelijk een 20/20 score bij ziggo 😄

 

org

Level 6
  • 103Posts
  • 5Oplossingen
  • 47Likes

In principe zouden alle klanten nu een reverse record moeten hebben, dus kunnen we deze thread als opgelost beschouwen. Het gelijktrekken van de DHCPv6 PD kunnen we in een andere thread voortzetten.

MR_CHIP

Level 19
  • 11498Posts
  • 131Oplossingen
  • 3968Likes

maak jij een topic daarvoor aan 😛

Marinus

Level 14
  • 917Posts
  • 30Oplossingen
  • 318Likes

@MR_CHIP 

Hoe is het jou gelukt om op 20/20 gekomen?

 

Met mijn Raspberry PI kom ik niet verder. dat 18/20 (na privacy extensions enabled).

 

De volgende is reconfigure your firewall, maar die staat standaard helemaal niet aan op en Pi toch?

 

Het zou toch leuk zijn om alles OK te krijgen.

MR_CHIP

Level 19
  • 11498Posts
  • 131Oplossingen
  • 3968Likes

ik heb niet echt een idee hoe het werkt op linux

 

ben zelf meer een windows (server) gebruikers sorry 

Boris de Kat

Level 16
  • 1295Posts
  • 34Oplossingen
  • 295Likes

De firewall op je modem?

 

Edit:

Zo zou het moeten werken, tenzij er op een computer nog een firewall dichtstaat.

 

2022-08-17 (1).png

tobiastheebe

Level 20
T.E.A.M.
  • 31064Posts
  • 2180Oplossingen
  • 15500Likes

@Marinus Afhankelijk van welke distro je gebruikt, kan iptables of ufw actief zijn. Zoals hierboven aangegeven kan ICMP ook geblokkeerd worden door de firewall van de router. Kun je een screenshot van het testresultaat plaatsen, uiteraard met de IP-adressen onleesbaar gemaakt?

Marinus

Level 14
  • 917Posts
  • 30Oplossingen
  • 318Likes

@tobiastheebe 

Hoera!! Bedankt!

 

Je voorbeeld toegepast en nu een score van 20/20 op de Pi! Dat was het doel.

 

Echter, ik heb geen idee wat ik nu open heb gezet op de router en of en zo ja welke beveiligingsrisico's hiermee samenhangen. Eerst maar een inlezen voordat ik deze regel "aan" laat staan. Voornamelijk omdat het alle IPv6 adressen op mijn LAN betreft en alle poorten.

 

Morgen eens even kijken hoe ik een screenschot maak op de Pi.

Het enige verschil met hiervoor is ICMP = reachable ; was not tested.

Marinus

Level 14
  • 917Posts
  • 30Oplossingen
  • 318Likes

Belofte maakt schuld mijn 20/20:

ipv6-test.jpeg

org

Level 6
  • 103Posts
  • 5Oplossingen
  • 47Likes

@Marinus Heb je ook de mogelijkheid bij de firewall regel om te kiezen welk ICMPv6 type je toelaat? Er zijn er namelijk aardig veel..

 

any
address-mask-reply
address-mask-request
address-unreachable
bad-header
communication-prohibited
destination-unreachable
echo-reply
echo-request
fragmentation-needed
host-precedence-violation
host-prohibited
host-redirect
host-unknown
host-unreachable
ip-header-bad
neighbour-advertisement
neighbour-solicitation
network-prohibited
network-redirect
network-unknown
network-unreachable
no-route
packet-too-big
parameter-problem
port-unreachable
precedence-cutoff
protocol-unreachable
redirect
required-option-missing
router-advertisement
router-solicitation
source-quench
source-route-failed
time-exceeded
timestamp-reply
timestamp-request
TOS-host-redirect
TOS-host-unreachable
TOS-network-redirect
TOS-network-unreachable
ttl-zero-during-reassembly
ttl-zero-during-transit
unknown-header-type
unknown-option

 

Waarschijnlijk staat deze regel echo-reply en echo-request toe, wat in principe geen probleem is. Maar als een van de andere typen wordt doorgelaten zou dit een beveiligingsrisico kunnen vormen.

 

Marinus

Level 14
  • 917Posts
  • 30Oplossingen
  • 318Likes

@org 

ik kan alleen de keuze maken uit TCP, UDP, ICMPv6, GRE, etc. niet uit de (sub)reeks die jij aangeeft.

 

Het halen van 20/20 was even een doel op zich.

Ik heb nu de neiging om ICMPv6 weer "uit" te zetten, dan maar 18/20 en geen/minder beveiligingsrisico.

org

Level 6
  • 103Posts
  • 5Oplossingen
  • 47Likes

@Marinus Misschien weet een moderator dit of @tobiastheebe ?

In principe zijn ICMPv6 echo-reply en echo-request niet benodigd voor een goed werkende IPv6 verbinding. Alleen packet-too-big is erg belangrijk. https://ipv6-test.com/ is eigenlijk geen goede website om IPv6 te testen, ik zou persoonlijk https://test-ipv6.com/ gebruiken. Deze test ook voor packet-too-big bij de test 'IPv6 large packet'.

Uitgelicht topic