Router achter Ziggo Connectbox: to bridge or not to bridge?

[bartmans99]

Sja ach rocket science is het niet. Maar als de update 1x fout gaat, is er geen optie in SRM om het nog een keer te proberen. Dan mag je de MR hard resetten met een n paperclip, apparaat verwijderen in SRM en t nog een x proberen.

[Babylonia]

Er zijn overigens meerdere wegen naar Rome.
Ik heb geen RT2600ac, maar een RT1900ac (zonder mesh functie).

Vorig jaar als een van de eerste met een MR2200ac heb ik die "bewust" zonder enige internetconnectie, of connectie met de RT1900ac,
mijn PC aangesloten op het LAN-poortje van die MR2200ac. Kon die toen als "router" functie benaderen, en alle nodige zaken handmatig upgraden.
(De betreffende SRM firmware had ik reeds van tevoren allemaal handmatig gedownload en lokaal opgeslagen).

Was juist leuk, want kwam in de MR2200ac een "oer" SRM versie tegen,
die officieel nooit in het openbaar is uitgebracht voor de MR2200ac.

(Voor meer info zie het bericht van vorig jaar < HIER > ).

[Briolet]

Ik heb sinds vandaag ook een Connectbox. Voorlopig heb ik hem in routermode laten staan en de RT 1900ac in de DMZ gezet. Alles werkt gewoon weer. Ook de mailserver en VoIP telefoons. Ik was al bang dat ik DS-lite zou krijgen.

Nieuw is dat de Connectbox nu IPv6 heeft. Bij andere ziggo routers lees ik dat je een heel adresblok naar de 1900 kunt doorsturen, die het vervolgens weer verdeelt.  Dat deel lukt me niet. Mis ik wat, of kan dat niet bij de Connectbox.
De 1900ac krijgt wel een IPv6 toegewezen op zijn wan, maar intern kan hij er niets mee.
Ik vind op het forum ook niemand die dat bij de connectbox geprobeerd heeft.

Maar goed, IPv6 is voorlopig ook geen must voor mij. Indien wel, kan de connectbox zo in bridge.

[Babylonia]

M.b.t. IPv6, misschien heb je wat aan de volgende informatie, is voor Ziggo in dat geval echter WEL in bridged mode:

Ziggo (in bridged mode) + Synology router IPv6 instelling  zie  ander onderwerp.

[Briolet]

Ik had het gezien, maar genegeerd omdat het over bridged mode ging. 

Nu ik er nog eens naar kijk, zie ik een tekst in het eerste screenshot die ik zelf niet had gezien. (DHCPv6-PD)  Dus weer even ingelogd en naar dat veld gekeken. Bij mij stond daar 'automatisch'. Ik vond dat goed klinken. Maar als ik dat nu op DHCPv6-PD zet, kan ik onder netwerken ook uit de twee prefixen kiezen.

Na de rest gevolgd te hebben, zie ik dat mijn laptop nu een IPv6 adres heeft en ook via IPv6 een IPv6-only site kan bekijken. Ook de nas heeft nu een globaal IPv6 adres.

Dan het volgende probleem: Hoe zorg ik dat ik weet wel device, welk IPv6 adres krijgt. In de DHCP server van de nas, zie ik daar geen mogelijkheid voor. Ik kan alleen IPv4 adressen toewijzen.

De laptop heeft nu twee DNS servers via DHCP opgehaald. De IPv4 DHCP server op mijn nas en een IPv6 DNS server als router adres. Dat zullen dus de Ziggo DNS servers zijn. Maar het is natuurlijk niet de bedoeling dat een IPv6 verbinding de eigen DNS server negeert. (Maar dat is voor morgen en de rest van de week)

[hoorna]

@Briolet, er staan in het draadje dat @Babylonia noemde nog meer berichtjes van mijn hand. Die berichtjes gaan onder meer over DNS bij IPv6.

[Briolet]

Als je een eigen DNS server gebruikt wil je geen secundair DNS opgeven omdat je wilt dat al het verkeer altijd via de eigen DNS loopt.  Bij mij is de secundaire DNS in de router dus leeg. Daar kan ik nu inderdaad een IPv6 adres invullen. En als je de de IPv6 instelling niet op DHCPv6-PD zet, maar op handmatig, dan kun je de DNS ook aanpassen.

Je kunt het globale IPv6 adres gebruiken dat de router nu aan de nas gegeven heeft, maar je kunt ook het self-assigned link scope adres gebruiken. Bij IPv4 is het heel ongebruikelijk om met de self-assigned adressen te werken, maar bij IPv6 is het blijkbaar gebruikelijker. Ik zie b.v. dat de router dat adres ook voordefinieert als gateway adres en niet het Ziggo IPv6 adres.

Het probleem begint eigenlijk bij de DNS server van Synology zelf. Ik kan slechts twee doorstuur servers definiëren. Daar staan nu de twee dns adressen van OpenDNS. Ik zal daar ook één moeten laten vervallen en door een IPv6 vervangen. Jammer dat er geen extra velden zijn voor IPv6 DNS servers. Op mijn Ziggo Ubee router kon ik 3 DNS servers opgeven.

En dan wordt het nog interessant welke DNS servers van OpenDNS je moet gebruiken. Op de standaard DNS kunnen ze niet hun filtering gebruiken.  Ze raden zelf aan om op het interne netwerk geen IPv6 DNS te definiëren, om zo te dwingen om DNS via IPv4 op te vragen.

Ik zal er nog een tijdje mee experimenteren en kijken welk instellingen het netwerk nog accepteert 

[Briolet]

Ik had nog een probleem. Ingaand IPv6 verkeer werkte nog niet. Om dat te testen heb ik voor mijn domein een subdomein aangemaakt die alleen naar het IPv6 adres van de nas wijst. Via dat adres was de nas niet bereikbaar.

In mijn oude Ubee moest je externe IPv6 toegang per intern apparaat expliciet toestaan. De Connectbox heeft die optie niet en zal waarschijnlijk alle IPv6 adressen doorlaten naar elk intern apparaat. Dus ook richting mijn Synology router. Het probleem moet in de RT1900 zitten.

Het is inderdaad de firewall die nog verder geconfigureerd moet worden.  De IPv4 verbindingen hoef je niet in de firewall in te stellen. Door het forwarden worden de poorten automatisch toegestaan in de firewall. Wil je dat deze poorten ook voor IPv6 gebruikt kunnen worden, moet je alsnog deze regels handmatig toevoegen. In de handleiding van Babylonya moet je dus in sectie H alles nog eens dupliceren met het IPv6 adres als doel.

Daar zie ik wel een klein probleempje. Als ik b.v. poort 80 en 443 wil toestaan en doe dat alleen naar het IPv6 adres van de nas, dan gelden deze firewall regels alleen zolang ik van Ziggo geen nieuw IPv6 adres uitgeeft. Voorlopig heb ik de poorten maar naar alle apparaten toegestaan. Daar ben ik ook niet zo happy mee en zal ik nog nader naar kijken.

[Babylonia]

Zelf ben ik helemaal nog niet thuis in dat IPv6  (hooguit een eerste aanzet proberen daarin te maken),
maar houd je berichten daarover in de gaten.   (En dan nog volledig moeten snappen) 

[Briolet]

Ik had de regels in jouw sectie H nooit aangemaakt omdat deze regels impliciet in sectie I aangemaakt worden door te forwarden naar een specifiek intern adres.

Met IPv6 moet je alle poorten die met IPv4 door het forwarden al toegevoegd zijn, nu expliciet als IPv6 doel toevoegen in sectie H.

[Babylonia]

Maar jij gaat dan ook uit van jou eigen situatie, (bij een connectie met Ziggo),
waarbij je in jou situatie automatisch firewall regels laat aanmaken als je port forwarding gaat instellen.

Door het forwarden worden de poorten automatisch toegestaan in de firewall.

Kennelijk verwijs je naar mijn uitleg rondom firewall regels.

Sowieso zijn daarbij de eigen toegevoegde regels gefilterd / ingesteld tot op regio niveau.
Dat doen die automatisch gegenereerde regels NIET. Die gelden voor "heel de wereld". Dat is een enorm verschil in werking / impact.
Dus dat is op zichzelf al reden genoeg om ze er alsnog handmatig bij te zetten, omdat die regels niet dezelfde werking hebben.

In mijn uitleg geef ik verder tevens nog aan dat ik de instellingen van alle automatisch aangemaakte firewall regels
en bijv. UPnP heb uitgeschakeld.   (Zie  AANVULLING:  5 maart 2019).

Juist omdat geen rekening wordt gehouden met "regio blocking" (of juist het toelaten op regio niveau).
De automatisch aangemaakte regels zijn verder ook niet naar eigen behoefte alsnog aan te passen.
(Bij mij verschijnen die automatische regels dan ook in het geheel niet, omdat ze zijn uitgeschakeld.
 Dan zul je regels toch echt zelf handmatig moeten aanmaken).

Bovendien houd ik helemaal nog geen rekening met IPv6 (niet ingeschakeld),
omdat bij gebruik van een KPN connectie waarbij een PPPoE connectie wordt ingezet  +  een  IPTV & VoIP  provider profiel,
Ipv6 helemaal niet eens werkt.  Daar hebben achterliggend op dit moment drie KPN Synology gebruikers Support tickets voor ingestuurd.
(En is nog niet afgerond of aangepast in een firmware update  -  voor geen enkel model Synology router).

Voor mij heb ik dat ticket bovendien een aantal weken op "pauze" gezet, omdat het achterliggend is ingestuurd voor een RT2600ac,
en ik tevens ook nog lopende tickets had lopen, rondom de RT6600ax die meer prioriteit hebben,
(waarbij met een RT6600ax overigens hetzelfde IPv6 probleem aan de orde is).

Ofwel jou situatie met een Ziggo connectie is niet te vergelijken met de situatie voor mij met KPN en mijn uitleg over firewall regels.
En dat zal beslist bij elke gebruiker nog weer anders zijn, omdat elke gebruiker andere opties inzet in zijn netwerk dan bij mij.
Overigens ben ik bezig met een totaal nieuwe beschrijving over firewall regels m.b.t. SRM 1.3 in relatie tot de RT6600ax,
waarbij IPv6 door de problemen ermee, tot op de dag van vandaag daarin ook nog niet in zijn meegenomen.

Maar als ik je reactie hierboven goed begrijp dat met handmatig toevoegen van firewall regels daarbij wel IPv6 wordt toegevoegd.
(Als IPv6 is ingeschakeld uiteraard),  ik na correctie door Synology van de bugs van IPv6 voor een KPN connectie,
ik eigenlijk niet eens veel hoef aan te passen in die handleiding??   

[Briolet]

Sowieso zijn daarbij de eigen toegevoegde regels gefilterd / ingesteld tot op regio niveau.
Dat doen die automatisch gegenereerde regels NIET. Die gelden voor "heel de wereld". Dat is een enorm verschil in werking / impact.
Dus dat is op zichzelf al reden genoeg om ze er alsnog handmatig bij te zetten, omdat die regels niet dezelfde werking hebben.

Dat verschil is beperkt omdat het doel de nas is en die doet zelf de regio blokking. Dan is er geen reden om moeite te doen om dit ook nog op de router in te stellen. Dat voelt als dubbel werk waarbij je steeds beide firewalls moet bij houden tot op detail. En in mijn geval was dit alles al geregeld in de nas voordat de router er bij kwam.

[Babylonia]

Dat zijn dus gewoon persoonlijke verschillen in werkwijzen - men kan alle kanten op.

De beschreven uitleg is vanuit de basis van een Synology router. Daar geldt die uitleg voor.
Dat je dat persoonlijk enkel in een router instelt, of alleen in een NAS, of dat dubbelop instelt is niet de kern waar het om gaat.
(Er zijn mogelijk ook gebruikers van Synology routers die helemaal geen Synology NAS hebben?)
Ik geef slechts een voorbeeld om richting te geven hoe men firewall regels kan instellen.
Binnen dat gegeven voorbeeld moet het uiteraard wel kloppen.

In ieder geval ga ik uit dat men centraal in een router  -wat het aangewezen netwerk regelcentrum is-  dat men daar alles regelt.
Alleen al om het overzicht te houden en vergissingen zoveel mogelijk te beperken.
En niet half half, dat men uitgaat van oudere situaties waarbij dat verderop in een NAS alsnog wordt afgevangen?

Kan natuurlijk onmogelijk voor elke individuele gewenste situatie daar nog weer eens extra uitzonderingen op gaan schrijven.
Dat is iets waar de gebruiker zelf mee aan de slag kan en dat voor zichzelf "anders" doet.