Primaire aanmelding met ipv4 of met ipv6 en ipv4 maar niet met alleen ipv6, kan dat?

Ik had C weggehaald maar het moet weer terug.

C.) Het ipv6 wat "gezien" werd door apache, blijkt mijn LOKALE ipv6 te zijn, dus niet van mijn modem of router, maar van mijn PC.

Dat maakt de zaak des te ernstiger want dat zou betekenen dat ik in de .htaccess dus voor elk device apart een toegang zou moeten regelen.

Nog erger... dit ip staat in ipconfig op de regel Temporary Ipv6 address.

Kan best dat ik ergens iets fout heb staan in mijn Fritzbox, maar ik zou dan niet weten wat aangezien ik gekozen heb voor "use native ipv4 connection" wat het advies ook is bij dual-stack.

Ohja de registry optie wijzigen bij Win is me bekend maar ik wil het graag standaard overal hetzelfde hebben.

Alvast wat screenshots zodat men weet hoe de instellingen staan.

Bovenstaand is de initiele activatie van ipv6. Dan is er nog een aparte pagina onder netwerk.

Daarvan zijn hier beneden het screenshot te zien.
Deel 1:

En deze. Pagina is wat lang vandaar meerdere screenshots.

Misschien dat iemand hier wijs uit komt, of het is gewoon standaard dat er met ipv6 gestart wordt, maar het lijkt er op alsof ipv4 wel naar bijv. "watzijnmijnips.nl" gestuurd worden, maar bij een bezoek aan apache webserver alleen het ipv6 getoond wordt.

"Use native ipv4 connection", hoezo "terug" zetten op ipv6? Er is geen kwestie van terug zetten. Deze instelling staat standaard al op native ipv4.

Het klopt wel wat je zegt dat het op de WAN betrekking heeft, maar dat is juist ook waar ik het over heb. Deze optie wordt door fritz zelf aangegeven als de beste optie ook voor dual stack, vandaar dat ie standard zo staat.

Zie dit:

En als je dus kijkt bij dat native ipv6 dan blijkt dat niet de juiste instelling te zijn.

Want wij hebben dual-stack en geen ds-lite en het is dus niet de bedoeling om ipv4 weer te gaan tunnelen in ipv6 pakketten. Dus de instelling van Use native ipv4 is volgens de documentatie van de Fritz eigenlijk de enig juiste instelling.
Maar goed, dat helpt mij dus niet bij mijn probleem.

Het tweede wat je zegt dat snijdt echt hout. Ik kan me voorstellen dat ipv6 de voorkeur heeft indien beide aanwezig zijn. Dus ja zo gezien, verbinding is tot stand gebracht, geen reden tot fallback naar ipv4.

Ik vind het een beetje overdreven om een hele range toegang te geven alleen omdat het ipv6 is, of dat hele /56 of /64 subnet.

Ander vraagje dan. De PC krijgt 3 ip adressen.

Connection-specific DNS Suffix . : fritz.box
IPv6 Address. . . . . . . . . . . : 2001:xxxx:xxxx:d700:137a:xxxx:xxxx:xxxx
IPv6 Address. . . . . . . . . . . : 2001:xxxx:xxxx:d700:d45e:xxxx:xxxx:xxxx
Temporary IPv6 Address. . . . . . : 2001:xxxx:xxxx:d700:e51d:cda3:2b31:b35d
Link-local IPv6 Address . . . . . : fe80::137a:xxxx:xxxx:bdef%6
IPv4 Address. . . . . . . . . . . : 10.0.0.xx <- mijn pc ipv4.
Subnet Mask . . . . . . . . . . . : 255.0.0.0
Default Gateway . . . . . . . . . : fe80::xxxx:xxxx:xxxx:8368%6
10.0.0.2 <- ip fritzbox

Zoals je ziet zijn die eerste twee ipv4 adressen wel iets anders (geen idee waarom ik er twee krijg). Die d700 komt van de Fritz af zag ik.

Echter deze twee ip adressen voor de pc blijven wel hetzelfde, die veranderen niet. Waarom wordt dan niet een van die adressen gebruikt maar dat temp ipv6 adres wat steeds wisselt bij een pc of netwerk herstart?

Dan zou je tenminste nog 1 ipv6 (of 2 van nog een andere pc) erbij kunnen jassen in de .htaccess in plaats van een compleet subnet wat dus elke gladiool op mijn netwerk dan feitelijk toegang geeft tot zo'n beschermd stuk website, dus ook bezoek op tablets en laptops.
Als het zo moet is ipv6 bepaald een heel stuk onveiliger vanaf een lokaal netwerk dan ipv4 in zo'n situatie.

Edit: sorry, typo gefixed.

Ik wist niet dat 'Use native IPv6 connection' specifiek voor Dual-Stack Lite is bedoeld, in dit geval kun je mijn zin "Deze instelling kun je dus net zo goed weer terugzetten op IPv6." negeren.

Ik weet niet precies waarom er twee non-temporary GUA's worden vermeld, het lijken twee verschillende NIC's in jouw PC te zijn. Bij ingeschakelde Privacy Extensions heeft het temporary address voorrang. Uit het temporary address kan niet het MAC-adres van de NIC afgeleid worden.

Je kunt zelf beslissen of je de /56, /64 of een of meerdere GUA's toegang geeft. Als je Privacy Extensions van Windows uitschakelt, dan is geen sprake meer van het temporary address. De veiligheid heb je zelf in de hand, IPv6 is zeker niet per definitie onveilig.

@tobiastheebe Er zit maar 1 NIC in mijn pc. Dus ik heb geen idee.

Hmmz... die afkorting GUA is mij wat onduidelijk, ik begin pas met ipv6 zoals je weet.

De Privacy Extensions uitschakelen is ook weer een "per apparaat" beslissing, die ik dan op 2 of 3 pc's zou moeten doen en waarvan ik me afvraag of dat wel goed is want dat zit er natuurlijk niet voor niets op.

Vind het bijzonder vreemd dat ik niet gewoon 1 vast ipv6 kan krijgen via de router net als bij ipv4 en dus ook maar 1 (of 2) vaste ipv6 adressen gewoon in een .htaccess kan zetten.

@Random"Ik neem aan dat je 1 lokaal lan hebt dan kan je ook volstaan met je lan /64 prefix dus inclusief prefix id."

Op dit moment nog wel. De bedoeling was om er later misschien meer van te maken maar dat is dan van latere zorg.

Ik neem aan dat die prefix id dat d700 is wat mijn Fritzbox af geeft, want ik zag staan d700 voor LAN en d701 voor guests.

Hoe zou dit dan moeten? Bijv. 2001:xxxx:xxxx:d700:/64 of ::/64 want al die getallen achter de d700 wijzigen dus elke keer.

Ah ik zie dat je in je bericht net een voorbeeld gezet hebt.

En doet dit dan net niet wat ik probeer te voorkomen, dat ook vrienden/bekenden die gewoon op mijn eigen wifi netwerk mee liften, evt. die door .htaccess beveiligde pagina's zouden kunnen bezoeken omdat ze dan ook op datzelfde subnet zitten?

GUA = Global Unicast Address, dit zijn alle adressen uit jouw prefixes 2001:xxxx:yyyy:d7/56 en 2001:xxxx:yyyy:d700/64. De laatste wordt verspreid door de FRITZ!Box via Router Advertisement. Als je de /56 of /64 zou opgeven, dan ontvangen alle apparaten binnen het LAN toegang, wat in jouw geval niet wenselijk is, dus je zou dan de afzonderlijke GUA's moeten opgeven in .htaccess.

Privacy Extensions is inderdaad een instelling in het OS per apparaat. Niet alle soorten apparaten en OS's maken hiervan gebruik.

Een vast IPv6-adres (binnen de /64) is mogelijk met stateful DHCPv6.

Stateful DHCPv6? Volgens mij heb ik dat niet in de Fritz zitten. 😞

De Fritz is een geweldige box maar v.w.b. ipv6 ondersteuning vergeleken met andere routers toch ietwat summier mijns inziens.
Ik was al eens gaan kijken waar ik de ipv4 reserveer en als ik daar op klik zie ik een waslijst van ipv6 adressen wat mijn pc gehad heeft schijnbaar.

Ik zie daar wel een optie genaamd: IPv6 interface ID

Die kan ik veranderen maar dat zal niet veel helpen neem ik aan.

Voor stateful DHCPv6 moet de managed (M) flag ingeschakeld zijn in Router Advertisement. De DHCPv6-server van de FRITZ!Box lijkt zelf inderdaad geen stateful te ondersteunen, met de M flag kan in dit geval alleen naar een andere DHCPv6-server worden verwezen. Zonder vrij complexe opstelling moet je dus van SLAAC gebruik blijven maken. Je kunt wel de eerder genoemde Privacy Extensions uitschakelen in Windows.

Met Interface ID verander je de laatste 00 in 2001:xxxx:yyyy:d700/64.

je prefix is 2001:xxxx:xxxx:d7

prefix id zijn de twee nullen op het einde van 2001:xxxx:xxxx:d700

Voor elke (v)lan stel je een andere prefix id in tussen 00 en ff in hex

Ik heb bij mij de prefix id's hetzelfde gemaakt als mijn vlan id's.

dus bijv. 2001:xxxx:xxxx:d722::/64 voor de lan

en 2001:xxxx:xxxx:d766::/64 voor de dmz

etc.

IK zal er even niet meer tussen door kakelen want Tobias heeft veel meer kennis hiervan denk ik.

Ik heb zelf nog geen praktijkervaring met IPv6, alle informatie die ik heb gegeven komt van andere sites en tutorials. Configureren van mijn router (ER-4) is nog steeds een to-do.

Oh oke nou ja het klinkt in elk geval allemaal heel plausible.

Bij mij heb ik het op vrijwel al mijn vlans nu werkend dual stack werkt perfect.

De meeste servers in mijn dmz zijn nu ook dual stack.

@RandomJa maar jij werkt met pfsense en daarin is dat stukken beter te configureren.

Ik kan dus mijn eigen prefix niet eens veranderen in de Fritz, dat is dus waarom ik al aangaf dat ik hem wat summier vond want dat kon ik wel veranderen in een andere router. Alleen heeft die geen ingebouwde VOIP centrale dus dat is einde oefening.

En in die Fritz is feitelijk niets te kiezen v.w.b. welke DHCPv6 je wilt gebruiken. Dat is dan wel irritant.

Ik heb trouwens even lopen proberen in de .htaccess en het moet wel met dubbele punt dus bijv. d712::/64 of d712::/56 waarbij het dus niets uit maakt of je nu die 56 of 64 gebruikt. Met enkele punt of zonder punten komt er meteen een internal server error tevoorschijn.

Ik neem aan dat /56 een kleinere hoeveelheid is dan een /64 als ik het zo zie of niet?

Als ik dit grapje van tevoren geweten had was ik niet eens opnieuw aan die bridgemode begonnen.

Echter ik heb nu zo'n fijn ipv4 ip adres (zeer makkelijk te onthouden) dat ik ook geen zin heb om al weer terug naar router mode te gaan en weer al het werk om al die wijzigingen in de servers te gaan aanbrengen.

Alhoewel... moet dat ipv6 weer gaan toevoegen aan de status pagina's... pfffff... om gek van te worden.

Ik denk dat ik gewoon tijdelijk in die gevallen dat ik de status pagina's moet bezoeken de ipv6 op de pc uit schakel en dan dat subnet ga toevoegen op het moment dat ik in de buurt van die bestanden kom.:)

Kan ik in elk geval nog wat verder leren met ipv6, dat was ook de -enige- reden eigenlijk om nog eens naar bridgemode te gaan.

Ja dat had ik begrepen dat je fritzbox wat beperkt is maar ja ik vertel slechts wat ik weet en hoe het werkt wat ipv6 betreft dat zal voor tobias ook zo zijn. Ik heb geen kennis wat fritzbox wel en niet kan.

Ja sorry door wat snel te zijn had ik wat foutjes hier en daar die ik nu verbeterd heb.

Ik zou niet de prefix ruimer instellen zoals in je voorbeelden want dan ga je buiten je eigen prefix en kunnen anderen mogelijk bij sites  of pagina's waar dat niet wenselijk is dus 2001:xxxx:xxxx:d700::/56 of 2001:xxxx:xxxx:d700::/64

Dus niet 2001:xxxx::/32 of iets dergelijks dat is veel te ruim.

Zeker man goed dat je met ipv6 aan de slag bent gegaan dat moet er toch eens van komen.

Mij is het best meegevallen ik heb er jaren tegenop gekeken tot een vriend mij een beetje had aangestoken.

het maakt wel uit of je

2001:xxxx:xxxx:d700::/56

of

2001:xxxx:xxxx:d700::/64

gebruikt

Die /64 is alleen dat specifieke prefix id dus de LAN 00 (2001:xxxx:xxxx:d700)

de /56 is je hele ipv6 prefix van al je prefix id's en dus al je local lan's (2001:xxxx:xxxx:d7)

Met de prefix id kan je onderscheid maken van je verschillende local lan's als je dat zou hebben.

je local lan's zijn altijd /64

je HELE ipv6 block is /56

Misschien moet je ook eens aan een andere beter uitgeruste router denken voor de toekomst en die voip een andere oplossing voor vinden. Zet een asterix server op of koop een hardware voip ding server. Ik ben niet zo thuis in voip.

Ik kan ik in pfsense het wan mac adres spoofen zodat ale ik van hardware zou veranderen wat ik door de jaren heen paar keer heb gedaan gebruik ik telkens hetzelfde mac address voor de wan waardoor ik lange tijd mijn ipv4 adres houd. Met ipv6 kan ik dat ook gedaan door de DUID vast in te stellen maar dat is weer een ander verhaal.