IPv6 ondersteuning - Synology routers

[Babylonia]

Direct naar de juiste onderwerpen - beschrijving - helaas nog onvoldoende werkende oplossingen voor VPN:

• Het begrip "IPv6"   -   instellen van een Synology router - IPv6 - KPN netwerk.
• Waar op te letten bij eventuele reset van een router naar fabrieksinstellingen - en importeren back-up gebruiksinstellingen.
• "VPN server"  Synology  NAS   -versus-   "VPN Plus server"  Synology  router :
• Invloed keus VPN netwerk m.b.t welke LAN netwerken van buitenaf bereikt kunnen worden.
• Evaluatie I  - Uitgebreide uiteenzetting tekortkomingen van de router aangaande IPv6 in relatie tot diverse VPN protocollen.
• Evaluatie II - Nieuwe router configuratie - lijst van problemen is geslonken, maar nog niet voor alles opgelost.

In een  onderwerp  afgelopen dagen aangehaald, dat ik met een RT6600ax geen IPv6 ondersteuning heb.

.....Dat is de functionaliteit van IPv6.....
..........
Heb in het verleden al zoveel tijd gespendeerd met Synology Support, dat ik dat "toen" voorlopig maar heb laten liggen.
Het staat nog steeds op de rit om er nog eens een keer met Synology over te sparren. Maar mijn leeftijd wordt er ook niet jonger op.

Zolang IPv6 niet goed werkt met KPN,  heb ik het maar uitgeschakeld, en draai verder alles onder IPv4.......

Tot nu toe kon ik het ook niet instellen met de RT6600ax router.
Maar...

Vorige week, bij een eerdere kwestie, heb ik wel één van mijn twee  RT2600ac  routers, met daarop  SRM 1.3.1-9346 Update 8
opnieuw gereset naar fabrieksinstellingen, en met een kale installatie "in router mode" rechtstreeks aan internet gehangen.
(Normaal gebruik ik die 2e RT2600ac om ermee te testen als "mesh" WiFi punt achter de RT6600ax).

Vanuit een onderwerp  vorige week  (om een MR2200ac als mesh WiFi punt toe te voegen achter een RT2600ac):

        Heb ik nu na pakweg anderhalf jaar en vele updates verder, nu ook maar weer eens opnieuw de stoute schoenen aangetrokken.
        En die 2e RT2600ac router direct achter KPN glasvezel gehangen.  Gewoon een basis configuratie met het KPN profiel.
        Dat werkt gewoon zoals het is bedoeld. TV ook.

Met die "verse" reset naar fabrieksinstellingen en die RT2600ac nog steeds in router mode (hoewel weer afgekoppeld).
DIE router maar weer eens opnieuw achter internet gehangen, en gekeken of ik daarmee nu WEL IPv6 kan instellen.

En.....
In dit geval met enkele aanpassingen een werkende IPv6 functionaliteit !!

Website om  IPv6  te testen:   https://test-ipv6.com

                            (2e en 3e plaatje, de resultaten van die lijst gaan nog verder door naar beneden).

                   


Andere IPv6 test website, gaf 2 meldingen m.b.t. ICMP filtering:  https://ipv6-test.com
Maar daar is met een extra instelling in de firewall m.b.t. ICMP wel iets aan te doen.
(Ga dat allemaal nog verder uitzoeken komende dagen).




Waar zit het verschil van de  RT2600ac  met de  RT6600ax ??
Een missende instelling voor de RT6600ax....

Instelling gebruikt voor WAN IPv6 voor het RT2600ac model, (en nog aanvullende instelling voor LAN).




Die  DHCPv6-PD   instelling komt in de RT6600ax bij mij niet voor.
Vandaar dat ik het dus ook niet werkend kan instellen.  (Wat volgens de handleiding wel het geval zou moeten zijn). 




Mogelijk zit hem dat in tussenliggende mismatches van eerdere updates??    (Voor SRM 1.3.1 zitten we op de 8e update).

De RT6600ax heb ik nog niet eerder opnieuw naar fabrieksinstellingen gereset.
Iets voor de komende dagen / week, om die eens geheel te resetten.
Hopelijk wordt het dan alsnog hersteld.  En is het probleem daarmee opgelost.

Maar goed, er zit dus weer beweging in.   
Ik houd jullie op de hoogte.

[Briolet]

Voor wat het waard is. Op mijn RT1900ac gebruik ik ook de DHCPv6-PD instelling. 

In mijn geval heb ik dubbel nat. Mijn Ziggo Connectbox reserveert een subset van zijn IPv6 met een prefixlengte 64 voor mijn Synology router. Bij mij is die optie ook logischer, want die PD betekent 'Prefix Deligation'. En dan ik precies wat bij mij gebeurd met dubbel nat.

Ik zie bij mij in het lijstje nog een 'UIT' optie als eerste.

[Babylonia]

Bij een RT1900ac gaat het om SRM 1.2.5

Er is overigens net een nieuwe update van de   SRM router firmware   Die ga ik eerst dan maar eens installeren.
Erna een volledige reset naar fabrieksinstellingen.

[Babylonia]

Inmiddels de  RT6600ax  geüpdatet naar  SRM 1.3.1-9346 Update 9   (Na update, nog steeds missende optie voor DHCPv6-PD.)
En een back-up van de configuratie.

Volledige reset naar fabrieksinstellingen, en basis set-up opgezet.  Nu kan ik wel alles configureren met IPv6.
Toch eens proberen wat het oplevert om die laatste back-up (incl. update van SRM) terug te zetten, en kijken wat het oplevert.
Dan komt dezelfde fout weer terug van die missende optie DHCPv6-PD.   Dus ergens is dat in het verleden een keer verkeerd gegaan?
(Zou mogelijk ook kunnen komen door interventie van Synology Support die in het verleden wat zaken op root niveau heeft aangepast?)

Dus maar weer nieuwe reset, en dan echt alles van de grond af aan opnieuw de configuratie opbouwen.
Voor de "gewone internet connectie"  thuis is alles nu functioneel,  voor zowel IPv4  als IPv6.
Er zullen op details nog wel wat zaken moeten worden uitgezocht, omdat verschillende dingen toch wat anders uitpakken.

Browsen via internet, worden alle testen doorlopen zoals eerder aangegeven.
Alleen voor  ICMP  blijft er een negatieve test bij die ene test website:  https://ipv6-test.com
Ondanks een extra regel om ICMP toe te voegen bij de Firewall regels.  (Wordt zelfs automatisch toegevoegd,
als IPv6 wordt ingesteld  -  en de optie "automatisch toevoegen van firewall regels" niet is uitgeschakeld).

Is dat erg??  Ik vermoed van niet, alle test websites zijn positief.  ICMP heb ik normaal gezien juist expliciet uitgeschakeld,
om zo min mogelijk aandacht te trekken van gasten op internet.   Mijn WAN IP-adres is dan niet te pingen (wel bereikbaar).

Het eerste wat ik erna heb geïnstalleerd is de    VPN Plus server.
En gekeken hoe alles daarmee functioneert via  IPv4  en/of  IPv6

• Synology SSL VPN   -   Volledig IPv4 + IPv6 functioneel !   (De enige VPN methode die dat biedt).
  
  Niet alleen de connectie vanuit de VPN Client naar de server,  maar ook internet data die via de VPN tunnel zelf gaat.
  Zelfs een VPN connectie van laptop  via een hotspot met een "YouFone" mobiel abonnement  is de "tunnel internet data"
  via het WAN IP-adres thuis, volledig IPv4 / IPv6 transparant. En komen die testen overeen met hetgeen eerder weergegeven.
  Waarbij opgemerkt dat "gewoon browsen" (zonder VPN) via de hotspot van mijn smartphone, alleen IPv4 actief is.
  
  
• MS  SSTP VPN      -   Wel transparant in IPv4 / IPv6 benadering, maar browsen over internet alleen via IPv4
  
  
• VPN L2TP/IPSec   -   Wel transparant in IPv4 / IPv6 benadering, maar browsen over internet alleen via IPv4
  
  
• OpenVPN             -   Wel transparant in IPv4 / IPv6 benadering, maar browsen over internet alleen via IPv4
                                 Met bestudering / invoeging van extra OpenVPN commando's is daar mogelijk meer mee te doen??

Later kom ik er meer uitgebreid op terug met scherm afdrukken e.d. hoe / wat ingesteld.  Aanpassingen van firewall regels e.d.
Mogelijk ook wat dieper op IPv6 ingaan met andere gebruikers. 
Omdat ik nu slechts alleen in de meest simpele vorm IPv6 heb ingesteld in de Synology router:

DHCPv6-PD  Volgens opgave KPN  (PDF-bestand - specificaties eind van bericht).
Bij het LAN, een keuze per netwerk aan IPv6 "voorvoegsels" die automatisch worden aangeboden (setje van 8 verschillende opties).
Heb nu 4 netwerken ingesteld.  In die keuze nu als eerste begin, per netwerk verder met de optie "Stateless modus".

Verdere Referenties:  < Synology artikel voor wat betreft "WAN" >   en   < dit artikel >  scroll naar beneden ---> zoek op IPv6 ).

Ik denk dat de Synology router "in de basis" mogelijk ook wat beperkingen heeft aangaande VPN, m.b.t. IPv6 functionaliteit??
Anders dan de "Synology SSL VPN" methode zelf.   Iets om met andere gebruikers "dan" daarover te kunnen discussiëren.

[Babylonia]

Het begrip „IPv6“:

Er is hier nog niet eerder meer diepgaand op het begrip  „IPv6“  ingegaan.
Een complex gegeven met  „prefixen“  -  „voorvoegsels“  (eerste stuk van een IPv6 adres).
Heb er zelf ook niet zoveel kennis van.  Het gaat me daarmee al snel boven de pet.      

In de opzet van het configureren van een Synology router, proberen we het "zoveel als mogelijk" eenvoudig te houden.
Zonder teveel diepgaande kennis te moeten vergaren en alles „manueel“ te moeten instellen.
Gelukkig bieden providers ook wat opties zoals  DHCPv6-PD  om het allemaal wat makkelijker te implementeren.
(Waarbij  @Briolet  eerder reeds een URL gaf naar informatie omtrent "Prefix Delegation" ).

Naast de beknopte informatie in de vorige reacties, hier toch nog wat aanvullende achtergrond info welke handig kan zijn.

https://id.nl/huis-en-entertainment/computer-en-gaming/netwerk/ip-adressen-raken-op-alles-over-ipv6
https://nl.wikipedia.org/wiki/Internet_Protocol_versie_6
https://gathering.tweakers.net/forum/list_messages/1308304/0
https://blog.g3rt.nl/systemd-networkd-dhcpv6-pd-configuration.html

https://www.sidn.nl/moderne-internetstandaarden/ipv6
https://www.forumstandaardisatie.nl/ipv6

https://wiki.surfnet.nl/display/SURFnetnetwerkWiki/Whitepaper+IPv6-nummerplan+opstellen

        Deze whitepaper (PDF) bevat een handleiding voor het opstellen van een goed nummerplan bij de overgang naar IPv6.
        Een goed nummerplan is een systeem waarmee u de IPv6-adressen toekent aan locaties en/of gebruikerstypen.

Adrestoewijzing (DHCP?) in IPv6
https://meneer.depuydt.eu/blog/geek/adrestoewijzing-dhcp-in-ipv6/

Omreken converters  IPv4  naar  IPv6
https://dnschecker.org/ipv4-to-ipv6.php
https://www.vultr.com/resources/ipv4-converter
https://www.whatsmydns.net/ipv4-to-ipv6
https://iplocation.io/ipv4-to-ipv6
https://www.site24x7.com/nl/tools/ipv4-converter.html

In relatie met  IPv4  naar  IPv6  conversie, kan bij grotere LAN  IPv4 IP bereiken een IPv4 calculator handig zijn:
https://www.calculator.net/ip-subnet-calculator.html

Mijn  IPv4 en IPv6  adres:        https://www.watzijnmijnips.nl        https://whatismyipaddress.com        http://ds.testmyipv6.com
Websites om  IPv6  te testen:   https://test-ipv6.com                    https://ipv6-test.com                       https://ip6.nl

https://dnschecker.org/ipv6-compatibility-checker.php                   https://www.mythic-beasts.com/ipv6/health-check
https://dnschecker.org/ping-ipv6.php

AdGuard aternatieve DNS servers:
(Blokkade van advertenties - met name bij gebruik van Android apps.  Voor Windows heeft het wening effect).
https://adguard-dns.io/en/blog/adguard-dns-new-addresses.html

Hele lijst van alternatieve DNS servers bij elkaar: Cloudflare, Cisco, Quad9,... en URL's voor  DoH  (DNS over https) connecties:
https://adguard-dns.io/kb/general/dns-providers

KPN - Malware DNS filter, in- uit te schakelen via:   https://internet.veilig.kpn.com   (met KPN account voor eigen KPN router).
KPN - m.b.t. IPTV waarbij in een thuisnetwerk switches worden ingezet.  Deze moeten  < IGMP Snooping ondersteunen >


Vanuit de hierboven in de vorige reactie beschreven instellingen, hierbij het vervolg aangevuld met plaatjes.

Opmerking:  Voor KPN geldt dat eerst wel de originele KPN modem/router aangesloten moet zijn geweest, met IPv6 geactiveerd.
("Standaard" is IPv6 NIET ingeschakeld in de door KPN uitgeleverde IPv4/IPv6 modem/routers. Vanaf Experia Box V10 en nieuwer).
Het achterliggende netwerksysteem van KPN stelt zich daarop in.  Eenmaal een keer aangesloten geweest blijven die gegevens bewaard.
Zonder die KPN modem/router aansluit tussenstap is alleen IPv4 actief.  Erna pas de Synology router aansluiten.

Controle welke modem/router van KPN het laatst aangesloten is geweest (en actief in systeem) - < zie modem check >
Controle gehanteerde IP adressen - < Mijn KPN >  --->  producten  --->  Huisje  --->  Menu links onderaan = IP-adres
Houd er rekening mee dat de info bij KPN alleen het IPv6 "prefix" gedeelte van de connectie weergeeft.
Niet het expliciete "WAN" IPv6 adres, wat bijv. wel wordt getoond via het Synology account en gebruik van DDNS domein.


Voor de WAN poort:  DHCPv6-PD  volgens opgave KPN

Netwerkcenter  ---->  Internet ---->  Tab: Verbinding  ---->  Knop:  IPv6 installeren

1.         2.


Bij het LAN, een keuze per netwerk aan IPv6 "voorvoegsels" die automatisch worden aangeboden (setje van 8 verschillende opties).
Heb nu 4 netwerken ingesteld.  In die keuze nu als eerste begin, per netwerk verder met de optie "Stateless mode" (plaatje 3 en 4).

                                                                               5 en 6   de andere opties waaruit kan worden gekozen
                                                                               Heb dat hier aangevuld met de DNS IPv6 gegevens van  AdGuard

3.         4.         5.         6.

Met verdere bestudering van het IPv6 nummerplan ( Deze whitepaper (PDF) ) bij menu plaatje  6.

Heb ik erna voor elk netwerk de equivalente  IPv6  DHCP begin- en eind adressen aangevuld,
overeenkomend met de  IPv4  DHCP netwerk adressen van elk netwerk.
Geconverteerd   met:     https://www.vultr.com/resources/ipv4-converter

Dat houdt IPv6 bereiken binnen te overziene normaal behapbare stukken van een thuisnetwerk.
(Is al uitermate ruim bemeten met die restricties). Door IP-bereiken te beperken werkt het allemaal net wat "snappier".
Kopieer de geconverteerde  "korte" IPv6  waarde, zonder deze :: puntjes, want dat is al in het menu in de prefix verwerkt.

Primair Netwerk:
Eerste  DHCP IPv4 adres:   192.168.101.2        ----->  IPv6  adres:   ffff:c0a8:6502   IPv6 (short)
Laatste DHCP IPv4 adres:   192.168.101.254    ----->  IPv6  adres:   ffff:c0a8:65fe    IPv6 (short)

Gast Netwerk:
Eerste  DHCP IPv4 adres:   192.168.102.2        ----->  IPv6  adres:   ffff:c0a8:6602
Laatste DHCP IPv4 adres:   192.168.102.254    ----->  IPv6  adres:   ffff:c0a8:66fe

"VPN" Netwerk:  Speciaal "gewoon" netwerk bedoeld voor uitgaande VPN verbindingen - VPN Client in de router ingesteld.
Met een breder IP adresbereik - uitleg "Tweede optie" VPN Clients van de < RT6600ax handleiding >.
                    (Gebruik nu wel andere IP subnetten als indertijd  -  maar het gaat om het principe).
                    IPv4-bereik:  192.168.30.0/23  =  subnet masker 255.255.254.0      Gateway: 192.168.30.1
Eerste  DHCP IPv4 adres:   192.168.31.2        ------>  IPv6  adres:   ffff:c0a8:1f02
Laatste DHCP IPv4 adres:   192.168.31.254    ------>  IPv6  adres:   ffff:c0a8:1ffe

IoT Netwerk:
Eerste  DHCP IPv4 adres:   192.168.40.2        ------>  IPv6  adres:   ffff:c0a8:2802
Laatste DHCP IPv4 adres:   192.168.40.254    ------>  IPv6  adres:   ffff:c0a8:28fe


Verder opvallend bij de  VPN Plus server  is de optie bij  OpenVPN  om voor connectie een keus te maken voor een IPv6 "voorvoegsel",
vergelijkbaar zoals dat ook kan bij de aparte netwerken van de Synology router.  Echter geen verdere verdeling / aanvulling.

7.


Het uiteindelijke resultaat is dat de opbouw een  OpenVPN  verbinding vanuit een laptop (via de WiFi hotspot van een smartphone),
vanuit de VPN server zowel een  IPv4  als  IPv6  adres krijgt toegewezen.
Het browsen via die  OpenVPN  verbinding zelf, (met het thuis netwerk WAN IP-adres als uitgangspunt, en dan weer het internet op),
is met de huidige configuratie echter (nog) beperkt tot IPv4.

8.         9.


Bij het eigen  Synology SSL VPN  protocol, is de VPN "tunnel" met overdracht van data wel volledig  IPv4 / IPv6  compatibel.

10.         11.         12.


Opmerking m.b.t. getoonde WAN  IPv6  adressen:
(Waarvan het grootste deel van het adres in de laatste twee afbeeldingen hierboven is afgeschermd).

Voor de duidelijkheid:
Het gaat feitelijk om het IPv6 adres ook zonder een VPN verbinding, van de internetaansluiting thuis.
Te controleren bijv. via:   https://www.watzijnmijnips.nl     https://whatismyipaddress.com

In tegenstelling tot IPv4 waarbij je bij een internet provider doorgaans een "vast" WAN IP adres krijgt toegewezen.
("Officieel" is het geen vast IP adres, maar verandert in praktijk maar zelden. Alleen bij belangrijke systeem aanpassingen bij een provider).
Is dat anders voor het IPv6 adres.  Dat verandert dynamisch in een relatief erg kort tijdsbestek.

Dat is op te merken bij controle van het WAN IP-adres via:   https://www.watzijnmijnips.nl
Bij hostnames achter het IPv4 adres staat vermeld   fixed.kpn.net     Achter het IPv6 adres   fixed6.kpn.net
Bij testen van VPN via een smartphone als hotspot (met Synology SSL VPN), wordt bij IPv6   mobile6.kpn.net   getoond.

Andere benaderingswijze IPv6 :
Schijnbaar wordt met het gebruik van  DHCPv6-PD  (of IPv6 in het algemeen) een andere route gevolgd, niet vergelijkbaar met IPv4 ??
Het lijkt of binnen KPN zelf, vanuit een "eerdere stap" in de keten een variabel IPv6 adres wordt getoond,
en erna dan rechtstreeks een link wordt gelegd, met een "vast" LAN IPv6 adres.
Wat men eerder in die lijst van aangeboden adressen heeft vastgelegd voor "Primair netwerk". Het eerdere plaatje 4.

4.

Dat specifieke "vast" ingestelde IPv6 adres (wat begint met 2a02...) zie je erna bijv. ook terug in het Synology account,
bij het Synology DDNS domein, als het "echte" connectie IPv6 adres.   Naast het gebruikelijke WAN IPv4 adres.

Bij een IPv6  "ping-test" website:   https://dnschecker.org/ping-ipv6.php
Met ingave van dat  2a02...  IPv6  adres, krijg ik daarmee een positieve reactie terug.
Evenals ingave van het Synology DDNS domein zelf.  (Certificaat wordt geregeld binnen Synology).

Omdat ik gebruik maak van een eigen NL-domein op het WAN IP-adres thuis, inclusief SSL certificaat,
heb ik dat  2a02... IPv6  adres nu ook opgenomen in een AAAA record.  Ook daarmee krijg ik dan een positieve ping reactie terug.
Dus daarmee lijkt dat stuk m.b.t. IPv6 thuisverbinding helemaal afgedekt.

Info over ICMP  controle functies: o.a. op  "WiKi"   en  Cisco (zeer uitgebreid).

Enkele test websites m.b.t. ping testen op IPv6
https://dnschecker.org/ping-ipv6.php
https://tools.keycdn.com/ipv6-ping
https://subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php

Meer uitgebreide  IPv6  test via:     https://ipv6-test.com      geeft voor KPN steevast een 18 / 20 score aan.
Wat dan mogelijk gerelateerd is aan die "tussenstap" IPv6 weergave / benadering.
Bedenk dat connectie met originele KPN Experiabox modem/router voor IPv6 ook dan een 18 / 20 score geeft.



Overigens "Ping testen" vanuit de Synology router zelf met "Netwerkhulpmiddelen" naar het IPv6 weergegeven WAN IP-adres
wat wordt weergegeven via:      https://www.watzijnmijnips.nl     geeft wel een positief ping resultaat.
Maar komt mogelijk terug als controle van de KPN DNS server zelf als test resultaat, als intern "besloten IPv6 systeem" van KPN.


KPN IPTV :
Als negatief effect van de hele IPv6 implementatie merkte ik op dat er een langere pauze kan zijn (tussentijds zwart scherm),
van diverse seconden, bij wisselen van een "terugkijk" bekeken programma = unicast   -   naar Live TV-signaal = multicast.

Met name als je meerdere programma's achter elkaar door hebt gekeken in "terugkijk" mode en dan wisselt.
Of als je gebruik maakt van het speciale "Zoekmenu" en naar andere afleveringen van een opgeslagen zoekopdracht wilt wisselen.

Die ervaring is bij gebruik van een oude  KPN Arcadyan HMB2260 v2  TV Settopbox van pakweg 7-8 jaar oud.
Misschien dat de huidige op Android uitgeleverde kastjes daarin beter voldoen??

Oplossing "gedeeltelijk" :
Omdat KPN achterliggend voor hun TV functionaliteit "intern" binnen een gesloten systeem voor hun servers "nog" gebruik maakt van IPv4.
Heb ik de TV-ontvanger een vast  IPv4  adres gegeven + een Firewall regel aangemaakt die expliciet alleen IPv4 doorlaat op dat IP-adres,
naar het IP-bereik van de KPN servers, die volgens  < "Netwerkje.com" >  ligt in het subnet bereik:  213.75.112.0/21

Dat werkt "nu" nog, maar KPN is hun achterliggende systemen ook aan het bijwerken.
Oude modem/routers die alleen IPv4 ondersteunen en bij vele KPN thuisgebruikers nog in gebruik zijn,
kan men gratis omruilen voor IPv4 / IPv6 modems  --->  < zie oproep bij KPN >  wat pakweg sinds maart 2024 actueel is.

Voorlopig zal het oudere IPv4 echter door KPN IPTV zeker nog wel een tijdje worden ondersteund.
"Standaard" is IPv6 namelijk NIET ingeschakeld in de nieuwe KPN uitgeleverde IPv4/IPv6 modem/routers.
Daarom voorlopig de volgende instellingen.

Omdat we in de firewall regel een opgave met subnet-masker inzetten, kijken we met een  IPv4 subnet calculator  wat erbij hoort:
Opgave  213.75.112.0/21  ---->  notatie met subnet-masker 255.255.248.0

Bij inzet van extra "test" firewall regels, blijkt het  217.166.0.0/16  netwerk daarbij niet te worden gebruikt (géén "treffers").
Dat netwerk laten we verder dan ook buiten beschouwing.

In volgorde van firewall regels als eerste helemaal bovenaan gezet - heeft daarmee prioriteit boven IPv6 afgestemde regels.
(Na aanpassing TV-ontvanger een keer uitschakelen / power eraf en na pakweg 10-20 seconden weer inschakelen).
Dat geeft voor de meeste situaties de normale TV  "wissel" functionaliteit weer terug met wat ik eerder gewend was.
Met name bij terugkijken via het apart op te roepen zoekmenu, waarbij men zoekresulaten kan vastleggen voor een volgende keer.


Basis Firewall regels:
Firewall regels voor enkel IPv6 functionaliteit, met KPN TV-box regel erbij.  Datgene wat de uitleg in deze reactie behelst.
Zonder de extra VPN functionaliteit wat in een latere reactie wordt besproken.

Regel 1  =  IPTV   regel
Regel 2  =  ICMP  voor testen IPv6 functionaliteit.  Indien alles functioneert, regel evt. uitschakelen.
                          WAN IP-adres is dan niet te pingen, de internetconnectie is dan meer "incognito".
Regel 3  =  Algemene IPv6 toestemming voor alle  Bron-interface  LAN  netwerken.
Regel 4  =  Slot eind regel, blokkeert alles wat niet aan voorgaande regels voldoet.
                 TCP/UDP  -  Alle  -  Alle  -  Alle  -  Alle  -  Alle  -  Alle  -  WEIGEREN

[WoutBkk]

Via de link IPv6 test heb ik geen IPv6 maar volgens mijn router de RT6600 heb ik wel IPv6, hoe moet ik dat nu zien?
Profider is ziggo.

[Babylonia]

@Briolet  geeft al in een eerdere reactie  < verder naar boven >  een voorzetje, hoe hij dat voor "Ziggo" met  DHCPv6-PD  heeft ingeregeld.
Ik vermoed een vergelijkbare instelling, met aanvullend ook nog in het LAN netwerk de instellingen die ik hierboven met die plaatjes toon?
Maar in mijn geval voor KPN.

Er komen overigens net een beetje andere Firewall regels bij kijken, dan ik voor de RT6600ax handleiding heb beschreven.
Daar ga ik nog alleen uit van IPv4.  (De beschrijvingen dateren van pakweg twee jaar terug. Toen hield ik me nog niet met IPv6 bezig.)
Regels waar expliciet IPv4 adressen zijn opgenomen  of  IPv4 sub-netwerk / IP bereiken, zijn vanuit die functie al niet IPv6 gerelateerd.
Met die instellingen komt  "IPv6"  niet verder door. (Met name door de firewall eindregel die dat feitelijk uitsluit).

Daar kom ik nog in een extra te beschrijven reactie hier terug bij dit onderwerp.  Juist omdat het net wat aangepast moet worden.
(Overigens gewoon "met" inbegrip van die eind firewall slotregel, maar aangepaste instellingen "hoger" in de volgorde).
Temeer daar er tevens voor enkele VPN Plus server instellingen ook daar net wat andere instellingen worden ingezet dan "gebruikelijk".

(Morgen overdag of zo, het is nu midden in de nacht  ).  Het werkt voorlopig ook nog wel "zonder IPv6"   

[Briolet]

Via de link IPv6 test heb ik geen IPv6 maar volgens mijn router de RT6600 heb ik wel IPv6, hoe moet ik dat nu zien?
Profider is ziggo.

Doe je de test met een device achter de router?  Het idee van IPv6 is dat elk device rechtstreeks aanspreekbaar is met een eigen openbaar adres. Veel routers blokkeren dit om de gebruikers te beschermen. Want als een device rechtstreeks aan het internet hangt, moet overal ook een goed geconfigureerde firewall draaien.

Ik moet de nas in mijn netwerk opnemen in de IPv6 firewall van de router. Dus dat hij verkeer naar het IPv6 adres van de nas moet doorlaten. Dan werkt de webserver (en mailserver) ook met IPv6 verbindingen vanuit de buitenwereld.

[WoutBkk]

Voor mijn Nas hoeft het niet, die werkt echt (denk ik) snel genoeg, de enige die er aardige hoeveelheden heen gooit zit in Alice Springs en dan koppelt hij zijn NAS in de truck bij de Aero Clob bedraad aan het internet, werkt super.

Zelf hou ik dus meestal hier (Forum) de dingen bij voor de RT6600 en de rest wat er aan hangt, WRX560 en de RT2600, voor instellingen en updates. Ook binnenkort van Ziggo naar Delta fiber, die wachten op een stroom aansluiting, van Liander, voor het laatste verdeel punt, aansluiting zit al in huis.

En een mail server is voor mij echt overbodig, momenteel niet meer dan 19 gebruikers op de NAS, één in Portugal, drie in Australië (**) en de rest hier op de koude kleigrond.

En met de test kreeg ik nu wel een IPv 6 alleen viel dat na een paar tellen weer weg, dus zal de beveiligen wel zijn wat jij aangaf.

** Ze hebben daar thuis alleen draadloos GSM (Telstra) en satelliet telefoon, en onderweg meestal niets buiten de nederzettingen.

[Babylonia]

Voor mijn Nas hoeft het niet, die werkt echt (denk ik) snel genoeg....

Ik weet niet waar je op doelt??  Maar de ondersteuning van  IPv6  heeft niets met snelheid te maken, maar wereldwijd
een tekort aan  IPv4  adressen. Waardoor (met nog steeds toenemend internet), connecties niet meer zijn te adresseren.
https://id.nl/huis-en-entertainment/computer-en-gaming/netwerk/ip-adressen-raken-op-alles-over-ipv6

Door de extra adressering "erbij" van  IPv6  naast  IPv4  wordt er meer CPU vermogen van een router gevraagd.
Wordt het systeem eerder wat langzamer, dan sneller.

[WoutBkk]

Volgens mij heeft mijn profider van de mailserver, geen ziggo, net alles nieuw dus die zullen IPv 6 wel ondersteunen.
Mijn NAS werkt dus redirect achter hun mailserver al heb ik nog nooit een snelheids test daarmee gedaan.
Verder weet ik dus ook niet meer dan dat het gewoon goed werkt en ik dus niet te veel aan instellingen ga zitten buiten om wat ik hier lees wat er zou kunnen verbeteren. (Is dit een beetje een goede uitleg.)

[Babylonia]

Voorlopig zal  "IPv4"  ook gewoon blijven werken. Dus daar merkt "de doorsnee gebruiker" dan niet zoveel van.
Maar naarmate er meer internet bronnen bijkomen, gaat dat meer en meer over naar IPv6.
In een overgangsfase worden beide systemen nog ondersteund.

Maar er zullen ook steeds meer  "alleen"  op IPv6 gebaseerde internet bronnen bijkomen.
Die kun je dan niet meer bereiken / connectie mee maken, als je daar niet op bent voorbereid.

Bedenk echter wel, dat het nog wel "jaren" kan duren voordat het wereldwijd allemaal is omgezet. 

[Briolet]

Hier in Europa zijn er genoeg IPv4 adressen beschikbaar zodat elk bedrijf dat via IPv4 bereikbaar wil zijn, er nog wel kan kopen zonder extreme kosten.

In Afrika en Azië ligt dat anders. Daar zijn de laatste jaren zoveel IP adressen bijgekomen dat niet iedereen een eigen IPv4 adres meer heeft.

In Nederland zijn er ook providers die gedeelde IPv4 adressen uitgeven waarbij ca 10 mensen hetzelfde IPv4 adres toegewezen krijgen. Voor uitgaand verkeer kan dat geen kwaad. Ziggo doet dat ook, maar op verzoek kun je nog steeds een eigen IPv4 krijgen.

In Nederland werd in 2022 al 50 dollar voor een IPv4 adres betaald. Bron. Ziggo heeft er op zich genoeg in voorraad, maar het is natuurlijk ook verleidelijk hiervan een groot deel te verkopen en meer mensen op DS-Lite te zetten.

[Babylonia]

Het is al jaren "handel" in IPv4 adressen.  Met bijv. de koploper positie van België met implementatie van IPv6 adressen,
hebben Nederlandse providers in het verleden hele partijen IPv4 adressen van België overgenomen.
Met het hergebruik las men toen geregeld dat mensen in Nederland geen webshop in Nederland konden aandoen,
omdat de regio van het IP-adres in databases nog was vastgelegd voor België, daarop werden doorgeleid naar Belgische webshops.

Ander bekend voorbeeld is de aanhouding van een zakenman op Schiphol en USA, wiens nieuwe internet connectie in Nederland,
het IP-adres nog voor "Jordanië" in databases was opgenomen.

https://tpo.nl/2015/02/12/ondernemer-problemen-door-verkeerd-ip-adres/

[Babylonia]

Inmiddels had ik wat verdere schermafbeeldingen voorbereid m.b.t. Firewall regels e.d.
Echter gaandeweg verdere testen, uit- en inschakelen van functies, blijkt dat  IPv6  toch nog niet helemaal goed uit te pakken.

Geen probleem met gewone internet connecties, maar niet op elke punt m.b.t VPN  -  en dan met name bij OpenVPN.
(De andere VPN protocollen werken wel goed).
Of het heeft te maken met de vóór gedefinieerde IPv6 opties die de provider (KPN), aanbiedt??
En discrepanties daarmee later in de set-up, is op dit moment moeilijk te achterhalen??   Iets om verder uit te zoeken.

De interface en menu's van SRM zijn verder ook niet altijd consequent in de uitwerking m.b.t. IPv4  en IPv6.
Dat heeft beslist verbetering nodig.
(Het heeft weinig zin apart voor OpenVPN een IPv6 IP adres te implementeren, terwijl voor connectie in het eigen LAN,
en verkeer van data via de VPN tunnel, dat via de firewall alleen mogelijk is met toegang voor een "IPv4" virtueel afgestemd netwerk).

Advies, om voorlopig toch niet zomaar dat IPv6 te gaan inzetten.  (Met niet geactiveerde IPv6, zijn er geen problemen).
Ook aangaande de eerdere opmerking van  @Briolet

....Ik zie bij mij in het lijstje nog een 'UIT' optie als eerste.

Die  'UIT' optie  -  m.b.t. het IPv6 menu voor de WAN internet connectie,
staat op dit moment (bij SRM 1.3.1) alleen in het lijstje, als je IPv6  nog niet hebt ingesteld /ingeschakeld.
Als je eenmaal een keus uit een van de IPv6 opties hebt gemaakt en geactiveerd, is die 'UIT' optie verdwenen,
en kun je IPv6 voor de WAN zijde niet meer terug uitschakelen.  Vervelend, omdat je niet meer naar oude situaties kunt teruggaan.

En niet zomaar "toevallig", want hebt mijn router weer opnieuw naar fabriek instellingen gereset.
Dat IPv6 menu blijft beperkt, met ontbreken van de 'UIT' optie, na keus van één van de IPv6 protocollen. (Zucht).

[ EDIT ]  "Dacht" een methode te hebben gevonden om het voorlopig even uit te schakelen. Met:
             Kies voor IPv6  „Automatisch“  en schakel IPv6 Gateway uit  ---> klik op OK.
             Erna is de instelling van  IPv6  weer terug naar uitgangspositie „UIT“.   Maar na herstart is IPv6 toch weer ingeschakeld.