"Recent posts
#21
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Patrick M. Hausen - January 11, 2026, 06:24:27 PMWenn Du in einer Windows-Domäne lebst, werden die Clients authentifiziert DNS-Updates an die Domänen-Controller schicken. Ich nehme fest an, das schließt heutzutage auch IPv6 ein.
Kea unterstützt DDNS-Updates ebenfalls für beide Protokolle, wobei ich noch nicht recherchiert habe, ob RFC 2137 auch AAAA Records einschließt, Kea für IPv6 was eigenes macht, oder es einen Nachfolger/Ergänzung für RFC 2137 gibt ...
Spannendes Thema. :-)
Kea unterstützt DDNS-Updates ebenfalls für beide Protokolle, wobei ich noch nicht recherchiert habe, ob RFC 2137 auch AAAA Records einschließt, Kea für IPv6 was eigenes macht, oder es einen Nachfolger/Ergänzung für RFC 2137 gibt ...
Spannendes Thema. :-)
#22
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by meyergru - January 11, 2026, 06:11:10 PMOha. Da kommt aber (theoretisch) viel Arbeit auf einen zu, wenn man dem internen DNS die IPv6 (und zwar aus den genannten pragmatischen Gründen ULAs) hinzufügen will:
a. Wie ich gerade feststelle, wird die IPv6 bei Windows aus einer (zufälligen) DUID abgeleitet. Das bedeutet, ich kann die ULA nicht einmal aus den vorhandenen MAC-Daten für die DHCPv4-Reservierungen ableiten. Es sei denn, ich ändere auf den Windows-Clients per Registry-Setting die Einstellungen so, dass die Ableitung aus der MAC erfolgt, so dass man zumindest die EUI-64 vorab zentral kennt. Das könnte im Extremfall bedeuten, dass ich die DNSv6-Einträge alle nochmal händisch erfassen muss, nachdem ich auf jedem Client die tatsächliche ULA ausgelesen habe. Keine Ahnung, wie Android das macht, aber IOS nimmt m.W. auch eine zufällige EUI-64, wenn man es nicht abschaltet (und das nicht nur für ausgehende Verbindungen mit privacy extensions).
b. Automatisiert kann man die Einträge sowieso nicht so einfach erzeugen, weil man für Nicht-IPv6-fähige Geräte und Services keine DNSv6-Einträge machen will - sonst würden die IPv6-only Clients auf Fehler laufen, weil sie ja dann bevorzugt IPv6 versuchen würden. Wobei: das gälte nur für GUAs, siehe nächster Punkt.
c. Bei ULAs ist es so, dass die ja überraschenderweise niedriger priorisiert werden als IPv4. Wenn also beide Einträge existieren, bringt das rein gar nichts, denn die IPv4 wird der ULA IPv6 immer vorgezogen. IPv4-only Clients nehmen sowieso nur IPv4, und solange diese noch existieren, werden die IPv4-DNS-Einträge auch noch gebraucht - es wäre nicht einmal eine Option, die Einträge exklusiv nur für IPv4 oder IPv6 zu machen.
d. Differenzieren müsste man für echte Services sowieso, denn wenn die per DHCP-Option 108 IPv6-only gesetzt werden, sind sie für IPv4-only Clients nicht mehr erreichbar. M.W. unterstützt Kea DHCP auf OpnSense eine Client-spezifische Steuerung der Option 108 nicht - solche Services müssten also statisch auf Dual-Stack konfiguriert werden.
Ergo: Alle Clients nutzen sowieso nur den IPv4-Teil des DNS-Eintrags. Dann kann ich mir die lokalen IPv6-Einträge im DNS also gleich sparen.
Offenbar wird das also nix bei mir mit "IPv6-mostly" - m.E. klappt das erst gut mit "IPv6 only".
Sorry für Off-Topic, aber wie gesagt, ich versuche nur gerade, das Big Picture zu erfassen (die klassische Version mit internem IPv4 kenne ich).
a. Wie ich gerade feststelle, wird die IPv6 bei Windows aus einer (zufälligen) DUID abgeleitet. Das bedeutet, ich kann die ULA nicht einmal aus den vorhandenen MAC-Daten für die DHCPv4-Reservierungen ableiten. Es sei denn, ich ändere auf den Windows-Clients per Registry-Setting die Einstellungen so, dass die Ableitung aus der MAC erfolgt, so dass man zumindest die EUI-64 vorab zentral kennt. Das könnte im Extremfall bedeuten, dass ich die DNSv6-Einträge alle nochmal händisch erfassen muss, nachdem ich auf jedem Client die tatsächliche ULA ausgelesen habe. Keine Ahnung, wie Android das macht, aber IOS nimmt m.W. auch eine zufällige EUI-64, wenn man es nicht abschaltet (und das nicht nur für ausgehende Verbindungen mit privacy extensions).
b. Automatisiert kann man die Einträge sowieso nicht so einfach erzeugen, weil man für Nicht-IPv6-fähige Geräte und Services keine DNSv6-Einträge machen will - sonst würden die IPv6-only Clients auf Fehler laufen, weil sie ja dann bevorzugt IPv6 versuchen würden. Wobei: das gälte nur für GUAs, siehe nächster Punkt.
c. Bei ULAs ist es so, dass die ja überraschenderweise niedriger priorisiert werden als IPv4. Wenn also beide Einträge existieren, bringt das rein gar nichts, denn die IPv4 wird der ULA IPv6 immer vorgezogen. IPv4-only Clients nehmen sowieso nur IPv4, und solange diese noch existieren, werden die IPv4-DNS-Einträge auch noch gebraucht - es wäre nicht einmal eine Option, die Einträge exklusiv nur für IPv4 oder IPv6 zu machen.
d. Differenzieren müsste man für echte Services sowieso, denn wenn die per DHCP-Option 108 IPv6-only gesetzt werden, sind sie für IPv4-only Clients nicht mehr erreichbar. M.W. unterstützt Kea DHCP auf OpnSense eine Client-spezifische Steuerung der Option 108 nicht - solche Services müssten also statisch auf Dual-Stack konfiguriert werden.
Ergo: Alle Clients nutzen sowieso nur den IPv4-Teil des DNS-Eintrags. Dann kann ich mir die lokalen IPv6-Einträge im DNS also gleich sparen.
Offenbar wird das also nix bei mir mit "IPv6-mostly" - m.E. klappt das erst gut mit "IPv6 only".
Sorry für Off-Topic, aber wie gesagt, ich versuche nur gerade, das Big Picture zu erfassen (die klassische Version mit internem IPv4 kenne ich).
#23
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Maurice - January 11, 2026, 05:14:57 PMDas zeichnet IPv6-Mostly ja aus (jetzt verwende ich den richtigen Namen): Es funktionieren alle Clients, auch die, die die DHCPv4-Option noch nicht unterstützen oder noch kein CLAT haben (Windows) und sogar die, die gar kein IPv6 unterstützen. Man muss daher mit dem Rollout nicht warten, bis alle Clients IPv6-only unterstützen.
In der internen DNS-Zone benötigt man natürlich A- und AAAA-Records, das ist nicht anders als im öffentlichen DNS.
In der internen DNS-Zone benötigt man natürlich A- und AAAA-Records, das ist nicht anders als im öffentlichen DNS.
#24
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by meyergru - January 11, 2026, 04:56:52 PMDas mit dem klassischen Dual-Stack sehe ich auch noch so wie Patrick.
Darüber hinaus haben meine Experimente mit der DHCP option 108 (RFC 8925) mit Kea zumindest bei Windows 11 (noch) nicht funktioniert. Der Client-PC holt sich immer (auch) eine IPv4.
Wenn das besser unterstützt würde, könnte man drüber nachdenken. Allerdings muss man dann im internen DNS beide Varianten (IPv4/6) pflegen, damit alle Clients die Services finden - also Mehraufwand.
Darüber hinaus haben meine Experimente mit der DHCP option 108 (RFC 8925) mit Kea zumindest bei Windows 11 (noch) nicht funktioniert. Der Client-PC holt sich immer (auch) eine IPv4.
Wenn das besser unterstützt würde, könnte man drüber nachdenken. Allerdings muss man dann im internen DNS beide Varianten (IPv4/6) pflegen, damit alle Clients die Services finden - also Mehraufwand.
#25
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Maurice - January 11, 2026, 04:56:39 PM@Patrick Ja richtig, das meinte ich. Und stimmt, IPv6-Only Preferred ist nur der Name der DHCPv4-Option, was natürlich nur ein Baustein des ganzen ist. Sorry für die Konfusion.
Auch wenn man das jetzt noch nicht hat, dann ist es doch nur eine Frage der Zeit. Falls man nicht direkt auf IPv6-only mit DNS64 / NAT64 geht. Wieso es dann nicht gleich richtig machen und DNS auch über IPv6 ermöglichen?
Wir wollen doch nicht die nächsten 20 Jahre weiterhin klassisches Dual Stack fahren.
Auch wenn man das jetzt noch nicht hat, dann ist es doch nur eine Frage der Zeit. Falls man nicht direkt auf IPv6-only mit DNS64 / NAT64 geht. Wieso es dann nicht gleich richtig machen und DNS auch über IPv6 ermöglichen?
Wir wollen doch nicht die nächsten 20 Jahre weiterhin klassisches Dual Stack fahren.
#26
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Patrick M. Hausen - January 11, 2026, 04:42:04 PMQuote from: Maurice on January 11, 2026, 04:32:41 PMWenn man IPv6-Only Preferred verwendet (also die entsprechende Option im DHCPv4-Server konfiguriert
Jetzt verstehe ich was du meinst. Ein designiertes "IPv6 mostly" Netzwerk. [1]
Aber das habe ich halt nicht. Und auch meine Empfehlung dem OP gegenüber basiert auf der Annahme, dass man DHCPv4 und SLAAC im betrachteten Netz vollständig kontrolliert und dann ist dual stack einfach gut nachvollziehbar und bequem.
[1] https://www.ietf.org/archive/id/draft-link-v6ops-6mops-01.html
#27
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Maurice - January 11, 2026, 04:40:53 PM@meyergru Das ist jetzt vielleicht nicht der richtige Ort, um IPv6-Only Preferred im Detail zu erläutern; ist auch umfassend dokumentiert.
Kurzform: Dual Stack-Netz mit zusätzlich DNS64 und NAT64. Der DHCPv4-Server teilt den Clients mit, dass in diesem Netz IPv6-only bevorzugt wird. Clients, die das unterstützen brechen DHCPv4 dann ab und verwenden ausschließlich IPv6. Clients, die das nicht unterstützen verwenden ganz klassisch IPv4.
Kurzform: Dual Stack-Netz mit zusätzlich DNS64 und NAT64. Der DHCPv4-Server teilt den Clients mit, dass in diesem Netz IPv6-only bevorzugt wird. Clients, die das unterstützen brechen DHCPv4 dann ab und verwenden ausschließlich IPv6. Clients, die das nicht unterstützen verwenden ganz klassisch IPv4.
#28
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Maurice - January 11, 2026, 04:32:41 PMDas wäre dann schlicht eine Fehlkonfiguration. Wenn man IPv6-Only Preferred verwendet (also die entsprechende Option im DHCPv4-Server konfiguriert), dann muss sichergestellt sein, dass ein DNS-Server über IPv6 erreichbar ist und über RAs und ggfs. DHCPv6 bekannt gegeben wird. Das ist nicht anders als in einem "echten" IPv6-only-Netz. Ist das nicht der Fall, dann haben Clients, die IPv6-Only Preferred unterstützen kein DNS.
#29
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by meyergru - January 11, 2026, 04:20:57 PMStimmt, ich meinte Stateless.
Wie geht denn "IPv6-only preferred"? Sowie ich DS habe, weil einige Clients es brauchen, muss ich doch zwangsläufig DHCPv4 machen und auch einen DNSv4 haben - das würde aber von allen Clients genutzt, oder? Die IPv4-only Clients können dann aber die IPv6-only Services / Geräte nicht nutzen, richtig?
Anders gesagt: Mal mal ein Bild, wie sich das genau zusammensetzt. Ich verstehe ja noch IPv6-only, wobei mich daran schon stört, dass ich:
a. Eine Bridge-Technologie für den externen IPv4-Zugang (z.B. github) brauche und
b. bei dynamischen IPv6-Präfixen zusätzlich noch ULAs für den internen Netzwerktraffic benötige (wobei die dann niedriger priorisiert sind als GUAs, ich also sehr aufpassen muss, dass NUR die ULAs im internen DNS auftauchen).
Wie geht denn "IPv6-only preferred"? Sowie ich DS habe, weil einige Clients es brauchen, muss ich doch zwangsläufig DHCPv4 machen und auch einen DNSv4 haben - das würde aber von allen Clients genutzt, oder? Die IPv4-only Clients können dann aber die IPv6-only Services / Geräte nicht nutzen, richtig?
Anders gesagt: Mal mal ein Bild, wie sich das genau zusammensetzt. Ich verstehe ja noch IPv6-only, wobei mich daran schon stört, dass ich:
a. Eine Bridge-Technologie für den externen IPv4-Zugang (z.B. github) brauche und
b. bei dynamischen IPv6-Präfixen zusätzlich noch ULAs für den internen Netzwerktraffic benötige (wobei die dann niedriger priorisiert sind als GUAs, ich also sehr aufpassen muss, dass NUR die ULAs im internen DNS auftauchen).
#30
German - Deutsch / Re: Eigener DNS bei einer IPv6...
Last post by Patrick M. Hausen - January 11, 2026, 04:19:42 PMQuote from: Maurice on January 11, 2026, 04:15:38 PMviele Clients (z. B. Android) verwenden nun aber ausschließlich IPv6 - auch für DNS.
Wie denn, wenn es keinen lokalen Server auf IPv6 gibt und man DNS ausgehend sperrt? Was man natürlich tun sollte, wenn man OPNsense, AGH etc. am Start hat, um zu filtern.
