(Be)spreekuur - 1 februari 2024 - Werken met doelen in het plan van aanpak
03102019 ipv6 nat64 gateway
1. Een website
binnen vijf minuten
bereikbaar via IPv6
Den Haag, 3 oktober 2019
Joost Tholhuijsen
2. 1. Achtergrond
2. Idee
3. Werking
4. Elementen
5. Servicekenmerken
6. Gebruik
7. Evolutie
VNG Realisatie NAT64 Gateway
3. 1. Speerpunten IPv6 beleid 2019: externe bereikbaarheid
• Alle gemeentelijke hoofdwebsites eind 2019
• (Alle gemeentelijke hoofdemaildomeinen medio 2020)
2. Aantal gemeenten nog niet direct in gelegenheid IPv6 op website
aan te zetten door:
• Webhoster die het niet biedt
• Bij eigen beheer: ongeschiktheid van Internet verbinding
• Gebrek aan tijd/prioriteit of in afwachting van bijvoorbeeld
andere migratie
Achtergrond
4. VNG Realisatie NAT64 gateway
Internet
DNS met IPv4 adres en
IPv6 adres van
gemeentelijke website
1
NAT64 Gateway
2
IPv6-bezoeker van
gemeentelijke website
Gemeentelijke
IPv4-only website
3
5. 1. Web-bezoeker krijgt van DNS het IPv6 adres dat naar de NAT64
gateway én IPv4 adres verwijst (de laatste 32 bits van het IPv6
adres zijn gelijk aan het gehele IPv4 adres van de website)
2. De NAT64 gateway gebruikt deze laatste 32 bits van IPv6 adres om
het IPv4 adres te maken en zo de IPv4 only website te bereiken
3. De sessie naar de IPv4-only site wordt zo één-op-één via IPv6
doorgezet naar de bezoeker
Automatische stappen per websessie
6. 1. Geef het IPv4 adres van de gemeentelijke website door aan VNG
Realisatie
2. Ontvang van VNG Realisatie het specifieke IPv6 adres voor de
website
3. Voeg een AAAA (‘quad A’) record in het DNS toe met dit IPv6
adres
4. KLAAR! Website is nu via IPv6 bereikbaar.
Eenmalige actie per gemeente
7. • Jool NAT64 Software
• Software werkt op basis van RFC 6146, RFC 6052, RFC 6144 en RFC
8021
• Dell PowerEdge R630 servers
• Verbindingen 2 x 1Gb, redundancy op basis van BGP
Service onderdelen
9. • Beschikbaarheid >99,7%
• Geen inhoudelijke veranderingen in verkeer: authenticatie en
encryptie kunnen ongehinderd plaatsvinden
• Via NaWas (Nationale Wasstraat) beschermd tegen DDOS-
aanvallen
• Monitoring met LibreNMS (mogelijkheid voor Graphite, InfluxDB,
Open TSDB, Prometheus en Nagios)
• Voor alle beheertaken encryptie op basis van SSH en TLS
• Communicatie tussen monitoringsysteem en translatieservers met
AES op basis van SNMPv3
Service kenmerken
11. 1. Het activeren per gemeente verloopt probleemloos
2. Hoeveelheid bezoek via IPv6 gemeenten sluit aan bij de
verwachtingen op basis van IPv6 penetratie in Nederland
3. Voor sommige gemeenten is DNS nog een showstopper
4. Gemeenten blijken door deze stap gemotiveerd om verder te gaan
met bijvoorbeeld:
• Het aanvragen van IPv6 adresblokken uit het overheidsbrede
IPv6 nummerplankader.
• Het native IPv6 bereikbaar maken van de site
• Het verder denken over email en interne omgeving
Ervaringen met NAT64 gateway
12. 1. Naast gemeenten ook overige overheden via NAT64 bereikbaar
maken
2. Op vergelijkbare wijze inrichten gateway voor email
3. Uitschakelen gateways tegen eind 2021
Volgende ambities