Ik --denk-- dat ik OpenVPN over IPv6 veilig werkend heb op KPN.

[Duplex7]

Hoi, Ik ben een beetje aan het prutsen geweest met mijn router.
Ik denk dat ik op het KPN netwerk OpenVPN over IPv4 en IPv6 werkend heb gekregen. Zou iemand naar mijn configuratie kunnen kijken of ik het goed heb ingesteld? Overige tips zijn trouwens ook welkom.

Mijn IPv6 config, handmatig:


In het status-overzicht het zelfde IPv6 adres als ingesteld in de config:


Mijn primaire netwerk config:


Mijn Firewall regels:


Mijn OpenVPN config:


De verbinding status in de client:


En tenslotte twee validaties in de browser:



Voor zo ver ik kan zien krijgen mijn OpenVPN clients netjes een IPv4 en IPv6 adres van de OpenVPN server en zijn de apparaten in mijn netwerk zonder OpenVPN verbinding niet van buiten buiten benaderbaar.

Mijn concrete vraag:
blijft die IPv6 connectie in stand of kom ik met de handmatige IPv6 configuratie in de knoop omdat deze adressen niet fixed zijn, of is hij wel fixed zoals mijn laatste plaatje lijkt aan te geven?

Mijn overige vraag:
Zie ik iets over het hoofd, doe ik iets doms en kan het veiliger?

Bij voorbaat dank.

[Babylonia]

@Duplex7

Welkom op het forum. En meteen een prima onderwerp aangesneden.

Hoi, Ik ben een beetje aan het prutsen geweest met mijn router.
Ik denk dat ik op het KPN netwerk OpenVPN over IPv4 en IPv6 werkend heb gekregen.
Zou iemand naar mijn configuratie kunnen kijken of ik het goed heb ingesteld? Overige tips zijn trouwens ook welkom.

Je bent in ieder geval heel goed bezig geweest.   
Zelf kan ik het helaas niet meer controleren.  Heb jarenlang een KPN internetverbinding gehad.  Maar nu niet meer.
Mijn huidige provider (Odido) biedt helemaal nog geen IPv6. Vandaar.
(Overigens had al enkele maanden problemen met het netwerk van KPN - juist aangaande IPv6 reeds "zonder VPN",
wat niet werd opgelost door KPN).

In het verleden wel met IPv6 bezig geweest toen er nog geen problemen waren.
Maar met de storingen "hier" met het KPN netwerk kon ik het niet verder meer inzetten.

Waar ikzelf op vast liep, waren de Firewall regels,  aangaande het toekennen van een "virtueel LAN IP sub-net bereik".
Om in ieder geval ook via VPN, en dan weer verder opnieuw het internet op, ook verbindingen via IPv6 te kunnen krijgen.
(Voor OpenVPN geen probleem met toekennen van een IPv6 IP adres. De VPN internet "tunnel-data" zelf, was echter alleen IPv4 ).

Zelf nam ik wel "handmatig" de virtuele VPN sub-net IP-bereiken met  IPv4  adressen mee in de Firewall.
Maar er eigenlijk nooit bij stil gestaan, dat je ook de IPv6  sub-net bereiken daarvoor kon invullen, volgens de IPv6 notatie.
Voor IPv6 kun je voor "gewone" LAN netwerken daarvoor de bredere keus "netwerk interfaces" kiezen, die zowel IPv4 als IPv6 omsluiten.

Maar voor de virtueel gebruikte VPN sub-netwerken, is daarvoor geen keus mogelijk als "interface".
Daar zag ik dus een tekortkoming in m.b.t. de Synology routers. Dat die daar niet onder vielen.

Maar met jou  3e Firewall regel  heb je dat dus toch klaargespeeld.

Anders zou  < DEZE test >  niet goed verlopen.
Maar ben dan ook benieuwd wat de volgende IPv6 test website oplevert?   https://ipv6-test.com/

In ieder geval Hulde !!   (Zelfs ik, die toch veel ervaring heb met Synology routers - leer nog steeds bij     ).

Overigens geldt die  IPv6  ondersteuning alleen voor OpenVPN.
Daarbij is binnen het VPN Plus menu nog een virtueel IPv6 netwerk voor in te stellen. (Onderste optie van < jou / dit plaatje > ).
Echter voor het  virtuele "Default" VPN sub-netwerk, (voor de andere VPN protocollen), ontbreekt die optie.

Dat is nog wel te omzeilen voor bijv. de  Synology SSL VPN methode.
Om daar niet  het "default" virtuele netwerk te kiezen voor VPN, maar gewoon het "Primaire LAN netwerk".
En in de Firewall voor de juiste "interface" te kiezen (is zowel IP4 als IPv6 overlappend).

Voor  L2TP/IPSec  en bijv. (Microsoft) SSTP heb ik dat echter nooit op die wijze kunnen bewerkstelligen.
(SSTP is overigens een uiterst trage VPN connectie. Eigenlijk meer 2e / 3e keus  mochten er problemen zijn met andere VPN methodes).

Zal je hierbij verwijzen naar een eerder "niet verder afgemaakt" onderwerp.
https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/

Niet afgemaakt omdat je van Synology  weinig Support meer kunt verwachten in verdere ontwikkeling van de software.
Verwacht namelijk geen nieuwe routers meer van Synology.  Zie  <  DIT bericht / onderwerp >

[Briolet]

Mijn concrete vraag:
blijft die IPv6 connectie in stand of kom ik met de handmatige IPv6 configuratie in de knoop omdat deze adressen niet fixed zijn, of is hij wel fixed zoals mijn laatste plaatje lijkt aan te geven?

Bij IPv6 krijgt elk apparaat een fixed IP adres, meestal gebaseerd op een deel uit het max adres. Dus die blijft, zolang je provider je dezelfde range blijft geven.

Ik zou wel je firewall regels aanpassen. Nu laat de firewall toe dat alle devices met alle poorten open achter je router hangen.  (Denk ik, omdat je alles afgeplakt hebt en het dus lastig te zien is. )

[Babylonia]

Bij  DHCPv6-Stateless-modus  (hetgeen Duplex7  heeft ingesteld ).
Heb je twee IPv6 adressen. Eentje voor aan de "buitenkant" een IPv6 adresreeks zoals ingesteld.
En een variabel "tijdelijk" (Temporary) IPv6 adres uit "tig" mogelijkheden, wat er nog achteraankomt, welke praktisch gezien
voor de buitenwereld niet is te traceren. Om daarmee juist de veiligheid te verhogen voor apparaten / diensten.

Eerder voorbeeld  uit de instellingen waarmee ik toen testte.

Let op de regel "Temporary IPv6 address"




En nog wat aanvullende dubbele DNS instellingen m.b.t.  KPN  IPTV  (wat alleen IPv4 gebruikt).

[Duplex7]

Bedankt voor jullie welkom, de snelle en uitgebreide reacties en het compliment!
Gezien het laatste topic in deze categorie al weer even oud is had ik de snelle reacties niet verwacht.

Ik heb deze post inmiddels al vijf keer proberen te posten maar ik kom niet voorbij het spamfilter, inmiddels een woord vervangen waarvan ik vermoed dat die dit triggert!

Ik heb ipv6-ondersteuning-synology-routers gebruikt als jump start voor mijn projectje.
Bij een OpenVPN verbinding zag ik wel verkeer door de OpenVPN-UDP poort maar het lukte verder niet de verbinding op te zetten.
Daar werd telkens mijn deny-all regel getriggerd, mijn vermoedde was dat de "netwerk interfaces" optie bij het instellen van de firewall niet triggert op verkeer van de virtuele "dynamische"-IP-adressen die OpenVPN gebruikt voor de clients. Daarom probeerde ik ook het IPv6-subnet daar in te voeren en dat werkte. =)

Maar voor de virtueel gebruikte VPN sub-netwerken, is daarvoor geen keus mogelijk als "interface".
Daar zag ik dus een tekortkoming in m.b.t. de Synology routers. Dat die daar niet onder vielen.

Zodra ik een van de opties "netwerk interfaces" of "Internet" kies en vervolgens de virtuele IP-ranges selecteer krijg ik verbinding problemen op het moment dat ik switch van Thuisnetwerk naar Mobiel internet. Daarom heb ik hem op "Alles" ingesteld. 

Dit probleem kwam eigenlijk pas later. Eerst liep ik aan tegen het ontbreken van de IPv6-prefix. Wanneer ik over IPv6 verbinding maakte met KPN koos ik hier voor de DHCPv6-PD methode waarbij ik zonder configuratie een IPv6-adres kreeg toegewezen maar geen IPv6-prefix. Dit gebruikte ik de afgelopen jaren probleemloos maar nu wilde ik dat OpenVPN ook IPv6 ondersteuning had. In de MijnKPN mobiele app zag ik dat er wel een IPv6-prefix was voor mijn verbinding. Met een beetje geknutsel lukte het toen handmatig de verbinding op te zetten en als prefix, de prefix van KPN die in de app stond. zoals ook in het plaatje van mijn eerste post te zien is. Nadat ik dit eenmaal had ingesteld zag ik er ook IPv6-ranges in de "VPN Plus Server" OpenVPN-configuratie bij de optie "IPv6 servermodus inschakelen" stonden.

Wat de tests op ipv6-test.com betreft, is het denk ik nog steeds afhankelijk van instelling van de DNS-servers.

Ik zie dat ik de DNS-servers van Google en van KPN door elkaar heb...

De site heeft bij elk informatie groepje (IPv4 connectivity, IPv6 connectivity, Browser, DNS) een reload knopje. Terwijl ik deze kopjes een paar keer reload zie ik steeds wisselende resultaten... Dit zou veroorzaakt kunnen worden door dat de Google DNS query's goed gaan en die van KPN dus nog steeds niet. Leuk idee om eens uit te testen wat er gebeurt wanneer ik de KPN DNS-servers weg haal uit de configuratie.

toevoeging: Ik heb al mijn DNS-servers aangepast naar quad9 maar ik heb er nogsteeds last van. Een google geeft aan dat veel mensen problemen hebben met de website. Zie Reddit - is_testipv6com_a_trustworthy_website bijvoorbeeld.

Wat betreft het stoppen van de routers... Erg jammer, deze router heeft me veel geleerd en stelt mensen met beperkte kennis in staat vrij ingewikkelde dingen redelijk eenvoudig voor elkaar te krijgen. Ik hoopte dat ze hier juist mee door gaan, zeker met betrekking op het cyber security verhaal. Dit is daar wel een goede niche voor lijkt mij. Helaas niet direct heel populair, wellicht omdat hij vrij duur is en killer opties mis die een enthousiasteling zoekt. Dan bedoel ik bijvoorbeeld minimaal twee snelle ethernet poorten. Dat was destijds de kritiek op Tweakers.net in ieder geval. Ik vind de Safe Access ook erg goed. Ik heb profielen voor de kids gemaakt waarin ik bijvoorbeeld het Internetschema, tijdquota en web filter gebruik. Het is wellicht ook minder interessant voor de pro's die alle controle willen en geen eenvoudige userinterface die een hoop technische details weg automatiseert.

Tenslotte de DHCPv6-Stateless-modus, ik zie op mijn computer dat ik 3 IPv6-adressen en 3 IPv6 Temporary adressen toegewezen heb gekregen (waar 2 van de drie ook nog het zelfde IP-adres zijn.), is dit normaal of wellicht een artefact van mijn gepuzzel?

[Babylonia]

Ik heb ipv6-ondersteuning-synology-routers gebruikt als jump start voor mijn projectje.
Bij een OpenVPN verbinding zag ik wel verkeer door de OpenVPN-UDP poort maar het lukte verder niet de verbinding op te zetten.
Daar werd telkens mijn deny-all regel getriggerd, mijn vermoedde was dat de "netwerk interfaces" optie bij het instellen van de firewall niet triggert op verkeer van de virtuele "dynamische"-IP-adressen die OpenVPN gebruikt voor de clients.

Dat onderwerp wat je als basis hebt gebruikt, bestaat uit meerdere onderdelen.
Voor wat betreft  Firewall regels,  van een basis instelling -zonder VPN-,  Reactie #4  in dat onderwerp, helemaal onderaan.

Naar de uitgebreide Firewall set-up  -inclusief VPN- zelfs voor alle VPN protocollen.
Reactie #16  in dat onderwerp, ergens halverwege onder het kopje:   Firewall regels IPv6 - "uitgebreide versie" :

Daarmee werken alle VPN methoden ---> te zien aan de treffers achter elk gebruikt VPN protocol. (Elke methode is uitgebreid getest).
Bij die testen echter alleen via IPv4, en nog niet voor de OpenVPN  IPv6 VPN  "tunnel data".

Het  turquoise/cyaan  gekleur blokje van de 2e Firewall regel  deze afbeelding - plaatje 13  omvat zowel IPv4 als IPv6 functionaliteit,
voor de "normale" LAN interfaces.  Alle IPv4 data wordt met die regel reeds afgevangen. Vandaar dat de 3e geel-kleurige Firewall regel
welke alleen op IPv4 is afgestemd,  géén "treffers" scoort. Juist laten staan ter controle, wat die Firewall regels doen.

13.


Door de Firewall expliciet alleen de IPv6 regels te laten tonen  deze afbeelding - plaatje 14
Zie je welke regels NIET voldoen aan een IPv6 functionaliteit.  De geel en groen gekleurde Firewall regels van  plaatje 13

14.         versus 13.


Met die voorbeelden in gedachte, als aanvulling op de "groen" gekleurde Firewall regels,
met jou toevoeging zoals aangevuld met de 3e Firewall regel bij < jou afbeelding > van Firewall regels. 

(Lees de opmerkingen iets verderop m.b.t. de keus voor een IPv6 prefix)




Is daarmee OpenVPN ook voor de IPv6  "tunnel data" afgedekt.  (Als je via een OpenVPN Client, weer opnieuw het internet opgaat).

Als je dezelfde controle bij het Firewall menu rechts bovenaan aanklikt, om alleen IPv6 functionele regels te tonen.
Zal de door jou aangevulde Firewall regel daar wellicht ook bij staan, (en juist NIET bij keus van "IPv4 only" regels, wat je ook kunt kiezen).

Zodra ik een van de opties "netwerk interfaces" of "Internet" kies en vervolgens de virtuele IP-ranges selecteer krijg ik verbinding problemen op het moment dat ik switch van Thuisnetwerk naar Mobiel internet. Daarom heb ik hem op "Alles" ingesteld.

Die optie welke interfaces te kiezen, wordt in  die reactie  ook reeds als afbeelding getoond ---> Plaatje 15

15.

In de MijnKPN mobiele app zag ik dat er wel een IPv6-prefix was voor mijn verbinding. Met een beetje geknutsel lukte het toen handmatig de verbinding op te zetten en als prefix, de prefix van KPN die in de app stond.

Die IPv6 "aanvullingen" - géén /64 of /48 prefix! - het gaat om het stuk "erna",  zijn zo uit de menu's van de  Synology router te halen.
Uit een latere reactie #18   Evaluatie 1:   ---->  14-4-2024     KPN IPTV - II :

(De afbeelding nog wel met een fout erin. Moest de router resetten naar fabrieksinstellingen om het te corrigeren).




Je hebt de keus uit een eerste aanvulling IPv6 sub-net begin regel.
En dan nog 7 aanvullende  IPv6  regels.  Ofwel totaal 8 regels.

Feitelijk voorziet Synology met „voorgebakken“ functionaliteit in aantallen aangeboden IPv6  sub-nets.
Reeds aan alle  (VLAN)  netwerken en virtuele VPN netwerken die de Synology router kan omvatten.

5 stuks „normale“ netwerken.
   Primair + Gast netwerk reeds als standaard netwerk ingesteld.
   Plus nog 3 extra in te stellen extra VLAN netwerken (maximum).

6e   IPv6  sub-net regel voor de OpenVPN server -  virtuele netwerk

7e   IPv6  sub-net regel voor het „Default“ -  virtuele VPN netwerk
       Maar die functie is daar niet opgenomen.

8e   IPv6  sub-net regel als reserve. (Men kan namelijk zelf nog een extra virtueel netwerk toevoegen bij VPN Plus)

Daarom verbaast het mij ten zeerste dat Synology al niet meteen vanaf begin af aan bij introductie van SRM 1.3.
Het  „Default“ virtuele VPN netwerk heeft meegenomen om daar een IPv6  sub-net aan te koppelen.

En tevens voorziet in de keus aan IPv4 + IPv6  „interface“ Firewall regels.
Die bij de keus bij het eerdere plaatje 15 al zouden kunnen worden meegenomen.

Waarmee een Synology router een stuk beter IPv4 + IPv6  transparant zou zijn.
Het is nu „niet afgemaakt“ half werk.

[Briolet]

…Tenslotte de DHCPv6-Stateless-modus, ik zie op mijn computer dat ik 3 IPv6-adressen en 3 IPv6 Temporary adressen toegewezen heb gekregen (waar 2 van de drie ook nog het zelfde IP-adres zijn.), is dit normaal of wellicht een artefact van mijn gepuzzel?

3 IPv6 adressen komt vaker voor.  Mijn Android telefoon doet dat ook. De een is een link-local adres op basis van het mac adres. Die is fixed.  De andere 2 zijn op basis van de prefix van de provider en standaard variabel, wat best wel vervelend is als je iets met de firewall wilt doen.  Bij één van die twee kan ik instellen dat die fixed moet blijven, maar de laatste variabele blijft een ramp voor de firewall instellingen waar je dan niet iets specifiek kunt blokkeren.

Mijn iMac had altijd 2 IPv6 adressen. 1 link-local en 1 van de provider. Tot mijn schrik zie ik dat hij tegenwoordig geen link-local IP heeft. (Staat in elk geval niet meer in de setting)