după activarea IPv6 pe router, internetul funcționează lent

Vai de mine cat de necesar si future proof este acest ipv6.

Dureri de cap indeed, ipv6, 2 bife pe o petarda de router, la implementari de genul asta faceti referinta?

Desi acest ipv6 e demult in schema, deocamdata e un mare fas, my 2 cents.

Desigur, cei care il aveti implementat va puteti bucura in liniste de toate beneficiile dansului.

P.S. Scuzati mixul RO-EN.

 bardu, on 08 aprilie 2023 - 16:31, said:

Nu... dar cand nu mai folosesti SLAAC ci DHCPv6 + ULA nu mai e asa de usor precum "2 bife"
Sa nu mai zic de NAT6... care e mai complicat de facut, + firewall adecvat pentru V6, fiindca da, fiecare adresa formata din prefixul delegat de provider este publica si accesibila direct din internet, nu mai ai "umbrela" NAT-ului, trebuie sa "mesteresti" cata la firewall ca sa ai protectie si sa iti mearga si port forwoard, IP rules, etc. Petardele actuale daca activezi firewall pe v6 iti blocheaza tot... tot la mana unui FW alternativ sau migrarea catre HW si SW potent (gen Mikrokit) ajungi.
Cat despre future proof... nu este, IPv6 este prezentul. Eu si cu DNS Dinamic activat mai primesc IP de CGN la RDS o data la 2-3 reconectari de PPPoE... Deci, folosesc main IPv6 pentru accesare resurse remote(NAS, VPN Wireguard pe router, etc). Toate site-urile pe care le accesez (YouTube, Netflix, Softpedia, Facebook, Spotify) folosesc IPv6 de ani buni... Sa nu mai zic de torrente, care si alea au migrat pe v6 tocmai din cauza problemelor cauzate de CGN si de blocarea P2P care apare in cazul acestor adrese.

Edited by Rares95, 08 April 2023 - 16:40.

 Rares95, on 08 aprilie 2023 - 16:36, said:

Dacă securitatea cuiva stă în ideea că oricum are NAT, securitatea aia e cam varză.

Acum câteva zile era unu pe forum care spunea că nu-i nicio problema că îi apar deschise SSH-ul și portul 80 indiferent de ce site folosea pentru "test". NAT-ul ajuta mai ales userii care au parola admin/admin pe router și eventual la wifi aia default.
Cat despre IPv6... Da, e un risc mai mare că IP-urile sunt direct în internet și fără un firewall pe gateway trebuie sa ai încredere în ăla de pe device in sine. Oricum, nu știu câți stau sa scaneze IP-uri V6, mna, eu folosesc DHCPv6 și am alocări scurte de genul Prefix::100, 101, etc, dar multi stau pe SLAAC, acum până și Windows folosește privacy extension și își generează adrese noi la fiecare pornire, deci scanare pe V6 este o pierdere de timp și resurse.
In orice caz, atât pe v4 cât și pe V6 sunt "stealth" la scanări, totul merge in drop.
Pentru userii care au nevoie sa acceseze resurse remote e un "must" sa aiba rețeaua in v4/V6 complet, la mine sunt 50/50 șanse ca la conectare sa primesc IPv4 de CGN, cu V6, nu mă mai interesează. Firewall făcut bine, cu port forward functional pe V6, in rest totul la drop.

Bun asa!

Ideea este urmatoarea, eu folosesc "cateva" liste dinamice cu ip-uri v4, talos, ciarmy, spamhouse, abusech, botnet (astea se actualizeaza automat la 15 minute), etc, insumand cca 170.000 de adrese pe care le blochez direct, discard, pentru un plus de securitate.


Treaba asta n-ar mai functiona cum trebuie cu ip v6 activat.

P.S. Lol, NAT-ul e minunat, asa putem avea mai multe dispozitive acasa folosind acelasi ip de la ISP.
NAT-ul poate veni la pachet si cu putina securitate, cu preconditia de a fii facut minim de un stateful firewal, si fara upnp activa.

Edited by bardu, 08 April 2023 - 18:52.

schimba router-ul

Apr 9 12:00:12 gw  BlackList: Processing block file list (IPv4): ' 00_www.team-cymru.org_fullbogons-ipv4.txt 01_www.team-cymru.org_fullbogons-ipv6.txt 02_rules.emergingthreats.net_emerging-Block-IPs.txt 03_www.spamhaus.org_drop.txt 04_www.spamhaus.org_dropv6.txt 05_www.spamhaus.org_edrop.txt 06_lists.blocklist.de_all.txt 07_iplists.firehol.org_firehol_level1.netset 08_ransomwaretracker.abuse.ch_RW_IPBL.txt 09_feodotracker.abuse.ch_ipblocklist.txt'
Apr 9 12:00:15 gw  BlackList: Applying IPset (IPv4)
Apr 9 12:00:16 gw  BlackList: Processing block file list (IPv6): ' 00_www.team-cymru.org_fullbogons-ipv4.txt 01_www.team-cymru.org_fullbogons-ipv6.txt 02_rules.emergingthreats.net_emerging-Block-IPs.txt 03_www.spamhaus.org_drop.txt 04_www.spamhaus.org_dropv6.txt 05_www.spamhaus.org_edrop.txt 06_lists.blocklist.de_all.txt 07_iplists.firehol.org_firehol_level1.netset 08_ransomwaretracker.abuse.ch_RW_IPBL.txt 09_feodotracker.abuse.ch_ipblocklist.txt'
Apr 9 12:00:24 gw BlackList: Applying IPset (IPv6)
Apr 9 12:00:26 gw BlackList: IPv4 blocklist items fetched: 27087, unique: 23440, final: 35354
Apr 9 12:00:26 gw BlackList: Total IPv4 prefix length count (including hosts): 3
Apr 9 12:00:27 gw BlackList: IPv6 blocklist items fetched: 140185, unique: 140185, final: 140185
Apr 9 12:00:27 gw BlackList: Total IPv6 prefix length count (including hosts): 96
Apr 9 12:00:29 gw BlackList: Finished at 12:00:29 EEST Sun 09 Apr 2023

de 2x pe zi (o data la 12h) - mai des nu prea are rost.

Edited by ogo, 09 April 2023 - 18:59.

Doar botnet la 15 minute, daca n-ai noroc si prinzi unu din asta inseamna ca si 15 minute a fost prea mult.
Ip v6 drop everything !

de ce drop la tot? exista firewall si pt ipv6...

Nu vreau sa alerg si dupa liste de ip v6.
PS. Eu folosesc opnsense

ah...GUI addicted: click-next-done

Well that depends.

 ogo, on 10 aprilie 2023 - 10:31, said:

Este dar mai bine il dezactivezi, ca nu e firewall real ci blocker de fapt

Cand faci "established/related" deja ai terminat functionalitatea de baza in ipv6, direct connec-ul din exterior fara nat. Aplicatii gen torrent si remote control nu mai merg bine.
In IPV6 firewall e la nivel de os. Routerele trebuie sa lase liber fluxul ipv6 sa ajunga fiecare la dispozitivul vizat.

Edited by andreic, 10 April 2023 - 12:53.

pardon? cum sa nu existe?? si cum sa nu mai mearga si torr-entii?
established/related are legatura doar cu conexiunea deja initiata
firewall-ul ipv6 este exact pe acelasi principiu ca si la ipv4. nu inteleg ce vrei sa zici...sau crezi ca daca ai ip public pachetele nu mai trec prin gateway sau cum?
ca fapt divers vezi counter-ul meu de mai sus cu regulile de DROP ce sunt "atinse" atat pe lan cat si pe wan.
chiar nu inteleg ce vrei sa expui...

LE
crezi ca RDS-u mi-a dat un host de genu' b00b:babe??? ala e gateway-ul meu ipv6. totul trece prin el.

ogo@hera:~ $ mtr -w -6 one.one.one.one
Start: 2023-04-10T14:27:56+0300
HOST: hera						  Loss%   Snt   Last   AVG  Best  Wrst StDev
  1.|-- 2a02:2f0d:xxx:xxx::b00b:babe  0.0%	10	0.3   0.3   0.2   0.3   0.0
  2.|-- TotulVaFiBine.rdsnet.ro		0.0%	10	4.9   4.4   3.3   5.3   0.6
  3.|-- TotulVaFiBine.rdsnet.ro		0.0%	10	1.9   2.0   1.9   2.1   0.1
  4.|-- ???						   100.0	10	0.0   0.0   0.0   0.0   0.0
  5.|-- 2a02:2f00:8708:3:1:0:2:0	   0.0%	10	9.5  15.0   9.4  40.9  11.3
  6.|-- 2a02:2f01:40:1:8708:13:335:3   0.0%	10   69.8  19.7  10.2  69.8  20.1
  7.|-- one.one.one.one				0.0%	10	9.6   9.5   9.4   9.6   0.1

Edited by ogo, 10 April 2023 - 13:30.

Acum, după câteva zile după ce am activat IPv6 pe acest router ASUS RT-AX1800U, a apărut următoarea problemă: toate website-urile pot fi accesate prin LAN, dar nu toate website-urile pot fi accesate prin WLAN.

De exemplu, wikipedia și youtube. Cu IPv6 activat pe router, prin LAN funcționează wikipedia și youtube, prin WLAN funcționează wikipedia dar nu funcționează youtube. După ce dezactivez IPv6 pe router, funcționează wikipedia și youtube prin WLAN.

La router-ul precedent, un Linksys E900, nu s-a întâmplat niciodată să nu funcționeze un website prin WLAN. Deci probabil acest router ASUS, din cauză că e nou, are probleme cu IPv6, probleme care încă nu le-au rezolvat, și eu trebuie să țin IPv6 dezactivat până apare firmware cu IPv6 funcțional.

Edited by CTU99, 26 April 2023 - 20:12.

curl ident.me, pe laptop cu win10+ ce adresa retureaza?

Nu am folosit curl ident.me. Eu am folosit whatismyipaddress.com ca să verific dacă am sau nu adresă IPv6. Dacă activez IPv6 pe router, am două adrese, una IPv4 și una IPv6. Dar la acest router nu funcționează IPv6, și cred că ASUS încă nu au rezolvat problemele cu IPv6 la acest router nou. Deci trebuie să țin IPv6 dezactivat, și să nu îl activez decât după ce văd în change log-ul firmware-ului că au rezolvat problema cu IPv6.

Eu am vrut să las IPv6 activat ca să fie pregătit pentru în caz că se va finaliza tranziția de la IPv4 la IPv6 peste câțiva ani, că utilizatorii router-ului nu știu să facă setări la router-ul lor. Și nu vor ști când și cum să își activeze IPv6 pe router. Dar dacă le las IPv6 activat, o să rămână fără internet pe laptop și smart tv. Corect ar fi fost ca ASUS să lanseze modelul nou de router după ce îi face IPv6 funcțional, nu înainte. Dar au lansat model de router cu IPv6 care func'ioneaz[ câteodată, dar nu funcționează de fiecare dată.

Edited by CTU99, 27 April 2023 - 13:28.

Cu ipv6 de la digi, activat, imi mergeau foarte greu aplicatiile pe telefon, l-am dezactivat, nu am vazut niciun folos, ma refer la viteza de acces, aplicatii si internet wi-fi

Edited by bdlaur, 29 September 2023 - 04:16.

Problema nu e la IP ci la telefon / dispozitive. Oricum nu trebuie sa existe legatura intre cum merge o aplicatie si protoclul de retea... e fara sens. Androidul nu suporta decat stateless cel putin pana la ver 11-12.

 CTU99, on 27 aprilie 2023 - 13:15, said:

La mai toate routerele Asus (si cele vechi wifi5) intalnite e functional fara probleme. Altceva patiti pe acolo... ceva ce tine de terminale si retea. Poate e dualstack-ul prastie... poate nu merge bine router advertizer-ul din firewall-ul winului care e esential in ipv6.
Inca ceva ce am scris mai in urma, in IPV6 nu puneti niciun firewall in router pentru ca ala nu e decat un blocker, in IPV6 nu mai exista conceptul de firewallNAT pentru ca fiecare dispozitiv are conexiune unica directa si routabila transparent si nu foloseste NAT. Blocand pachete de intrare nici macar torentul nu merge corect in ipv6.

Edited by andreic, 29 September 2023 - 08:01.