Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: Babylonia op 12 maart 2024, 06:21:18
-
Direct naar de juiste onderwerpen - beschrijving - helaas nog onvoldoende werkende oplossingen voor VPN:
- Het begrip "IPv6" (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328011/#msg328011) - instellen van een Synology router - IPv6 - KPN netwerk.
- Waar op te letten (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328067/#msg328067) bij eventuele reset van een router naar fabrieksinstellingen - en importeren back-up gebruiksinstellingen.
- "VPN server" Synology NAS -versus- "VPN Plus server" Synology router : (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328092/#msg328092)
- Invloed keus VPN netwerk (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328235/#msg328235) m.b.t welke LAN netwerken van buitenaf bereikt kunnen worden.
- Evaluatie I (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328236/#msg328236) - Uitgebreide uiteenzetting tekortkomingen van de router aangaande IPv6 in relatie tot diverse VPN protocollen.
- Evaluatie II (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg329199/#msg329199) - Nieuwe router configuratie - lijst van problemen is geslonken, maar nog niet voor alles opgelost.
In een onderwerp (https://www.synology-forum.nl/synology-router/openvpn-udp-gekoppeld-aan-udp6-terwijl-dit-niet-eens-aan-staat-in-het-systeem/msg327920/#msg327920) afgelopen dagen aangehaald, dat ik met een RT6600ax geen IPv6 ondersteuning heb.
.....Dat is de functionaliteit van IPv6.....
..........
Heb in het verleden al zoveel tijd gespendeerd met Synology Support, dat ik dat "toen" voorlopig maar heb laten liggen.
Het staat nog steeds op de rit om er nog eens een keer met Synology over te sparren. Maar mijn leeftijd wordt er ook niet jonger op.
Zolang IPv6 niet goed werkt met KPN, heb ik het maar uitgeschakeld, en draai verder alles onder IPv4.......
Tot nu toe kon ik het ook niet instellen met de RT6600ax router.
Maar...
Vorige week, bij een eerdere kwestie, heb ik wel één van mijn twee RT2600ac routers, met daarop SRM 1.3.1-9346 Update 8
opnieuw gereset naar fabrieksinstellingen, en met een kale installatie "in router mode" rechtstreeks aan internet gehangen.
(Normaal gebruik ik die 2e RT2600ac om ermee te testen als "mesh" WiFi punt achter de RT6600ax).
Vanuit een onderwerp vorige week (https://www.synology-forum.nl/synology-router/rt2600ac-extra-wifitoegangspunten-toevoegen/msg327825/#msg327825) (om een MR2200ac als mesh WiFi punt toe te voegen achter een RT2600ac):
Heb ik nu na pakweg anderhalf jaar en vele updates verder, nu ook maar weer eens opnieuw de stoute schoenen aangetrokken.
En die 2e RT2600ac router direct achter KPN glasvezel gehangen. Gewoon een basis configuratie met het KPN profiel.
Dat werkt gewoon zoals het is bedoeld. TV ook.
Met die "verse" reset naar fabrieksinstellingen en die RT2600ac nog steeds in router mode (hoewel weer afgekoppeld).
DIE router maar weer eens opnieuw achter internet gehangen, en gekeken of ik daarmee nu WEL IPv6 kan instellen.
En.....
In dit geval met enkele aanpassingen een werkende IPv6 functionaliteit !!
Website om IPv6 te testen: https://test-ipv6.com (https://test-ipv6.com/index.html.nl_NL)
(2e en 3e plaatje, de resultaten van die lijst gaan nog verder door naar beneden).
[attach=1] [attach=2] [attach=3]
Andere IPv6 test website, gaf 2 meldingen m.b.t. ICMP filtering: https://ipv6-test.com (https://ipv6-test.com/)
Maar daar is met een extra instelling in de firewall m.b.t. ICMP wel iets aan te doen.
(Ga dat allemaal nog verder uitzoeken komende dagen).
[attach=4]
Waar zit het verschil van de RT2600ac met de RT6600ax ??
Een missende instelling voor de RT6600ax....
Instelling gebruikt voor WAN IPv6 voor het RT2600ac model, (en nog aanvullende instelling voor LAN).
[attachimg=5]
Die DHCPv6-PD instelling komt in de RT6600ax bij mij niet voor.
Vandaar dat ik het dus ook niet werkend kan instellen. (Wat volgens de handleiding wel het geval zou moeten zijn).
[attachimg=6]
Mogelijk zit hem dat in tussenliggende mismatches van eerdere updates?? (Voor SRM 1.3.1 zitten we op de 8e update).
De RT6600ax heb ik nog niet eerder opnieuw naar fabrieksinstellingen gereset.
Iets voor de komende dagen / week, om die eens geheel te resetten.
Hopelijk wordt het dan alsnog hersteld. En is het probleem daarmee opgelost.
Maar goed, er zit dus weer beweging in. :geek:
Ik houd jullie op de hoogte.
-
Voor wat het waard is. Op mijn RT1900ac gebruik ik ook de DHCPv6-PD instelling.
In mijn geval heb ik dubbel nat. Mijn Ziggo Connectbox reserveert een subset van zijn IPv6 met een prefixlengte 64 voor mijn Synology router. Bij mij is die optie ook logischer, want die PD betekent 'Prefix Deligation (https://www.ietf.org/archive/id/draft-ietf-v6ops-dhcp-pd-per-device-04.html)'. En dan ik precies wat bij mij gebeurd met dubbel nat.
Ik zie bij mij in het lijstje nog een 'UIT' optie als eerste.
-
Bij een RT1900ac gaat het om SRM 1.2.5
Er is overigens net een nieuwe update van de SRM router firmware (https://www.synology-forum.nl/synology-router/srm-1-3-1-9346-update-9/) Die ga ik eerst dan maar eens installeren.
Erna een volledige reset naar fabrieksinstellingen.
-
Inmiddels de RT6600ax geüpdatet naar SRM 1.3.1-9346 Update 9 (https://www.synology-forum.nl/synology-router/srm-1-3-1-9346-update-9/) (Na update, nog steeds missende optie voor DHCPv6-PD.)
En een back-up van de configuratie.
Volledige reset naar fabrieksinstellingen, en basis set-up opgezet. Nu kan ik wel alles configureren met IPv6.
Toch eens proberen wat het oplevert om die laatste back-up (incl. update van SRM) terug te zetten, en kijken wat het oplevert.
Dan komt dezelfde fout weer terug van die missende optie DHCPv6-PD. Dus ergens is dat in het verleden een keer verkeerd gegaan?
(Zou mogelijk ook kunnen komen door interventie van Synology Support die in het verleden wat zaken op root niveau heeft aangepast?)
Dus maar weer nieuwe reset, en dan echt alles van de grond af aan opnieuw de configuratie opbouwen.
Voor de "gewone internet connectie" thuis is alles nu functioneel, voor zowel IPv4 als IPv6.
Er zullen op details nog wel wat zaken moeten worden uitgezocht, omdat verschillende dingen toch wat anders uitpakken.
Browsen via internet, worden alle testen doorlopen zoals eerder aangegeven. (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg327981/#msg327981)
Alleen voor ICMP blijft er een negatieve test bij die ene test website: https://ipv6-test.com
Ondanks een extra regel om ICMP toe te voegen bij de Firewall regels. (Wordt zelfs automatisch toegevoegd,
als IPv6 wordt ingesteld - en de optie "automatisch toevoegen van firewall regels" niet is uitgeschakeld).
Is dat erg?? Ik vermoed van niet, alle test websites zijn positief. ICMP heb ik normaal gezien juist expliciet uitgeschakeld,
om zo min mogelijk aandacht te trekken van gasten op internet. Mijn WAN IP-adres is dan niet te pingen (wel bereikbaar).
Het eerste wat ik erna heb geïnstalleerd is de VPN Plus server.
En gekeken hoe alles daarmee functioneert via IPv4 en/of IPv6
- Synology SSL VPN - Volledig IPv4 + IPv6 functioneel ! (De enige VPN methode die dat biedt).
Niet alleen de connectie vanuit de VPN Client naar de server, maar ook internet data die via de VPN tunnel zelf gaat.
Zelfs een VPN connectie van laptop via een hotspot met een "YouFone" mobiel abonnement is de "tunnel internet data"
via het WAN IP-adres thuis, volledig IPv4 / IPv6 transparant. En komen die testen overeen met hetgeen eerder weergegeven.
Waarbij opgemerkt dat "gewoon browsen" (zonder VPN) via de hotspot van mijn smartphone, alleen IPv4 actief is.
- MS SSTP VPN - Wel transparant in IPv4 / IPv6 benadering, maar browsen over internet alleen via IPv4
- VPN L2TP/IPSec - Wel transparant in IPv4 / IPv6 benadering, maar browsen over internet alleen via IPv4
- OpenVPN - Wel transparant in IPv4 / IPv6 benadering, maar browsen over internet alleen via IPv4
Met bestudering / invoeging van extra OpenVPN commando's (https://community.openvpn.net/openvpn/wiki/IPv6) is daar mogelijk meer mee te doen??
Later kom ik er meer uitgebreid op terug met scherm afdrukken e.d. hoe / wat ingesteld. Aanpassingen van firewall regels e.d.
Mogelijk ook wat dieper op IPv6 ingaan met andere gebruikers.
Omdat ik nu slechts alleen in de meest simpele vorm IPv6 heb ingesteld in de Synology router:
DHCPv6-PD Volgens opgave KPN (PDF-bestand - specificaties eind van bericht).
Bij het LAN, een keuze per netwerk aan IPv6 "voorvoegsels" die automatisch worden aangeboden (setje van 8 verschillende opties).
Heb nu 4 netwerken ingesteld. In die keuze nu als eerste begin, per netwerk verder met de optie "Stateless modus".
Verdere Referenties: < Synology artikel voor wat betreft "WAN" > (https://kb.synology.com/nl-nl/SRM/help/SRM/NetworkCenter/internet_connection?version=1_3#b_63) en < dit artikel > (https://kb.synology.com/nl-nl/SRM/help/SRM/NetworkCenter/lan_network_dhcp?version=1_3) scroll naar beneden ---> zoek op IPv6 ).
Ik denk dat de Synology router "in de basis" mogelijk ook wat beperkingen heeft aangaande VPN, m.b.t. IPv6 functionaliteit??
Anders dan de "Synology SSL VPN" methode zelf. Iets om met andere gebruikers "dan" daarover te kunnen discussiëren.
-
Het begrip „IPv6“:
Er is hier nog niet eerder meer diepgaand op het begrip „IPv6“ ingegaan.
Een complex gegeven met „prefixen“ - „voorvoegsels“ (eerste stuk van een IPv6 adres).
Heb er zelf ook niet zoveel kennis van. Het gaat me daarmee al snel boven de pet. :o :geek:
In de opzet van het configureren van een Synology router, proberen we het "zoveel als mogelijk" eenvoudig te houden.
Zonder teveel diepgaande kennis te moeten vergaren en alles „manueel“ te moeten instellen.
Gelukkig bieden providers ook wat opties zoals DHCPv6-PD om het allemaal wat makkelijker te implementeren.
(Waarbij @Briolet eerder reeds een URL gaf naar informatie omtrent "Prefix Delegation" (https://www.ietf.org/archive/id/draft-ietf-v6ops-dhcp-pd-per-device-04.html) ).
Naast de beknopte informatie in de vorige reacties, hier toch nog wat aanvullende achtergrond info welke handig kan zijn.
https://id.nl/huis-en-entertainment/computer-en-gaming/netwerk/ip-adressen-raken-op-alles-over-ipv6
https://nl.wikipedia.org/wiki/Internet_Protocol_versie_6
https://gathering.tweakers.net/forum/list_messages/1308304/0
https://blog.g3rt.nl/systemd-networkd-dhcpv6-pd-configuration.html
https://www.sidn.nl/moderne-internetstandaarden/ipv6
https://www.forumstandaardisatie.nl/ipv6
https://wiki.surfnet.nl/display/SURFnetnetwerkWiki/Whitepaper+IPv6-nummerplan+opstellen
Deze whitepaper (PDF) (https://wiki.surfnet.nl/download/attachments/11211103/rapport_201309_IPv6_numplan_NL.pdf?version=1&modificationDate=1545128052529&api=v2) bevat een handleiding voor het opstellen van een goed nummerplan bij de overgang naar IPv6.
Een goed nummerplan is een systeem waarmee u de IPv6-adressen toekent aan locaties en/of gebruikerstypen.
Adrestoewijzing (DHCP?) in IPv6
https://meneer.depuydt.eu/blog/geek/adrestoewijzing-dhcp-in-ipv6/
Omreken converters IPv4 naar IPv6
https://dnschecker.org/ipv4-to-ipv6.php
https://www.vultr.com/resources/ipv4-converter
https://www.whatsmydns.net/ipv4-to-ipv6
https://iplocation.io/ipv4-to-ipv6
https://www.site24x7.com/nl/tools/ipv4-converter.html
In relatie met IPv4 naar IPv6 conversie, kan bij grotere LAN IPv4 IP bereiken een IPv4 calculator handig zijn:
https://www.calculator.net/ip-subnet-calculator.html
Mijn IPv4 en IPv6 adres: https://www.watzijnmijnips.nl https://whatismyipaddress.com http://ds.testmyipv6.com
Websites om IPv6 te testen: https://test-ipv6.com https://ipv6-test.com https://ip6.nl
https://dnschecker.org/ipv6-compatibility-checker.php https://www.mythic-beasts.com/ipv6/health-check
https://dnschecker.org/ping-ipv6.php
AdGuard aternatieve DNS servers:
(Blokkade van advertenties - met name bij gebruik van Android apps. Voor Windows heeft het wening effect).
https://adguard-dns.io/en/blog/adguard-dns-new-addresses.html
Hele lijst van alternatieve DNS servers bij elkaar: Cloudflare, Cisco, Quad9,... en URL's voor DoH (DNS over https) connecties:
https://adguard-dns.io/kb/general/dns-providers
KPN - Malware DNS filter, in- uit te schakelen via: https://internet.veilig.kpn.com (met KPN account voor eigen KPN router).
KPN - m.b.t. IPTV waarbij in een thuisnetwerk switches worden ingezet. Deze moeten < IGMP Snooping ondersteunen > (https://forum.kpn.com/kennisbank%2Dkpn%2Dtv%2D136/igmp%2Dsnooping%2Dwat%2Dis%2Dhet%2Den%2Dwaarom%2Dis%2Dhet%2Dbelangrijk%2D456968)
Vanuit de hierboven in de vorige reactie beschreven instellingen, hierbij het vervolg aangevuld met plaatjes.
Opmerking: Voor KPN geldt dat eerst wel de originele KPN modem/router aangesloten moet zijn geweest, met IPv6 geactiveerd.
("Standaard" is IPv6 NIET ingeschakeld in de door KPN uitgeleverde IPv4/IPv6 modem/routers. Vanaf Experia Box V10 en nieuwer).
Het achterliggende netwerksysteem van KPN stelt zich daarop in. Eenmaal een keer aangesloten geweest blijven die gegevens bewaard.
Zonder die KPN modem/router aansluit tussenstap is alleen IPv4 actief. Erna pas de Synology router aansluiten.
Controle welke modem/router van KPN het laatst aangesloten is geweest (en actief in systeem) - < zie modem check > (https://www.kpn.com/service/internet/wifi-en-modems/modemcheck.htm)
Controle gehanteerde IP adressen - < Mijn KPN > (https://mijn.kpn.com/#/producten) ---> producten ---> Huisje ---> Menu links onderaan = IP-adres
Houd er rekening mee dat de info bij KPN alleen het IPv6 "prefix" gedeelte van de connectie weergeeft.
Niet het expliciete "WAN" IPv6 adres, wat bijv. wel wordt getoond via het Synology account en gebruik van DDNS domein.
Voor de WAN poort: DHCPv6-PD volgens opgave KPN
Netwerkcenter ----> Internet ----> Tab: Verbinding ----> Knop: IPv6 installeren
1. [attach=1] 2. [attach=2]
Bij het LAN, een keuze per netwerk aan IPv6 "voorvoegsels" die automatisch worden aangeboden (setje van 8 verschillende opties).
Heb nu 4 netwerken ingesteld. In die keuze nu als eerste begin, per netwerk verder met de optie "Stateless mode" (plaatje 3 en 4).
5 en 6 de andere opties waaruit kan worden gekozen
Heb dat hier aangevuld met de DNS IPv6 gegevens van AdGuard (https://adguard-dns.io/en/blog/adguard-dns-new-addresses.html)
3. [attach=3] 4. [attach=4] 5. [attach=5] 6. [attach=6]
Met verdere bestudering van het IPv6 nummerplan ( Deze whitepaper (PDF) (https://wiki.surfnet.nl/download/attachments/11211103/rapport_201309_IPv6_numplan_NL.pdf?version=1&modificationDate=1545128052529&api=v2) ) bij menu plaatje 6.
Heb ik erna voor elk netwerk de equivalente IPv6 DHCP begin- en eind adressen aangevuld,
overeenkomend met de IPv4 DHCP netwerk adressen van elk netwerk.
Geconverteerd met: https://www.vultr.com/resources/ipv4-converter
Dat houdt IPv6 bereiken binnen te overziene normaal behapbare stukken van een thuisnetwerk.
(Is al uitermate ruim bemeten met die restricties). Door IP-bereiken te beperken werkt het allemaal net wat "snappier".
Kopieer de geconverteerde "korte" IPv6 waarde, zonder deze :: puntjes, want dat is al in het menu in de prefix verwerkt.
Primair Netwerk:
Eerste DHCP IPv4 adres: 192.168.101.2 -----> IPv6 adres: ffff:c0a8:6502 (https://www.vultr.com/resources/ipv4-converter/?ip_address=192.168.101.2) IPv6 (short)
Laatste DHCP IPv4 adres: 192.168.101.254 -----> IPv6 adres: ffff:c0a8:65fe (https://www.vultr.com/resources/ipv4-converter/?ip_address=192.168.101.254) IPv6 (short)
Gast Netwerk:
Eerste DHCP IPv4 adres: 192.168.102.2 -----> IPv6 adres: ffff:c0a8:6602
Laatste DHCP IPv4 adres: 192.168.102.254 -----> IPv6 adres: ffff:c0a8:66fe
"VPN" Netwerk: Speciaal "gewoon" netwerk bedoeld voor uitgaande VPN verbindingen - VPN Client in de router ingesteld.
Met een breder IP adresbereik - uitleg "Tweede optie" VPN Clients van de < RT6600ax handleiding > (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312657/#msg312657).
(Gebruik nu wel andere IP subnetten als indertijd - maar het gaat om het principe).
IPv4-bereik: 192.168.30.0/23 = subnet masker 255.255.254.0 Gateway: 192.168.30.1
Eerste DHCP IPv4 adres: 192.168.31.2 ------> IPv6 adres: ffff:c0a8:1f02
Laatste DHCP IPv4 adres: 192.168.31.254 ------> IPv6 adres: ffff:c0a8:1ffe
IoT Netwerk:
Eerste DHCP IPv4 adres: 192.168.40.2 ------> IPv6 adres: ffff:c0a8:2802
Laatste DHCP IPv4 adres: 192.168.40.254 ------> IPv6 adres: ffff:c0a8:28fe
Verder opvallend bij de VPN Plus server is de optie bij OpenVPN om voor connectie een keus te maken voor een IPv6 "voorvoegsel",
vergelijkbaar zoals dat ook kan bij de aparte netwerken van de Synology router. Echter geen verdere verdeling / aanvulling.
7. [attach=7]
Het uiteindelijke resultaat is dat de opbouw een OpenVPN verbinding vanuit een laptop (via de WiFi hotspot van een smartphone),
vanuit de VPN server zowel een IPv4 als IPv6 adres krijgt toegewezen.
Het browsen via die OpenVPN verbinding zelf, (met het thuis netwerk WAN IP-adres als uitgangspunt, en dan weer het internet op),
is met de huidige configuratie echter (nog) beperkt tot IPv4.
8. [attach=8] 9. [attach=9]
Bij het eigen Synology SSL VPN protocol, is de VPN "tunnel" met overdracht van data wel volledig IPv4 / IPv6 compatibel.
10. [attach=10] 11. [attach=11] 12. [attach=12]
Opmerking m.b.t. getoonde WAN IPv6 adressen:
(Waarvan het grootste deel van het adres in de laatste twee afbeeldingen hierboven is afgeschermd).
Voor de duidelijkheid:
Het gaat feitelijk om het IPv6 adres ook zonder een VPN verbinding, van de internetaansluiting thuis.
Te controleren bijv. via: https://www.watzijnmijnips.nl https://whatismyipaddress.com
In tegenstelling tot IPv4 waarbij je bij een internet provider doorgaans een "vast" WAN IP adres krijgt toegewezen.
("Officieel" is het geen vast IP adres, maar verandert in praktijk maar zelden. Alleen bij belangrijke systeem aanpassingen bij een provider).
Is dat anders voor het IPv6 adres. Dat verandert dynamisch in een relatief erg kort tijdsbestek.
Dat is op te merken bij controle van het WAN IP-adres via: https://www.watzijnmijnips.nl
Bij hostnames achter het IPv4 adres staat vermeld fixed.kpn.net Achter het IPv6 adres fixed6.kpn.net
Bij testen van VPN via een smartphone als hotspot (met Synology SSL VPN), wordt bij IPv6 mobile6.kpn.net getoond.
Andere benaderingswijze IPv6 :
Schijnbaar wordt met het gebruik van DHCPv6-PD (of IPv6 in het algemeen) een andere route gevolgd, niet vergelijkbaar met IPv4 ??
Het lijkt of binnen KPN zelf, vanuit een "eerdere stap" in de keten een variabel IPv6 adres wordt getoond,
en erna dan rechtstreeks een link wordt gelegd, met een "vast" LAN IPv6 adres.
Wat men eerder in die lijst van aangeboden adressen heeft vastgelegd voor "Primair netwerk". Het eerdere plaatje 4.
4. [attach=4]
Dat specifieke "vast" ingestelde IPv6 adres (wat begint met 2a02...) zie je erna bijv. ook terug in het Synology account,
bij het Synology DDNS domein, als het "echte" connectie IPv6 adres. Naast het gebruikelijke WAN IPv4 adres.
Bij een IPv6 "ping-test" website: https://dnschecker.org/ping-ipv6.php
Met ingave van dat 2a02... IPv6 adres, krijg ik daarmee een positieve reactie terug.
Evenals ingave van het Synology DDNS domein zelf. (Certificaat wordt geregeld binnen Synology).
Omdat ik gebruik maak van een eigen NL-domein op het WAN IP-adres thuis, inclusief SSL certificaat,
heb ik dat 2a02... IPv6 adres nu ook opgenomen in een AAAA record. Ook daarmee krijg ik dan een positieve ping reactie terug.
Dus daarmee lijkt dat stuk m.b.t. IPv6 thuisverbinding helemaal afgedekt.
Info over ICMP controle functies: o.a. op "WiKi" (https://en.wikipedia.org/wiki/ICMPv6) en Cisco (zeer uitgebreid) (https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipv6_basic/configuration/xe-3se/5700/ip6-icmp-xe.html#GUID-19740425-6065-43CB-B95C-91CBFD742D61).
Enkele test websites m.b.t. ping testen op IPv6
https://dnschecker.org/ping-ipv6.php
https://tools.keycdn.com/ipv6-ping
https://subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php
Meer uitgebreide IPv6 test via: https://ipv6-test.com geeft voor KPN steevast een 18 / 20 score aan.
Wat dan mogelijk gerelateerd is aan die "tussenstap" IPv6 weergave / benadering.
Bedenk dat connectie met originele KPN Experiabox modem/router voor IPv6 ook dan een 18 / 20 score geeft.
[attach=13]
Overigens "Ping testen" vanuit de Synology router zelf met "Netwerkhulpmiddelen" naar het IPv6 weergegeven WAN IP-adres
wat wordt weergegeven via: https://www.watzijnmijnips.nl geeft wel een positief ping resultaat.
Maar komt mogelijk terug als controle van de KPN DNS server zelf als test resultaat, als intern "besloten IPv6 systeem" van KPN.
KPN IPTV :
Als negatief effect van de hele IPv6 implementatie merkte ik op dat er een langere pauze kan zijn (tussentijds zwart scherm),
van diverse seconden, bij wisselen van een "terugkijk" bekeken programma = unicast - naar Live TV-signaal = multicast.
Met name als je meerdere programma's achter elkaar door hebt gekeken in "terugkijk" mode en dan wisselt.
Of als je gebruik maakt van het speciale "Zoekmenu" en naar andere afleveringen van een opgeslagen zoekopdracht wilt wisselen.
Die ervaring is bij gebruik van een oude KPN Arcadyan HMB2260 v2 TV Settopbox van pakweg 7-8 jaar oud.
Misschien dat de huidige op Android uitgeleverde kastjes daarin beter voldoen??
Oplossing "gedeeltelijk" :
Omdat KPN achterliggend voor hun TV functionaliteit "intern" binnen een gesloten systeem voor hun servers "nog" gebruik maakt van IPv4.
Heb ik de TV-ontvanger een vast IPv4 adres gegeven + een Firewall regel aangemaakt die expliciet alleen IPv4 doorlaat op dat IP-adres,
naar het IP-bereik van de KPN servers, die volgens < "Netwerkje.com" > (https://netwerkje.com/routed-iptv) ligt in het subnet bereik: 213.75.112.0/21
Dat werkt "nu" nog, maar KPN is hun achterliggende systemen ook aan het bijwerken.
Oude modem/routers die alleen IPv4 ondersteunen en bij vele KPN thuisgebruikers nog in gebruik zijn,
kan men gratis omruilen voor IPv4 / IPv6 modems ---> < zie oproep bij KPN > (https://forum.kpn.com/modems-123/stopzetten-ondersteuning-v8-en-v9-hoe-ruil-ik-mijn-modem-om-596131) wat pakweg sinds maart 2024 actueel is.
Voorlopig zal het oudere IPv4 echter door KPN IPTV zeker nog wel een tijdje worden ondersteund.
"Standaard" is IPv6 namelijk NIET ingeschakeld in de nieuwe KPN uitgeleverde IPv4/IPv6 modem/routers.
Daarom voorlopig de volgende instellingen.
Omdat we in de firewall regel een opgave met subnet-masker inzetten, kijken we met een IPv4 subnet calculator (https://www.calculator.net/ip-subnet-calculator.html?cclass=any&csubnet=21&cip=+213.75.112.0&ctype=ipv4&x=Calculate) wat erbij hoort:
Opgave 213.75.112.0/21 ----> notatie met subnet-masker 255.255.248.0
Bij inzet van extra "test" firewall regels, blijkt het 217.166.0.0/16 netwerk daarbij niet te worden gebruikt (géén "treffers").
Dat netwerk laten we verder dan ook buiten beschouwing.
In volgorde van firewall regels als eerste helemaal bovenaan gezet - heeft daarmee prioriteit boven IPv6 afgestemde regels.
(Na aanpassing TV-ontvanger een keer uitschakelen / power eraf en na pakweg 10-20 seconden weer inschakelen).
Dat geeft voor de meeste situaties de normale TV "wissel" functionaliteit weer terug met wat ik eerder gewend was.
Met name bij terugkijken via het apart op te roepen zoekmenu, waarbij men zoekresulaten kan vastleggen voor een volgende keer.
Basis Firewall regels:
Firewall regels voor enkel IPv6 functionaliteit, met KPN TV-box regel erbij. Datgene wat de uitleg in deze reactie behelst.
Zonder de extra VPN functionaliteit wat in een latere reactie (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328092/#msg328092) wordt besproken.
Regel 1 = IPTV regel
Regel 2 = ICMP voor testen IPv6 functionaliteit. Indien alles functioneert, regel evt. uitschakelen.
WAN IP-adres is dan niet te pingen, de internetconnectie is dan meer "incognito".
Regel 3 = Algemene IPv6 toestemming voor alle Bron-interface LAN netwerken.
Regel 4 = Slot eind regel, blokkeert alles wat niet aan voorgaande regels voldoet.
TCP/UDP - Alle - Alle - Alle - Alle - Alle - Alle - WEIGEREN
[attachimg=14]
-
Via de link IPv6 test heb ik geen IPv6 maar volgens mijn router de RT6600 heb ik wel IPv6, hoe moet ik dat nu zien?
Profider is ziggo.
-
@Briolet geeft al in een eerdere reactie < verder naar boven > (http://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg327982/#msg327982) een voorzetje, hoe hij dat voor "Ziggo" met DHCPv6-PD heeft ingeregeld.
Ik vermoed een vergelijkbare instelling, met aanvullend ook nog in het LAN netwerk de instellingen die ik hierboven met die plaatjes toon?
Maar in mijn geval voor KPN.
Er komen overigens net een beetje andere Firewall regels (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312656/#msg312656) bij kijken, dan ik voor de RT6600ax handleiding (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden) heb beschreven.
Daar ga ik nog alleen uit van IPv4. (De beschrijvingen dateren van pakweg twee jaar terug. Toen hield ik me nog niet met IPv6 bezig.)
Regels waar expliciet IPv4 adressen zijn opgenomen of IPv4 sub-netwerk / IP bereiken, zijn vanuit die functie al niet IPv6 gerelateerd.
Met die instellingen komt "IPv6" niet verder door. (Met name door de firewall eindregel die dat feitelijk uitsluit).
Daar kom ik nog in een extra te beschrijven reactie hier terug bij dit onderwerp. Juist omdat het net wat aangepast moet worden.
(Overigens gewoon "met" inbegrip van die eind firewall slotregel, maar aangepaste instellingen "hoger" in de volgorde).
Temeer daar er tevens voor enkele VPN Plus server instellingen ook daar net wat andere instellingen worden ingezet dan "gebruikelijk".
(Morgen overdag of zo, het is nu midden in de nacht (: ). Het werkt voorlopig ook nog wel "zonder IPv6" :geek:
-
Via de link IPv6 test heb ik geen IPv6 maar volgens mijn router de RT6600 heb ik wel IPv6, hoe moet ik dat nu zien?
Profider is ziggo.
Doe je de test met een device achter de router? Het idee van IPv6 is dat elk device rechtstreeks aanspreekbaar is met een eigen openbaar adres. Veel routers blokkeren dit om de gebruikers te beschermen. Want als een device rechtstreeks aan het internet hangt, moet overal ook een goed geconfigureerde firewall draaien.
Ik moet de nas in mijn netwerk opnemen in de IPv6 firewall van de router. Dus dat hij verkeer naar het IPv6 adres van de nas moet doorlaten. Dan werkt de webserver (en mailserver) ook met IPv6 verbindingen vanuit de buitenwereld.
-
Voor mijn Nas hoeft het niet, die werkt echt (denk ik) snel genoeg, de enige die er aardige hoeveelheden heen gooit zit in Alice Springs en dan koppelt hij zijn NAS in de truck bij de Aero Clob bedraad aan het internet, werkt super.
Zelf hou ik dus meestal hier (Forum) de dingen bij voor de RT6600 en de rest wat er aan hangt, WRX560 en de RT2600, voor instellingen en updates. Ook binnenkort van Ziggo naar Delta fiber, die wachten op een stroom aansluiting, van Liander, voor het laatste verdeel punt, aansluiting zit al in huis.
En een mail server is voor mij echt overbodig, momenteel niet meer dan 19 gebruikers op de NAS, één in Portugal, drie in Australië (**) en de rest hier op de koude kleigrond.
En met de test kreeg ik nu wel een IPv 6 alleen viel dat na een paar tellen weer weg, dus zal de beveiligen wel zijn wat jij aangaf.
** Ze hebben daar thuis alleen draadloos GSM (Telstra) en satelliet telefoon, en onderweg meestal niets buiten de nederzettingen.
-
Voor mijn Nas hoeft het niet, die werkt echt (denk ik) snel genoeg....
Ik weet niet waar je op doelt?? Maar de ondersteuning van IPv6 heeft niets met snelheid te maken, maar wereldwijd
een tekort aan IPv4 adressen. Waardoor (met nog steeds toenemend internet), connecties niet meer zijn te adresseren.
https://id.nl/huis-en-entertainment/computer-en-gaming/netwerk/ip-adressen-raken-op-alles-over-ipv6
Door de extra adressering "erbij" van IPv6 naast IPv4 wordt er meer CPU vermogen van een router gevraagd.
Wordt het systeem eerder wat langzamer, dan sneller.
-
Volgens mij heeft mijn profider van de mailserver, geen ziggo, net alles nieuw dus die zullen IPv 6 wel ondersteunen.
Mijn NAS werkt dus redirect achter hun mailserver al heb ik nog nooit een snelheids test daarmee gedaan.
Verder weet ik dus ook niet meer dan dat het gewoon goed werkt en ik dus niet te veel aan instellingen ga zitten buiten om wat ik hier lees wat er zou kunnen verbeteren. (Is dit een beetje een goede uitleg.)
-
Voorlopig zal "IPv4" ook gewoon blijven werken. Dus daar merkt "de doorsnee gebruiker" dan niet zoveel van.
Maar naarmate er meer internet bronnen bijkomen, gaat dat meer en meer over naar IPv6.
In een overgangsfase worden beide systemen nog ondersteund.
Maar er zullen ook steeds meer "alleen" op IPv6 gebaseerde internet bronnen bijkomen.
Die kun je dan niet meer bereiken / connectie mee maken, als je daar niet op bent voorbereid.
Bedenk echter wel, dat het nog wel "jaren" kan duren voordat het wereldwijd allemaal is omgezet. :geek:
-
Hier in Europa zijn er genoeg IPv4 adressen beschikbaar zodat elk bedrijf dat via IPv4 bereikbaar wil zijn, er nog wel kan kopen zonder extreme kosten.
In Afrika en Azië ligt dat anders. Daar zijn de laatste jaren zoveel IP adressen bijgekomen dat niet iedereen een eigen IPv4 adres meer heeft.
In Nederland zijn er ook providers die gedeelde IPv4 adressen uitgeven waarbij ca 10 mensen hetzelfde IPv4 adres toegewezen krijgen. Voor uitgaand verkeer kan dat geen kwaad. Ziggo doet dat ook, maar op verzoek kun je nog steeds een eigen IPv4 krijgen.
In Nederland werd in 2022 al 50 dollar voor een IPv4 adres betaald. Bron (https://www.security.nl/posting/760514/Prijzen+voor+ipv4-adressen+in+jaar+tijd+verdubbeld+naar+50+dollar+per+adres). Ziggo heeft er op zich genoeg in voorraad, maar het is natuurlijk ook verleidelijk hiervan een groot deel te verkopen en meer mensen op DS-Lite te zetten.
-
Het is al jaren "handel" in IPv4 adressen. Met bijv. de koploper positie van België met implementatie van IPv6 adressen,
hebben Nederlandse providers in het verleden hele partijen IPv4 adressen van België overgenomen.
Met het hergebruik las men toen geregeld dat mensen in Nederland geen webshop in Nederland konden aandoen,
omdat de regio van het IP-adres in databases nog was vastgelegd voor België, daarop werden doorgeleid naar Belgische webshops.
Ander bekend voorbeeld is de aanhouding van een zakenman op Schiphol en USA, wiens nieuwe internet connectie in Nederland,
het IP-adres nog voor "Jordanië" in databases was opgenomen.
https://tpo.nl/2015/02/12/ondernemer-problemen-door-verkeerd-ip-adres/
-
Inmiddels had ik wat verdere schermafbeeldingen voorbereid m.b.t. Firewall regels e.d.
Echter gaandeweg verdere testen, uit- en inschakelen van functies, blijkt dat IPv6 toch nog niet helemaal goed uit te pakken.
Geen probleem met gewone internet connecties, maar niet op elke punt m.b.t VPN - en dan met name bij OpenVPN.
(De andere VPN protocollen werken wel goed).
Of het heeft te maken met de vóór gedefinieerde IPv6 opties die de provider (KPN), aanbiedt??
En discrepanties daarmee later in de set-up, is op dit moment moeilijk te achterhalen?? Iets om verder uit te zoeken.
De interface en menu's van SRM zijn verder ook niet altijd consequent in de uitwerking m.b.t. IPv4 en IPv6.
Dat heeft beslist verbetering nodig.
(Het heeft weinig zin apart voor OpenVPN een IPv6 IP adres te implementeren, terwijl voor connectie in het eigen LAN,
en verkeer van data via de VPN tunnel, dat via de firewall alleen mogelijk is met toegang voor een "IPv4" virtueel afgestemd netwerk).
Advies, om voorlopig toch niet zomaar dat IPv6 te gaan inzetten. (Met niet geactiveerde IPv6, zijn er geen problemen).
Ook aangaande de eerdere opmerking van @Briolet
....Ik zie bij mij in het lijstje nog een 'UIT' optie als eerste.
Die 'UIT' optie - m.b.t. het IPv6 menu voor de WAN internet connectie,
staat op dit moment (bij SRM 1.3.1) alleen in het lijstje, als je IPv6 nog niet hebt ingesteld /ingeschakeld.
Als je eenmaal een keus uit een van de IPv6 opties hebt gemaakt en geactiveerd, is die 'UIT' optie verdwenen,
en kun je IPv6 voor de WAN zijde niet meer terug uitschakelen. Vervelend, omdat je niet meer naar oude situaties kunt teruggaan.
En niet zomaar "toevallig", want hebt mijn router weer opnieuw naar fabriek instellingen gereset.
Dat IPv6 menu blijft beperkt, met ontbreken van de 'UIT' optie, na keus van één van de IPv6 protocollen. (Zucht).
[ EDIT ] "Dacht" een methode te hebben gevonden om het voorlopig even uit te schakelen. Met:
Kies voor IPv6 „Automatisch“ en schakel IPv6 Gateway uit ---> klik op OK.
Erna is de instelling van IPv6 weer terug naar uitgangspositie „UIT“. Maar na herstart is IPv6 toch weer ingeschakeld.
-
Na wat nachtelijke dwalingen, ben ik er inmiddels uit. Alles is weer functioneel inclusief IPv6 en werkende VPN verbindingen.
Niet dat elke doorgestuurde "VPN tunnel" IPv6 compatibel is. Maar heb ik al aangetipt in mijn vorige reactie (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328058/#msg328058).
(Heeft mogelijk tevens te maken met algemeen gebruikte "verouderde VPN protocollen" van verscheiden jaren terug?
En men pas kan inspringen op nieuwere ontwikkelingen als die VPN protocollen "officieel" ook voor IPv6 zijn aangepast?)
5 VPN protocollen uitgetest. Waaronder het onveilige PPTP, alleen als test om te kijken of het functioneert.
Korte weergave (zonder uitleg - komt later aan de orde. "AX" staat voor RT6600ax ).
[attach=1] [attach=2]
Een aantal zaken om in de gaten te houden:
Nog steeds enkele manco's:
Eenmaal IPv6 ingeschakeld, is het eigenlijk niet meer mogelijk dat uit te schakelen. (Zie laatste alinea vorige bericht (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328058/#msg328058)).
Export - import back-up configuratie:
Vanuit een bepaalde opbouw van een configuratie, maak ik doorgaans een back-up na bepaalde stappen van de set-up.
Zodat ik altijd makkelijk terug kan gaan naar een vorige stap in de set-up.
Bij een nieuwe "harde" reset kan men daarmee snel weer tot een bepaald punt van de configuratie komen.
Afhankelijk wat je al wel of niet aan extra pakketten hebt geïnstalleerd (zoals VPN Plus server).
Kunnen er mismatches plaats hebben in de koppeling tussen een pakket en instellingen in het SRM hoofdmenu.
Een back-up terug geplaatst vóór een installatie van bijv. de VPN Plus server.
Worden firewall regels m.b.t. VPN Plus, niet opgenomen in de configuratie.
Importeer je een back-up "erna", worden firewall regels wel meegenomen, maar er kunnen achterliggend (niet zichtbaar)
mogelijk toch mismatches in de onderlinge samenwerking voorkomen (al eens eerder opgemerkt). Voor alle zekerheid...
Gooi de firewall regels die betrekking hebben op een apart geïnstalleerd pakket, beter weg, en zet deze regels opnieuw op.
Verder ook bij een eerdere back-up "met IPv6" ingeschakeld - "blijft" die instelling ook als zodanig "ingeschakeld"
bij importeren van de back-up. Met dezelfde onhebbelijkheid "nu" (als manco in huidige SRM versie) van "niet" kunnen uitschakelen.
Wat wordt niet terug gezet bij back-up:
In zijn algemeenheid geldt dat alleen de instellingen van de "hoofd" SRM applicatie worden geback-upt.
Lijst met instellingen welke na een reset met een back-up NIET correct of helemaal niet worden terug gezet.
Datgene wat reeds door Synology in hun < knowledgebase wordt beschreven > (https://kb.synology.com/nl-nl/SRM/help/SRM/ControlPanel/system_update_restore?version=1_3#t4). Kijk bij opmerkingen.
Aanvullende NIET opgeslagen instellingen (en bij reset en inladen back-up opnieuw moeten worden ingesteld):
- Instellingen m.b.t. apart te installeren packages - zoals bijv. VPN Plus.
(En alles wat je daarin eerder hebt aangepast).
- Hernoemde namen van aangekoppelde USB sticks, en/of extra geheugenopslag (via USB-HUB).
Configuratiescherm ----> Opslag ----> Tab: Opslag ----> Knop: Geavanceerde instellingen ----> Systeemdatabase.
Controleer ook de andere opties.
- Instellingen voor opslag van systeeminstellingen, logbestanden.
Logboekcentrum ----> Opslaginstellingen ----> Alle instellingen die je van boven naar beneden daarin terug vindt.
Logboekcentrum ----> Meldingen
- Dacht me te herinneren dat instellingen om "UIT" te schakelen zoals < HIER beschreven > (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312656/#msg312656)
(tweede (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/?action=dlattach;ts=1653724594;attach=56537;image) en derde (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/?action=dlattach;ts=1673950005;attach=58551;image) plaatje bovenaan) ook opnieuw moeten worden ingesteld om "UIT" te vinken.
-
Extra info !!
Er wordt ondersteuning gevraagd van Synology Support
Zaken lopen niet zoals bedoeld / voorzien - zie evaluatie (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328236/#new).
-------------------------------------------------------------------
"VPN server" Synology NAS -versus- "VPN Plus server" Synology router :
Om het maximum aan functionaliteit m.b.t. VPN te kunnen benutten, tevens in relatie tot IPv6,
stappen we af van gebruikelijke instellingen, die normaal gezien algemeen voor VPN worden ingezet.
Ook afgezet tegenover de mogelijkheden (of „beperkingen“?) wat Synology biedt in hun SRM router software.
Om beter te begrijpen in het „waarom“ we afstappen van hetgeen gebruikelijk is.
Maak ik een vergelijking tussen de VPN functies en instellingen zoals we die kennen bij een NAS.
Zonder die uitleg kunnen „andere“ instellingen bij gebruikers mogelijk als "controversieel" worden aangemerkt. :o :geek:
"VPN server" netwerk instellingen van een Synology NAS :
1. [attach=1] 2. [attach=2] 3. [attach=3]
Doorgaans wordt ervan uitgegaan dat er „perse“ een apart virtueel VPN netwerk moet worden geconfigureerd.
Bij een NAS is het standaard als zodanig afgestemd, met een configuratie volgens zo’n „apart netwerk“ voor alle VPN methoden.
De hierboven weergegeven extra LAN netwerken in het 172.x.x.x en 10.x.x.x IP bereik. (WiKi info (https://en.wikipedia.org/wiki/Private_network) m.b.t. LAN IP bereiken.)
DHCP server functies op een NAS in uitgifte van VPN IP-adressen, mogen niet conflicteren met uitgegeven IP adressen op een router.
Vandaar de inzet om volledig onafhankelijk andere netwerk IP bereiken te gebruiken. Daarmee vermijd je "dezelfde" IP-adressen.
We zijn eigenlijk niet anders gewend.
Alles in één op router niveau:
Indien een router als „totaalpakket“ WEL mogelijkheden biedt voor extra functies meteen op router niveau en daar ook de VPN regelen.
(Geen conflicten met DHCP server functies op verschillende apparaten die mogelijk "dezelfde" IP adressen zouden kunnen uitgeven).
Zijn ineens meer opties mogelijk, dan apart ingestelde virtuele VPN netwerken.
Dat zien we terug in de keuzemogelijkheden van dezelfde VPN protocollen + nog enkele alternatieve VPN methoden.
Waarbij virtuele VPN IP-adressen, gewoon binnen de bestaande „normale“ netwerken kunnen worden gekozen.
Een Synology router biedt als basis wel vergelijkbare aparte "Default" VPN netwerken zoals een NAS, en zijn als zodanig ingesteld.
Maar soms is het handig om daarvan af te wijken. :)
Of zoiets zinvol is, zou mogelijk afhankelijk kunnen zijn van het gebruikte VPN protocol??
Ieder VPN protocol heeft zijn eigen specificaties, oorsprong en bestaansgeschiedenis. (Het merendeel niet "Synology" gerelateerd).
Dat kan tevens weer afhankelijk zijn van de opties welke in de SRM router zijn opgenomen?
Met name de wijze welke Firewall en netwerkfuncties ter beschikking staan in relatie tot VPN. Dat gaan we verder zien.
"VPN Plus server" netwerk instellingen van een Synology router :
Allereerst een vergelijking van dezelfde VPN-protocollen als bij een NAS, en de opties om te kiezen.
(Dezelfde volgorde aangehouden als hiervoor bij NAS, als vergelijking + extra VPN protocollen).
4. Voor OpenVPN geldt een eigen virtueel netwerk, waarbij een eigen IPv6 netwerk kan worden ingesteld (zoals bij een NAS).
Hierbij géén keus voor andere netwerken. Wel bij de andere VPN protocollen ( 5, 6, 7, 8. )
4. [attach=4] 5. [attach=5] 6. [attach=6] 7. [attach=7]
8. [attach=8]
Niet benoemd - Synology WebVPN. Daar zijn geen keuzes mogelijk voor andere netwerken.
Dat functioneert op een totaal andere laag als gecodeerde link, alleen bedoeld voor VPN internet browsen binnen een web-portaal.
Om het goed te laten functioneren heb je een "wildcard" certificaat nodig. (Via Synology DDNS en Let's Encrypt standaard aangeboden).
Het is een soort verlengstuk van hetgeen SSL VPN al biedt.
Met een extra portaal om thuis gebruikte netwerk apparaten via een web-interface op te starten. (Zelf samen te stellen lijst).
Voor netwerk "onderhoud" op afstand kan zoiets mogelijk wel handig zijn voor een admin gebruiker.
VPN Plus server - "Object" :
Overzicht alle netwerken, incl. VPN netwerken die in de Synology router zijn geconfigureerd + toewijzing VPN aan welk netwerk:
9. De standaard indeling, met een apart virtueel VPN netwerk voor OpenVPN (IP bereik naar persoonlijke keus aangepast).
Een "Default" netwerk voor de overige VPN protocollen. (IP bereik naar persoonlijke keus aangepast).
Opgemerkt dat alleen voor het OpenVPN netwerk IPv6 is toe te wijzen (zie eerder plaatje 4). NIET het "Default" netwerk.
We zullen verder zien of dit consequenties heeft?
10. De indeling behorend bij de voorbeelden hiervoor gegeven (plaatjes 4 t/m 8 )
Met een keuze van het Synology SSL VPN netwerk, om die toe te wijzen aan het "Primair netwerk".
11. Een indeling om alle VPN protocollen onder te brengen bij "Primair netwerk". Uitgezonderd OpenVPN, want dat ligt vast.
Om te zien of er verschillen zijn voor een indeling voor overige VPN protocollen gericht op een netwerk met wel IPv6.
9. [attach=9] 10. [attach=10] 11. [attach=11]
Firewall regels IPv6 - "korte versie" :
Set-up van extra Firewall regels m.b.t. IPv6 als uitleg in functionaliteit. (Basis info Synology firewall (https://kb.synology.com/nl-nl/SRM/help/SRM/NetworkCenter/security_firewall?version=1_3)).
Als uitbreiding van de uitleg zoals < die eerder als handleiding > (https://www.synology-forum.nl/synology-router/rt6600ax-router-setup-en-zijn-mogelijkheden/msg312656/#msg312656) voor een RT6600ax router is geschreven.
Om snel een eerdere set-up voor IPv6 aan te passen.
Bij die handleiding ga ik nog alleen uit van IPv4. (De beschrijving dateert van mei 2022. Toen hield ik me nog niet met IPv6 bezig).
Regels waar expliciet IPv4 adressen zijn opgenomen of IPv4 sub-netwerk / IP bereiken, zijn vanuit die functie niet IPv6 gerelateerd.
Hebben dus ook geen geldigheid voor IPv6. Iets om in het achterhoofd te houden bij de volgende schermafbeeldingen.
Er moeten dus andere Firewall regels worden toegevoegd die geen IPv4 adressen bevatten, om aan IPv6 te kunnen voldoen.
Een wat vage term. Maar we kunnen firewall regels ook beschrijven als "netwerk interface" zonder verdere IP adres benoeming.
Dan voldoet het wel aan een IPv6 geldige Firewall regel.
EDIT (zie info aan het eind van de reactie):
Voeg de volgende twee Firewall regels toe helemaal bovenaan als eerste regels van de Firewall.
(Firewall regels worden in volgorde van boven naar beneden doorlopen).
Regel 1. Kies voor Firewall regels "Maken" - Protocol ICMP ----> OK en de rest wordt verder automatisch ingevuld.
(Met o.a. inactiveren / "grijze weergave" van poort instellingen).
Regel 2. Protocol TCP/UDP Bron: Netwerkinterface LAN en selecteer "Alle lokale netwerken" ----> OK
Toewijzing LAN voor bron is essentieel. Bij verkeerde toewijzing kun je de router helemaal open zetten voor de buitenwereld.
( Afbeelding 12. )
[attachimg=12]
Firewall regels IPv6 - "uitgebreide versie" :
Set-up van extra Firewall regels m.b.t. IPv6 aangaande de uitwerking van diverse VPN protocollen.
In samenhang met keus VPN netwerken en specifieke firewall regels in de voorbeelden zoals hiervoor (meer naar boven) gegeven.
Firewall regels geldend voor de situatie zoals weergeven voor afbeelding 9 en 10 (nogmaals hier getoond).
9. [attach=9] 10. [attach=10]
Heb firewall regels in de router alleen ingesteld voor functionaliteit van VPN, geen andere services om van buitenaf te benaderen.
(Als je van buiten via VPN binnen in je eigen thuisnetwerk bent, kun je verder alles thuis bereiken).
Firewall menu voor geldigheid IPv4 en IPv6
13. [attach=13] 14. [attach=14]
Van boven naar beneden de verdere uitleg van Firewall regels:
ICMP Bij activeren van IPv6 in de Synology router, wordt die functie automatisch reeds als eerste regel in de firewall gezet.
(Standaard = zonder uitschakelen van automatisch aan te maken firewall regels bij activeren functies / port forwarders).
Meer m.b.t. ICMP en "pingen" - < zie eerdere reactie > (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328011/#msg328011)
Zolang men nog bezig is met het opzetten en testen van IPv6 verbindingen is het handig ICMP geactiveerd te hebben.
Als na een week of wat alles goed functioneert, kun je de ICMP regel "uitvinken" / deactiveren.
Indien men van buitenaf zo "incognito" als mogelijk wil zijn.
De thuis internetconnectie is dan NIET meer te pingen. Terwijl services die je thuis hebt draaien toch bereikbaar zijn.
Daarmee verklein je de kans op ongenode gasten voor aandacht van je WAN IP adres, die proberen binnen te komen.
(Tijdens het opzetten van IPv6 en enkele dagen ICMP actief, heb ik al een IP adres in de blokkeringslijst opgevangen).
IPv4-v6 LAN ALL Zelfbenoemde naamgeving aan deze regel. Omdat het zowel IPv4 als IPv6 is gerelateerd.
Protocol TCP/UDP Bron: Netwerkinterface LAN en selecteer "Alle lokale netwerken"
Schijnbaar vallen alleen "normaal" ingestelde thuis LAN netwerken onder die regel. Niet de aparte default VPN netwerken.
Alle thuisnetwerk (LAN) gerelateerde handelingen hebben geen restricties onderling, of naar buiten toe.
15. [attach=15]
De functionaliteit lijkt veel op de firewall regel die daar weer onder staat. Alleen is die afgestemd op IPv4.
LAN sub-net wide Zelfbenoemde naamgeving aan deze regel (alleen IPv4 gerelateerd).
Protocol TCP/UDP Bron: Alle
De restrictie hier voor het LAN netwerk zit hem in het expliciet opnemen van LAN IPv4 sub-net - of IP-bereiken.
In dit geval heb ik een IP-bereik gekozen (eerste en laatste IP adres) wat alle LAN netwerken omvat.
Met uitzondering expliciet van de OpenVPN en default VPN opgenomen netwerken. Om duidelijk verschil daarin te maken.
Hierbij niet de optie gekozen van "LAN interfaces". Een klein maar essentieel verschil, met de voorgaande firewall regel.
Met 0 treffers in de connectie en alle VPN opties uitgeprobeerd, is deze regel feitelijk overbodig.
Dat geldt echter alleen voor de situatie behorend zoals getoond voor de netwerkindelingen bij afbeelding 9 en 10.
Waarbij het Synology SSL VPN protocol voldoende waarborg biedt om te functioneren, zonder expliciete IPv4 regel.
Bij andere keuzes om VPN binnen de bestaande „normale“ netwerken te gebruiken, wordt die regel wel actief benut.
Bijvoorbeeld in de situatie zoals ingedeeld voor netwerk indelingen bij afbeelding 11 - nogmaals hier getoond.
Geldt bij voorgaande firewall indeling tevens voor een VPN keus van een van de andere "normale" netwerk sub-netten.
11. [attach=11]
OpenVPN VLAN en Default VPN LAN De specifieke VLAN netwerken met betrekking tot VPN.
Vergelijkbaar zoals de firewall regel hiervoor. Alleen specifiek afgestemd op de separaat opgenomen "VPN Plus" netwerken.
Zonder die regels geen benadering van interne netwerk apparaten of via VPN en thuis WAN IP-adres het internet weer op.
Rijtje van 5 Firewall regels Per VPN methode vastgelegd om de VPN Plus server zelf van buitenaf te kunnen benaderen.
Een keus in de firewall om VPN dataverkeer alleen "per regio" (Nederland) toe te laten.
(Een werkende VPN bestaat uit de connectie zelf, aangevuld met toelating voor verder gebruik van VPN data-verkeer).
Block ALL Laatste eindregel = TCP/UDP - Alle - Alle - Alle - Alle - Alle - Alle - WEIGEREN
Alles wat niet aan alle voorgaande firewall regels voldoet (het meeste) wordt geweigerd.
Bijv. alle landen buiten Nederland hebben géén toegang tot de VPN server.
Gaat men op vakantie naar het buitenland, heb je buitenlandse familie, of doe je zaken in het buitenland.
Voeg je bij die eerdere firewall regels met "Nederland" enkel die landen toe bij "regio" om die ook toe te staan.
Daarmee is het voor die landen ook afgedekt om daarvoor connectie toe te staan.
Aanzienlijk gemakkelijker dan "andersom" een hele lijst met landen aan te maken die géén toegang mogen hebben. :geek:
Nieuwe EDIT 24-03-2024 ---- Tot zover even deze reactie.
Wordt nog verder aangevuld met informatie en uitleg aangaande de praktische mogelijkheden van diverse VPN protocollen.
In samenhang met de keus van een VPN netwerk...
Een stuk van de informatie m.b.t. ICMP is aangepast en verplaatst naar een eerdere reactie (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328011/#msg328011), omdat het daar beter aansluit.
En info "hier" inmiddels alweer is achterhaald.
Het loopt allemaal niet zoals bedoeld !!
Nog een hele bevalling. Zie evaluatie (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328236/#msg328236) in een nieuwe reactie verder naar beneden.
-
Nieuwe EDIT 24-03-2024 ---- Tot zover even deze reactie.
Wordt nog verder aangevuld met informatie en uitleg aangaande de praktische mogelijkheden van diverse VPN protocollen.
In samenhang met de keus van een VPN netwerk...
Zie evaluatie (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328236/#msg328236)...
Voorlopige aanvulling (tot de problemen door Synology zijn opgelost) :
Keus VPN netwerk:
Bij de vorige reactie bij afbeeldingen 4 t/m 8 kan men in het menu zien, dat voor het VPN netwerk voor 4 VPN protocollen
een van de normaal ingestelde thuis netwerken kan worden gekozen, in de plaats van het apart ingestelde VPN netwerk.
(Met uitzondering van OpenVPN).
De praktische verschillen in die keus:
Default netwerk - OpenVPN netwerk als virtueel VPN netwerk:
Indien men een VPN connectie maakt, kan men als Client via VPN elk normaal netwerk bereiken.
Met waarschijnlijk een uitzondering voor het gast netwerk (niet geprobeerd).
Zelfs afgesloten netwerken, die normaal geen verbinding met het internet hebben.
(Zou bijv. handig kunnen zijn bij een intern gebruikte IoT netwerk - wat met extra firewall regels die ik "als test" tijdelijk heb ingesteld).
Dus afgezien van het gast netwerk, bij de hier gebruikte voorbeelden gaat het dan nog om 3 normale netwerken.
Specifieke keus voor een bepaald "normaal" netwerk als VPN netwerk:
Daarbij heeft men via een VPN connectie alleen connectie met dat specifiek gekozen netwerk.
Géén connectie mogelijk met een van de andere "normale" netwerken.
Synology SSL
Dit VPN protocol biedt daarbij nog een extra functionaliteit, die geen van de andere VPN protocollen heeft.
Met bijv. keus van het primair netwerk voor VPN.
Je bent op een andere locatie, bijv. bij een kennis, waar je ook toegang hebt tot andere apparaten in het netwerk daar.
Bij een VPN verbinding vanuit die locatie naar het thuisnetwerk, en gebruik van een Windows laptop (wellicht ook Apple?).
Zie je in de verkenner bij "netwerk" de bij die locatie gebruikte netwerk apparaten / host-namen van die apparaten
(bij keuze "delen" van het netwerk). Maar dat niet alleen, je ziet daarbij ook je eigen netwerk apparaten thuis.
Dat is wel zo gemakkelijk, men hoeft geen IP-adressen in te geven van netwerk apparaten.
1. Netwerk apparaten op locatie - zonder VPN verbinding.
2. Netwerk apparaten inclusief die van de eigen thuis netwerk situatie bij SSL VPN. (Rood gemarkeerde apparaten).
1. [attach=1] 2. [attach=2]
-
Evaluatie I:
Tussentijdse evaluatie m.b.t. IPv6, en het verder geschikt maken van het router systeem.
Gaandeweg ook het opbouwen van een soort van handleiding zoals ik dat eerder heb gedaan.
(Als alles functioneel is, kan ik pagina’s aaneensluitend overplaatsen naar een nieuw onderwerp en tussentijdse reacties weg laten).
Het is ook een hulp en verslag voor mezelf waar ik op kan terugkrijgen en zaken in kan terugzoeken. (URL's naar achtergrond info).
Het „leek“ allemaal prima te werken. Maar bij het verder „opbouwen“ / afstemmen voor IPv6
lijken er op verschillende niveaus toch weer onverwachte kinken in de kabel te zitten.
Door de vele variabelen is het moeilijk de ultieme oplossing te vinden.
Je begint met enkel de router en de internetverbinding thuis om die op IPv6 af te stemmen.
Dat is de start, en relatief eenvoudig af te stemmen.
De gebrekkige kennis van mezelf m.b.t. IPv6, wordt gaandeweg met vallen en opstaan ietsje breder. :o :S
Maar dan:
Met gebruik van VPN heb je diverse data-streams extra waar je rekening mee moet houden.
Daarmee werken niet op alle niveaus de VPN verbindingen meer die je probeert op te zetten.
En de firewall regels die eraan zijn gerelateerd.
Een lijstje van „onverwachte“ zaken waar ik tegenaan liep - "en nog" :
(en een aantal ervan in het algemeen ook makkelijk over het hoofd kunnen worden gezien).
- Aanvankelijk ontbrekende menu’s in de SRM firmware door mogelijk eerdere interventie van Synology support
in trajecten van oplossen van bugs, en updates die elkaar volgden. (Heb een RT6600ax router vanaf 2 dagen na introductie).
Na volledige fabrieksreset (ten dele) opgelost, want er zit nog een "echte bug" in de huidige SRM firmware versie.
(Geen „Uit“ menu meer om IPv6 uit te schakelen, nadat IPv6 is ingeschakeld ---> info onderaan bij < deze reactie > (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328058/#msg328058)).
- Mobiele telefoon om VPN „van buitenaf“ / extern makkelijker thuis te kunnen uittesten.
Het mobiele telefoon abonnement (YouFone) waarbij IPv6 aanvankelijk niet lijkt te functioneren.
(Alle andere functies van een telefoon werken daarbij gewoon wel normaal). Voor IPv6 testen bij een kennis aangeklopt.
Telefoon helemaal uitzetten, en weer aanzetten, en IPv6 functionaliteit is weer terug.
- Gaandeweg verdere uitbreiding van IPv6 - met instellingen ook m.b.t. mijn NL-domein en toevoegen van extra AAAA record
bij de hostingprovider waar het domein is geregistreerd. Functionaliteiten m.b.t. de firewall erna ineens anders uitpakken.
(Aanroep op domeinnaam eerder was alleen IPv4 gericht ---> DAARMEE werd de verbinding gelegd - en niet op basis van IPv6
Hoewel dataverbindingen erna op zichzelf wel IPv6 gerelateerd kunnen zijn).
Alleen het eigen Synology SSL VPN protocol fietst door alles heen. Dat werkt prima.
Zelfs via gedeeltelijke IPv4 trajecten. IPv6 functionaliteit reist "via de VPN tunnel" mee in de VPN connectie.
- In hoeverre heeft „tijdelijke NIET IPv6 functionaliteit“ van mijn serviceprovider zelf invloed op DNS aanroepen van mijn NL domein??
(Bij testen op IPv6 functionaliteit, van website en klantenportaal van de provider kwam ik daar achter, en er vragen over gesteld).
[attach=1]
Als alternatief heb ik voor één VPN methode nu een Synology DDNS opgenomen.
Maar lijkt daarmee niet het verschil te maken.
- Ontbreken van IPv6 functionaliteit in de Synology router zelf die niet lijken te voorzien op volledige IPv6 compatibiliteit??
Voor elk netwerk in de Synology router kan men IPv6 adressen functies toevoegen. Behalve voor het Default VPN netwerk zelf.
IPv6 in te stellen Firewall regels (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/?action=dlattach;ts=1711433763;attach=61538;image) die daar niet in voorzien !! (Die zijn alleen als IPv4 firewall regels te valideren / in te stellen).
- Dan de uiterst vreemde resultaten m.b.t. VPN
Drie verschillende benaderingswijzen, waarbij twee methoden prima werken - de 3e niet.
1. Windows Laptop - WiFi 1 :
Mijn laptop als inzet voor VPN connectie via een WiFi hotspot met mijn mobiele telefoon (Android 11).
Mobiele telefoon alleen de mobiele data en WiFi hotspot zelf ingeschakeld, gewone WiFi ontvangst uit.
ALLE VPN protocollen functioneren "op zichzelf wel" inclusief internet browsen via webbrowsers.
(Nog) niet elk VPN protocol op IPv6 niveau voor wat betreft OpenVPN en L2TP/IPSec.
OpenVPN is mogelijk nog aan te passen via aan te passen commando's in het configuratiebestand.
PPTP (= onveilig protocol) bij IPv6 mobiele hotspot -----> browsen IPv4 en IPv6 compatibel
STTP bij IPv6 mobiele hotspot -----> browsen IPv4 en IPv6 compatibel
Synology SSL ongeacht IPv4 of IPv6 mobiele hotspot -----> browsen IPv4 en IPv6 compatibel
L2TP/IPSec browsen alleen IPv4 compatibel (überhaupt nog geen enkele keer een positief IPv6 resultaat gehad)
OpenVPN ongeacht IPv4 of IPv6 mobiele hotspot -----> naast een IPv4 en IPv6 uitgegeven connectie IP adres
-----> is browsen van internetdata alleen IPv4 compatibel
Via Windows verkenner is er connectie met achterliggende NAS servers en bijv. de USB-stick in de router van het thuisnetwerk.
Alleen het L2TP/IPSec protocol heb ik expliciet alleen functioneel voor IPv4 door bij de VPN Client instellingen
mijn internet WAN IPv4 adres op te nemen voor connectie inplaats van een domein naam welke nu IPv6 is afgestemd.
Hoewel volgens bronnen bij Microsoft het L2TP/IPSec VPN protocol wel IPv6 compatibel zou moeten zijn:
https://learn.microsoft.com/en-us/answers/questions/1361420/does-windows-os-support-ipv6-l2tp-clients
https://learn.microsoft.com/en-us/answers/questions/1359103/the-specification-of-ipv6-in-windows-10-vpn-(l2tp
2. Windows Laptop - WiFi 2 :
Laptop aan een WiFi netwerk bij een kennis thuis met vast internet en IPv6.
Alle resultaten hetzelfde als hierboven met een WiFi hotspot van een mobiele telefoon.
Ook getest vast internet IPv4. Webbrowser resultaten dan als IPv4 + Synology SSL die via VPN-tunnel ook IPv6 meeneemt.
3. Android smartphone:
Dezelfde VPN testen ook uitgevoerd vanuit de mobiele telefoon met VPN apps en VPN functionaliteit van de telefoon zelf.
(Bij die testen geen hotspot connectie van laptop etc. - gewoon een zelfstandig werkende mobiele telefoon).
WERKEN allemaal correct op zelfde wijze als hiervoor voor wat betreft benadering van NAS en USB-stick via een File manager.
Maar browsen met een internetbrowser op de telefoon:
Werkt WEL voor: Synology SSL alleen IPv4 en VPN gekoppeld aan Primair netwerk
Werkt WEL voor: SSTP alleen IPv4 en VPN gekoppeld aan Primair netwerk
-
Werkt NIET voor: L2TP/IPSec ook geprobeerd te koppelen met Primair netwerk ---> negatief
Werkt NIET voor: PPTP ook geprobeerd te koppelen met Primair netwerk ---> negatief
Werkt NIET voor: OpenVPN netwerk is niet te koppelen met Primair netwerk (heeft alleen eigen separaat netwerk)
Testen met L2TP/IPSec - OpenVPN van connecties naar VPN-servers bij familie en kennissen werkt internet browsen WEL.
Als opmerking, dat die in de basis verder nog alleen zijn afgestemd op IPv4 functionaliteit.
Dus het lijkt hem echt te zitten in IPv6 functies of instellingen van de router?? :twisted:
Alle mogelijkheden ook m.b.t. volgorde van Firewall regels / in- uitschakelen van regels / extra regels heb ik uitgeprobeerd.
VPN onder de Default netwerken of specifiek onder het Primair netwerk.
De resultaten veranderen daar echter niet mee. Zal een Support ticket gaan inschieten bij Synology.
Voor wie IPv6 voorlopig nog niet hoeft, dat ook nog niet heeft ingeschakeld,
(vooral NIET inschakelen, want je kunt dan niet terug) en toch VPN wil inzetten, met name op een smartphone.
LAAT HET VOORLOPIG EVEN ZO Alleen onder IPv4 draaien functies wel.
Of je zou alleen op een smartphone nog met Synology SSL VPN en SSTP VPN kunnen werken.
6-4-2024
KPN IPTV - I :
Wisselwerking / functionaliteit KPN IPTV in relatie tot IPv6.
Zie aanvullingen < bij eerdere reactie > (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328011/#msg328011) - hoofdstuk ergens over de helft heen van die reactie, net voor Firewall instellingen.
Langere pauze (tussentijds zwart scherm), van diverse seconden,
bij wisselen van een "terugkijk" bekeken programma = unicast - naar Live TV-signaal = multicast.
In hoeverre wordt bij inschakeling van IPv6 dat achterliggend in de Synology router ook doorgetrokken naar een KPN connectie profiel?
Zoals dat speciaal een keer voor KPN gebruikers door Synology is ontwikkeld. En dan met name voor KPN IPTV "routed mode".
Een "IGMP proxy server" die IPTV streams verdeelt over de LAN netwerken, lijken geheel buiten dit soort IPv6 instellingen te vallen?
Op ander niveau m.b.t. mogelijk te gebruiken firewall regels, is dat namelijk ook al het geval. Een volledig intern afgestemd netwerk,
niet toegankelijk naar en vanuit internet zelf. Laat TV streams vanuit internet via de proxy server ongehinderd door.
Is verder ook geldig voor elk LAN netwerk wat is ingesteld. Ofwel op elk LAN netwerk zou men TV kunnen bekijken.
Is verder niet te beperken / af te blokken tot één of twee LAN netwerken. (Wat mogelijk het algemene netwerkverkeer vertraagt?)
Moet dat ook nog gaan uitzoeken bij KPN zelf in hoeverre zij volledig IPv6 transparant zijn met IPTV services in hun systemen.
[ EDIT 12-4-2024 ] De IPTV services zijn alleen IPv4 afgestemd als interne connectie tussen KPN en klant/abonnee.
In ieder geval is een KPN Arcadyan HMB2260 v2 TV Settopbox van pakweg 7-8 jaar oud in het geheel niet IPv6 compatibel.
Zelfs in de verbinding met het IPv6 afgestemde thuisnetwerk, waarbij andere apparaten naast IPv4 ook een IPv6 adres krijgen aangeboden.
Komt een IPv6 aanmelding in de TV ontvanger in het geheel niet voor. (Firewall regel voor "alleen" IPv4 uitgeschakeld).
Daarmee ook alleen een IPTV stream op basis van IPv4 (zelfs als de IPTV implementatie van een Synology router ook IPv6 zou omvatten).
[attach=2]
Als opmerking daarbij (om het ingewikkeld te maken :geek: ) :
M.b.t. de IGMP proxy server - IPTV "terugkijk" bekeken programma's = unicast - Live TV-signaal = multicast.
DIE TV streams komen binnen via het KPN profiel met VLAN 4 op de WAN aansluiting, (en als interne TV service alleen afgestemd op IPv4 ).
De TV gids, menu's e.d. van de KPN TV-box + evt. abonnementen op Netflix, Disney+ e.d. komen binnen via de normale internet verbinding.
Via het KPN profiel met VLAN 6 op de WAN aansluiting. [ EDIT 12-4-2024 ] De Android KPN+ TV-box is voor dit onderdeel IPv6 compatibel.
14-4-2024
KPN IPTV - II :
M.b.t. KPN IPTV services - zie reeds aangevulde "EDIT" regels bij vorige stuk tekst. (TV als service is en blijft alleen IPv4 afgestemd (https://forum.kpn.com/thuisnetwerk-72/hoe-werkt-het-met-iptv-services-met-een-eigen-router-op-ipv6-612446?postid=1925472#post1925472)).
Betekent dat Synology het speciaal samengestelde "KPN" IPTV connectie profiel niet hoeft aan te passen.
M.b.t aanvullingen < bij eerdere reactie > (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328011/#msg328011) - hoofdstuk ergens over de helft heen van die reactie, net voor Firewall instellingen.
Langere pauze (tussentijds zwart scherm), van diverse seconden,
bij wisselen van een "terugkijk" bekeken programma = unicast - naar Live TV-signaal = multicast.
Heb dat nu omzeild door een apart VLAN netwerk aan te maken in de Synology router, alleen IPv4 afgestemd, en alleen voor de TV-box.
Met DNS instellingen van KPN zelf.
Met aanpassingen heen en terug / testen ben ik bij instellingen van de Synology router wel een compleet IPv6 "prefix" als keus verloren.
[attach=3]
Ga / moet om die reden de Synology router weer opnieuw resetten naar fabrieksinstellingen. :twisted:
-
Evaluatie II:
Een maand terug de voorgaande evaluatie geschreven.....
Met het voornemen alles te resetten naar fabrieksinstellingen. Vanuit die reset opnieuw een basis configuratie opgezet.
< In een ander IPv6 / DHCPv6 onderwerp > (https://www.synology-forum.nl/synology-router/dhcpv6/msg328938/#msg328938) is daar enkele weken terug uitgebreid verslag over gedaan - belangrijke info, beslist lezen.
(Die bevindingen zullen in een later tijdsbestek worden samengevoegd met onderdelen uit dit onderwerp, voor een compleet nieuw overzicht).
IPv6 instellingen die als aanbeveling van een "Ziggo-gebruiker" als voorbeeld werden gegeven om in te zetten,
wat voor een Ziggo-connectie "goed" werkt in samenwerking met een Synology router, pakte voor KPN grandioos verkeerd uit !
(KPN is geen Ziggo :wtf: ).
In hoeverre eerder beschreven fouten daarin negatief doorwerkten bij "KPN klant-systeem" gerelateerde zaken.
Of dat controle door KPN bij een verkeerde set-up van de router, daarin dan een zodanige interferentie veroorzaakt,
dat ik daarbij (opnieuw) een fabrieks-reset moest uitvoeren, is niet te achterhalen.
De keus aan instellingen die ik uiteindelijk heb gemaakt, houd rekening met "IPv4 only" IPTV diensten die voor KPN gelden.
Dus zonder IPv6 instellingen voor die TV diensten. Betreft de streaming die via VLAN 4 op de WAN poort binnen komt.
(Met DNS server instellingen afgestemd voor IPv4 only). WEL IPv6 + IPv4 voor internet.
Die set-up draait vooralsnog stabiel. Juist ook voor IPTV.
Aanmerkingen < eerder beschreven > (https://www.synology-forum.nl/synology-router/ipv6-ondersteuning-synology-routers/msg328011/#msg328011) (heel stuk naar beneden scrollen).
KPN IPTV :
Als negatief effect van de hele IPv6 implementatie merkte ik op dat er een langere pauze kan zijn (tussentijds zwart scherm),
van diverse seconden, bij wisselen van een "terugkijk" bekeken programma = unicast - naar Live TV-signaal = multicast.
Werkt nu zonder problemen (geen pauzes meer bij wisselen van "terugkijk" bekeken programma's), zonder aanvullende instellingen.
VPN verbindingen:
Opgelost de eerdere problemen van alleen connectie met thuis bestand servers, en dan "géén" mogelijkheid van internet browsen,
bij het Android OS systeem. Verder nog wel problemen wat resulteert in IPv4 only bij enkele VPN protocollen voor div. OS systemen.
L2TP/IPSec :
Nog steeds probleem bij gebruik van L2TP/IPSec Client voor Windows en gebruik van een DDNS-domeinnaam (of een eigen domein).
Waarbij geen VPN-verbinding wordt opgezet indien ook IPv6 actief is.
---> "Tijdelijke" oplossing voor nu:
Vul het echte "IPv4" WAN-adres in voor de verbinding. ---> Daardoor alleen IPv4 "tunnel"-verbindingen.
Maar geen probleem als de VPN Client zelf over een IPv4- en/of IPv6-verbinding beschikt.
Het zou daarbij mogelijk "alleen" een Windows gerelateerd probleem kunnen zijn? (Overigens dat probleem ook bij Windows 10).
Vorige maand -April 2024- bij een update van Windows 11 werden er namelijk juist ook nieuwe VPN problemen geïntroduceerd.
(Na update helemaal geen VPN connectie).
https://www.theverge.com/2024/5/2/24147054/microsoft-windows-11-vpn-issues-update
De patch erna -15 mei 2024- heb ik nog niet uitgetest. (Moet dat bij een kennis doen die Windows 11 gebruikt).
https://www.theverge.com/2024/5/14/24156882/microsofts-new-windows-11-update-brings-fixes-for-the-vpn-problems-from-the-last-update
Géén problemen via smartphone - Android 11 met een L2TP/IPSec Client en gebruik van een DDNS of eigen domein .
Ook IPv6 VPN tunnelgegevens bij internet browsen blijven functioneel.
OpenVPN :
De VPN-verbinding zelf wordt wel correct tot stand gebracht via IPv4 en IPv6
Internet browser VPN tunneldata zelf, is echter alleen IPv4 functioneel.
Géén problemen bij Microsoft PPTP IPv4 en/of IPv6. Maar om veiligheidsredenen wordt die VPN-methode niet aanbevolen.
Géén problemen bij Microsoft SSTP IPv4 en/of IPv6.
Géén problemen bij Synology SSL IPv4 en/of IPv6, en het meest eenvoudig in te stellen.
Daar waar hiervoor de VPN methoden nog niet volledig IPv4 / IPv6 correct werken (OpenVPN en L2TP/IPSec)
Is alsnog interactie met Synology Support benodigd.
Verder blijft ook nog open staan voor interactie met Synology
Het ontbreken van een uitschakel optie in het menu voor IPv6, als die eenmaal is ingeschakeld. (Men kan niet meer terug naar IPv4 "only").
-
Er is nog steeds werk aan de winkel voor Synology......dankzij jou, goed bezig 8)