IPv6 ondersteuning - Synology routers

[Babylonia]

Na wat nachtelijke dwalingen, ben ik er inmiddels uit. Alles is weer functioneel inclusief  IPv6  en werkende VPN verbindingen.
Niet dat elke doorgestuurde "VPN tunnel"  IPv6  compatibel is. Maar heb ik al aangetipt  in mijn vorige reactie.
(Heeft mogelijk tevens te maken met algemeen gebruikte "verouderde VPN protocollen" van verscheiden jaren terug?
 En men pas kan inspringen op nieuwere ontwikkelingen als die VPN protocollen "officieel" ook voor IPv6 zijn aangepast?)

5 VPN protocollen uitgetest.  Waaronder het onveilige PPTP, alleen als test om te kijken of het functioneert.
Korte weergave (zonder uitleg - komt later aan de orde.    "AX" staat voor RT6600ax ).

       


Een aantal zaken om in de gaten te houden:

Nog steeds enkele manco's:
Eenmaal IPv6 ingeschakeld, is het eigenlijk niet meer mogelijk dat uit te schakelen.  (Zie laatste alinea vorige bericht).

Export - import back-up configuratie:
Vanuit een bepaalde opbouw van een configuratie, maak ik doorgaans een back-up na bepaalde stappen van de set-up.
Zodat ik altijd makkelijk terug kan gaan naar een vorige stap in de set-up.

Bij een nieuwe "harde" reset kan men daarmee snel weer tot een bepaald punt van de configuratie komen.
Afhankelijk wat je al wel of niet aan extra pakketten hebt geïnstalleerd (zoals VPN Plus server).
Kunnen er mismatches plaats hebben in de koppeling tussen een pakket en instellingen in het SRM hoofdmenu.

Een back-up terug geplaatst vóór een installatie van bijv. de VPN Plus server.
Worden firewall regels m.b.t. VPN Plus, niet opgenomen in de configuratie.

Importeer je een back-up "erna", worden firewall regels wel meegenomen, maar er kunnen achterliggend (niet zichtbaar)
mogelijk toch mismatches in de onderlinge samenwerking voorkomen (al eens eerder opgemerkt).  Voor alle zekerheid...
Gooi de firewall regels die betrekking hebben op een apart geïnstalleerd pakket, beter weg, en zet deze regels opnieuw op.

Verder ook bij een eerdere back-up "met IPv6" ingeschakeld  - "blijft" die instelling ook als zodanig "ingeschakeld"
bij importeren van de back-up.  Met dezelfde onhebbelijkheid "nu" (als manco in huidige SRM versie) van "niet" kunnen uitschakelen.

Wat wordt niet terug gezet bij back-up:
In zijn algemeenheid geldt dat alleen de instellingen van de "hoofd" SRM applicatie worden geback-upt.
Lijst met instellingen welke na een reset met een back-up  NIET  correct of helemaal niet worden terug gezet.
Datgene wat reeds door Synology in hun < knowledgebase wordt beschreven >.  Kijk bij opmerkingen.

Aanvullende NIET opgeslagen instellingen (en bij reset en inladen back-up opnieuw moeten worden ingesteld):

• Instellingen m.b.t. apart te installeren packages - zoals bijv. VPN Plus.
  (En alles wat je daarin eerder hebt aangepast).
  
  
• Hernoemde namen van aangekoppelde USB sticks, en/of extra geheugenopslag (via USB-HUB).
  Configuratiescherm  ---->  Opslag  ---->  Tab: Opslag  ---->  Knop: Geavanceerde instellingen  ---->  Systeemdatabase.
  Controleer ook de andere opties.
  
  
• Instellingen voor opslag van systeeminstellingen, logbestanden.
  Logboekcentrum  ---->  Opslaginstellingen  ---->  Alle instellingen die je van boven naar beneden daarin terug vindt.
  Logboekcentrum  ---->  Meldingen
  
  
• Dacht me te herinneren dat instellingen om "UIT" te schakelen zoals  < HIER beschreven >
  (tweede  en  derde  plaatje bovenaan)  ook opnieuw moeten worden ingesteld om "UIT" te vinken.

[Babylonia]

Extra info !!
Er wordt ondersteuning gevraagd van Synology Support
Zaken lopen niet zoals bedoeld / voorzien - zie evaluatie.
-------------------------------------------------------------------

"VPN server"  Synology  NAS   -versus-   "VPN Plus server"  Synology  router :

Om het maximum aan functionaliteit m.b.t. VPN te kunnen benutten, tevens in relatie tot IPv6,
stappen we af van gebruikelijke instellingen, die normaal gezien algemeen voor VPN worden ingezet.
Ook afgezet tegenover de mogelijkheden (of „beperkingen“?) wat Synology biedt in hun SRM router software.

Om beter te begrijpen in het „waarom“ we afstappen van hetgeen gebruikelijk is.
Maak ik een vergelijking tussen de VPN functies en instellingen zoals we die kennen bij een NAS.
Zonder die uitleg kunnen „andere“ instellingen bij gebruikers mogelijk als "controversieel" worden aangemerkt.      


"VPN server" netwerk instellingen van een Synology NAS :

  1.         2.         3.

Doorgaans wordt ervan uitgegaan dat er  „perse“  een apart virtueel VPN netwerk moet worden geconfigureerd.
Bij een NAS is het standaard als zodanig afgestemd, met een configuratie volgens zo’n „apart netwerk“ voor alle VPN methoden.
De hierboven weergegeven extra LAN netwerken in het  172.x.x.x  en  10.x.x.x   IP bereik.   (WiKi info m.b.t. LAN IP bereiken.)

DHCP server functies op een NAS in uitgifte van VPN IP-adressen, mogen niet conflicteren met uitgegeven IP adressen op een router.
Vandaar de inzet om volledig onafhankelijk andere netwerk IP bereiken te gebruiken.  Daarmee vermijd je "dezelfde" IP-adressen.
We zijn eigenlijk niet anders gewend.


Alles in één op router niveau:
Indien een router als „totaalpakket“ WEL mogelijkheden biedt voor extra functies meteen op router niveau en daar ook de VPN regelen.
(Geen conflicten met DHCP server functies op verschillende apparaten die mogelijk "dezelfde" IP adressen zouden kunnen uitgeven).
Zijn ineens meer opties mogelijk, dan apart ingestelde virtuele VPN netwerken.

Dat zien we terug in de keuzemogelijkheden van dezelfde VPN protocollen + nog enkele alternatieve VPN methoden.
Waarbij virtuele VPN IP-adressen, gewoon binnen de bestaande „normale“ netwerken kunnen worden gekozen.

Een Synology router biedt als basis wel vergelijkbare aparte  "Default"  VPN netwerken zoals een NAS, en zijn als zodanig ingesteld.
Maar soms is het handig om daarvan af te wijken.   

Of zoiets zinvol is, zou mogelijk afhankelijk kunnen zijn van het gebruikte VPN protocol??
Ieder VPN protocol heeft zijn eigen specificaties, oorsprong en bestaansgeschiedenis.  (Het merendeel niet "Synology" gerelateerd).
Dat kan tevens weer afhankelijk zijn van de opties welke in de SRM router zijn opgenomen?
Met name de wijze welke Firewall en netwerkfuncties ter beschikking staan in relatie tot VPN.  Dat gaan we verder zien.


"VPN Plus server" netwerk instellingen van een Synology router :
Allereerst een vergelijking van dezelfde VPN-protocollen als bij een NAS, en de opties om te kiezen.
(Dezelfde volgorde aangehouden als hiervoor bij NAS, als vergelijking  +  extra VPN protocollen).

  4. Voor OpenVPN geldt een eigen virtueel netwerk, waarbij een eigen IPv6 netwerk kan worden ingesteld (zoals bij een NAS).
      Hierbij géén keus voor andere netwerken.   Wel bij de andere VPN protocollen ( 5, 6, 7, 8. )

  4.         5.         6.         7.

  8.

Niet benoemd - Synology WebVPN.  Daar zijn geen keuzes mogelijk voor andere netwerken.
Dat functioneert op een totaal andere laag als gecodeerde link, alleen bedoeld voor VPN internet browsen binnen een web-portaal.
Om het goed te laten functioneren heb je een "wildcard" certificaat nodig. (Via Synology DDNS en Let's Encrypt standaard aangeboden).

Het is een soort verlengstuk van hetgeen SSL VPN al biedt.
Met een extra portaal om thuis gebruikte netwerk apparaten via een web-interface op te starten. (Zelf samen te stellen lijst).
Voor netwerk "onderhoud" op afstand kan zoiets mogelijk wel handig zijn voor een admin gebruiker.


VPN Plus server - "Object" :
Overzicht alle netwerken, incl. VPN netwerken die in de Synology router zijn geconfigureerd + toewijzing VPN aan welk netwerk:

9.   De standaard indeling, met een apart virtueel VPN netwerk voor OpenVPN  (IP bereik naar persoonlijke keus aangepast).
      Een "Default" netwerk voor de overige VPN protocollen.                            (IP bereik naar persoonlijke keus aangepast).
      Opgemerkt dat alleen voor het OpenVPN netwerk IPv6 is toe te wijzen (zie eerder plaatje 4).  NIET het "Default" netwerk.
      We zullen verder zien of dit consequenties heeft?

10. De indeling behorend bij de voorbeelden hiervoor gegeven (plaatjes 4 t/m 8 )
      Met een keuze van het Synology SSL VPN netwerk, om die toe te wijzen aan het "Primair netwerk".

11. Een indeling om alle VPN protocollen onder te brengen bij "Primair netwerk".  Uitgezonderd OpenVPN, want dat ligt vast.
      Om te zien of er verschillen zijn voor een indeling voor overige VPN protocollen gericht op een netwerk met wel IPv6.

  9.        10.        11.


Firewall regels IPv6 - "korte versie" :
Set-up van extra Firewall regels m.b.t.  IPv6  als uitleg in functionaliteit.    (Basis info Synology firewall).
Als uitbreiding van de uitleg zoals  < die eerder als handleiding >  voor een RT6600ax router is geschreven.
Om snel een eerdere set-up voor IPv6 aan te passen.

Bij die handleiding ga ik nog alleen uit van IPv4.  (De beschrijving dateert van mei 2022. Toen hield ik me nog niet met IPv6 bezig).
Regels waar expliciet IPv4 adressen zijn opgenomen of IPv4 sub-netwerk / IP bereiken, zijn vanuit die functie niet IPv6 gerelateerd.
Hebben dus ook geen geldigheid voor IPv6.  Iets om in het achterhoofd te houden bij de volgende schermafbeeldingen.

Er moeten dus andere Firewall regels worden toegevoegd die geen  IPv4  adressen bevatten, om aan IPv6 te kunnen voldoen.
Een wat vage term.  Maar we kunnen firewall regels ook beschrijven als "netwerk interface" zonder verdere IP adres benoeming.
Dan voldoet het wel aan een IPv6 geldige Firewall regel.

EDIT (zie info aan het eind van de reactie):
Voeg de volgende twee Firewall regels toe helemaal bovenaan als eerste regels van de Firewall.
(Firewall regels worden in volgorde van boven naar beneden doorlopen).

Regel 1.   Kies voor Firewall regels "Maken"  -  Protocol  ICMP  ---->  OK en de rest wordt verder automatisch ingevuld.
               (Met o.a. inactiveren / "grijze weergave" van poort instellingen).

Regel 2.   Protocol  TCP/UDP    Bron:  Netwerkinterface  LAN  en selecteer  "Alle lokale netwerken"  ---->  OK
               Toewijzing  LAN  voor bron is essentieel. Bij verkeerde toewijzing kun je de router helemaal open zetten voor de buitenwereld.

( Afbeelding 12. )




Firewall regels IPv6 - "uitgebreide versie" :
Set-up van extra Firewall regels m.b.t. IPv6  aangaande de uitwerking van diverse VPN protocollen.
In samenhang met keus VPN netwerken en specifieke firewall regels in de voorbeelden zoals hiervoor (meer naar boven) gegeven.

Firewall regels geldend voor de situatie zoals weergeven voor afbeelding 9 en 10  (nogmaals hier getoond).

  9.        10.

Heb firewall regels in de router alleen ingesteld voor functionaliteit van VPN,  geen andere services om van buitenaf te benaderen.
(Als je van buiten via VPN binnen in je eigen thuisnetwerk bent, kun je verder alles thuis bereiken).

       Firewall menu voor geldigheid  IPv4    en    IPv6

 13.        14.

Van boven naar beneden de verdere uitleg van Firewall regels:

ICMP       Bij activeren van IPv6 in de Synology router, wordt die functie automatisch reeds als eerste regel in de firewall gezet.
               (Standaard = zonder uitschakelen van automatisch aan te maken firewall regels bij activeren functies / port forwarders).
               Meer m.b.t. ICMP  en "pingen" -  < zie eerdere reactie >

               Zolang men nog bezig is met het opzetten en testen van IPv6 verbindingen is het handig ICMP geactiveerd te hebben.
               Als na een week of wat alles goed functioneert, kun je de ICMP regel "uitvinken" / deactiveren.
               Indien men van buitenaf zo "incognito" als mogelijk wil zijn.

               De thuis internetconnectie is dan NIET meer te pingen.  Terwijl services die je thuis hebt draaien toch bereikbaar zijn.
               Daarmee verklein je de kans op ongenode gasten voor aandacht van je WAN IP adres, die proberen binnen te komen.
               (Tijdens het opzetten van IPv6 en enkele dagen ICMP actief, heb ik al een IP adres in de blokkeringslijst opgevangen).

IPv4-v6 LAN ALL       Zelfbenoemde naamgeving aan deze regel. Omdat het zowel IPv4 als IPv6 is gerelateerd.

               Protocol  TCP/UDP    Bron:  Netwerkinterface  LAN  en selecteer  "Alle lokale netwerken"
               Schijnbaar vallen alleen "normaal" ingestelde thuis LAN netwerken onder die regel. Niet de aparte default VPN netwerken.
               Alle thuisnetwerk (LAN) gerelateerde handelingen hebben geen restricties onderling, of naar buiten toe.

         15.

               De functionaliteit lijkt veel op de firewall regel die daar weer onder staat. Alleen is die afgestemd op IPv4.

LAN sub-net wide       Zelfbenoemde naamgeving aan deze regel (alleen IPv4 gerelateerd).

               Protocol  TCP/UDP    Bron:  Alle
               De restrictie hier voor het LAN netwerk zit hem in het expliciet opnemen van  LAN IPv4 sub-net - of IP-bereiken.
               In dit geval heb ik een IP-bereik gekozen (eerste en laatste IP adres) wat alle LAN netwerken omvat.
               Met uitzondering expliciet van de OpenVPN en default VPN opgenomen netwerken. Om duidelijk verschil daarin te maken.
               Hierbij niet de optie gekozen van "LAN interfaces".  Een klein maar essentieel verschil, met de voorgaande firewall regel.

               Met  0  treffers in de connectie en alle VPN opties uitgeprobeerd, is deze regel feitelijk overbodig.
               Dat geldt echter alleen voor de situatie behorend zoals getoond voor de netwerkindelingen bij afbeelding 9 en 10.
               Waarbij het Synology SSL VPN protocol voldoende waarborg biedt om te functioneren, zonder expliciete IPv4 regel.

               Bij andere keuzes om VPN binnen de bestaande „normale“ netwerken te gebruiken, wordt die regel wel actief benut.

               Bijvoorbeeld in de situatie zoals ingedeeld voor netwerk indelingen bij afbeelding 11  -  nogmaals hier getoond.
               Geldt bij voorgaande firewall indeling tevens voor een VPN keus van een van de andere "normale" netwerk sub-netten.

         11.

OpenVPN VLAN   en   Default VPN LAN     De specifieke VLAN netwerken met betrekking tot VPN.

               Vergelijkbaar zoals de firewall regel hiervoor. Alleen specifiek afgestemd op de separaat opgenomen "VPN Plus" netwerken.
               Zonder die regels geen benadering van interne netwerk apparaten of via VPN en thuis WAN IP-adres het internet weer op.

Rijtje van 5 Firewall regels      Per VPN methode vastgelegd om de VPN Plus server zelf van buitenaf te kunnen benaderen.
                                            Een keus in de firewall om VPN dataverkeer alleen  "per regio"  (Nederland) toe te laten.
               (Een werkende VPN bestaat uit de connectie zelf, aangevuld met toelating voor verder gebruik van VPN data-verkeer).

Block ALL   Laatste eindregel  =  TCP/UDP  -  Alle  -  Alle  -  Alle  -  Alle  -  Alle  -  Alle  -  WEIGEREN
                 Alles wat niet aan alle voorgaande firewall regels voldoet (het meeste) wordt geweigerd.
                 Bijv. alle landen buiten Nederland hebben géén toegang tot de VPN server.

                 Gaat men op vakantie naar het buitenland, heb je buitenlandse familie, of doe je zaken in het buitenland.
                 Voeg je bij die eerdere firewall regels met "Nederland" enkel die landen toe bij "regio" om die ook toe te staan.
                 Daarmee is het voor die landen ook afgedekt om daarvoor connectie toe te staan.
                 Aanzienlijk gemakkelijker dan "andersom" een hele lijst met landen aan te maken die géén toegang mogen hebben. 


Nieuwe EDIT 24-03-2024  ---- Tot zover even deze reactie.

Wordt nog verder aangevuld met informatie en uitleg aangaande de praktische mogelijkheden van diverse VPN protocollen.
In samenhang met de keus van een VPN netwerk...

Een stuk van de informatie m.b.t. ICMP is aangepast en verplaatst naar een eerdere reactie, omdat het daar beter aansluit.
En info "hier" inmiddels alweer is achterhaald.

Het loopt allemaal niet zoals bedoeld !!

Nog een hele bevalling.  Zie evaluatie in een nieuwe reactie verder naar beneden.

[Babylonia]

Nieuwe EDIT 24-03-2024  ---- Tot zover even deze reactie.

Wordt nog verder aangevuld met informatie en uitleg aangaande de praktische mogelijkheden van diverse VPN protocollen.
In samenhang met de keus van een VPN netwerk...
Zie evaluatie...

Voorlopige aanvulling (tot de problemen door Synology zijn opgelost) :

Keus VPN netwerk:
Bij de vorige reactie bij afbeeldingen  4 t/m 8  kan men in het menu zien, dat voor het VPN netwerk voor 4 VPN protocollen
een van de normaal ingestelde thuis netwerken kan worden gekozen, in de plaats van het apart ingestelde VPN netwerk.

De praktische verschillen in die keus:

Default netwerk  -  OpenVPN netwerk   als VPN netwerk:
Indien men een VPN connectie maakt, kan men via VPN elk normaal netwerk bereiken.
Met waarschijnlijk een uitzondering voor het gast netwerk (niet geprobeerd).

Zelfs afgesloten netwerken, die normaal geen verbinding met het internet hebben.
(Zou bijv. handig kunnen zijn bij een intern gebruikte  IoT  netwerk - wat met extra firewall regels die ik "als test" tijdelijk heb ingesteld).
Dus afgezien van het gast netwerk, bij de hier gebruikte voorbeelden gaat het dan nog om 3 normale netwerken.

Specifieke keus voor een bepaald  "normaal" netwerk   als VPN netwerk:
Daarbij heeft men via een VPN connectie alleen connectie met dat specifiek gekozen netwerk.
Géén connectie mogelijk met een van de andere "normale" netwerken.

Synology SSL
Dit VPN protocol biedt daarbij nog een extra functionaliteit, die geen van de andere VPN protocollen heeft.
Met bijv. keus van het primair netwerk voor VPN.

Je bent op een andere locatie, bijv. bij een kennis, waar je ook toegang hebt tot andere apparaten in het netwerk daar.
Bij een VPN verbinding vanuit die locatie naar het thuisnetwerk, en gebruik van een Windows laptop (wellicht ook Apple?).
Zie je in de verkenner bij "netwerk" de bij die locatie gebruikte netwerk apparaten / host-namen van die apparaten
(bij keuze "delen" van het netwerk).  Maar dat niet alleen, je ziet daarbij ook je eigen netwerk apparaten thuis.

Dat is wel zo gemakkelijk, men hoeft geen IP-adressen in te geven van netwerk apparaten.

1. Netwerk apparaten op locatie - zonder VPN verbinding.
2. Netwerk apparaten inclusief die van de eigen thuis netwerk situatie bij SSL VPN. (Rood gemarkeerde apparaten).

1.         2.

[Babylonia]

Evaluatie I:
Tussentijdse evaluatie m.b.t. IPv6, en het verder geschikt maken van het router systeem.
Gaandeweg ook het opbouwen van een soort van handleiding zoals ik dat eerder heb gedaan.
(Als alles functioneel is, kan ik pagina’s aaneensluitend overplaatsen naar een nieuw onderwerp en tussentijdse reacties weg laten).
Het is ook een hulp en verslag voor mezelf waar ik op kan terugkrijgen en zaken in kan terugzoeken. (URL's naar achtergrond info).

Het „leek“ allemaal prima te werken. Maar bij het verder „opbouwen“ / afstemmen voor IPv6
lijken er op verschillende niveaus toch weer onverwachte kinken in de kabel te zitten.
Door de vele variabelen is het moeilijk de ultieme oplossing te vinden.

Je begint met enkel de router en de internetverbinding thuis om die op IPv6 af te stemmen.
Dat is de start, en relatief eenvoudig af te stemmen.
De gebrekkige kennis van mezelf m.b.t. IPv6, wordt gaandeweg met vallen en opstaan ietsje breder.      

Maar dan:
Met gebruik van VPN heb je diverse data-streams extra waar je rekening mee moet houden.
Daarmee werken niet op alle niveaus de VPN verbindingen meer die je probeert op te zetten.
En de firewall regels die eraan zijn gerelateerd.

Een lijstje van „onverwachte“ zaken waar ik tegenaan liep  -  "en nog" :
(en een aantal ervan in het algemeen ook makkelijk over het hoofd kunnen worden gezien).

• Aanvankelijk ontbrekende menu’s in de SRM firmware door mogelijk eerdere interventie van Synology support
  in trajecten van oplossen van bugs, en updates die elkaar volgden. (Heb een RT6600ax router vanaf 2 dagen na introductie).
  Na volledige fabrieksreset (ten dele) opgelost, want er zit nog een "echte bug" in de huidige SRM firmware versie.
  (Geen „Uit“  menu meer om IPv6 uit te schakelen, nadat IPv6 is ingeschakeld ---> info onderaan bij < deze reactie >).
  
  
• Mobiele telefoon om VPN „van buitenaf“ / extern makkelijker thuis te kunnen uittesten.
  Het mobiele telefoon abonnement (YouFone) waarbij IPv6 aanvankelijk niet lijkt te functioneren.
  (Alle andere functies van een telefoon werken daarbij gewoon wel normaal). Voor IPv6 testen bij een kennis aangeklopt.
  Telefoon helemaal uitzetten, en weer aanzetten, en IPv6 functionaliteit is weer terug.
  
  
• Gaandeweg verdere uitbreiding van IPv6 - met instellingen ook m.b.t. mijn NL-domein en toevoegen van extra AAAA record
  bij de hostingprovider waar het domein is geregistreerd. Functionaliteiten m.b.t. de firewall erna ineens anders uitpakken.
  (Aanroep op domeinnaam eerder was alleen IPv4 gericht ---> DAARMEE werd de verbinding gelegd - en niet op basis van IPv6
  Hoewel dataverbindingen erna op zichzelf wel IPv6 gerelateerd kunnen zijn).
  Alleen het eigen Synology SSL VPN protocol fietst door alles heen. Dat werkt prima.
  Zelfs via gedeeltelijke IPv4 trajecten.  IPv6 functionaliteit reist "via de VPN tunnel" mee in de VPN connectie.
  
  
• In hoeverre heeft „tijdelijke NIET IPv6 functionaliteit“ van mijn serviceprovider zelf invloed op DNS aanroepen van mijn NL domein??
  (Bij testen op IPv6 functionaliteit, van website en klantenportaal van de provider kwam ik daar achter, en er vragen over gesteld).
  
  
  
  Als alternatief heb ik voor één VPN methode nu een  Synology DDNS  opgenomen.
  Maar lijkt daarmee niet het verschil te maken.
  
  
• Ontbreken van IPv6 functionaliteit in de Synology router zelf die niet lijken te voorzien op volledige IPv6 compatibiliteit??
  Voor elk netwerk in de Synology router kan men IPv6 adressen functies toevoegen. Behalve voor het Default VPN netwerk zelf.
  IPv6 in te stellen Firewall regels  die daar niet in voorzien !!  (Die zijn alleen als IPv4 firewall regels te valideren / in te stellen).
  
  
• Dan de uiterst vreemde resultaten m.b.t. VPN
  Drie verschillende benaderingswijzen, waarbij twee methoden prima werken  -  de 3e niet.
  
  1. Windows Laptop - WiFi 1 :
  Mijn laptop als inzet voor VPN connectie via een WiFi hotspot met mijn mobiele telefoon (Android 11).
  Mobiele telefoon alleen de mobiele data en WiFi hotspot zelf ingeschakeld, gewone WiFi ontvangst uit.
  
  ALLE VPN protocollen functioneren "op zichzelf wel"  inclusief internet browsen via webbrowsers.
  (Nog) niet elk VPN protocol op IPv6 niveau voor wat betreft OpenVPN en L2TP/IPSec.
  OpenVPN is mogelijk nog aan te passen via aan te passen commando's  in het configuratiebestand.
  
          PPTP   (= onveilig protocol)   bij IPv6 mobiele hotspot  ----->  browsen  IPv4 en IPv6 compatibel
          STTP                                    bij IPv6 mobiele hotspot  ----->  browsen  IPv4 en IPv6 compatibel
          Synology SSL   ongeacht IPv4 of IPv6 mobiele hotspot  ----->  browsen  IPv4 en IPv6 compatibel
          L2TP/IPSec       browsen   alleen IPv4 compatibel  (überhaupt nog geen enkele keer een positief IPv6 resultaat gehad)
          OpenVPN         ongeacht IPv4 of IPv6 mobiele hotspot  ----->  naast een IPv4 en IPv6  uitgegeven connectie IP adres
                                                                                          ----->  is browsen van internetdata alleen  IPv4  compatibel
  
  Via Windows verkenner is er connectie met achterliggende NAS servers en bijv. de USB-stick in de router van het thuisnetwerk.
  
  Alleen het L2TP/IPSec protocol heb ik expliciet alleen functioneel voor IPv4 door bij de VPN Client instellingen
  mijn internet WAN IPv4 adres op te nemen voor connectie inplaats van een domein naam welke nu IPv6 is afgestemd.
  
  Hoewel volgens bronnen bij Microsoft het  L2TP/IPSec  VPN protocol wel IPv6 compatibel zou moeten zijn:
  https://learn.microsoft.com/en-us/answers/questions/1361420/does-windows-os-support-ipv6-l2tp-clients
  https://learn.microsoft.com/en-us/answers/questions/1359103/the-specification-of-ipv6-in-windows-10-vpn-(l2tp
  
  
  2. Windows Laptop - WiFi 2 :
  Laptop aan een WiFi netwerk bij een kennis thuis met vast internet en IPv6.
  Alle resultaten hetzelfde als hierboven met een WiFi hotspot van een mobiele telefoon.
  Ook getest vast internet IPv4.  Webbrowser resultaten dan als IPv4  +  Synology SSL die via VPN-tunnel ook IPv6 meeneemt.
  
  3. Android smartphone:
  Dezelfde VPN testen ook uitgevoerd vanuit de mobiele telefoon met VPN apps en VPN functionaliteit van de telefoon zelf.
  (Bij die testen geen hotspot connectie van laptop etc.  -  gewoon een zelfstandig werkende mobiele telefoon).
  WERKEN allemaal correct op zelfde wijze als hiervoor voor wat betreft benadering van NAS en USB-stick via een File manager.
  
  Maar browsen met een internetbrowser op de telefoon:
  Werkt WEL  voor:     Synology SSL    alleen IPv4    en VPN gekoppeld aan Primair netwerk
  Werkt WEL  voor:     SSTP                alleen IPv4    en VPN gekoppeld aan Primair netwerk
  -
  Werkt NIET voor:     L2TP/IPSec       ook geprobeerd te koppelen met Primair netwerk ---> negatief
  Werkt NIET voor:     PPTP                ook geprobeerd te koppelen met Primair netwerk ---> negatief
  Werkt NIET voor:     OpenVPN          netwerk is niet te koppelen met Primair netwerk (heeft alleen eigen separaat netwerk)
  
  Testen met   L2TP/IPSec   -   OpenVPN    van connecties naar VPN-servers bij familie en kennissen werkt internet browsen WEL.
  Als opmerking, dat die in de basis verder nog alleen zijn afgestemd op IPv4 functionaliteit.
  
  Dus het lijkt hem echt te zitten in IPv6 functies of instellingen van de router??   
  

Alle mogelijkheden ook m.b.t. volgorde van Firewall regels / in- uitschakelen van regels / extra regels heb ik uitgeprobeerd.
VPN onder de Default netwerken of specifiek onder het Primair netwerk.
De resultaten veranderen daar echter niet mee.  Zal een Support ticket gaan inschieten bij Synology.

Voor wie  IPv6  voorlopig nog niet hoeft, dat ook nog niet heeft ingeschakeld,
(vooral NIET inschakelen, want je kunt dan niet terug) en toch VPN wil inzetten, met name op een smartphone.
LAAT HET VOORLOPIG EVEN ZO  Alleen onder IPv4 draaien functies wel.

Of je zou alleen op een smartphone nog met  Synology SSL VPN   en   SSTP VPN  kunnen werken.


6-4-2024

KPN IPTV - I :
Wisselwerking / functionaliteit  KPN IPTV  in relatie tot IPv6.
Zie aanvullingen < bij eerdere reactie > - hoofdstuk ergens over de helft heen van die reactie, net voor Firewall instellingen.

        Langere pauze (tussentijds zwart scherm), van diverse seconden,
        bij wisselen van een "terugkijk" bekeken programma = unicast   -   naar Live TV-signaal = multicast.

In hoeverre wordt bij inschakeling van IPv6 dat achterliggend in de Synology router ook doorgetrokken naar een KPN connectie profiel?
Zoals dat speciaal een keer voor KPN gebruikers door Synology is ontwikkeld.  En dan met name voor KPN IPTV "routed mode".

Een  "IGMP proxy server"  die IPTV streams verdeelt over de LAN netwerken, lijken geheel buiten dit soort IPv6 instellingen te vallen?
Op ander niveau m.b.t. mogelijk te gebruiken firewall regels, is dat namelijk ook al het geval. Een volledig intern afgestemd netwerk,
niet toegankelijk naar en vanuit internet zelf.  Laat TV streams vanuit internet via de proxy server ongehinderd door.
Is verder ook geldig voor elk LAN netwerk wat is ingesteld.  Ofwel op elk LAN netwerk zou men TV kunnen bekijken.
Is verder niet te beperken / af te blokken tot één of twee LAN netwerken.  (Wat mogelijk het algemene netwerkverkeer vertraagt?)

Moet dat ook nog gaan uitzoeken bij KPN zelf in hoeverre zij volledig IPv6 transparant zijn met IPTV services in hun systemen.
[ EDIT 12-4-2024 ]    De IPTV services zijn alleen IPv4 afgestemd als interne connectie tussen KPN en klant/abonnee.

In ieder geval is een KPN  Arcadyan HMB2260 v2  TV Settopbox van pakweg 7-8 jaar oud in het geheel niet IPv6 compatibel.
Zelfs in de verbinding met het IPv6 afgestemde thuisnetwerk, waarbij andere apparaten naast IPv4 ook een IPv6 adres krijgen aangeboden.
Komt een IPv6 aanmelding in de TV ontvanger in het geheel niet voor.  (Firewall regel voor "alleen" IPv4 uitgeschakeld).
Daarmee ook alleen een IPTV stream op basis van IPv4 (zelfs als de IPTV implementatie van een Synology router ook IPv6 zou omvatten).




Als opmerking daarbij (om het ingewikkeld te maken  ) :
M.b.t. de  IGMP proxy server  -  IPTV "terugkijk" bekeken programma's = unicast   -   Live TV-signaal = multicast.
DIE TV streams komen binnen via het KPN profiel met VLAN 4 op de WAN aansluiting,  (en als interne TV service alleen afgestemd op IPv4 ).

De TV gids, menu's e.d. van de KPN TV-box + evt. abonnementen op Netflix, Disney+  e.d.  komen binnen via de normale internet verbinding.
Via het KPN profiel met VLAN 6 op de WAN aansluiting.   [ EDIT 12-4-2024 ]  De Android KPN+ TV-box is voor dit onderdeel IPv6 compatibel.


14-4-2024

KPN IPTV - II :
M.b.t. KPN IPTV services - zie reeds aangevulde "EDIT" regels bij vorige stuk tekst.  (TV als service is en blijft alleen IPv4 afgestemd).
         Betekent dat Synology het speciaal samengestelde "KPN" IPTV connectie profiel niet hoeft aan te passen.
M.b.t aanvullingen < bij eerdere reactie > - hoofdstuk ergens over de helft heen van die reactie, net voor Firewall instellingen.

        Langere pauze (tussentijds zwart scherm), van diverse seconden,
        bij wisselen van een "terugkijk" bekeken programma = unicast   -   naar Live TV-signaal = multicast.

Heb dat nu omzeild door een apart VLAN netwerk aan te maken in de Synology router, alleen IPv4 afgestemd, en alleen voor de TV-box.
Met DNS instellingen van KPN zelf.

Met aanpassingen heen en terug / testen ben ik bij instellingen van de Synology router wel een compleet IPv6 "prefix" als keus verloren.



Ga / moet om die reden de Synology router weer opnieuw resetten naar fabrieksinstellingen.   

[Babylonia]

Evaluatie II:

Een maand terug de voorgaande evaluatie geschreven.....
Met het voornemen alles te resetten naar fabrieksinstellingen.  Vanuit die reset opnieuw een basis configuratie opgezet.

< In een ander  IPv6 / DHCPv6  onderwerp >  is daar enkele weken terug uitgebreid verslag over gedaan - belangrijke info, beslist lezen.
(Die bevindingen zullen in een later tijdsbestek worden samengevoegd met onderdelen uit dit onderwerp, voor een compleet nieuw overzicht).

IPv6 instellingen die als aanbeveling van een "Ziggo-gebruiker" als voorbeeld werden gegeven om in te zetten,
wat voor een Ziggo-connectie "goed" werkt in samenwerking met een Synology router, pakte voor KPN grandioos verkeerd uit !
(KPN is geen Ziggo  ).

        In hoeverre eerder beschreven fouten daarin negatief doorwerkten bij  "KPN klant-systeem"  gerelateerde zaken.
        Of dat controle door KPN bij een verkeerde set-up van de router, daarin dan een zodanige interferentie veroorzaakt,
        dat ik daarbij (opnieuw) een fabrieks-reset moest uitvoeren, is niet te achterhalen.

De keus aan instellingen die ik uiteindelijk heb gemaakt, houd rekening met  "IPv4 only"  IPTV diensten die voor KPN gelden.
Dus zonder IPv6 instellingen voor die TV diensten.  Betreft de streaming die via VLAN 4 op de WAN poort binnen komt.
(Met DNS server instellingen afgestemd voor IPv4 only).   WEL  IPv6 + IPv4 voor internet.
Die set-up draait vooralsnog stabiel.   Juist ook voor IPTV.

Aanmerkingen < eerder beschreven > (heel stuk naar beneden scrollen).

        KPN IPTV :
        Als negatief effect van de hele IPv6 implementatie merkte ik op dat er een langere pauze kan zijn (tussentijds zwart scherm),
        van diverse seconden, bij wisselen van een "terugkijk" bekeken programma = unicast   -   naar Live TV-signaal = multicast.

Werkt nu zonder problemen (geen pauzes meer bij wisselen van "terugkijk" bekeken programma's), zonder aanvullende instellingen.


VPN verbindingen:
Opgelost de eerdere problemen van alleen connectie met thuis bestand servers, en dan "géén" mogelijkheid van internet browsen,
bij het Android OS systeem.   Verder nog wel problemen wat resulteert in  IPv4  only bij enkele VPN protocollen voor div. OS systemen.

L2TP/IPSec :
Nog steeds probleem bij gebruik van L2TP/IPSec Client voor Windows en gebruik van een DDNS-domeinnaam (of een eigen domein).
Waarbij geen VPN-verbinding wordt opgezet indien ook IPv6 actief is.
---> "Tijdelijke" oplossing voor nu:
        Vul het echte "IPv4" WAN-adres in voor de verbinding. ---> Daardoor alleen IPv4 "tunnel"-verbindingen.
        Maar geen probleem als de VPN Client zelf over een IPv4- en/of IPv6-verbinding beschikt.

Het zou daarbij mogelijk "alleen" een Windows gerelateerd probleem kunnen zijn?  (Overigens dat probleem ook bij Windows 10).
Vorige maand   -April 2024-   bij een update van Windows 11 werden er namelijk juist ook nieuwe VPN problemen geïntroduceerd.
(Na update helemaal geen VPN connectie).
https://www.theverge.com/2024/5/2/24147054/microsoft-windows-11-vpn-issues-update

De patch erna  -15 mei 2024-  heb ik nog niet uitgetest. (Moet dat bij een kennis doen die Windows 11 gebruikt).
https://www.theverge.com/2024/5/14/24156882/microsofts-new-windows-11-update-brings-fixes-for-the-vpn-problems-from-the-last-update

Géén problemen via smartphone - Android 11  met een L2TP/IPSec Client en gebruik van een DDNS of eigen domein .
Ook IPv6 VPN tunnelgegevens bij internet browsen blijven functioneel.


OpenVPN :
De VPN-verbinding zelf wordt wel correct tot stand gebracht via IPv4 en IPv6
Internet browser VPN tunneldata zelf, is echter alleen IPv4 functioneel.

Géén problemen bij Microsoft  PPTP  IPv4 en/of IPv6.  Maar om veiligheidsredenen wordt die VPN-methode niet aanbevolen.
Géén problemen bij Microsoft  SSTP  IPv4 en/of IPv6.
Géén problemen bij Synology  SSL    IPv4 en/of IPv6,  en het meest eenvoudig in te stellen.

Daar waar hiervoor de VPN methoden nog niet volledig  IPv4 / IPv6  correct werken  (OpenVPN  en  L2TP/IPSec)
Is alsnog interactie met Synology Support benodigd.

Verder blijft ook nog open staan voor interactie met Synology
Het ontbreken van een uitschakel optie in het menu voor IPv6, als die eenmaal is ingeschakeld. (Men kan niet meer terug naar IPv4 "only").

[Birdy]

Er is nog steeds werk aan de winkel voor Synology......dankzij jou, goed bezig